Соглашение об обработке данных (DPA)
Последнее обновление: 4 июня 2026 г.
Введение
Настоящее Соглашение об обработке данных («DPA») заключается между стоматологической клиникой, использующей платформу DENTARI («Оператор»), и DENTARI, оператором платформы («Обработчик»).
Настоящее DPA является неотъемлемой частью Условий использования и регулирует обработку персональных данных DENTARI от имени клиники в соответствии со Статьёй 28 GDPR (ЕС 2016/679).
1. Определения
- «Оператор» — стоматологическая клиника, определяющая цели и средства обработки данных пациентов.
- «Обработчик» — DENTARI, обрабатывающий персональные данные от имени Оператора.
- «Персональные данные» — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (GDPR Ст. 4(1)).
- «Специальные категории данных» — данные о здоровье по смыслу GDPR Ст. 9, включая зубные карты и информацию о лечении.
- «Субъект данных» — пациент или сотрудник клиники, чьи данные обрабатываются.
- «Субобработчик» — любая третья сторона, привлечённая Обработчиком для обработки персональных данных.
- «GDPR» — Общий регламент по защите данных (ЕС) 2016/679.
2. Предмет, характер и цель обработки
Обработчик обрабатывает персональные данные от имени Оператора с целью предоставления платформы DENTARI для управления стоматологической клиникой, включающей: управление расписанием, хранение карт пациентов, планов лечения и аналитику доходов.
Характер обработки включает: сбор, хранение, извлечение, отображение, изменение и удаление данных в платформе.
Настоящее DPA применяется на срок действия договора подписки между сторонами.
3. Виды обрабатываемых персональных данных
- Персонал клиники: имена, адрес электронной почты, роль.
- Пациенты: имена, контактная информация (телефон, email), дата рождения, история посещений, планы лечения, зубные карты, клинические заметки.
Категории субъектов данных: персонал клиники; пациенты клиники.
Медицинские данные пациентов составляют специальную категорию по GDPR Ст. 9. Оператор несёт ответственность за обеспечение надлежащего правового основания для их сбора и обработки.
4. Роли и ответственность
| Сторона | Роль | Ответственность |
|---|---|---|
| Стоматологическая клиника | Оператор данных | Определяет, какие данные собираются, в каких целях, получает согласие там, где необходимо. Несёт ответственность за соблюдение GDPR перед пациентами. |
| DENTARI | Обработчик данных | Обрабатывает данные только по задокументированным инструкциям Оператора. Внедряет технические и организационные меры безопасности. |
5. Обязательства Обработчика (GDPR Ст. 28(3))
Обработчик обязуется:
- (а) Обрабатывать только по инструкциям — обрабатывать персональные данные исключительно согласно инструкциям Оператора. Если закон ЕС или национальный закон требует обработки без таких инструкций, Обработчик уведомляет Оператора заблаговременно, если только закон не запрещает такое уведомление.
- (б) Конфиденциальность — обеспечить, что уполномоченный персонал связан договорным или законным обязательством конфиденциальности.
- (в) Безопасность — внедрить надлежащие технические и организационные меры согласно GDPR Ст. 32, включая шифрование при передаче (TLS 1.2+), шифрование в покое и контроль доступа.
- (г) Субобработчики — привлекать субобработчиков только с предварительного письменного согласия Оператора. Возлагать эквивалентные обязательства по защите данных на всех субобработчиков.
- (д) Права субъектов данных — содействовать Оператору в выполнении обязательств по ответу на запросы о правах в течение 5 рабочих дней с момента запроса Оператора.
- (е) Удаление или возврат — при прекращении договора удалить все персональные данные в течение 30 дней и предоставить письменное подтверждение.
- (ж) Содействие в аудите — предоставлять необходимую информацию для демонстрации соответствия и допускать проведение аудитов с минимум 14-дневным уведомлением.
- (з) Уведомление о незаконных инструкциях — незамедлительно информировать Оператора, если инструкция, по мнению Обработчика, нарушает GDPR или иное применимое законодательство.
6. Уполномоченные субобработчики
Оператор даёт общее письменное согласие на использование следующих субобработчиков. DENTARI будет уведомлять Оператора об изменениях в этом списке с уведомлением не менее 14 дней.
| Субобработчик | Цель | Расположение | Гарантия |
|---|---|---|---|
| Supabase Inc. | База данных, аутентификация, файловое хранилище | ЕС (Франкфурт, Германия) | DPA + резидентность в ЕС |
| Stripe Inc. | Обработка платежей (только данные выставления счётов) | ЕС + США | SCC + PCI DSS |
| Google LLC | Аутентификация (только OAuth) | ЕС + США | SCC |
| Vercel Inc. | Хостинг приложения и CDN | Глобально (ЕС приоритет) | DPA + SCC |
Примечание: данные пациентов хранятся исключительно в регионе Supabase ЕС (Франкфурт).
7. Меры безопасности (GDPR Ст. 32)
DENTARI применяет следующие технические и организационные меры:
- Шифрование данных при передаче (минимум TLS 1.2) и в покое (AES-256).
- Контроль доступа на основе ролей (RBAC) — персонал клиники имеет доступ только к данным своей клиники.
- Безопасность на уровне строк, реализованная на уровне базы данных (политики Supabase RLS).
- Многофакторная аутентификация доступна для всех аккаунтов.
- Регулярные обновления безопасности и аудиты зависимостей.
- Автоматические резервные копии базы данных с возможностью восстановления на момент времени.
8. Уведомление об инцидентах безопасности
В случае нарушения безопасности персональных данных Оператора Обработчик обязан:
- Уведомить Оператора без неоправданной задержки и, по возможности, в течение 24 часов.
- Предоставить: характер нарушения; категории и примерное число затронутых субъектов и записей; вероятные последствия; принятые или предлагаемые меры.
- Содействовать Оператору в своевременном уведомлении надзорного органа (в течение 72 часов по GDPR Ст. 33).
9. Международная передача данных
Данные пациентов и клиники хранятся в регионе Supabase ЕС (Франкфурт). Передачи субобработчикам за пределы ЕЭЗ регулируются Стандартными договорными статьями (SCC) согласно GDPR Ст. 46(2)(в).
10. Право на аудит
Оператор имеет право проводить аудит деятельности Обработчика по обработке данных один раз в календарный год или незамедлительно после подтверждённого нарушения, при условии уведомления не менее чем за 14 дней. Аудиты проводятся в рабочее время.
11. Ответственность
Каждая сторона несёт ответственность перед другой за прямой ущерб, причинённый нарушением настоящего DPA. Совокупная ответственность Обработчика не превышает сборов, уплаченных Оператором за 12 месяцев, предшествующих требованию.
12. Срок и прекращение
Настоящее DPA вступает в силу с даты первого использования Сервиса Оператором и остаётся в силе на срок действия договора подписки. Оно автоматически прекращается при расторжении подписки, после чего Обработчик удаляет все персональные данные в течение 30 дней.
13. Применимое право
Настоящее DPA регулируется законодательством Республики Болгария и толкуется в соответствии с Регламентом (ЕС) 2016/679 (GDPR). Все споры рассматриваются компетентными судами Burgas, Болгария.
14. Контакт
DENTARI
Burgas, Bulgaria
Эл. почта: info@dentari.app