Umowa przetwarzania danych
Ostatnia aktualizacja: 15 czerwca 2026 r.
Niniejsza Umowa przetwarzania danych ("DPA") stanowi część właściwej umowy pomiędzy CoVetAI Inc. ("CoVet") a klientem, użytkownikiem, kliniką, praktyką, organizacją lub innym podmiotem, który zaakceptował lub zawarł Właściwą umowę ("Klient"). CoVet i Klient są każdy z osobna "Stroną", a łącznie "Stronami".
Niniejsza DPA ma zastosowanie, gdy CoVet przetwarza Dane osobowe w imieniu Klienta w związku z Usługami. W przypadku kont samoobsługowych niniejsza DPA zostaje włączona do Właściwej umowy przez odniesienie i staje się skuteczna, gdy Klient zaakceptuje Właściwą umowę, uzyska dostęp do Usług lub będzie nadal korzystać z Usług po opublikowaniu albo zaktualizowaniu niniejszej DPA. Odrębny podpis nie jest wymagany, chyba że CoVet i Klient uzgodnią inaczej na piśmie.
Jeżeli Klient zawarł z CoVet odrębnie podpisaną umowę przetwarzania danych lub umowę business associate, taka odrębnie podpisana umowa ma pierwszeństwo w zakresie, w jakim wyraźnie pozostaje w konflikcie z niniejszą DPA. Niniejsza DPA nie ogranicza obowiązków żadnej ze Stron wynikających z obowiązujących Przepisów o ochronie danych.
Niniejsza DPA obejmuje Załącznik 1 (Standardowe klauzule umowne), Aneksy A-C (szczegóły przetwarzania, środki techniczne i organizacyjne oraz dalsze podmioty przetwarzające) oraz Załącznik 2 (Dodatek HIPAA). Załącznik 2 ma zastosowanie wyłącznie wtedy, gdy Klient jest Covered Entity lub Business Associate w rozumieniu HIPAA, a CoVet tworzy, otrzymuje, utrzymuje lub przekazuje PHI w imieniu Klienta.
1. Definicje
"Właściwa umowa" oznacza warunki świadczenia usług, warunki subskrypcji, formularz zamówienia, zakres prac, główną umowę o świadczenie usług lub inną umowę regulującą dostęp Klienta do Usług albo korzystanie z nich.
"Upoważniony użytkownik" oznacza każdą osobę upoważnioną przez Klienta do dostępu do Usług lub korzystania z nich w ramach konta Klienta.
"Dane Klienta" oznaczają dane, treści, audio, transkrypcje, pliki, prompty, wiadomości, zapisy, wyniki lub inne informacje przesłane do Usług, wygenerowane za ich pośrednictwem lub w inny sposób przetwarzane przez Usługi w imieniu Klienta, w tym Dane osobowe, jeżeli ma to zastosowanie.
"Administrator", "Podmiot przetwarzający", "Osoba, której dane dotyczą", "Dane osobowe", "Naruszenie ochrony Danych osobowych" oraz "Przetwarzanie" mają znaczenie nadane równoważnym terminom w obowiązujących Przepisach o ochronie danych.
"Przepisy o ochronie danych" oznaczają wszystkie przepisy dotyczące prywatności, ochrony danych, bezpieczeństwa danych i powiadamiania o naruszeniach, mające zastosowanie do Przetwarzania przez Stronę na podstawie Właściwej umowy, w tym, w zakresie mającym zastosowanie, RODO, UK GDPR, PIPEDA oraz porównywalne stanowe przepisy USA dotyczące prywatności.
"RODO" oznacza Rozporządzenie (UE) 2016/679 oraz wszelkie przepisy je wdrażające, uzupełniające lub zastępujące. "UK GDPR" oznacza RODO włączone do prawa Zjednoczonego Królestwa.
"PHI" oznacza chronione informacje zdrowotne w rozumieniu HIPAA. Gdy ma zastosowanie Załącznik 2, odniesienia do Danych osobowych obejmują PHI.
"Usługi" oznaczają asystenta weterynaryjnego CoVet opartego na sztucznej inteligencji, dokumentację kliniczną, transkrypcję, generowanie przypadków, przepływy pracy, komunikację z klientami, usługi administracyjne, wsparcia, integracyjne i powiązane opisane we Właściwej umowie lub powiązanej dokumentacji.
"Dalszy podmiot przetwarzający" oznacza każdą osobę trzecią zaangażowaną przez CoVet lub inny Dalszy podmiot przetwarzający do Przetwarzania Danych osobowych w imieniu Klienta w związku z Usługami.
2. Zakres i role
2.1 Role. W relacji pomiędzy Stronami Klient jest Administratorem Danych osobowych, a CoVet jest Podmiotem przetwarzającym. Jeżeli Klient działa jako Podmiot przetwarzający w imieniu administratora będącego osobą trzecią, Klient wyznacza CoVet jako Dalszy podmiot przetwarzający Klienta. Gdy zastosowanie mają stanowe przepisy USA dotyczące prywatności, CoVet działa jako dostawca usług lub podmiot przetwarzający, odpowiednio, w odniesieniu do Danych osobowych Przetwarzanych w imieniu Klienta.
2.2 Kontrola Klienta. Klient określa cele i sposoby Przetwarzania Danych osobowych, w tym treści przesyłane do Usług, podstawę prawną Przetwarzania oraz instrukcje przekazywane CoVet. Klient zachowuje wszystkie prawa do Danych Klienta, z zastrzeżeniem licencji i uprawnień potrzebnych CoVet do świadczenia Usług.
2.3 Instrukcje. Klient poleca CoVet Przetwarzanie Danych osobowych w zakresie niezbędnym do świadczenia, zabezpieczania, utrzymywania, wspierania, rozwiązywania problemów, ulepszania i administrowania Usługami; przestrzegania Właściwej umowy; przestrzegania wyborów konfiguracyjnych Klienta i działań Upoważnionych użytkowników; oraz przestrzegania obowiązującego prawa. CoVet nie będzie Przetwarzać Danych osobowych w żadnym celu innym niż cele opisane w niniejszej DPA, Właściwej umowie lub udokumentowanych instrukcjach Klienta, chyba że wymaga tego prawo.
2.4 Dostawcy usług AI i trenowanie modeli. CoVet nie będzie wykorzystywać danych klinicznych Klienta, nagrań, transkrypcji, wygenerowanych notatek ani innych Danych osobowych Klienta do trenowania lub dostrajania modeli AI i nie zezwoli swoim dostawcom usług AI na takie działania, chyba że Klient wyraźnie upoważnił do innego Przetwarzania w odrębnej umowie pisemnej. CoVet może wykorzystywać informacje zagregowane lub zanonimizowane do obsługi, zabezpieczania i ulepszania Usług, jeżeli informacje te nie identyfikują Klienta, Upoważnionych użytkowników ani Osób, których dane dotyczą, i nie stanowią Danych osobowych zgodnie z obowiązującymi Przepisami o ochronie danych.
3. Obowiązki Klienta
Klient odpowiada za przestrzeganie Przepisów o ochronie danych mających zastosowanie do gromadzenia, wykorzystywania, ujawniania i przekazywania Danych osobowych do CoVet przez Klienta, w tym za przekazywanie informacji, uzyskiwanie zgód i utrzymywanie podstawy prawnej Przetwarzania, gdy jest to wymagane.
Klient odpowiada za dokładność, jakość i zgodność z prawem Danych Klienta oraz za zapewnienie, że Upoważnieni użytkownicy przesyłają Dane Klienta wyłącznie zgodnie z Właściwą umową i niniejszą DPA.
Klient nie będzie przesyłać do Usług szczególnych kategorii Danych osobowych, PHI ani innych informacji regulowanych, chyba że takie przesłanie jest dozwolone przez Właściwą umowę, jest niezbędne do korzystania przez Klienta z Usług i Klient spełnił wszystkie wymogi prawne dotyczące takiego działania.
Klient niezwłocznie powiadomi CoVet o każdym żądaniu Osoby, której dane dotyczą, ograniczeniu prawnym lub instrukcji wpływającej na Przetwarzanie Danych osobowych przez CoVet.
4. Obowiązki CoVet
CoVet będzie Przetwarzać Dane osobowe wyłącznie zgodnie z niniejszą DPA, Właściwą umową, udokumentowanymi instrukcjami Klienta i obowiązującym prawem.
CoVet zapewni, że personel upoważniony do Przetwarzania Danych osobowych będzie podlegać obowiązkom poufności i otrzyma odpowiednie szkolenie z zakresu prywatności i bezpieczeństwa.
CoVet wdroży i utrzyma odpowiednie środki techniczne i organizacyjne zaprojektowane w celu ochrony Danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem, dostępem lub użyciem, jak szerzej opisano w Aneksie B.
Uwzględniając charakter Przetwarzania i informacje dostępne CoVet, CoVet w rozsądnym zakresie pomoże Klientowi w obsłudze żądań Osób, których dane dotyczą, ocen skutków dla ochrony danych, konsultacji z organami nadzorczymi oraz dokumentacji zgodności wymaganej na podstawie Przepisów o ochronie danych.
CoVet powiadomi Klienta, jeżeli CoVet uzna, że instrukcja narusza obowiązujące Przepisy o ochronie danych, chyba że obowiązujące prawo zabrania takiego powiadomienia.
5. Bezpieczeństwo danych
CoVet będzie utrzymywać pisemny program bezpieczeństwa informacji odpowiedni do charakteru Usług i ryzyk wynikających z Przetwarzania. Program CoVet obejmuje zabezpieczenia administracyjne, techniczne, fizyczne, organizacyjne i operacyjne zaprojektowane w celu ochrony Danych osobowych, w tym kontrole dostępu, szyfrowanie w tranzycie i w spoczynku, rejestrowanie i monitorowanie, praktyki bezpiecznego tworzenia oprogramowania, zarządzanie podatnościami, procedury reagowania na incydenty, zarządzanie ryzykiem dostawców oraz szkolenie pracowników.
Dodatkowe informacje o podejściu CoVet do bezpieczeństwa są dostępne na stronie Bezpieczeństwo CoVet i w Trust Center:
6. Dalsze podmioty przetwarzające
6.1 Ogólne upoważnienie. Klient udziela CoVet ogólnego upoważnienia do angażowania Dalszych podmiotów przetwarzających w celu Przetwarzania Danych osobowych w związku z Usługami. CoVet zawrze z Dalszymi podmiotami przetwarzającymi pisemne umowy nakładające obowiązki ochrony danych nie mniej ochronne we wszystkich istotnych aspektach niż obowiązki określone w niniejszej DPA.
6.2 Aktualna lista i aktualizacje. Aktualne Dalsze podmioty przetwarzające CoVet są wymienione w Aneksie C i mogą być również udostępniane za pośrednictwem Trust Center CoVet lub innej opublikowanej strony dotyczącej dalszych podmiotów przetwarzających. CoVet może dodawać, zastępować lub aktualizować Dalsze podmioty przetwarzające, przekazując powiadomienie za pośrednictwem Trust Center, Usług, poczty elektronicznej lub innej komercyjnie uzasadnionej metody.
6.3 Prawo sprzeciwu. Klient może sprzeciwić się nowemu Dalszemu podmiotowi przetwarzającemu z uzasadnionych przyczyn związanych z ochroną danych w terminie czternastu (14) dni od powiadomienia. Jeżeli Strony nie mogą rozwiązać sprzeciwu w komercyjnie uzasadniony sposób, CoVet może udostępnić alternatywę, zawiesić dotkniętą funkcję lub zezwolić Klientowi na rozwiązanie dotkniętych Usług zgodnie z opisem we Właściwej umowie.
7. Żądania Osób, których dane dotyczą
Jeżeli CoVet otrzyma żądanie od Osoby, której dane dotyczą, związane z Danymi osobowymi Klienta, CoVet, o ile jest to prawnie dozwolone, skieruje Osobę, której dane dotyczą, do Klienta albo powiadomi Klienta. CoVet nie będzie samodzielnie odpowiadać na żądanie, z wyjątkiem przypadków zgodnych z instrukcjami Klienta, wymaganych przez prawo lub niezbędnych do potwierdzenia, że żądanie dotyczy Klienta.
8. Naruszenie ochrony Danych osobowych
CoVet powiadomi Klienta bez zbędnej zwłoki po uzyskaniu wiedzy o Naruszeniu ochrony Danych osobowych mającym wpływ na Dane osobowe Klienta. Powiadomienie będzie zawierać informacje racjonalnie dostępne CoVet, które mogą obejmować charakter naruszenia, dotknięte kategorie Danych osobowych i Osób, których dane dotyczą, prawdopodobne konsekwencje oraz środki podjęte lub proponowane w celu zaradzenia naruszeniu i ograniczenia jego skutków.
CoVet będzie w rozsądnym zakresie współpracować z Klientem przy dochodzeniu, ograniczaniu skutków i prawnie wymaganych powiadomieniach. Klient odpowiada za ustalenie, czy należy powiadomić Osoby, których dane dotyczą, organy nadzorcze, regulatorów lub inne osoby trzecie, z wyjątkiem sytuacji, gdy Przepisy o ochronie danych wymagają od CoVet bezpośredniego powiadomienia.
9. Audyty i dokumentacja
CoVet udostępni informacje racjonalnie niezbędne do wykazania zgodności z niniejszą DPA, które mogą obejmować dokumentację bezpieczeństwa, polityki, certyfikaty, niezależne raporty z audytu lub pisemne odpowiedzi. CoVet może spełnić ten obowiązek, udostępniając materiały za pośrednictwem swojego Trust Center z zastrzeżeniem odpowiednich zasad poufności i kontroli dostępu.
Jeżeli Klient racjonalnie wymaga dodatkowych działań audytowych, Klient może zażądać audytu nie częściej niż raz w roku kalendarzowym, chyba że wymaga tego organ nadzorczy lub nastąpiło Naruszenie ochrony Danych osobowych. Każdy audyt musi być przeprowadzony w normalnych godzinach pracy, na koszt Klienta, po rozsądnym wcześniejszym powiadomieniu i w sposób, który nie zakłóca nieracjonalnie działalności CoVet ani nie zagraża bezpieczeństwu lub poufności danych innych klientów.
10. Zwrot i usunięcie
Po rozwiązaniu lub wygaśnięciu Właściwej umowy CoVet, zgodnie z Właściwą umową i funkcjonalnością Usług, usunie albo udostępni do odzyskania Dane osobowe Klienta znajdujące się w posiadaniu lub pod kontrolą CoVet. CoVet może zachować Dane osobowe w zakresie wymaganym przez prawo, niezbędnym do uzasadnionych celów bezpieczeństwa, kopii zapasowych, sporów, audytu lub zgodności, albo w inny sposób dozwolonym przez Właściwą umowę, pod warunkiem że CoVet nadal chroni zachowane Dane osobowe na podstawie niniejszej DPA i ogranicza dalsze Przetwarzanie do tych celów zachowania.
11. Transfery międzynarodowe
Klient przyjmuje do wiadomości, że CoVet i jego Dalsze podmioty przetwarzające mogą Przetwarzać Dane osobowe w Kanadzie, Stanach Zjednoczonych, Europejskim Obszarze Gospodarczym, Zjednoczonym Królestwie oraz innych lokalizacjach, w których CoVet lub jego Dalsze podmioty przetwarzające prowadzą działalność, z zastrzeżeniem zabezpieczeń wymaganych przez Przepisy o ochronie danych.
W przypadku transferów Danych osobowych z EOG, Zjednoczonego Królestwa lub Szwajcarii do kraju, który nie zapewnia odpowiedniego poziomu ochrony na podstawie obowiązujących Przepisów o ochronie danych, Standardowe klauzule umowne oraz powiązane warunki transferu określone w Załączniku 1 mają zastosowanie w wymaganym zakresie.
12. Odpowiedzialność i kolejność pierwszeństwa
Odpowiedzialność każdej ze Stron na podstawie niniejszej DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym we Właściwej umowie, z wyjątkiem zakresu, w jakim takie ograniczenia lub wyłączenia są zabronione przez Przepisy o ochronie danych lub Standardowe klauzule umowne. W przypadku konfliktu między niniejszą DPA a Właściwą umową niniejsza DPA ma pierwszeństwo wyłącznie w odniesieniu do Przetwarzania Danych osobowych. W przypadku konfliktu między niniejszą DPA a Standardowymi klauzulami umownymi Standardowe klauzule umowne mają pierwszeństwo w zakresie konfliktu.
13. Aktualizacje niniejszej DPA
CoVet może od czasu do czasu aktualizować niniejszą DPA przez opublikowanie zaktualizowanej wersji lub przekazanie innego powiadomienia. Aktualizacje nie obniżą istotnie poziomu ochrony Danych osobowych w okresie obowiązywania Właściwej umowy. Dalsze korzystanie przez Klienta z Usług po wejściu w życie zaktualizowanej DPA stanowi akceptację zaktualizowanej DPA, chyba że Klient posiada odrębną podpisaną umowę stanowiącą inaczej.
Aneks A: Szczegóły Przetwarzania
A.1 Przedmiot
Przedmiotem Przetwarzania jest świadczenie Usług przez CoVet na rzecz Klienta na podstawie Właściwej umowy, w tym Przetwarzanie Danych Klienta przesłanych do Usług, wygenerowanych za ich pośrednictwem lub w inny sposób Przetwarzanych przez Usługi.
A.2 Czas trwania
Przetwarzanie będzie kontynuowane przez okres obowiązywania Właściwej umowy, a następnie w zakresie niezbędnym do usunięcia, zwrotu, celów prawnych, bezpieczeństwa, kopii zapasowych, audytu lub zgodności.
A.3 Charakter i cel
Tworzenie konta, uwierzytelnianie, rozliczenia, administracja subskrypcją, wsparcie i komunikacja.
Nagrywanie, przesyłanie, transkrypcja, strukturyzowanie, streszczanie, sporządzanie, generowanie, przechowywanie, odzyskiwanie i wyświetlanie treści klinicznych, przepływów pracy i komunikacji żądanych przez Klienta lub Upoważnionych użytkowników.
Obsługa, utrzymanie, rozwiązywanie problemów, monitorowanie bezpieczeństwa, zapobieganie nadużyciom, niezawodność, analityka i ulepszanie Usług.
Przetwarzanie przez dostawców usług AI wyłącznie w celu dostarczania funkcji żądanych przez Klienta i Upoważnionych użytkowników, z zastrzeżeniem ograniczeń niniejszej DPA dotyczących trenowania i dostrajania modeli.
Integracje, eksporty, importy i transfery danych skonfigurowane lub żądane przez Klienta albo Upoważnionych użytkowników.
Przestrzeganie obowiązków prawnych, egzekwowanie Właściwej umowy oraz ochrona Usług, CoVet, Klienta, Upoważnionych użytkowników i Osób, których dane dotyczą.
A.4 Kategorie Danych osobowych
Informacje o koncie, profilu, roli, uwierzytelnianiu, kontakcie, rozliczeniach, subskrypcji i organizacji.
Informacje zawodowe i dotyczące praktyki odnoszące się do lekarzy weterynarii, personelu kliniki, administratorów, kontraktorów i innych Upoważnionych użytkowników.
Treści klinicznych przepływów pracy przesłane do Usług lub wygenerowane za ich pośrednictwem, w tym nagrania audio, transkrypcje, prompty, wiadomości, pliki, wygenerowane notatki, informacje o przypadkach, komunikacja z klientami i powiązane metadane.
Informacje o właścicielach zwierząt, klientach, pacjentach, wizytach i przypadkach w zakresie, w jakim takie informacje identyfikują osobę lub mogą być z nią racjonalnie powiązane.
Informacje techniczne, o urządzeniu, użytkowaniu, logach, bezpieczeństwie, diagnostyce i wsparciu, w tym adres IP, identyfikatory urządzenia, informacje o przeglądarce lub aplikacji, znaczniki czasu i wykorzystanie funkcji.
Wszelkie inne Dane osobowe przesłane przez Klienta lub Upoważnionych użytkowników za pośrednictwem Usług, z zastrzeżeniem Właściwej umowy i niniejszej DPA.
A.5 Dane wrażliwe
Klient może przesyłać wrażliwe lub regulowane Dane osobowe wyłącznie wtedy, gdy jest to dozwolone przez Właściwą umowę i niezbędne do korzystania przez Klienta z Usług. Gdy Klient przesyła PHI i zastosowanie ma Załącznik 2, CoVet będzie Przetwarzać PHI zgodnie z Załącznikiem 2. CoVet nie wymaga od Klienta przesyłania szczególnych kategorii Danych osobowych na podstawie RODO, chyba że takie przesłanie jest konieczne do wybranego przez Klienta korzystania z Usług i Klient spełnił obowiązujące wymogi prawne.
A.6 Kategorie Osób, których dane dotyczą
Upoważnieni użytkownicy, administratorzy, pracownicy, kontraktorzy i przedstawiciele Klienta.
Klienci weterynaryjni, właściciele zwierząt, potencjalni klienci i osoby kontaktowe.
Osoby, których informacje pojawiają się w notatkach klinicznych, komunikacji, plikach, nagraniach, transkrypcjach, żądaniach wsparcia, integracjach lub innych Danych Klienta.
Kontakty rozliczeniowe, zakupowe, prawne, wsparcia i biznesowe.
A.7 Częstotliwość transferu
Ciągła przez okres korzystania przez Klienta z Usług.
A.8 Strony dla Standardowych klauzul umownych
Rola | Nazwa i szczegóły | Działania | Rola SCC |
|---|---|---|---|
Eksporter danych | Klient, zgodnie z identyfikacją we Właściwej umowie lub zapisach konta. | Przesyłanie, dostęp i używanie Danych osobowych w związku z Usługami. | Administrator lub Podmiot przetwarzający, odpowiednio. |
Importer danych | CoVetAI Inc. (CoVet). Kontakt: info@co.vet lub support@co.vet. | Przetwarzanie Danych osobowych w celu świadczenia, zabezpieczania, utrzymywania, wspierania i ulepszania Usług. | Podmiot przetwarzający lub Dalszy podmiot przetwarzający, odpowiednio. |
Aneks B: Środki techniczne i organizacyjne
CoVet utrzymuje środki techniczne i organizacyjne zaprojektowane w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka wynikającego z Przetwarzania. Środki te obejmują kontrole podsumowane poniżej i mogą ewoluować wraz z dojrzewaniem programu bezpieczeństwa CoVet.
Obszar kontroli | Podsumowanie |
|---|---|
Zarządzanie i polityki | Polityki bezpieczeństwa informacji, zarządzania danymi, reagowania na incydenty, ryzyka dostawców, ciągłości działania, bezpiecznego rozwoju i kontroli dostępu. |
Kontrole dostępu | Dostęp oparty na rolach, zasada najmniejszych uprawnień, unikalne poświadczenia, przeglądy dostępu, kontrole onboardingu i offboardingu oraz zabezpieczenia uwierzytelniania. |
Szyfrowanie i infrastruktura | Szyfrowanie w tranzycie i w spoczynku, bezpieczna infrastruktura chmurowa, segmentacja sieci tam, gdzie właściwe, utwardzanie oraz logiczne oddzielenie danych klientów. |
Monitorowanie i reagowanie na incydenty | Rejestrowanie, monitorowanie dostępności, przegląd zdarzeń bezpieczeństwa, procedury reagowania na incydenty, eskalacja, naprawa i wsparcie reakcji na naruszenia. |
Podatności i bezpieczny rozwój | Zarządzanie podatnościami, testy penetracyjne lub oceny podatności, zarządzanie poprawkami, praktyki bezpiecznego tworzenia oprogramowania oraz kontrole przeglądu kodu/zmian. |
Personel i szkolenia | Obowiązki poufności, szkolenia świadomości bezpieczeństwa, odpowiedzialności zależne od roli oraz procedury bezpieczeństwa personelu. |
Zarządzanie dostawcami | Przegląd ryzyka dostawców, umowne obowiązki ochrony danych oraz nadzór nad Dalszymi podmiotami przetwarzającymi, które mogą Przetwarzać Dane osobowe Klienta. |
Ciągłość i odtwarzanie | Praktyki kopii zapasowych, ciągłości, odtwarzania po awarii i dostępności zaprojektowane w celu wspierania niezawodnego świadczenia Usług. |
Aneks C: Dalsze podmioty przetwarzające
Następujące Dalsze podmioty przetwarzające są wymienione według daty Ostatniej aktualizacji wskazanej powyżej. CoVet może aktualizować tę listę zgodnie z Sekcją 6.
Dalszy podmiot przetwarzający | Lokalizacja | Funkcja |
|---|---|---|
OpenAI | Stany Zjednoczone | Przetwarzanie AI i powiązane usługi modeli wykorzystywane do zapewnienia żądanych funkcji Usługi. |
Claude | Stany Zjednoczone | Przetwarzanie AI i powiązane usługi modeli wykorzystywane do zapewnienia żądanych funkcji Usługi. |
GCP | Kanada / Stany Zjednoczone | Hosting w chmurze, przechowywanie, infrastruktura, sieci, bezpieczeństwo i powiązane usługi platformowe. |
GitHub | Kanada / Stany Zjednoczone | Tworzenie oprogramowania, hosting kodu, bezpieczeństwo, wdrożenia i narzędzia wsparcia operacyjnego. |
Aktualne Trust Center jest dostępne pod adresem:
Załącznik 1: Standardowe klauzule umowne
1. Włączenie
Gdy jest to wymagane dla międzynarodowego transferu Danych osobowych, Strony włączają przez odniesienie standardowe klauzule umowne przyjęte przez Komisję Europejską w Decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwca 2021 r. ("SCC"). SCC mają zastosowanie wyłącznie do transferów podlegających RODO lub innym Przepisom o ochronie danych wymagającym takich zabezpieczeń.
2. Moduł i wybory
Moduł Drugi (administrator do podmiotu przetwarzającego) ma zastosowanie, gdy Klient jest Administratorem, a CoVet jest Podmiotem przetwarzającym.
Moduł Trzeci (podmiot przetwarzający do podmiotu przetwarzającego) ma zastosowanie, gdy Klient jest Podmiotem przetwarzającym, a CoVet jest Dalszym podmiotem przetwarzającym.
Klauzula 7 (klauzula przystąpienia) ma zastosowanie.
Dla Klauzuli 9 (Korzystanie z dalszych podmiotów przetwarzających) ma zastosowanie Opcja 2 (ogólne pisemne upoważnienie), z okresami powiadomienia i sprzeciwu wskazanymi w Sekcji 6 niniejszej DPA.
Dla Klauzuli 11 (Dochodzenie roszczeń) język opcjonalny nie ma zastosowania.
Dla Klauzuli 13 (Nadzór) właściwy organ nadzorczy zostanie określony zgodnie z RODO. Jeżeli żaden inny organ nadzorczy nie ma jednoznacznego zastosowania, irlandzka Komisja Ochrony Danych będzie działać jako właściwy organ nadzorczy dla celów SCC.
Dla Klauzul 17 i 18 SCC będą podlegać prawu Irlandii, a spory będą rozstrzygane przez sądy Irlandii wyłącznie dla celów SCC.
3. Aneksy
Aneks I SCC jest uzupełniony przez Aneks A niniejszej DPA.
Aneks II SCC jest uzupełniony przez Aneks B niniejszej DPA.
Aneks III SCC jest uzupełniony przez Aneks C niniejszej DPA.
4. Transfery do Zjednoczonego Królestwa i Szwajcarii
W przypadku transferów podlegających UK GDPR SCC mają zastosowanie w brzmieniu zmienionym przez brytyjski Międzynarodowy dodatek dotyczący transferu danych lub inny właściwy brytyjski mechanizm transferu. W przypadku transferów podlegających szwajcarskiemu prawu ochrony danych odniesienia do RODO, państw członkowskich UE i organów nadzorczych będą interpretowane w zakresie niezbędnym do nadania skutku prawu szwajcarskiemu oraz Szwajcarskiemu Federalnemu Komisarzowi ds. Ochrony Danych i Informacji.
5. Konflikt
W przypadku konfliktu między niniejszą DPA a SCC, SCC mają pierwszeństwo w zakresie wymaganym przez obowiązujące Przepisy o ochronie danych.
Załącznik 2: Dodatek HIPAA
Niniejszy Dodatek HIPAA ma zastosowanie wyłącznie wtedy, gdy Klient jest Covered Entity lub Business Associate w rozumieniu HIPAA, a CoVet tworzy, otrzymuje, utrzymuje lub przekazuje PHI w imieniu Klienta w związku z Usługami. Jeżeli niniejszy Dodatek HIPAA ma zastosowanie, CoVet działa jako Business Associate lub Subcontractor Klienta, odpowiednio.
1. Definicje HIPAA
Terminy pisane wielką literą użyte w niniejszym Dodatku HIPAA, lecz niezdefiniowane w niniejszej DPA, mają znaczenie nadane im w HIPAA, w tym Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information oraz Use.
2. Dozwolone użycia i ujawnienia
CoVet może Używać lub Ujawniać PHI wyłącznie w zakresie dozwolonym przez niniejszy Dodatek HIPAA, Właściwą umowę, udokumentowane instrukcje Klienta lub jako Required by Law. Klient upoważnia CoVet do Używania i Ujawniania PHI w następujących dozwolonych celach:
Świadczenie, obsługa, utrzymanie, zabezpieczanie, wspieranie, rozwiązywanie problemów i ulepszanie Usług żądanych przez Klienta lub Upoważnionych użytkowników.
Nagrywanie, otrzymywanie, transkrypcja, streszczanie, strukturyzowanie, sporządzanie, generowanie, przechowywanie, odzyskiwanie, wyświetlanie, przekazywanie i zarządzanie dokumentacją kliniczną, komunikacją, treściami przepływu pracy, plikami i powiązanymi wynikami przesłanymi do Usług lub wygenerowanymi za ich pośrednictwem.
Wykonywanie działań administracyjnych, zarządczych, rozliczeniowych, prawnych, zgodności, bezpieczeństwa i audytu dla CoVet, pod warunkiem że każde Ujawnienie osobie trzeciej w tych celach następuje wyłącznie gdy jest Required by Law albo na podstawie rozsądnych zapewnień poufności i ograniczonego dalszego Użycia lub Ujawnienia.
Świadczenie usług Data Aggregation związanych z operacjami opieki zdrowotnej Klienta, gdy jest to dozwolone przez HIPAA i Właściwą umowę.
Deidentyfikacja PHI zgodnie z HIPAA, gdy jest to dozwolone przez Właściwą umowę, oraz wykorzystywanie informacji zdeidentyfikowanych w sposób niezabroniony przez HIPAA.
Zgłaszanie naruszeń prawa właściwym organom zgodnie z 45 C.F.R. 164.502(j)(1).
CoVet będzie dokonywać Użyć, Ujawnień i żądań dotyczących PHI zgodnie ze standardem Minimum Necessary HIPAA, gdy ma on zastosowanie. CoVet nie będzie sprzedawać PHI, Używać ani Ujawniać PHI do celów underwriting ani Używać PHI do trenowania lub dostrajania modeli AI, chyba że zostanie to wyraźnie upoważnione na piśmie przez Klienta i dozwolone przez HIPAA.
3. Obowiązki HIPAA CoVet
Stosować odpowiednie zabezpieczenia i przestrzegać HIPAA Security Rule w odniesieniu do Elektronicznych PHI, aby zapobiec Użyciu lub Ujawnieniu PHI innemu niż dozwolone przez niniejszy Dodatek HIPAA.
Zgłaszać Klientowi każde nieupoważnione Użycie lub Ujawnienie PHI, Breach of Unsecured PHI lub Security Incident dotyczący Elektronicznych PHI, o którym CoVet się dowie, zgodnie z HIPAA i niniejszą DPA.
Zapewnić, że każdy Subcontractor, który tworzy, otrzymuje, utrzymuje lub przekazuje PHI w imieniu CoVet, pisemnie zgodzi się na zasadniczo te same ograniczenia, warunki i wymagania, które mają zastosowanie do CoVet w odniesieniu do PHI.
Udostępnić Klientowi PHI w Designated Record Set w zakresie niezbędnym do spełnienia przez Klienta obowiązków wynikających z 45 C.F.R. 164.524.
Udostępnić PHI do poprawienia i wprowadzać poprawki zgodnie z instrukcjami Klienta na podstawie 45 C.F.R. 164.526.
Udostępnić informacje wymagane, aby Klient mógł sporządzić rozliczenie Ujawnień zgodnie z 45 C.F.R. 164.528.
Udostępnić Secretary wewnętrzne praktyki, księgi i zapisy CoVet dotyczące Użycia i Ujawnienia PHI w celu ustalenia zgodności z HIPAA.
Po rozwiązaniu zwrócić lub zniszczyć PHI zgodnie z niniejszą DPA i Właściwą umową, jeżeli jest to wykonalne, oraz nadal chronić wszelkie zachowane PHI.
4. Obowiązki HIPAA Klienta
Klient nie będzie żądać, aby CoVet Używał lub Ujawniał PHI w sposób, który nie byłby dozwolony przez HIPAA, gdyby dokonywał go Klient.
Klient powiadomi CoVet o każdym ograniczeniu w informacji Klienta o praktykach prywatności, każdym ograniczeniu Użycia lub Ujawnienia PHI lub każdej zmianie zgody Individual, która może wpływać na Użycie lub Ujawnienie PHI przez CoVet.
Klient odpowiada za odpowiadanie na żądania Individual, ustalenie, czy Breach wymaga powiadomienia, oraz spełnienie obowiązków Klienta wynikających z HIPAA, z wyjątkiem zakresu, w jakim obowiązki te zostały wyraźnie przekazane CoVet we Właściwej umowie.
5. Rozwiązanie z przyczyny HIPAA
Jeżeli którakolwiek ze Stron dowie się o wzorcu działania lub praktyki drugiej Strony stanowiącym istotne naruszenie niniejszego Dodatku HIPAA, Strona nienaruszająca zapewni możliwość naprawy, jeżeli naprawa jest wykonalna. Jeżeli naprawa nie jest wykonalna lub naruszenie nie zostanie naprawione, Strona nienaruszająca może rozwiązać dotknięte Usługi lub podjąć inne działanie wymagane przez HIPAA.
6. HITECH Act
Strony będą przestrzegać obowiązujących postanowień HITECH Act i powiązanych regulacji HHS. Strony będą współpracować w dobrej wierze w celu zmiany niniejszego Dodatku HIPAA w zakresie rozsądnie koniecznym do przestrzegania przyszłych zmian HIPAA mających zastosowanie do Usług.