Acesta este un șablon tehnic-operațional. Necesită revizuire juridică și personalizare înainte de utilizare în orice context contractual.
Structura DPA
- Părțile (Operatorul și Persoana Împuternicită).
- Obiectul și scopurile prelucrării.
- Durata, categoriile de date și persoanele vizate.
- Instrucțiuni documentate din partea Operatorului.
- Obligațiile Persoanei Împuternicite.
- Subprocesatori și transferuri în afara SEE/Regatului Unit.
- Măsuri de securitate și proceduri de notificare a încălcării datelor.
- Drepturile persoanelor vizate, drepturile de audit și rezilierea.
Principalele măsuri tehnice
- Control al accesului bazat pe roluri și principiul privilegiului minim.
- Criptare în tranzit (TLS) și în repaus, acolo unde este aplicabil.
- Segregarea mediilor: dezvoltare / testare / producție.
- Jurnale de audit operaționale și AI.
- Backup, recuperare și monitorizare continuă.
- Gestionarea secretelor prin intermediul unui manager de secrete dedicat.
Subîmputerniciți actuali
PappAI se bazează pe următorii subîmputerniciți pentru a furniza Serviciul. Fiecare intrare indică scopul principal, țara de prelucrare și temeiul juridic pentru orice transfer de date în afara UE/SEE. Lista este actualizată periodic, iar orice modificare semnificativă va fi notificată în prealabil Operatorilor.
| Furnizor | Scop | Țara de prelucrare | Categorii de date | Transfer / garanții |
|---|---|---|---|---|
| Google Cloud Platform (Google LLC) | Găzduire în cloud (Cloud Run, Cloud SQL), stocare de obiecte (GCS), logare și monitorizare. | EU regions (europe-west1) — corporate USA | Toate datele Serviciului: clinice, de cont, de facturare, jurnale operaționale. | EU SCC + DPA |
| Google Vertex AI (Google LLC) | Inferență AI generativă pentru elaborarea planurilor alimentare și suport pentru analiza clinică. | EU multi-region — corporate USA | Date de intrare pseudonimizate transmise modelului; fără date cu caracter personal; fără consimțământ pentru antrenare. | EU SCC + DPA · no training opt-in |
| Firebase (Google LLC) | Autentificare (token-uri de identitate) și livrarea notificărilor push (FCM/APNs). | USA — multi-region | Identitatea utilizatorului (e-mail, telefon), token-uri push ale dispozitivului. | EU SCC + DPA |
| Stripe Payments Europe Ltd | Facturarea abonamentelor, emiterea facturilor, procesarea plăților. | Ireland (EU) | Date de cont și de facturare, istoricul tranzacțiilor. Fără date clinice. | Intra-EU |
| Brevo (Sendinblue SAS) | Livrarea e-mailurilor tranzacționale (cont, notificări de facturare, șabloane profesionale). | France (EU) | Adresa de e-mail a destinatarului, conținutul mesajului, starea livrării. | Intra-EU |
| Twilio Ireland Ltd | Livrare SMS/WhatsApp (canal moștenit). | Ireland (EU) — corporate USA | Numărul de telefon al destinatarului, conținutul mesajului, metadate de livrare. | EU SCC + DPA |
| Meta Platforms Ireland Ltd | WhatsApp Business Cloud API pentru comunicarea cu pacienții pe bază de șabloane. | Ireland (EU) — corporate USA | Numărul de telefon al destinatarului, variabilele șablonului, metadate de livrare. | EU SCC + DPA |
| Google Analytics 4 (Google LLC) | Analiză agregată a utilizării pe site-ul public și pe aplicația autentificată. | USA — corporate | Identificatori pseudonimizați, vizualizări de pagină, evenimente de interacțiune. Fără date clinice. | EU SCC + DPA · consent-gated |
| Microsoft Clarity (Microsoft Corporation) | Analiză UX anonimizată (hărți termice, înregistrări de sesiune). | USA — corporate | Identificatori pseudonimizați, evenimente de interacțiune. Fără date clinice; câmpurile sensibile sunt mascate. | EU SCC + DPA · consent-gated |
Toți subîmputerniciții enumerați prelucrează datele în baza unor acorduri scrise care conțin garanții conforme cu GDPR (acorduri de prelucrare a datelor, clauze contractuale standard UE, acolo unde este cazul). Datele clinice ale pacienților nu sunt niciodată utilizate de niciun subîmputernicit pentru a antrena, ajusta fin sau evalua modele AI.
Anexe planificate
- Anexa A: detalii de prelucrare (Art. 28(3) GDPR).
- Anexa B: lista curentă de subprocesatori.
- Anexa C: măsuri tehnice și organizaționale (MTO).
