Marrëveshja e Përpunimit të të Dhënave sipas nenit 28 GDPR
Kjo është një përkthim kortezie. Versioni gjermanisht është dokumenti ligjërisht i detyrueshëm.
midis
Klientit (klinikës veterinare/spitalit veterinar)
— në vijim i referuar si "Kontrolluesi" —
dhe
Petla UG (haftungsbeschränkt)
Brühler Str. 183, 50968 Köln
— në vijim i referuar si "Përpunuesi" —
§ 1 Objekti dhe Kohëzgjatja e Përpunimit
(1) Përpunuesi i siguron Kontrolluesit shërbimet e mëposhtme, në varësi të fushës së shërbimeve të abonuara:
a) Rezervimi i takimeve në internet dhe menaxhimi i klinikës:
- Sistemi i rezervimit të takimeve në internet (widget-i i rezervimit në faqen e internetit të Kontrolluesit)
- Paneli i klinikës për menaxhimin e takimeve dhe pacientëve
- Formulari digjital i regjistrimit të klientit të ri
- Sistemi i njoftimeve me email (konfirmimet e takimeve, anulimet, riplanifikimet)
b) Konsultimi me video (video.petla.app) — nëse është abonuar nga Kontrolluesi:
- Kryerja e konsultimeve me video midis veterinerit dhe pronarit të kafshës
- Rezervimi i takimeve në internet me përpunim të integruar të pagesave
- Njoftimet me SMS dhe thirrje zanore për veterinerin
- Ngarkimi i dokumenteve mjekësore nga pronari i kafshës
- Dokumentimi i përmbledhjeve të konsultimit nga veterineri
Kontrolluesi mund të përdorë një ose të dyja fushat e shërbimit. Nën-përpunuesit përkatës të angazhuar janë përcaktuar në § 6 paragrafi 2.
(2) Përpunimi fillon me lidhjen e marrëveshjes së shërbimit dhe përfundon me përfundimin e saj. Pas përfundimit, zbatohen dispozitat e § 10.
§ 2 Natyra dhe Qëllimi i Përpunimit
Përpunimi kryhet ekskluzivisht për qëllimin e:
- Marrjes dhe menaxhimit të rezervimeve të takimeve
- Menaxhimit të të dhënave themelore të klientëve dhe kafshëve (pronarët e kafshëve dhe kafshët)
- Dërgimit të konfirmimeve të takimeve, kujtesave dhe njoftimeve të anulimit nëpërmjet emailit
- Sigurimit të formularëve digjitalë për regjistrimin e klientëve
- Ruajtjes dhe sigurimit të bashkëngjitjeve të skedarëve të ngarkuara nga pronari i kafshës si pjesë e rezervimit
- Llogaritjes së kohëve të udhëtimit dhe itinerareve për vizitat veterinare lëvizëse
- Nëse është abonuar: kryerja e konsultimeve me video dhe përpunimi i pagesave të lidhura
§ 3 Llojet e të Dhënave Personale
Kategoritë e mëposhtme të të dhënave personale përpunohen:
a) Të dhënat themelore të pronarit të kafshës:
- Thirrja (Z./Znj./Tjetër), emri, mbiemri
- Adresa e emailit, numri i telefonit
- Data e lindjes
- Adresa (rruga, kodi postar, qyteti)
- Të dhënat e gjeolokacionit (gjerësia/gjatësia gjeografike — vetëm për vizitat shtëpiake)
b) Të dhënat e kafshës:
- Emri, lloji, raca, gjinia, data e lindjes
- Statusi i sterilizimit/kastrimit
- Pesha, ngjyra, vendi i origjinës
- Numri i mikroçipit, numri i pasaportës së kafshës së BE-së
- Lloji i strehimit (mace e jashtme/e brendshme)
c) Informacioni shëndetësor i dhënë nga pronari i kafshës:
- Sëmundje para-ekzistuese, medikamente, alergjira, operacione (informacion i dhënë nga pronari i kafshës në formularin e klientit të ri)
- Arsyet e konsultimit/simptomat
- Shënime me tekst të lirë
- Skedarë të ngarkuar (gjetje, foto — JPEG, PNG, PDF, maks. 3 skedarë prej 5 MB secili)
Shënim: Kjo i referohet informacionit paraprak të dhënë nga pronari i kafshës, jo dokumentimit të trajtimit të krijuar nga veterineri.
d) Të dhënat e sigurimit (nëse jepen nga pronari i kafshës në formularin e klientit të ri):
- Lloji i sigurimit, siguruesi, numri i policës
- Mbajtësi i policës, tarifa, data e fillimit të sigurimit
e) Të dhënat e lidhura me takimin:
- Data, ora, kohëzgjatja e takimit
- Lloji i takimit, kalendari i caktuar
- Adresa e vizitës shtëpiake përfshirë gjeokordinatat
- Kohët e vlerësuara të udhëtimit
f) Të dhënat e pëlqimit:
- Pranimi i kushteve dhe rregullave (vula kohore)
- Pëlqimi i marketingut (po/jo)
- Teksti i konfirmimit dhe vula kohore gjatë paraqitjes së formularit
- Adresa IP gjatë konfirmimit të formularit
g) Përveç kur përdoret shërbimi i konsultimit me video:
- Rrjedhat audio dhe video (transmetim në kohë reale, pa regjistrim nga Përpunuesi)
- Metadatat e pjesëmarrësve (kohët e hyrjes/daljes, kohëzgjatja e thirrjes)
- Përmbledhjet e konsultimit të krijuara nga veterineri
- Vlerësimet teknike të cilësisë së lidhjes
- Reagimet e pronarit të kafshës
- ID-ja e klientit Stripe dhe statusi i pagesës (pa ruajtje të të dhënave të plota të kartës së kreditit — përpunimi ekskluzivisht nga Stripe si ofrues i shërbimit të pagesave i certifikuar sipas PCI-DSS)
§ 4 Kategoritë e Subjekteve të të Dhënave
- Pronarët e kafshëve/klientët e Kontrolluesit
- Klientët e mundshëm të rinj (personat që rezervojnë një takim ose plotësojnë një formular të klientit të ri)
§ 5 Detyrimet e Përpunuesit
(1) Përpunuesi do të përpunojë të dhënat personale vetëm mbi bazën e udhëzimeve të dokumentuara nga Kontrolluesi, përveçse kur kërkohet ta bëjë këtë nga ligji i Bashkimit ose i Shtetit Anëtar.
(2) Përpunuesi do të sigurojë që personat e autorizuar për të përpunuar të dhëna personale kanë marrë përsipër detyrime konfidencialiteti ose janë nën një detyrim statutor përkatës konfidencialiteti.
(3) Përpunuesi do të ndihmojë Kontrolluesin në përmbushjen e detyrimeve të përcaktuara në nenet 32–36 GDPR (siguria, vlerësimi i ndikimit të mbrojtjes së të dhënave, njoftimi i shkeljeve të të dhënave).
(4) Përpunuesi do të ndihmojë Kontrolluesin në përmbushjen e të drejtave të subjekteve të të dhënave (nenet 15–22 GDPR), në veçanti duke:
- Siguruar një funksion fshirjeje për të dhënat e klientëve në panel
- Eksportuar të dhënat e klientëve me kërkesë
- Korrigjuar të dhënat themelore nëpërmjet panelit
(5) Përpunuesi do të informojë menjëherë Kontrolluesin nëse, sipas mendimit të tij, një udhëzim shkel ligjin e mbrojtjes së të dhënave.
§ 6 Nën-përpunimi
(1) Kontrolluesi i jep Përpunuesit autorizim të përgjithshëm për të angazhuar përpunues të mëtejshëm. Përpunuesi do të informojë Kontrolluesin për çdo ndryshim të synuar me një afat njoftimi prej 14 ditëve para angazhimit. Kontrolluesi mund të kundërshtojë ndryshime të tilla.
(2) Në varësi të fushës së shërbimeve të abonuara, nën-përpunuesit e mëposhtëm janë të angazhuar:
A. Nën-përpunuesit bazë (të gjitha shërbimet)
| Nën-përpunuesi | Qëllimi | Të dhënat e përpunuara | Vendndodhja / Baza ligjore |
|---|---|---|---|
| DigitalOcean, LLC | Hostimi (App Platform), baza e menaxhuar e të dhënave PostgreSQL (përfshirë kopjet rezervë automatike ditore), Ruajtja e Objekteve (Spaces) | Të gjitha të dhënat e klientëve, kafshëve dhe rezervimeve | Frankfurt (BE); SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Resend, Inc. | Dërgimi i emaileve transaksionale (konfirmimet e takimeve, anulimet, kujtesat) | Adresa e emailit, emri, detajet e takimit | SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Wildbit, LLC (Postmark) | Dërgesa rezervë e emailit | Adresa e emailit, emri, detajet e takimit | SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Google Ireland Ltd (Maps Platform) | Gjeokodimi, llogaritja e itinerarit, plotësimi automatik i adresës (për vizitat shtëpiake) | Adresa, gjeokordinatat | Irlandë (BE); përpunimi i të dhënave potencialisht edhe SHBA — Kuadri i Privatësisë së të Dhënave BE-SHBA |
| Upstash, Inc. | Kufizimi i normës (Redis) | Adresat IP, metadatat e kërkesave | BE (Frankfurt) |
| Functional Software, Inc. (Sentry) | Monitorimi i gabimeve dhe performancës | Adresat IP, të dhënat teknike të gabimeve; në rast gabimesh, potencialisht të dhëna personale nga konteksti i aplikacionit | BE (de.sentry.io) |
| Axiom, Inc. | Regjistrimi dhe vëzhgueshmëria | Të dhënat teknike të regjistrit; në raste individuale, potencialisht të dhëna personale | SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Vercel, Inc. | Hostimi i faqes së rezervimit (faqja e uljes) dhe vendosja automatike | Adresat IP, të dhënat e kërkesave, të dhënat e formularit në tranzit | SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Usercentrics GmbH | Menaxhimi i pëlqimit të cookie-ve në faqen e rezervimit | Të dhënat e pëlqimit, adresa IP, të dhënat e pajisjes/shfletuesit | Mynih, Gjermani (BE) |
B. Përveç kur përdoret rezervimi i takimeve në internet
| Nën-përpunuesi | Qëllimi | Të dhënat e përpunuara | Vendndodhja / Baza ligjore |
|---|---|---|---|
| Supabase, Inc. | Baza e të dhënave PostgreSQL (faqja e uljes) | Të dhënat e rezervimit, të dhënat e formularit | BE (aws-eu-central-1) |
| Google Ireland Ltd (Analytics) | Analitika e uebit për faqen e rezervimit | Adresa IP (e anonimizuar), sjellja e përdorimit, të dhënat e pajisjes/shfletuesit | Irlandë (BE); SHBA — Kuadri i Privatësisë së të Dhënave BE-SHBA |
| PostHog, Inc. | Analitika e produktit për faqen e rezervimit | Adresa IP, sjellja e përdorimit, shikimet e faqeve | BE (eu.posthog.com) |
C. Përveç kur përdoret shërbimi i konsultimit me video (video.petla.app)
| Nën-përpunuesi | Qëllimi | Të dhënat e përpunuara | Vendndodhja / Baza ligjore |
|---|---|---|---|
| Daily, Inc. (Daily.co) | Platforma e videos WebRTC për konsultimet | Metadatat e pjesëmarrësve (kohët e hyrjes/daljes, kohëzgjatja), rrjedhat audio/video (nuk regjistrohen) | SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Stripe, Inc. | Përpunimi i pagesave për konsultimet me video | Emri, emaili, të dhënat e pagesës, adresa e faturimit | Irlandë (BE); SHBA — Kuadri i Privatësisë së të Dhënave BE-SHBA |
| Twilio, Inc. | Njoftimet me SMS dhe thirrje zanore për veterinerin | Numri i telefonit, detajet e takimit | SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Vercel, Inc. (Blob Storage) | Ruajtja e skedarëve (dokumentet e ngarkuara nga pronari i kafshës) | Përmbajtja e skedarëve (gjetje, foto) | SHBA — Klauzolat Kontraktuale Standarde të BE-së |
| Supabase, Inc. | Baza e të dhënave PostgreSQL (konsultimi me video) | Të dhënat e takimeve, klientëve, kafshëve dhe pagesave | BE (aws-eu-central-1) |
(3) Përpunuesi do të sigurojë që çdo nën-përpunues i nënshtrohet të paktën të njëjtave detyrime të mbrojtjes së të dhënave si ato të përcaktuara në këtë Marrëveshje.
§ 7 Transfertat në Vende të Treta
(1) Të dhënat personale do të transferohen në vende të treta vetëm nëse plotësohen kërkesat e neneve 44–49 GDPR.
(2) Kur nën-përpunuesit janë të vendosur në SHBA, transferta bazohet në Kuadrin e Privatësisë së të Dhënave BE-SHBA (kur ofruesi është i certifikuar) ose Klauzolat Kontraktuale Standarde të BE-së (neni 46 paragrafi 2 shkronja c GDPR).
§ 8 Masat Teknike dhe Organizative (MTO)
Përpunuesi do të zbatojë, në veçanti, masat e mëposhtme:
Kontrolli i aksesit fizik:
- Infrastruktura e serverëve e hostuar nga DigitalOcean në qendra të dhënash të certifikuara (SOC 2 Type II, ISO 27001)
- Asnjë akses fizik në server nga Përpunuesi
Kontrolli i aksesit në sistem:
- Autentifikimi nëpërmjet emailit/fjalëkalimit me menaxhim seancash
- Kontrolli i aksesit bazuar në role (niveli i klinikës, niveli i kalendarit, administrator)
- Autentifikimi me çelës API për ndërfaqet e brendshme
- Aksesi në bazën e të dhënave të prodhimit është i kufizuar në drejtuesit
Kontrolli i aksesit në të dhëna:
- Izolimi i qiramarrësit: çdo klinikë mund të aksesojë vetëm të dhënat e veta (filtrim bazuar në clinicId në nivelin e bazës së të dhënave)
- Aksesi i kufizuar në kalendar është i disponueshëm
- Të dhënat e konfirmuara nga pronari i kafshës nëpërmjet formularit janë të pandryshueshme në panel
Kontrolli i futjeve:
- Të gjitha operacionet e shkrimit kërkojnë seanca të autentifikuara
- Vulat kohore të bazës së të dhënave (createdAt, updatedAt) për të gjitha regjistrat
- Paraqitjet e formularëve regjistrohen me adresën IP dhe vulën kohore të konfirmimit
Kodimi i transportit:
- TLS/HTTPS për të gjitha transmetimet e të dhënave
- Mbrojtja me token CSRF (cookie httpOnly) për të gjitha pikat fundore të lidhura me formulare
- Nënshkrime HMAC-SHA256 për komunikimin webhook midis sistemeve
- Lidhje të koduara me bazën e të dhënave (SSL)
Kontrolli i disponueshmërisë:
- Kopje rezervë automatike ditore të bazës së të dhënave (DigitalOcean Managed Backups)
- Kufizimi i normës në pikat fundore publike (bazuar në IP)
- Fusha honeypot për zbulimin e robotëve në formularët digjitalë
Kontrolli i ndarjes:
- Izolim i rreptë i qiramarrësit nëpërmjet clinicId në nivelin e bazës së të dhënave
- Mjedise të veçanta fazimi dhe prodhimi
Konfidencialiteti:
- Të gjithë punonjësit e Përpunuesit janë të lidhur me detyrime konfidencialiteti
§ 9 Njoftimi i Shkeljeve të të Dhënave
(1) Përpunuesi do ta njoftojë Kontrolluesin për çdo shkelje të mbrojtjes së të dhënave personale pa vonesë të panevojshme, dhe jo më vonë se 24 orë pasi të jetë bërë i vetëdijshëm për të.
(2) Njoftimi do të përfshijë të paktën:
- Natyrën e shkeljes
- Kategoritë e të dhënave të prekura dhe numrin e përafërt të subjekteve të të dhënave të prekura
- Pasojat e mundshme
- Masat e marra dhe të propozuara
§ 10 Fshirja dhe Kthimi i të Dhënave
(1) Përpunuesi do të ruajë dhe fshijë të dhënat personale ekskluzivisht në përputhje me udhëzimet e dokumentuara nga Kontrolluesi. Përcaktimi i periudhave të ruajtjes është përgjegjësi e Kontrolluesit.
(2) Kontrolluesi mund të fshijë të dhënat e klientëve në çdo kohë duke përdorur funksionin e fshirjes në panel. Fshirja është kaskadë:
- Fshirja e një klienti fshin automatikisht të gjitha kafshët e lidhura dhe paraqitjet e formularëve
- Të dhënat e rezervimit ruhen në formë të anonimizuar (lidhja me klientin hiqet)
- Skedarët e ngarkuar fshihen së bashku me rezervimin e lidhur
(3) Pas përfundimit të marrëveshjes, Përpunuesi do të fshijë të gjitha të dhënat personale të Kontrolluesit brenda 90 ditëve. Me kërkesë, të dhënat do të eksportohen dhe dorëzohen në një format të zakonshëm (CSV, JSON) para fshirjes.
(4) Shënim: Platforma shërben për qëllimin e rezervimit të takimeve dhe menaxhimit të të dhënave themelore të klientëve, jo dokumentimit të trajtimit veterinar. Kontrolluesi është vetëm përgjegjës për përmbushjen e detyrimeve të tij profesionale dhe tatimore të ruajtjes në sistemet e veta.
§ 11 Të Drejtat e Auditimit dhe Inspektimit
(1) Kontrolluesi ka të drejtën të verifikojë përputhjen me këtë Marrëveshje nëpërmjet inspektimeve ose auditimeve, përfshirë nëpërmjet palëve të treta të caktuara.
(2) Përpunuesi do t'i vërë në dispozicion Kontrolluesit të gjithë informacionin e nevojshëm për të demonstruar përputhjen me detyrimet e përcaktuara në nenin 28 GDPR.
§ 12 Dispozitat Përfundimtare
(1) Ndryshimet dhe shtesat e kësaj Marrëveshjeje duhet të bëhen me shkrim.
(2) Nëse ndonjë dispozitë e kësaj Marrëveshjeje është ose bëhet e pavlefshme, vlefshm ëria e dispozitave të mbetura nuk preket.
(3) Zbatohet ligji i Republikës Federale të Gjermanisë.
(4) Kjo Marrëveshje lidhet në mënyrë elektronike duke pranuar Kushtet e Petla-s.
Versioni: 1.0
Që nga: mars 2026