Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

1. Platforma (jako podmiot przetwarzający w zakresie danych zdrowotnych E2EE) przetwarza dane osobowe pacjentów wyłącznie w celu i zakresie niezbędnym do świadczenia usług technicznych określonych w umowie głównej. 2. Rodzaje przetwarzanych danych: a) zaszyfrowane dane zdrowotne (dzienniki emocji, notatki kliniczne); b) dane identyfikacyjne (imię, nazwisko, email, telefon); c) dane rezerwacji (daty, godziny, status wizyt); d) dane preferencji terapeutycznych (z kwestionariusza matchmakingowego); e) dane finansowe (historia płatności, kwoty — dane kart NIE są przechowywane). 3. Kategorie osób, których dane dotyczą: pacjenci korzystający z usług Terapeuty za pośrednictwem Platformy. 4. Charakter przetwarzania: przechowywanie, transmisja, udostępnianie zaszyfrowanych danych, przetwarzanie płatności, dopasowywanie algorytmiczne.

1. Platforma przetwarza dane wyłącznie na udokumentowane polecenie Terapeuty (jako administratora w zakresie danych zdrowotnych E2EE), chyba że prawo Unii lub państwa członkowskiego tego wymaga. 2. Platforma zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi poufności. 3. Platforma stosuje odpowiednie środki techniczne i organizacyjne bezpieczeństwa, w tym: a) szyfrowanie end-to-end (E2EE) z wykorzystaniem libsodium i AES-256-GCM; b) szyfrowanie danych w spoczynku (at rest) na serwerach Supabase; c) szyfrowanie transmisji (TLS 1.3); d) uwierzytelnianie wieloskładnikowe (MFA) dla terapeutów; e) kontrolę dostępu opartą na rolach (RBAC) z politykami Row Level Security (RLS); f) regularne audyty bezpieczeństwa i testy penetracyjne. 4. Platforma nie powierza przetwarzania danych innemu podmiotowi (podprocesorowi) bez uprzedniej wyraźnej lub ogólnej autoryzacji Terapeuty. W przypadku ogólnej autoryzacji Platforma informuje Terapeutę o każdej zmianie podprocesorów z 14-dniowym wyprzedzeniem, dając Terapeucie możliwość zgłoszenia sprzeciwu. 5. Platforma udziela wsparcia w realizacji praw osób, których dane dotyczą, oraz w ocenie skutków przetwarzania danych (DPIA), jeżeli jest wymagana. 6. Platforma nie podejmuje decyzji o celach i sposobach przetwarzania danych zdrowotnych pacjentów — decyzje te podejmuje Terapeuta.

1. Terapeuta jako administrator danych zdrowotnych pacjentów zobowiązuje się do: a) przetwarzania danych zgodnie z obowiązującymi przepisami, w tym RODO; b) realizacji obowiązków informacyjnych wobec pacjentów (art. 13-14 RODO); c) zapewnienia podstawy prawnej przetwarzania danych zdrowotnych (art. 9 ust. 2 RODO); d) reagowania na żądania osób, których dane dotyczą (art. 15-22 RODO); e) zgłaszania naruszeń ochrony danych do UODO w terminie 72 godzin (art. 33 RODO). 2. Terapeuta oświadcza, że posiada odpowiednią podstawę prawną do powierzenia przetwarzania danych Platformie.

1. Platforma wspiera Terapeutę w realizacji praw pacjentów, w szczególności: a) prawa dostępu do danych (art. 15 RODO); b) prawa do sprostowania danych (art. 16 RODO); c) prawa do usunięcia danych — „prawo do bycia zapomnianym” (art. 17 RODO); d) prawa do ograniczenia przetwarzania (art. 18 RODO); e) prawa do przenoszenia danych (art. 20 RODO); f) prawa do sprzeciwu (art. 21 RODO). 2. Platforma udostępnia mechanizmy techniczne umożliwiające realizację tych praw: a) eksport danych pacjenta w formacie JSON (funkcja export-patient-data); b) usunięcie konta z 30-dniowym grace period (funkcja delete-account); c) automatyczna kasacja danych po upływie grace period (delete-account-cron). 3. W przypadku otrzymania żądania bezpośrednio od pacjenta, Platforma niezwłocznie przekazuje je właściwemu administratorowi (Terapeucie).

1. Platforma wdrożyła następujące środki techniczne i organizacyjne: a) Szyfrowanie: - End-to-end encryption (E2EE) dla dzienników emocji i notatek klinicznych - Algorytm: libsodium (Ed25519 + X25519) + AES-256-GCM - Klucze szyfrujące przechowywane wyłącznie na urządzeniach końcowych - Backup kluczy zabezpieczony PIN-em (6 cyfr, szyfrowany) b) Kontrola dostępu: - Row Level Security (RLS) na poziomie bazy danych PostgreSQL - Uwierzytelnianie wieloskładnikowe (MFA/AAL2) dla terapeutów - Role-Based Access Control (RBAC): patient, therapist, admin c) Ochrona AI: - Sanityzacja danych przed wysłaniem do modeli AI (usuwanie PII) - Prompt injection guard (ochrona przed atakami na modele AI) - Dane zdrowotne E2EE NIE są wysyłane do AI w formie odszyfrowanej d) Infrastruktura: - Hosting bazy danych: Supabase (EU, Frankfurt) - TLS 1.3 dla wszystkich połączeń - Content Security Policy (CSP) headers - HSTS (HTTP Strict Transport Security) e) Procedury: - Automatyczna kasacja danych po usunięciu konta (30-dniowy grace period) - Polityka retencji danych zgodna z RODO - Regularne przeglądy bezpieczeństwa

1. W przypadku naruszenia ochrony danych osobowych Platforma niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia naruszenia, informuje Terapeutę o: a) charakterze naruszenia, w tym kategoriach i przybliżonej liczbie osób, których dane dotyczą; b) danych kontaktowych Inspektora Ochrony Danych (IOD); c) prawdopodobnych konsekwencjach naruszenia; d) środkach podjętych lub proponowanych w celu zaradzenia naruszeniu. 2. Platforma dokumentuje wszystkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania naprawcze. 3. Platforma współpracuje z Terapeutą w celu spełnienia obowiązków zgłoszeniowych wobec UODO (art. 33 RODO) i powiadamiania osób, których dane dotyczą (art. 34 RODO).

1. Terapeuta udziela Platformie ogólnej autoryzacji na korzystanie z podprocesorów wymienionych w Załączniku nr 3 do umowy głównej. 2. Platforma informuje Terapeutę o każdej planowanej zmianie dotyczącej dodania lub zastąpienia podprocesora z 14-dniowym wyprzedzeniem. 3. Terapeuta ma prawo zgłosić sprzeciw wobec zmiany podprocesora w terminie 14 dni od otrzymania powiadomienia. W przypadku uzasadnionego sprzeciwu Strony podejmą negocjacje w celu znalezienia rozwiązania. 4. Platforma zapewnia, że umowy z podprocesorami nakładają na nich co najmniej takie same obowiązki ochrony danych, jakie wynikają z niniejszej umowy.

1. W przypadku korzystania z podprocesorów z siedzibą poza Europejskim Obszarem Gospodarczym (USA: OpenAI, xAI, Stripe, Mailtrap, Expo), Platforma zapewnia odpowiednie zabezpieczenia transferu na podstawie: a) standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską; b) decyzji stwierdzającej odpowiedni stopień ochrony (jeśli dotyczy); c) wiążących reguł korporacyjnych (BCR) podprocesora (jeśli dotyczy). 2. Przed przekazaniem danych do modeli AI (OpenAI, xAI), Platforma stosuje procedurę sanityzacji usuwającą identyfikatory osobowe (PII). Dane zdrowotne zaszyfrowane E2EE nie są przekazywane do modeli AI w formie odszyfrowanej. 3. Platforma prowadzi rejestr transferów danych poza EOG i udostępnia go Terapeucie na żądanie.

1. Niniejsza umowa powierzenia obowiązuje przez cały okres obowiązywania umowy głównej (Umowy o Współpracy Platformy Terapeutycznej). 2. Po zakończeniu świadczenia usług Platforma, na wybór Terapeuty: a) usuwa dane osobowe pacjentów; lub b) zwraca dane osobowe pacjentów Terapeucie, chyba że prawo Unii lub państwa członkowskiego wymaga dalszego przechowywania. 3. Mechanizm techniczny usuwania danych: a) 30-dniowy grace period po rozwiązaniu umowy lub usunięciu konta; b) automatyczna pełna kasacja danych po upływie grace period (delete-account-cron); c) dane zaszyfrowane E2EE na urządzeniach końcowych Terapeuty pozostają poza kontrolą Platformy. 4. Platforma potwierdza usunięcie danych na piśmie w terminie 14 dni od zakończenia procesu kasacji.

1. Platforma udostępnia Terapeucie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO. 2. Platforma umożliwia przeprowadzenie audytów, w tym inspekcji, przez Terapeutę lub upoważnionego audytora, po uprzednim uzgodnieniu terminu z 14-dniowym wyprzedzeniem. 3. Platforma niezwłocznie informuje Terapeutę, jeżeli jej zdaniem wydane polecenie narusza RODO lub inne przepisy o ochronie danych. 4. Koszty audytu ponosi Terapeuta, chyba że audyt wykaże istotne naruszenia obowiązków Platformy — wówczas koszty ponosi Platforma.