Zadnja izmjena: 2026-07-14

Ugovor o obradi podataka (DPA)

Ugovor o obradi podataka između Klinike (voditelj) i DentOrda (obradaitelj).

Radni draft DPA-a. Prije naplate 2027. potrebna pravna revizija. Prihvata se kroz Terms pri signup-u (clickwrap).

1. Strane

Klinika (Controller / voditelj obrade) ↔ DentOrd (Processor / obradaitelj).

Ovaj DPA reguliše obradu podataka pacijenata i povezanih kategorija koje Klinika unese u DentOrd.

2. Predmet i trajanje

Predmet: obrada ličnih i zdravstvenih podataka radi pružanja DentOrd SaaS usluge.

Trajanje: dok Klinika ima aktivan nalog ili dok traju obaveze čuvanja/brisanja nakon raskida.

3. Priroda obrade

Hostiranje, storage, prikaz u aplikaciji, email delivery (podsjetnici/transakcijski), backup i povezane tehničke operacije potrebne za uslugu.

4. Vrste podataka

Identifikacioni i kontakt podaci, zdravstveni podaci i dokumenti koje unese Klinika, termini, fakture i povezani administrativni zapisi.

5. Kategorije ispitanika

Pacijenti Klinike i zaposleni / korisnici Klinike čiji se podaci obrađuju u okviru usluge.

6. Obaveze Processor-a

Processor obrađuje podatke pacijenata isključivo radi pružanja DentOrd usluge Klinici i po dokumentovanim uputama Controller-a (uključujući konfiguraciju u aplikaciji).

Processor ne koristi podatke pacijenata za treniranje javnih AI modela trećih strana bez eksplicitnog ugovornog osnova i Controllera.

Obaveze uključuju: povjerljivost osoblja, odgovarajuće tehničke i organizacijske mjere, pomoć Controller-u oko prava ispitanika, te angažman podobradaitelja pod jednakim zaštitama.

7. Lista podobradaitelja

Trenutni podobradaitelji uključuju: Supabase, Vercel, Resend, Sentry, PostHog (bez imena pacijenata u analytics), te Stripe od naplate.

O izmjeni materijalnih podobradaitelja Controller će biti obaviješten u razumnom roku i imati pravo prigovora u skladu s primjenjivim propisima.

8. Međunarodni transferi

Default je obrada u EU. Ako ikad zatreba transfer izvan EEA, koristit će se odgovarajući mehanizmi (npr. SCC) gdje je to zakonski potrebno.

9. Prava ispitanika — pomoć Controller-u

Processor će razumno pomoći Controller-u da odgovori na zahtjeve ispitanika (pristup, ispravka, brisanje, prenosivost) kroz alate u aplikaciji i podršku.

10. Obavijest o povredi

U slučaju povrede podataka, Processor će obavijestiti Controller bez nepotrebnog odgađanja — orijentir 72 sata od saznanja — s informacijama dostupnim u tom trenutku.

11. Brisanje / povrat podataka nakon raskida

Nakon raskida, Controller može izvesti podatke u predviđenom roku. Zatim Processor briše ili anonimizira podatke Klinike, osim gdje zakon nalaže duže čuvanje.

12. Audit prava

Controller može, uz razumni interval, NDA i prethodnu najavu, tražiti informacije ili audit relevantan za usklađenost Processor-a s ovim DPA-om.

13. Prihvatanje (clickwrap)

DPA se smatra prihvaćenim kada vlasnik Klinike pri signup-u označi prihvatanje Terms + Privacy. Dodatni potpis nije potreban za v1, osim ako strane drugačije ne dogovore.

Pitanja: support@dentord.com.