UGOVOR O OBRADI PODATAKA O LIČNOSTI

Data Processing Agreement — DPA / Ugovor o obradi podataka o ličnosti

Zaključen između:

1. Rukovalac podacima:
Stomatološka ordinacija koja kreira nalog i koristi SaaS aplikaciju „Osmehni-me“,
sa sedištem i podacima navedenim u procesu registracije,
(u daljem tekstu: Rukovalac)

i

2. Obrađivač podataka:
MS Software LLC
sa sedištem na adresi 1209 MOUNTAIN ROAD PL NE STE N ALBUQUERQUE, NM 87110, NEW MEXICO,
(u daljem tekstu: Obrađivač)

Zajednički: Ugovorne strane.

Član 1. – Predmet ugovora

Ovim Ugovorom Rukovalac poverava Obrađivaču obradu ličnih podataka pacijenata, zaposlenih i saradnika Rukovaoca, putem SaaS aplikacije „Osmehni-me“, radi pružanja stomatoloških usluga, vođenja medicinske dokumentacije i upravljanja poslovanjem ordinacije.

Obrada se vrši isključivo u svrhe pružanja funkcionalnosti aplikacije.

Član 2. – Kategorije podataka

Obrađuju se sledeće kategorije podataka:

Lični podaci pacijenata

• ime, prezime
• adresa, telefon, email
• datum rođenja, pol
• matični broj (ako ga Rukovalac unese)
• karton, anamneza, prethodna oboljenja
• alergije, terapije, dijagnoze
• stomatološke posete i evidencije
• odontogram i periodontogram
• rendgenski snimci i medicinske slike (DICOM, JPG, PNG, ZIP)
• finansijski podaci vezani za posete

Podaci o osoblju ordinacije

• ime, prezime
• kontakt podaci
• pozicija i ovlašćenja
• aktivnosti rada u aplikaciji (audit log)

Član 3. – Priroda i svrha obrade

Obrada se sprovodi radi:

• vođenja zdravstvene dokumentacije pacijenata
• pregleda i upisa dijagnoza i terapija
• čuvanja rendgenskih snimaka
• zakazivanja termina
• vođenja finansijskih evidencija
• komunikacije sa pacijentima (SMS obaveštenja)
• statističkih i izveštajnih funkcija
• administriranja korisničkih naloga

Obrađivač ne sme obrađivati podatke ni u jednu drugu svrhu, niti ih sme koristiti za samostalne potrebe.

Član 4. – Pravna osnova

Pravna osnova obrade je:

• Član 12, 17, 18 i 45–50 Zakona o zaštiti podataka o ličnosti
• Član 9(2)(h) GDPR — obrada zdravstvenih podataka u svrhu zdravstvene zaštite.

Rukovalac je odgovoran da pacijenti budu informisani o obradi u skladu sa zakonom.

Član 5. – Uloge i odgovornosti

Rukovalac:

• odlučuje o svrsi i sredstvima obrade
• unosi i kontroliše tačnost podataka
• određuje zaposlenima nivoe pristupa
• odgovoran je za zakonitost obrade

Obrađivač:

• obrađuje podatke isključivo po instrukcijama Rukovaoca
• obezbeđuje odgovarajuće mere tehničke i organizacione zaštite
• ne otkriva podatke trećim licima bez ovlašćenja
• vodi evidenciju o svim podizvođačima

Član 6. – Tehničke i organizacione mere

Obrađivač garantuje sledeće mere zaštite:

1. Enkripcija

• HTTPS/TLS 1.2+
• Enkripcija baze podataka (ključni zdravstveni podaci)
• Enkripcija fajlova (DICOM, slike)
• Enkriptovani bekapi

2. Kontrola pristupa

• jedinstični korisnički nalozi
• uloge i ovlašćenja
• dvostruka autentifikacija (kada je aktivirana)
• session timeout
• password hashing (bcrypt/argon2)

3. Audit log

• evidencija svakog pristupa pacijentu
• evidencija izmena podataka
• neizmenjivi logovi

4. Server i infrastruktura

• zaštita firewall-om
• monitoring pristupa
• sigurnosne zakrpe i redovna ažuriranja
• ograničen pristup programera (least privilege)

5. Backup i disaster recovery

• dnevni automatski bekap
• enkripcija bekapa
• off-site bekap
• redovno testiranje obnove podataka

6. Izolacija tenant-a

• fizička i logička izolacija podataka između ordinacija

Član 7. – Podizvođači obrade (sub-processors)

Obrađivač koristi sledeće usluge trećih lica:

• hosting provider (DigitalOcean / AWS)
• email/SMS provider
• sistem za obradu slika
• servisi za backup ili CDN

Obrađivač se obavezuje da će koristiti samo provajdere koji primenjuju adekvatne mere zaštite u skladu sa ZZPL i GDPR.

Rukovalac se saglašava sa korišćenjem navedenih podizvođača.

Član 8. – Prenos podataka u inostranstvo

Podaci se mogu prenositi i čuvati na serverima u:

• Evropskoj uniji
• Sjedinjenim Američkim Državama

uz primenu:

• Standardnih ugovornih klauzula (SCC)
• adekvatnih tehničkih i organizacionih mera zaštite
• enkripcije u transportu i mirovanju

Ovaj prenos je dozvoljen u skladu sa članom 65 i 66 ZZPL.

Član 9. – Poverljivost

Obrađivač i sva lica koja rade pod njegovim nadzorom obavezni su:

• da čuvaju podatke kao poslovnu tajnu
• da ne otkrivaju podatke neovlašćenim licima
• da koriste podatke samo za definisane svrhe

Ove obaveze važe i po prestanku Ugovora.

Član 10. – Saradnja i ostvarivanje prava pacijenata

Obrađivač je dužan da tehnički omogući Rukovaocu da ispuni zakonske obaveze prema pacijentima:

• pristup podacima
• ispravka podataka
• ograničenje obrade
• prenosivost
• dobijanje kopije podataka

Za zahteve pacijenata Obrađivač ne postupa samostalno, već isključivo po instrukcijama Rukovaoca.

Član 11. – Povreda podataka

U slučaju povrede podataka (data breach):

• Obrađivač odmah obaveštava Rukovaoca
• dostavlja sve informacije o prirodi incidenta
• preduzima hitne mere sprečavanja štete
• učestvuje u obaveštavanju Poverenika i pacijenata

Član 12. – Rokovi čuvanja

Podaci se čuvaju za vreme korišćenja aplikacije i u skladu sa važećim propisima:

• medicinska dokumentacija — minimum 10 godina
• rendgenski snimci — minimum 5 godina

Po prestanku ugovora:

• Rukovalac ima pravo da preuzme sve podatke
• Obrađivač podatke briše nakon isteka razumnog roka (30–90 dana), osim logova neophodnih za bezbednost

Član 13. – Završne odredbe

1. Ugovor stupa na snagu danom elektronskog prihvatanja od strane Rukovaoca.
2. Ugovor je sastavljen u elektronskoj formi i pravno je punovažan bez potpisa i pečata.
3. Na Ugovor se primenjuje pravo Republike Srbije.
4. Sve sporove strane će rešavati mirno, a u suprotnom nadležan je sud prema sedištu Rukovaoca.