medEQ
Strona główna

Wersja robocza

Niniejsza treść jest projektem dokumentu i podlega weryfikacji prawnej. Nie stanowi obowiązującej wersji do czasu publikacji finalnej z podpisem Operatora.

Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Obowiązuje od: 10 maja 2026 r

Niniejsza Umowa stanowi integralną część Regulaminu świadczenia usług MedEQ i reguluje zasady powierzenia przetwarzania danych osobowych pacjentów Użytkownika przez Operatora zgodnie z art. 28 ogólnego rozporządzenia o ochronie danych (RODO).

§1. Strony Umowy

  1. Administrator - Użytkownik aplikacji MedEQ (placówka medyczna, stomatologiczna lub inny podmiot prowadzący działalność leczniczą), będący administratorem danych osobowych pacjentów.
  2. Procesor / Operator - Bartosz Krzyżaniak, NIP 5542905852, z siedzibą w ul. Sportowa 20, 88-420 Rogowo.

§2. Cel i zakres powierzenia

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych pacjentów wprowadzanych do aplikacji MedEQ wyłącznie w celu świadczenia usługi określonej w Regulaminie.
  2. Powierzenie obejmuje następujące kategorie osób: pacjenci Administratora oraz osoby upoważnione przez nich do dostępu do dokumentacji medycznej.
  3. Powierzenie obejmuje następujące kategorie danych:
    • dane identyfikacyjne (imię, nazwisko, PESEL, data urodzenia),
    • dane kontaktowe (telefon, email, adres),
    • dane szczególnej kategorii w rozumieniu art. 9 RODO: dane medyczne, w tym wywiad chorobowy, diagnozy, plany leczenia, wyniki badań, dokumentacja dentystyczna, dokumentacja audio z wizyt (jeśli moduł AI Scribe jest aktywowany).

§3. Czas trwania

Umowa zawarta jest na czas obowiązywania umowy głównej (Regulaminu) i wygasa wraz z jej rozwiązaniem.

§4. Obowiązki Procesora (art. 28 RODO)

Procesor zobowiązuje się do:

  1. przetwarzania danych wyłącznie na udokumentowane polecenie Administratora,
  2. zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  3. podjęcia wszelkich środków wymaganych na mocy art. 32 RODO (środki techniczne i organizacyjne), w szczególności:
    • szyfrowanie danych w spoczynku (AES-256) i w transmisji (TLS 1.2+),
    • kontrola dostępu w oparciu o role i zasadę minimalnych uprawnień,
    • uwierzytelnianie dwuskładnikowe (2FA) dla kont administracyjnych,
    • regularne kopie zapasowe i procedura odtwarzania po awarii,
    • logowanie zdarzeń bezpieczeństwa (audit log),
    • regularne testy bezpieczeństwa,
  4. pomocy Administratorowi w wywiązaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo, naruszenia, ocena skutków),
  5. po zakończeniu Umowy - w zależności od decyzji Administratora - usunięcia lub zwrotu wszelkich danych osobowych, z zastrzeżeniem przepisów wymagających dalszego przechowywania,
  6. udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia audytów (po wcześniejszym uzgodnieniu).

§5. Subprocesorzy

  1. Procesor korzysta z następujących podwykonawców (subprocesorów):
SubprocesorLokalizacjaZakres usług
[HOSTING_PROVIDER]UEInfrastruktura serwerowa, hosting bazy danych
Anthropic, PBCUSA (SCC)API AI - transkrypcja audio, OCR faktur (moduły opcjonalne)
OpenAI, L.L.C.USA (SCC)API AI - generowanie notatek medycznych (modul opcjonalny)
[OPERATOR_PŁATNOŚCI]UEObsługa płatności abonamentowych
[OPERATOR_SMS]UEWysyłka powiadomień SMS
  1. Aktualna lista subprocesorów dostępna jest pod adresem /dpa/subprocesorzy i będzie aktualizowana z wyprzedzeniem 30 dni przed zmianą.
  2. Administrator może zgłosić sprzeciw wobec wprowadzenia nowego subprocesora w terminie 30 dni od ogłoszenia zmiany. W razie sprzeciwu strony podejmą rozmowy w celu znalezienia rozwiązania alternatywnego.

§6. Naruszenia ochrony danych

  1. Procesor zgłasza Administratorowi naruszenie ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego stwierdzenia.
  2. Zgłoszenie zawiera co najmniej: charakter naruszenia, przybliżoną liczbę osób, których dotyczy, możliwe konsekwencje i podjęte środki zaradcze.
  3. Procesor współdziała z Administratorem w realizacji obowiązków wynikających z art. 33-34 RODO.

§7. Audyty

  1. Administrator ma prawo do audytu zgodności przetwarzania danych raz w roku, po uprzednim poinformowaniu Procesora z minimum 14-dniowym wyprzedzeniem.
  2. Audyty kosztowne (przeprowadzane przez audytorów zewnętrznych) realizowane są na koszt Administratora.
  3. Procesor może spełnić obowiązek umożliwienia audytu poprzez przedstawienie aktualnego raportu audytu zewnętrznego (np. ISO 27001, SOC 2) wykonanego w ciągu ostatnich 12 miesięcy.

§8. Odpowiedzialność

Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie w wyniku niewykonania lub nienależytego wykonania niniejszej Umowy. Wysokość odpowiedzialności Procesora ograniczona jest do wartości opłaconego abonamentu z 12 miesięcy poprzedzających zdarzenie powodujące szkodę, z wyłączeniem szkód z winy umyślnej.

§9. Postanowienia końcowe

  1. W sprawach nieuregulowanych Umową stosuje się przepisy RODO, ustawy o ochronie danych osobowych oraz innych przepisów obowiązującego prawa.
  2. Akceptacja Regulaminu MedEQ przez Administratora jest równoznaczna z zawarciem niniejszej Umowy DPA.
  3. Wersja DPA z podpisem elektronicznym dostępna jest na żądanie Administratora pod adresem rodo@medeq.pl.