根据 GDPR 第28条的数据处理协议
本文为礼貌性翻译。德语版本为具有法律约束力的文件。
签订于
客户(兽医诊所/兽医医院)
——以下简称"控制者"——
与
Petla UG (haftungsbeschränkt)
Brühler Str. 183, 50968 Köln
——以下简称"处理者"——
§ 1 处理的标的和期限
(1) 处理者根据所订阅的服务范围向控制者提供以下服务:
a) 在线预约和诊所管理:
- 在线预约系统(控制者网站上的预约插件)
- 用于预约和患者管理的诊所仪表板
- 数字新客户登记表
- 电子邮件通知系统(预约确认、取消、改期)
b) 视频问诊 (video.petla.app)——如控制者已订阅:
- 兽医与宠物主人之间的视频问诊
- 集成支付处理的在线预约
- 向兽医发送短信和语音通话通知
- 宠物主人上传医疗文件
- 兽医记录咨询摘要
控制者可使用一项或两项服务领域。相应聘用的子处理者详见第6条第2款。
(2) 处理自服务协议签订时开始,至其终止时结束。终止后适用第10条的规定。
§ 2 处理的性质和目的
处理仅出于以下目的进行:
- 接收和管理预约
- 管理客户和动物主数据(宠物主人和动物)
- 通过电子邮件发送预约确认、提醒和取消通知
- 提供客户登记的数字表格
- 存储和提供宠物主人在预约过程中上传的文件附件
- 计算移动兽医出诊的行程时间和路线
- 如已订阅:进行视频问诊及相关支付处理
§ 3 个人数据的类型
处理以下类别的个人数据:
a) 宠物主人主数据:
- 称谓(先生/女士/其他)、名、姓
- 电子邮件地址、电话号码
- 出生日期
- 地址(街道、邮政编码、城市)
- 地理位置数据(纬度/经度——仅用于上门出诊)
b) 动物数据:
- 名字、种类、品种、性别、出生日期
- 绝育状态
- 体重、颜色、原产国
- 芯片号码、欧盟宠物护照号码
- 饲养方式(室外/室内猫)
c) 宠物主人提供的健康信息:
- 既往病史、药物、过敏、手术(宠物主人在新客户表格中提供的信息)
- 咨询原因/症状
- 自由文本备注
- 上传文件(检查结果、照片——JPEG、PNG、PDF,最多3个文件,每个不超过 5 MB)
注意:这是指宠物主人提供的初步信息,不是兽医创建的治疗记录。
d) 保险数据(如宠物主人在新客户表格中提供):
- 保险类型、保险公司、保单号
- 投保人、费率、保险起始日期
e) 预约相关数据:
- 预约日期、时间、时长
- 预约类型、分配的日历
- 上门出诊地址含地理坐标
- 预计行程时间
f) 同意数据:
- 条款接受(时间戳)
- 营销同意(是/否)
- 表格提交时的确认文本和时间戳
- 表格确认时的 IP 地址
g) 使用视频问诊服务时额外处理的数据:
- 音频和视频流(实时传输,处理者不录制)
- 参与者元数据(加入/离开时间、通话时长)
- 兽医创建的咨询摘要
- 技术连接质量评估
- 宠物主人反馈
- Stripe 客户 ID 和支付状态(不存储完整信用卡数据——仅由 Stripe 作为经 PCI-DSS 认证的支付服务提供商处理)
§ 4 数据主体类别
- 控制者的宠物主人/客户
- 潜在新客户(预约或填写新客户表格的人员)
§ 5 处理者的义务
(1) 处理者仅根据控制者的书面指示处理个人数据,除非欧盟或成员国法律要求。
(2) 处理者确保被授权处理个人数据的人员已承诺保密义务或受适当的法定保密义务约束。
(3) 处理者协助控制者履行 GDPR 第32-36条规定的义务(安全、数据保护影响评估、数据泄露通知)。
(4) 处理者协助控制者履行数据主体权利(GDPR 第15-22条),特别是通过:
- 在仪表板中提供客户数据删除功能
- 根据请求导出客户数据
- 通过仪表板更正主数据
(5) 处理者如认为某项指示违反数据保护法律,须立即通知控制者。
§ 6 子处理
(1) 控制者授予处理者聘用进一步处理者的一般授权。处理者须在聘用前14天通知控制者任何预期变更。控制者可对此类变更提出异议。
(2) 根据所订阅的服务范围,聘用以下子处理者:
A. 核心子处理者(所有服务)
| 子处理者 | 目的 | 处理的数据 | 位置/法律依据 |
|---|---|---|---|
| DigitalOcean, LLC | 托管(App Platform)、托管 PostgreSQL 数据库(含每日自动备份)、对象存储 (Spaces) | 所有客户、动物和预约数据 | Frankfurt(欧盟);美国——欧盟标准合同条款 |
| Resend, Inc. | 发送事务性电子邮件(预约确认、取消、提醒) | 电子邮件地址、姓名、预约详情 | 美国——欧盟标准合同条款 |
| Wildbit, LLC (Postmark) | 备用电子邮件投递 | 电子邮件地址、姓名、预约详情 | 美国——欧盟标准合同条款 |
| Google Ireland Ltd (Maps Platform) | 地理编码、路线计算、地址自动完成(用于上门出诊) | 地址、地理坐标 | 爱尔兰(欧盟);数据处理可能也在美国——欧盟-美国数据隐私框架 |
| Upstash, Inc. | 速率限制 (Redis) | IP 地址、请求元数据 | 欧盟 (Frankfurt) |
| Functional Software, Inc. (Sentry) | 错误监控和性能监控 | IP 地址、技术错误数据;发生错误时,可能包含应用上下文中的个人数据 | 欧盟 (de.sentry.io) |
| Axiom, Inc. | 日志和可观测性 | 技术日志数据;个别情况下可能包含个人数据 | 美国——欧盟标准合同条款 |
| Vercel, Inc. | 预约页面(落地页)的托管和自动部署 | IP 地址、请求数据、传输中的表单数据 | 美国——欧盟标准合同条款 |
| Usercentrics GmbH | 预约页面的 Cookie 同意管理 | 同意数据、IP 地址、设备/浏览器数据 | 德国慕尼黑(欧盟) |
B. 使用在线预约时额外聘用的子处理者
| 子处理者 | 目的 | 处理的数据 | 位置/法律依据 |
|---|---|---|---|
| Supabase, Inc. | PostgreSQL 数据库(落地页) | 预约数据、表单数据 | 欧盟 (aws-eu-central-1) |
| Google Ireland Ltd (Analytics) | 预约页面的网站分析 | IP 地址(匿名化)、使用行为、设备/浏览器数据 | 爱尔兰(欧盟);美国——欧盟-美国数据隐私框架 |
| PostHog, Inc. | 预约页面的产品分析 | IP 地址、使用行为、页面浏览 | 欧盟 (eu.posthog.com) |
C. 使用视频问诊服务 (video.petla.app) 时额外聘用的子处理者
| 子处理者 | 目的 | 处理的数据 | 位置/法律依据 |
|---|---|---|---|
| Daily, Inc. (Daily.co) | 问诊用 WebRTC 视频平台 | 参与者元数据(加入/离开时间、时长)、音频/视频流(不录制) | 美国——欧盟标准合同条款 |
| Stripe, Inc. | 视频问诊的支付处理 | 姓名、电子邮件、支付数据、账单地址 | 爱尔兰(欧盟);美国——欧盟-美国数据隐私框架 |
| Twilio, Inc. | 向兽医发送短信和语音通话通知 | 电话号码、预约详情 | 美国——欧盟标准合同条款 |
| Vercel, Inc. (Blob Storage) | 文件存储(宠物主人上传的文件) | 文件内容(检查结果、照片) | 美国——欧盟标准合同条款 |
| Supabase, Inc. | PostgreSQL 数据库(视频问诊) | 预约、客户、动物和支付数据 | 欧盟 (aws-eu-central-1) |
(3) 处理者确保每个子处理者至少承担与本协议规定的相同的数据保护义务。
§ 7 第三国传输
(1) 仅在满足 GDPR 第44-49条要求的情况下,方可将个人数据传输至第三国。
(2) 如子处理者位于美国,则传输基于欧盟-美国数据隐私框架(如提供商已获认证)或欧盟标准合同条款(GDPR 第46条第2款c项)。
§ 8 技术和组织措施 (TOMs)
处理者特别实施以下措施:
物理访问控制:
- 服务器基础设施由 DigitalOcean 托管于经认证的数据中心(SOC 2 Type II、ISO 27001)
- 处理者无法物理访问服务器
系统访问控制:
- 通过电子邮件/密码进行会话管理认证
- 基于角色的访问控制(诊所级别、日历级别、管理员)
- 内部接口的 API 密钥认证
- 生产数据库的访问仅限于管理层
数据访问控制:
- 租户隔离:每个诊所只能访问自己的数据(数据库级别基于 clinicId 过滤)
- 可使用日历限制访问
- 宠物主人通过表格确认的数据在仪表板中不可更改
输入控制:
- 所有写入操作需要经过认证的会话
- 所有记录的数据库时间戳 (createdAt, updatedAt)
- 表格提交记录 IP 地址和确认时间戳
传输加密:
- 所有数据传输采用 TLS/HTTPS
- 所有表单相关端点采用 CSRF 令牌保护(httpOnly Cookie)
- 系统间 Webhook 通讯采用 HMAC-SHA256 签名
- 加密数据库连接 (SSL)
可用性控制:
- 每日自动数据库备份(DigitalOcean Managed Backups)
- 公共端点的速率限制(基于 IP)
- 数字表单的蜜罐字段用于机器人检测
分离控制:
- 数据库级别通过 clinicId 实现严格租户隔离
- 独立的暂存和生产环境
保密性:
- 处理者的所有员工均受保密义务约束
§ 9 数据泄露通知
(1) 处理者在发现任何个人数据保护违规行为后,应立即且不迟于24小时内通知控制者。
(2) 通知应至少包括:
- 违规性质
- 受影响的数据类别和大约涉及的数据主体数量
- 可能的后果
- 已采取和建议采取的措施
§ 10 数据删除和返还
(1) 处理者仅根据控制者的书面指示存储和删除个人数据。保留期限的确定由控制者负责。
(2) 控制者可随时使用仪表板中的删除功能删除客户数据。删除为级联删除:
- 删除客户将自动删除所有关联的动物和表格提交
- 预约数据以匿名形式保留(移除客户关联)
- 上传文件将与关联的预约一起删除
(3) 协议终止后,处理者应在90天内删除控制者的所有个人数据。如有请求,应在删除前以常用格式(CSV、JSON)导出并交付数据。
(4) 注意:本平台用于预约和客户主数据管理,而非兽医治疗记录。控制者独自负责在其自身系统中满足其职业和税务相关的保留义务。
§ 11 审计和检查权
(1) 控制者有权通过检查或审计(包括通过指定的第三方)核实本协议的遵守情况。
(2) 处理者应向控制者提供证明遵守 GDPR 第28条规定义务所需的所有信息。
§ 12 最终条款
(1) 本协议的修改和补充须以书面形式进行。
(2) 如本协议的任何条款无效或变为无效,其余条款的效力不受影响。
(3) 适用德意志联邦共和国法律。
(4) 本协议通过接受 Petla 的条款和条件以电子方式签订。
版本:1.0
截至:2026年3月