ChatMedProChatMedPro

Споразумение за обработка на лични данни (DPA)

Последна актуализация: 20 април 2026 г.

Това DPA се прилага автоматично към всеки Клиент, който използва ChatMedPro, и представлява неразделна част от Общите условия. Съгласно чл. 28 GDPR.

1. Страни

Администратор („Клиент“, „Клиника“) — юридическото или физическото лице, което е регистрирало акаунт в ChatMedPro и използва платформата за обработка на лични данни на своите пациенти.

ОбработващБерсуцки Трейдинг ЕООД, опериращо под търговското име ChatMedPro, ЕИК 208543199, седалище ул. Слав Караславов 10, вх. Б, ап. 2, гр. София, („ChatMedPro“).

2. Предмет и продължителност

ChatMedPro обработва лични данни от името на Клиента единствено с цел предоставяне на услугите съгласно Общите условия. Обработката продължава, докато Клиентът има активен акаунт, плюс до 30 дни след прекратяване (за изтриване/връщане на данните).

3. Естество и цел на обработката

  • Съхранение и предоставяне на чат функционалност за сайта на Клиента
  • Управление на записани часове и контакти (лийдове) от пациенти
  • Изпращане на напомняния и follow-up съобщения от името на Клиента
  • Изпълнение на маркетингови кампании (само при предварително съгласие на получателите)

4. Видове данни и категории субекти

Категории субекти на данни:

  • Пациенти на Клиента
  • Посетители на уебсайта на Клиента, които взаимодействат с чатбота

Видове обработвани данни:

  • Идентификационни — име, телефон, имейл
  • Съдържание на комуникация — съобщения в чата
  • Данни за записани часове — дата, час, услуга, бележки
  • Технически — IP адрес, време, браузър

Важно: Платформата не е предназначена за обработка на специални категории данни по чл. 9 GDPR (напр. подробна медицинска документация). Клиентът се задължава да не въвежда такива данни през чатбота. Записите на часове съдържат само обща информация за услугата (напр. „Профилактика“), не клинична информация.

5. Задължения на Обработващия (ChatMedPro)

ChatMedPro се задължава да:

  • Обработва данни само по указание на Клиента
  • Гарантира конфиденциалност — служителите и изпълнителите са обвързани с клауза за поверителност
  • Прилага подходящи технически и организационни мерки за сигурност (вж. Приложение 1)
  • Оказва съдействие на Клиента при упражняване на правата на субектите на данни
  • Уведомява Клиента за пробив в сигурността без неоправдано забавяне (до 72 часа)
  • Изтрива или връща данните при прекратяване на услугата

6. Задължения на Администратора (Клиниката)

Клиентът се задължава да:

  • Има правно основание за обработката на данните, които въвежда в платформата
  • Информира пациентите, че използва AI чатбот и автоматични имейли
  • Получава изрично съгласие за маркетингови съобщения, когато е приложимо
  • Не въвежда данни, които излизат извън обхвата на този DPA (специални категории)
  • Отговаря на запитвания от субекти на данни своевременно

7. Подизпълнители (Sub-processors)

Клиентът дава общо писмено разрешение на ChatMedPro да използва следните подизпълнители. При промяна в списъка ще уведомим поне 30 дни предварително; Клиентът има право на възражение.

ПодизпълнителЦелЛокация
Supabase Inc.База данни, автентикацияЕС (Frankfurt)
Vercel Inc.Хостинг на приложениетоСАЩ/ЕС (SCC)
Stripe Payments Europe Ltd.Обработка на плащанияИрландия
Anthropic PBCAI модел (Claude)САЩ (SCC)
Resend, Inc.Транзакционни имейлиСАЩ/ЕС (SCC)
Google LLCGoogle Calendar (при избор)САЩ (SCC)

8. Трансфери извън ЕИП

Когато някой от подизпълнителите е извън ЕС/ЕИП, осигуряваме подходящи гаранции чрез стандартни договорни клаузи (SCC) на Европейската комисия или други механизми по чл. 46 GDPR.

9. Права на субектите на данни

ChatMedPro оказва съдействие на Клиента, за да може той да отговаря на искания от субекти на данни (достъп, коригиране, изтриване, преносимост, възражение) в сроковете по GDPR. Повечето искания могат да бъдат изпълнени директно от Клиента през админ панела; при нужда пишете на support@chatmedpro.com.

10. Пробив в сигурността

ChatMedPro уведомява Клиента без неоправдано забавяне, но не по-късно от 72 часа след узнаване за пробив, засягащ неговите данни, с информация за характера, мащаба, вероятните последици и предприетите мерки.

11. Одит

При разумно писмено искане (не по-често от веднъж годишно, освен при пробив) Клиентът може да получи отчет за прилаганите мерки за сигурност. Физически одит на място не се предвижда поради SaaS естеството на услугата; при нужда се осигурява ISO 27001 или SOC 2 доклад на съответния подизпълнител.

12. Връщане или изтриване на данни

При прекратяване на услугата Клиентът може да изтегли данните си в машинно четим формат в рамките на 30 дни. След този срок всички лични данни се изтриват от активните системи, с изключение на данни, които трябва да бъдат запазени по закон (напр. фактури за 10 години).

13. Отговорност

Отговорността на ChatMedPro съгласно това DPA е ограничена до размера, посочен в Общите условия.

14. Приемане

Използването на платформата ChatMedPro означава приемане на това DPA от страна на Клиента, в качеството му на Администратор на личните данни. Може да поискате подписано копие на support@chatmedpro.com.

Приложение 1 — Технически и организационни мерки

Последна актуализация на мерките: 29 април 2026 г.

Криптиране и трансфер на данни

  • HTTPS/TLS 1.3 криптиране при всички трансфери (управлявано от Vercel)
  • Криптиране на ниво база данни (encryption at rest, AES-256, управлявано от Supabase)
  • Криптирани пароли с bcrypt (Supabase Auth)
  • Стандартни договорни клаузи (SCC) при трансфери извън ЕИП

Контрол на достъпа и автентикация

  • Двуфакторна автентикация (TOTP) налична за всеки потребител
  • Двуслойна tenant изолация: (а) на ниво приложение — всяка заявка проверява достъпа до съответния клиничен запис чрез централизирани helpers (requireClinicAccess, requireRowClinicAccess); IDOR-тествано; (б) на ниво база данни — Row-Level Security (RLS) политики в Supabase, които ограничават достъпа до редове по членство в клиниката
  • Multi-tenant ownership проверки на всеки администраторски ендпоинт
  • Principle of least privilege при достъп на служители
  • Service-role ключове само на сървърна страна (никога в клиента)
  • Кратки JWT токени с автоматично обновяване

Защита срещу злоупотреба

  • Rate limiting per IP на публичните ендпоинти (chat, booking)
  • Лимит на дължина на разговор (предотвратяване на runaway бот атаки)
  • HTML escape на всички шаблонни полета в имейлите (защита от phishing/XSS)
  • Валидация на входни данни (тип, дължина, формат) на публичните ендпоинти
  • Месечен бюджетен лимит на AI услугите (предотвратяване на cost-burning атаки)
  • Webhook signature verification за всички външни интеграции

GDPR съответствие

  • Право на изтриване — пълна каскада (Lead, Appointment, Conversation) при заявка
  • Право на достъп и преносимост — машинно четим експорт
  • Право на оттегляне на съгласие — едноклик отписване от имейли
  • Минимизация — събират се само необходимите за услугата данни
  • PII не се записва в централизираните логове

Backup и възстановяване

  • Автоматични ежедневни backup-и на базата данни (Supabase)
  • Retention 7 дни на Free tier; до 30 дни и Point-in-Time Recovery на Pro tier
  • Версиониране на кода в Git — възстановяване на всеки deployment с 1 клик

Мониториране и инциденти

  • Централизирано логване на действия и достъп (Vercel + Sentry)
  • Автоматичен dependency scanning за известни уязвимости (GitHub Dependabot)
  • Документиран план за реакция при инциденти
  • Уведомяване за пробив до 72 часа съгласно чл. 33 GDPR
© 2026 Берсуцки Трейдинг ЕООД