AfterSalesPro Logo
Σύνδεση | Επικοινωνία | BLOG

Σύμβαση Επεξεργασίας Δεδομένων
Data Processing Agreement (DPA)

Τελευταία ενημέρωση: 22 Ιανουαρίου, 2025

Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων - Data Processing Agreement (εφεξής το «DPA») και τα Παραρτήματα αυτής αποτελούν ενιαίο κείμενο με τους Όρους Χρήσης της Πλατφόρμας με την εμπορική ονομασία “aftersalespro” μεταξύ της Εταιρείας μας ως Εκτελούσας την Επεξεργασία (εφεξής ο «Εκτελών την Επεξεργασία») και της Επιχείρησής σας ως Υπεύθυνης Επεξεργασίας (εφεξής ο «Υπεύθυνος Επεξεργασίας») για την επεξεργασία των προσωπικών δεδομένων των τελικών πελατών της Επιχείρησης (εφεξής τα «υποκείμενα (των δεδομένων)»), κατά την παροχή των Υπηρεσιών κατ’ εντολή και για λογαριασμό αυτής (εφεξής «Προσωπικά Δεδομένα») οι κατηγορίες των οποίων αναλυτικότερα εμφανίζονται στο Παράρτημα Α αυτού.

1. Νομικό πλαίσιο - Έννοιες

Το DPA καθορίζει τους όρους και προϋποθέσεις επεξεργασίας των Προσωπικών Δεδομένων σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων 679/2016 (εφεξής ο «GDPR»), τον Ν. 4624/2019 και τις Οδηγίες και Αποφάσεις της ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και των αρμόδιων ευρωπαϊκών οργάνων (εφεξής συνολικά η «Κείμενη Νομοθεσία Προστασίας Δεδομένων»). Οι έννοιες της παρούσας πηγάζουν από τα ίδια ως άνω κείμενα.

2. Δεσμευτικότητα όρων

2.1. Σε περίπτωση που η Επιχείρηση αποτελεί νομικό πρόσωπο, αυτή ρητά αναγνωρίζει ότι όλες οι εντολές και οι συναλλαγές που θα διενεργούνται από τον/τους νόμιμο εκπρόσωπό της/Ιδιοκτήτη λογαριασμού και τους Εξουσιοδοτημένους Χρήστες, μέσω του λογαριασμού και τυχόν υπολογαριασμών που θα δημιουργήσει, λογίζονται ως διενεργούμενες από αυτή, ενεργώντας στο όνομα και για λογαριασμό αυτής και ότι όλες οι ενέργειές τους θα είναι απόλυτα έγκυρες, ισχυρές και δεσμευτικές για την Επιχείρηση.

2.2. Τη συνολική ευθύνη για την ορθή και προσήκουσα εκπλήρωση των υποχρεώσεων από το DPA και τις εντολές για την εκπλήρωση του παρόντος φέρει η ίδια η Επιχείρηση στο όνομα και για λογαριασμό της οποίας ενεργούν οι εκπρόσωποι, ο Ιδιοκτήτης Λογαριασμού και οι Εξουσιοδοτημένοι Χρήστες.

2.3. Η Πλατφόρμα ουδεμία ευθύνη φέρει ούτε για την επιλογή των φυσικών αυτών προσώπων, ούτε για τις πράξεις ή παραλείψεις τους σε σχέση με την πρόσβαση και χρήση της Πλατφόρμας.

3. Υποχρεώσεις Εκτελούντα την Επεξεργασία - Περιγραφή και περιορισμοί επεξεργασίας

3.1. Εξουσιοδοτημένα πρόσωπα: Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα Προσωπικά Δεδομένα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

3.2. Εντολές: Οφείλει να επεξεργάζεται τα Προσωπικά Δεδομένα μόνο για λογαριασμό του Υπεύθυνου Επεξεργασίας και μόνο βάσει καταγεγραμμένων εντολών του Υπεύθυνου Επεξεργασίας για την επεξεργασία των Προσωπικών Δεδομένων κατά τα ειδικότερα οριζόμενα στο Παράρτημα Α του DPA μέσω του λογαριασμού και τυχόν υπολογαριασμών που θα δημιουργήσει. Ως καταγεγραμμένες εντολές λογίζονται και όσες παρέχονται με ηλεκτρονικά μέσα – εφόσον υπάρχει τέτοια δυνατότητα - ή/και με e- mail ή/και μέσω λογαριασμού του και τυχόν υπολογαριασμών που θα δημιουργήσει από τα αρμόδια πρόσωπα του Υπεύθυνου Επεξεργασίας αλλά και η δυνατότητα πρόσβασης που δίδει ο Υπεύθυνος Επεξεργασίας προς την Πλατφόρμα τόσο σε δικά του συστήματα όσο και σε τυχόν συστήματα τρίτων συνεργατών του προς εκπλήρωση των υποχρεώσεων και την επεξεργασία των Προσωπικών Δεδομένων στο πλαίσιο της παροχής των Υπηρεσιών της Πλατφόρμας. Επίσης, οφείλει να ενημερώνει τον Υπεύθυνο Επεξεργασίας αν κατά την γνώμη του, κάποια εντολή του παραβιάζει την Κείμενη Νομοθεσία Προστασίας Δεδομένων, εφόσον έχει σχετική δυνατότητα.

3.3. Τεχνικά και Οργανωτικά Μέτρα: Ο Εκτελών την Επεξεργασία θα εφαρμόζει τα τεχνικά και οργανωτικά μέτρα που αναφέρονται στο Παράρτημα Β του DPA, τα οποία αποδέχεται ο Υπεύθυνος Επεξεργασίας ως κατάλληλα για την προστασία των Προσωπικών Δεδομένων από τυχαία ή παράνομη καταστροφή, απώλεια ή αλλοίωση και από μη εξουσιοδοτημένη γνωστοποίηση, κατάχρηση ή άλλη επεξεργασία κατά παράβαση της Κείμενης Νομοθεσίας Προστασίας Δεδομένων. Τα ως άνω αναφερόμενα μέτρα συνομολογούνται και ως κατάλληλα και για να υποστηρίξει ο Εκτελών την Επεξεργασία τον Υπεύθυνο Επεξεργασίας σχετικά με την απόκριση στα αιτήματα των υποκειμένων δεδομένων, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και την παροχή των Υπηρεσιών.

3.4. Παραβίαση Προσωπικών Δεδομένων: Σε περίπτωση παραβίασης Προσωπικών Δεδομένων που βρίσκονται υπό τον έλεγχο του Εκτελούντος την Επεξεργασία για λογαριασμό του Υπεύθυνου Επεξεργασίας, ο Εκτελών την Επεξεργασία θα γνωστοποιεί το αργότερο εντός τριάντα έξι (36) ωρών από το χρονικό σημείο που θα λάβει γνώση την παραβίαση των Προσωπικών Δεδομένων στον Υπεύθυνο Επεξεργασίας. Η ως άνω αρχική ενημέρωση δύναται να συμπληρώνεται σταδιακά από τον Εκτελούντα την Επεξεργασία με στοιχεία και σε επόμενα στάδια, εφόσον δύναται να τα διαθέτει. Ο Εκτελών την Επεξεργασία, επιπροσθέτως, θα παρέχει συνδρομή προς τον Υπεύθυνο Επεξεργασίας με την σταδιακή παροχή στοιχείων που θα αιτείται ο Υπεύθυνος Επεξεργασίας, και υπό την προϋπόθεση ότι τα διαθέτει ο Εκτελών την Επεξεργασία και εφόσον αυτά δεν είναι ήδη γνωστά στον Υπεύθυνο Επεξεργασίας ή/και δεν έχουν ήδη παρασχεθεί από τον Εκτελούντα την Επεξεργασία και δη στο μέτρο που αυτά είναι απολύτως απαραίτητα για την εκπλήρωση των υποχρεώσεων του Υπευθύνου Επεξεργασίας ως προς τις Αρχές ή τα υποκείμενα των δεδομένων βάσει του ισχύοντος θεσμικού πλαισίου και εφόσον συνδέονται άμεσα και ευθέως με τις υποχρεώσεις που έχει αναλάβει ο Εκτελών την Επεξεργασία στο πλαίσιο των παρεχόμενων Υπηρεσιών και του νόμου.

3.5. Συνδρομή σε περίπτωση άσκησης δικαιώματος υποκειμένου δεδομένων: Σε περίπτωση που το υποκείμενο των δεδομένων ασκήσει κάποιο εκ των προβλεπόμενων στον GDPR δικαιωμάτων ενώπιον του Εκτελούντος την Επεξεργασία, ο Εκτελών την Επεξεργασία θα ενημερώνει σχετικά τον Υπεύθυνο Επεξεργασίας. Ο Εκτελών την Επεξεργασία δεν θα προβαίνει σε καμία ενέργεια εκπλήρωσης των δικαιωμάτων, ει μη μόνον αν τούτο προβλέπεται από τον νόμο ως δική του υποχρέωση (δηλ. του Εκτελούντος την Επεξεργασία) ή αν ο Υπεύθυνος Επεξεργασίας δώσει συγκεκριμένες ρητές εντολές στον Εκτελούντα την Επεξεργασία για την εκπλήρωση του δικαιώματος. Σε οποιαδήποτε περίπτωση ο Υπεύθυνος Επεξεργασίας καθυστερήσει να δώσει στον Εκτελούντα την Επεξεργασία έγγραφες οδηγίες και εντολές, ή δώσει εσφαλμένες εντολές για οποιοδήποτε θέμα αναφέρεται στο παρόν, ο Εκτελών την Επεξεργασία ουδεμία ευθύνη θα φέρει για οποιαδήποτε ζημία τυχόν προκύψει από την προαναφερθείσα καθυστέρηση ή το σφάλμα ή άλλο πταίσμα ή αμέλεια του Υπεύθυνου Επεξεργασίας.

3.6. Διορισμός Υπεργολάβων/Υπό – Εκτελούντων την Επεξεργασία: Ο Εκτελών την Επεξεργασία δύναται να προσλάβει ως Υπό – Εκτελούντες την Επεξεργασία: α) τους Υπό – Εκτελούντες την Επεξεργασία που αναφέρονται στο Παράρτημα Γ του DPA και β) μελλοντικούς υπεργολάβους με τη γενική άδεια του Υπεύθυνου Επεξεργασίας που δίδεται με τον παρόντα όρο. Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας μέσω e-mail ή/και ανάρτησης στον λογαριασμό του Υπεύθυνου Επεξεργασίας στην Πλατφόρμα , σχετικά με την προσθήκη ή την αντικατάσταση του/των Υπό – Εκτελούντα/ων την Επεξεργασία. Κατόπιν της ειδοποίησης αυτής, ο Υπεύθυνος Επεξεργασίας δικαιούται, εφόσον έχει αντιρρήσεις με τον διορισμό του νέου Υπο-Εκτελούντα να αιτηθεί την διακοπή της παρεχόμενης υπηρεσίας, εντός 5 εργάσιμων ημερών από την αποστολή της ειδοποίησης από τον Εκτελούντα την Επεξεργασία, αζημίως, καταβάλλοντας την αμοιβή για τις ήδη παραχεθείσες υπηρεσίες (μέχρι του σημείου της διακοπής). Παρέλευσης άπρακτης της ως ανω προθεσμίας λογίζεται ως αποδοχή του Υπο-εκτελούντος.

3.7. Διαβιβάσεις: Ο Εκτελών την Επεξεργασία επεξεργάζεται τα Προσωπικά Δεδομένα εντός Ελλάδος και Ευρωπαϊκής Ένωσης. Στην περίπτωση που ο Εκτελών την Επεξεργασία διαβιβάζει Προσωπικά Δεδομένα σε τρίτη χώρα εκτός της Ευρωπαϊκής Ένωσης που δεν διαθέτει απόφαση επάρκειας ή σε εταιρεία των ΗΠΑ που δεν εντάσσεται στο Data Privacy Framework, ο Εκτελών την Επεξεργασία οφείλει να τηρεί και να παράσχει προς τον Υπεύθυνο Επεξεργασίας τις προβλεπόμενες από την Κείμενη Νομοθεσία Προστασίας Δεδομένων εγγυήσεις για διαβίβαση σε τρίτες χώρες, η δε διαβίβαση να έχει συμφωνηθεί με τον Υπεύθυνο Επεξεργασίας κατόπιν προηγούμενης, άδειας του Υπεύθυνου Επεξεργασίας έπειτα από ενημέρωσή του με e-mail ή στον λογαριασμό του Υπεύθυνου Επεξεργασίας στην Πλατφόρμα. Κατόπιν της ειδοποίησης αυτής, ο Υπεύθυνος Επεξεργασίας δικαιούται, εφόσον έχει αντιρρήσεις με τον διορισμό του νέου Υπο-Εκτελούντα να αιτηθεί την διακοπή της παρεχόμενης υπηρεσίας, εντός 5 εργάσιμων ημερών από την αποστολή της ειδοποίησης από τον Εκτελούντα την Επεξεργασία, αζημίως, καταβάλλοντας την αμοιβή για τις ήδη παραχεθείσες υπηρεσίες (μέχρι του σημείου της διακοπής). Παρέλευσης άπρακτης της ως ανω προθεσμίας λογίζεται ως αποδοχή του Υπο-εκτελούντος.

3.8. Έλεγχοι/Audits: Ο Υπεύθυνος Επεξεργασίας ή άλλος ελεγκτής εντεταλμένος από τον Υπεύθυνο Επεξεργασίας, που θα γνωστοποιείται εγγράφως (και μέσω e-mail) από τον Υπεύθυνο Επεξεργασίας προς τον Εκτελούντα την Επεξεργασία, δικαιούται να εκτελεί τακτικούς (έως ένα κατά συμβατικό έτος) κατόπιν έγγραφου αιτήματος (και μέσω e-mail), αλλά και έκτακτους ελέγχους, εφόσον υπάρχει εύλογη αιτία, στον Εκτελούντα την Επεξεργασία για να ελέγχει τις δραστηριότητες επεξεργασίας δεδομένων του Εκτελούντος την Επεξεργασία και να θέτει στην διάθεσή του τις απαραίτητες πληροφορίες που τυχόν δεν έχει ήδη στην διάθεσή του ο Υπεύθυνος Επεξεργασίας για την απόδειξη της συμμόρφωσής του προς τον GDPR βάσει των διαδικασιών και των προϋποθέσεων που έχουν συμφωνηθεί. Επισημαίνεται ότι οι έλεγχοι αυτοί θα αφορούν αποκλειστικά και τα αρχεία και Προσωπικά Δεδομένα που βρίσκονται υπό την Εποπτεία του Εκτελούντος την Επεξεργασία κατ’ εντολή και για λογαριασμό του Υπεύθυνου Επεξεργασία και θα διενεργούνται υπό τους αυστηρούς όρους τήρησης εμπιστευτικότητας, εχεμύθειας καθώς και των μέτρων ασφαλείας και των οδηγιών του Εκτελούντος την Επεξεργασία που αφορούν στην ασφάλεια των εγκαταστάσεων και των συστημάτων του Εκτελούντος την Επεξεργασία, των διαδικασιών που τηρεί ο Εκτελών την Επεξεργασία και στα εν γένει μέτρα που λαμβάνει για την διασφάλιση των τρίτων πελατών του καθώς και υπό όρους που δεν θα θίγουν την εύρυθμη λειτουργία του Εκτελούντα την Επεξεργασία και την παροχή των υπηρεσιών του. Σε περίπτωση που, οποτεδήποτε, ζητηθεί από τον Υπεύθυνο Επεξεργασίας η λήψη παραπάνω ή διαφορετικών μέτρων ή διαδικασιών από τα συμφωνηθέντα στο παρόν, ο Εκτελών την Επεξεργασία θα δύναται να συμμορφώνεται με το εν λόγω αίτημα κατόπιν συμφωνίας, δαπάναις του Υπεύθυνου Επεξεργασίας.

3.9. Διαγραφή/Επιστροφή: Ο Εκτελών την Επεξεργασία θα διαγράφει όλα τα Προσωπικά Δεδομένα που περιλαμβάνονται στον Λογαριασμό και όλα τα Προσωπικά Δεδομένα που επεξεργάζεται για λογαριασμό του Υπεύθυνου Επεξεργασίας κατά την λύση ή λήξη της παροχής των Υπηρεσιών στον Πελάτη, για οποιαδήποτε αιτία, μετά από 6 μήνες από το κλείσιμο του Λογαριασμού του Πελάτη για λόγους διατήρησης back up. Ο Εκτελών την Επεξεργασία θα παρέχει σχετική βεβαίωση/πρωτόκολλο διαγραφής προς τον Υπεύθυνο Επεξεργασίας, εφόσον του ζητηθεί εντός ευλόγου χρόνου από τη λύση ή λήξη της συμβατικής σχέσης των μερών σύμφωνα με τους Όρους Χρήσης. Ο Εκτελών την Επεξεργασία δύναται να διατηρεί για περαιτέρω χρόνο μόνον όσα Προσωπικά Δεδομένα τυχόν προβλέπονται από το δίκαιο της Ένωσης ή το ελληνικό δίκαιο σύμφωνα με το οποίο απαιτείται αποθήκευση των δεδομένων προσωπικού χαρακτήρα από τον Εκτελούντα την Επεξεργασία. Η ως άνω διαγραφή των Προσωπικών Δεδομένων είναι μη αναστρέψιμη.

3.10. Αρχείο Επεξεργασίας: Ο Εκτελών την Επεξεργασία θα τηρεί ως αρχείο επεξεργασίας κατά τα αναφερόμενα στο άρθρο 30 παρ. 2 του GDPR τα στοιχεία που συμφωνούνται στο Παράρτημα Α του παρόντος.

4. Εγγυητικές Δηλώσεις Υπεύθυνου Επεξεργασίας

4.1. Ο Υπεύθυνος Επεξεργασίας δηλώνει και εγγυάται ότι:

4.1.1. Οι εντολές που δίδει κάθε φορά στον Εκτελούντα την Επεξεργασία, στο πλαίσιο της παρούσης, είναι σύννομες.

4.1.2. Τα Προσωπικά Δεδομένα που επεξεργάζεται για λογαριασμό του ο Υπεύθυνος Επεξεργασίας έχουν συλλέγει νόμιμα βάσει των διατάξεων της Κείμενης Νομοθεσίας Προστασίας Δεδομένων, για την εκπλήρωση των οποίων φέρει την ευθύνη ο ίδιος ο Υπεύθυνος Επεξεργασίας και απαλλάσσει πλήρως τον Εκτελούντα.

4.1.3. Σε κάθε περίπτωση, και ανεξαρτήτως νομικής βάσης, το υποκείμενο των δεδομένων έχει ενημερωθεί σύμφωνα με τα άρθρα 13 και 14 του GDPR για την επεξεργασία των δεδομένων του συμπεριλαμβανομένων των σκοπών και της νομικής βάσης αυτής, καθώς και ότι τα προσωπικά δεδομένα διαβιβάζονται με αποδέκτη τον Εκτελούντα την Επεξεργασία για τους σκοπούς και για την φύση της επεξεργασίας που έχει συμφωνηθεί στο παρόν.

4.1.4. Έχει λάβει και o ίδιος ο Υπεύθυνος Επεξεργασίας και εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για την επεξεργασία των Προσωπικών Δεδομένων καθώς και τηρεί τα απαραίτητα αρχεία δραστηριοτήτων επεξεργασίας (του άρθρου 30 του Γενικού Κανονισμού) ως Υπεύθυνος Επεξεργασίας προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με το Γενικό Κανονισμό και την Νομοθεσία, καθώς και ότι προστατεύονται τα δικαιώματα των Υποκειμένων των Δεδομένων.

4.1.5. Έχει υιοθετήσει νόμιμες διαδικασίες και χρόνους τήρησης και καταστροφής των Προσωπικών Δεδομένων καθώς και εκπλήρωσης των δικαιωμάτων των υποκειμένων βάσει των οποίων και φυλάσσονται στον λογαριασμό του Πελάτη στην Πλατφόρμα και διενεργούνται οι Πράξεις Επεξεργασίας στο πλαίσιο των παρεχόμενων Υπηρεσιών.

5. Ευθύνες των μερών

5.1. Απέναντι στον Υπεύθυνο Επεξεργασίας και σε κάθε τρίτο ο Εκτελών την Επεξεργασία θα ευθύνεται αναφορικά με την επεξεργασία των Προσωπικών Δεδομένων αποκλειστικά και μόνον εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις που απορρέουν από την Κείμενη Νομοθεσία Προστασίας Δεδομένων και οι οποίες αφορούν στους εκτελούντες την επεξεργασία, ως αυτές εξειδικεύονται στο παρόν, ή εάν υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του Υπεύθυνου Επεξεργασίας, στο πλαίσιο της επεξεργασίας των Προσωπικών Δεδομένων που αναλαμβάνει με το παρόν DPA. Διευκρινίζεται ότι ο Εκτελών την Επεξεργασία θα ευθύνεται εφόσον οι πράξεις ή παραλείψεις του ήταν υπαίτιες και ευρίσκονται σε αιτιώδη συνάφεια με την προκληθείσα ζημία. Επίσης δεν θα ευθύνεται και σε περίπτωση ανωτέρας βίας ή σε περίπτωση που αποδεικνύει ότι ουδεμία σχέση έχει με το γενεσιουργό γεγονός της ζημίας που προκλήθηκε στον Υπεύθυνο Επεξεργασίας ή σε τρίτο (συμπεριλαμβανομένου του υποκειμένου των δεδομένων). Ο Εκτελών την Επεξεργασία θα δικαιούται σε κάθε περίπτωση να στραφεί κατά του Υπεύθυνου Επεξεργασίας και για κάθε δική του (του Εκτελούντος την Επεξεργασία) θετική ζημία από την υπαίτια αθέτηση των νόμιμων ή συμβατικών υποχρεώσεων του Υπεύθυνου Επεξεργασίας για την επεξεργασία των δεδομένων (έναντι του ιδίου του Εκτελούντος την Επεξεργασία, του υποκειμένου των δεδομένων, τυχόν τρίτων ή των Αρχών) - συμπεριλαμβανομένης της κάλυψης τυχόν εξόδων δικαστηρίων, εύλογων δικηγορικών αμοιβών ή/και διοικητικού προστίμου.

5.2. Η ευθύνη αμφότερων των μερών για παραβίαση των όρων του παρόντος DPA ή του νόμου ή στο πλαίσιο της μεταξύ τους σχέσης (συμπεριλαμβανομένου του άρθρου 82 παρ. 4 του Γενικού Κανονισμού) περιορίζεται σε κάλυψη θετικής ζημίας, όταν δε η ζημία οφείλεται σε ελαφριά αμέλεια του υπαίτιου μέρους ή/και σε όποια άλλη περίπτωση επιτρέπεται εκ του νόμου ο περιορισμός της ευθύνης, ανέρχεται μέχρι του ποσού που ισούται με την συνολική αμοιβή που λαμβάνει ο Εκτελών την Επεξεργασία από τον Υπεύθυνο Επεξεργασίας στο πλαίσιο των παρεχόμενων Υπηρεσιών του εντός ενός συμβατικού έτους. Ο περιορισμός αυτός συμφωνείται από τα μέρη ως εύλογος, δίκαιος και συμπεφωνημένος. Επισημαίνεται, ότι αποκλείεται η αποκατάσταση έμμεσης ή αποθετικής ζημίας, καθώς και ζημίας από διαφυγόντα κέρδη.

6. Λοιπές Διατάξεις

6.1. Ο Εκτελών την Επεξεργασία δύναται να επεξεργάζεται τα Προσωπικά Δεδομένα των αρμόδιων εργαζομένων στον Υπεύθυνο Επεξεργασίας, που του έχει γνωστοποιήσει αυτός (και μέσω e-mail), προκειμένου να επικοινωνεί για τους σκοπούς της παροχής των Υπηρεσιών και της εκτέλεσης του παρόντος σύμφωνα με τους Όρους Χρήσης.

6.2. Στην περίπτωση που ο Εκτελών την Επεξεργασία οφείλει να επεξεργάζεται Προσωπικά Δεδομένα σε συμμόρφωση με υποχρέωση του εκ του νόμου ή για δικούς του σκοπούς, οφείλει να ενημερώνει τον Υπεύθυνο Επεξεργασίας σχετικά και φέρει αυτοτελώς ο ίδιος τις υποχρεώσεις του Υπευθύνου Επεξεργασίας από την Κείμενη Νομοθεσία Προστασίας Δεδομένων επ’ αυτών των πράξεων εκτός αν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημοσίου συμφέροντος. Επισημαίνεται ότι σε περίπτωση που ο Εκτελών την Επεξεργασία λάβει αίτημα από αρμόδια Διοικητική Αρχή, Εισαγγελέα, Δικαστήριο ή άλλη Αρχή ενδέχεται να χρειαστεί να διαβιβάσει τα δεδομένα αυτά ως επεξεργασία που είναι απαραίτητη στο πλαίσιο εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον προς τις εν λόγω Αρχές (με ή χωρίς προηγούμενη ενημέρωση του Υπεύθυνου Επεξεργασίας) ή εκτέλεση νόμου βάσει των εκάστοτε προβλέψεων του νόμου (συμπεριλαμβανομένης της περίπτωσης ποινικής δίωξης, οπότε εφαρμόζεται η αντίστοιχη

6.3. Το παρόν DPA διέπεται τη νομοθεσία που διέπει και τους Όρους Χρήσης της Πλατφόρμας. Αν κριθεί κάποιος όρος καταχρηστικός, τούτο δεν επηρεάζει την ισχύ των υπολοίπων όρων (όρων χρήσης ή του παρόντος παραρτήματος) που παραμένουν σε ισχύ και δεσμεύουν τα μέρη. Τυχόν καθυστέρηση κάποιου μέρους να ασκήσει τα δικαιώματά του δεν σημαίνει παραίτηση από το δικαίωμα που δύναται να το ασκήσει οποτεδήποτε.

6.5. Το παρόν αρχίζει να ισχύει από την ημερομηνία της αποδοχής των Όρων Χρήσης και αυτού, καθόσον αποτελούν ενιαίο κείμενο. Οι διατάξεις του παρόντος παραμένουν σε ισχύ για όσο διάστημα ο Εκτελών την Επεξεργασία επεξεργάζεται προσωπικά δεδομένα του Υπεύθυνου Επεξεργασίας.

6.6. Τροποποίηση των όρων του παρόντος γίνεται με ανάρτηση στην Ιστοσελίδα/Πλατφόρμα και στον Λογαριασμό της Επιχείρησης με ενημέρωσή μέσω e-mail 15 μέρες πριν την εφαρμογή των τροποποιήσεων. Η προαναφερθείσα προθεσμία προειδοποίησης των χρηστών και των Επιχειρήσεων δεν εφαρμόζεται σε περίπτωση που η τροποποίηση γίνεται στο πλαίσιο συμμόρφωσης της Εταιρείας με νομική ή κανονιστική της υποχρέωση ή αντιμετώπισης απρόβλεπτου και επικείμενου κινδύνου και προστασίας της Πλατφόρμας ή/και των χρηστών της.

Παράρτημα Α
Περιγραφή Επεξεργασίας Προσωπικών Δεδομένων

Στον παρακάτω πίνακα παρουσιάζονται οι λεπτομέρειες επεξεργασίας των Προσωπικών Δεδομένων, οι οποίες δύνανται να αναθεωρούνται σύμφωνα με τις πράξεις επεξεργασίας που πραγματοποιούνται.

Στοιχεία Επεξεργασίας
Αντικείμενο – Σκοποί Επεξεργασίας Η παροχή των Υπηρεσιών σύμφωνα με τους Όρους Χρήσης.
Διάρκεια Επεξεργασίας Κατά την διάρκεια της σύμβασης: διατηρούνται για όσο χρόνο επιλέξει ο Πελάτης (24 ή περισσότερους μήνες)
Κατά την λήξη της σύμβασης: διαγράφονται μετά από 6 μήνες από την λήξη της σύμβασης.
Φύση – Πράξεις Επεξεργασίας - Συλλογή δεδομένων από το panel όταν η Επιχείρηση εισάγει τα Προσωπικά Δεδομένα μέσω της ειδικής φόρμας ή excel στο panel.
- Συλλογή δεδομένων από το CRM (πρόγραμμα Customer Relationship Management - Διαχείρισης Πελατειακών Σχέσεων) ή πλατφόρμας eshop του Πελάτη. Η συλλογή δεδομένων πραγματοποιείται μέσω μιας αυτοματοποιημένης διασύνδεσης με το e-shop του Πελάτη, που επιτρέπει την διαβίβαση των δεδομένων στην Πλατφόρμα για την εκτέλεση των Υπηρεσιών και αποθήκευση στη βάση δεδομένων της Εταιρείας.
- Αυτοματοποιημένη μετατροπή των δεδομένων σε δομημένα δεδομένα (structured data) ώστε να είναι αναγνώσιμα από την πλατφόρμα των εταιρειών ταχυμεταφοράς-courier που συνεργάζεται ο Πελάτης προκειμένου να εκτελεστεί η διαδικασία αποστολής των προϊόντων προς τον τελικό πελάτη για το Voucher Creation & Smart Tracking και αποθήκευση στο σύστημα της Εταιρείας.
- Διαβίβαση των δομημένων δεδομένων στην πλατφόρμα των συνεργαζόμενων με τον εκάστοτε Πελάτη τρίτων εταιρειών ταχυμεταφοράς – courier καθ’υπόδειξη του Πελάτη προς εκτέλεση των υπηρεσιών τους για την μεταφορά των προϊόντων προς τον τελικό πελάτη.
- Διαβίβαση των δεδομένων σε παρόχους SMS/Viber για τις ειδοποιήσεις του τελικού πελάτη σχετικά με την παραγγελία του
- Φιλοξενία- φύλαξη ( hosting) των δομημένων δεδομένων (structured data) στον Λογαριασμό του Πελάτη στην Πλατφόρμα.
- Χρήση e-mails για την αποστολή transactional emails και newsletters.
Τύποι προσωπικών δεδομένων που υπόκεινται σε επεξεργασία
Παραγγελίες Αποστολές SMS/Viber Call Requests
Ονοματεπώνυμο Ονοματεπώνυμο Κείμενο (μπορεί να περιλαμβάνει voucher number, order id) Όνομα
Email Email Τηλέφωνο Τηλέφωνο
Τηλέφωνο Τηλέφωνο Κατάσταση (πχ seen, clicked, opened) Email
Κινητό Κινητό Ημερομηνια αποστολής
Πλήρη διεύθυνση (Οδός, Αριθμός, Περιοχή, Χώρα, ΤΚ) Πλήρη διεύθυνση (Οδός, Αριθμός, Περιοχή, Χώρα, ΤΚ)
Προϊόντα (τίτλος, τιμή, ποσότητα κλπ) Προϊόντα (τίτλος, τιμή, ποσότητα κλπ)
Voucher number
Κατηγορίες Υποκειμένων Δεδομένων Τελικοί πελάτες (φυσικά πρόσωπα) Πελατών Εταιρείας (αποστολείς – παραλήπτες).

Παράρτημα Β
Τεχνικά και Οργανωτικά Μέτρα Ασφαλείας

Τηρούμε επί του παρόντος τα τεχνικά και οργανωτικά μέτρα ασφαλείας που περιγράφονται στο παρόν Παράρτημα Β, τα οποία είναι κατάλληλα προκειμένου να διασφαλίζεται το απαραίτητο επίπεδο ασφάλειας έναντι των κινδύνων που δύνανται να προκύψουν για τα υποκείμενα των δεδομένων λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, διαθέσιμα παρακάτω:

Έλεγχος Πρόσβασης (Access Control)

  • Περιορισμός πρόσβασης σε εξουσιοδοτημένους χρήστες μόνο.
  • Χρήση μοναδικών αναγνωριστικών χρήστη (user IDs) και ισχυρών κωδικών πρόσβασης.
  • Υλοποίηση ελέγχων ταυτοποίησης δύο παραγόντων (2FA) όπου είναι δυνατό.
  • Περιοδική αναθεώρηση δικαιωμάτων πρόσβασης.

Κρυπτογράφηση και Διαχείριση Δεδομένων (Encryption and Data Management)

  • Χρήση πρωτοκόλλων ασφαλείας όπως TLS και HTTPS.
  • Ασφαλής καταστροφή δεδομένων όταν δεν είναι πλέον απαραίτητα.

Προστασία Δικτύου (Network Security)

  • Εγκατάσταση και συντήρηση τείχους προστασίας (firewalls).
  • Χρήση VPN για ασφαλή απομακρυσμένη πρόσβαση.

Φυσική Ασφάλεια (Physical Security)

  • Συναγερμός ασφαλείας.

Ανθεκτικότητα και Ακεραιότητα Συστημάτων (System Resilience and Integrity)

  • Υλοποίηση πολιτικών δημιουργίας αντιγράφων ασφαλείας (backup) και τακτική επαλήθευση αποκατάστασης.
  • Σχέδια συνέχισης λειτουργίας (Business Continuity Plans - BCP) και αποκατάστασης καταστροφών (Disaster Recovery Plans - DRP).
  • Χρήση λογισμικού προστασίας από ιούς και κακόβουλο λογισμικό.

Καταγραφή και Παρακολούθηση (Logging and Monitoring)

  • Διατήρηση αρχείων καταγραφής για κρίσιμες ενέργειες.
  • Παρακολούθηση συστημάτων για ύποπτες δραστηριότητες.

Εκπαίδευση και Ενημέρωση (Training and Awareness)

  • Τακτική εκπαίδευση προσωπικού για την προστασία δεδομένων και την ασφάλεια πληροφοριών.
  • Ενημέρωση για αναδυόμενες απειλές και ευπάθειες.

Υποδομή και Λειτουργία Συστημάτων (Infrastructure and Operations)

  • Χρήση υποδομών cloud πιστοποιημένων με ISO 27001 ή αντίστοιχες πιστοποιήσεις.
  • Τακτική ενημέρωση λογισμικού και εφαρμογή patches ασφαλείας.

Παράρτημα Γ
Λίστα Υπεργολάβων/Υπό – Εκτελούντων την Επεξεργασία

Η Εταιρεία μας αναθέτει σε Υπό – Εκτελούντες την Επεξεργασία την παροχή μέρος των εργασιών για την παροχή των Υπηρεσιών της και κατ’ επέκταση την επεξεργασία των Προσωπικών Δεδομένων. Ο πίνακας που περιλαμβάνει τον κατάλογο των Υπό- Εκτελούντων την επεξεργασία και τις απαραίτητες πληροφορίες γι’ αυτούς σύμφωνα με την Κείμενη Νομοθεσία Προστασίας Δεδομένων είναι διαθέσιμος παρακάτω:

Επωνυμία και έδρα Υπεργολάβου/Υπό-Εκτελούντος την Επεξεργασία Στοιχεία επικοινωνίας του εντεταλμένου προσώπου του Υπό–Εκτελούντος την Επεξεργασία για θέματα προστασίας δεδομένων Αντικείμενο και σκοπός της επεξεργασίας / Περιγραφή των υπηρεσιών Χώρα επεξεργασίας (έδρα και server)
Dataways A.E.
Γ.Σχολής 27, 57001 Θέρμη 		Δημήτρης Παπαδόπουλος
[email protected],
2310953953 		Παροχή διακομιστών για την λειτουργία της υπηρεσίας Ελλάδα
M-STAT Α.Ε.
Σινώπης 6, 11527, Αθήνα, Ελλάδα 		Ηλιάνα Κωστή DPO
[email protected]		 Αποστολή sms/viber μηνυμάτων Ελλάδα, Αττική Lamda Helix
Γ.ΧΡΙΣΤΟΦΟΡΟΥ- Ι.ΜΗΛΙΑΡΕΣΗΣ Ο.Ε
ΒΕΝΙΖΕΛΟΥ 32, ΧΑΛΚΙΔΕΩΝ, ΕΥΒΟΙΑΣ, 34100 		Χριστοφόρου Γεώργιος
[email protected]
2102110409 		Αποστολή sms μηνυμάτων Ελλάδα
Mailgun [email protected] Αποστολή των transactional emails Europe
Brevo / SENDINBLUE [email protected] Αποστολή των marketing/προωθητικών emails European Union
SOFT ONE TECHNOLOGIES Α.Ε. ΔΡΑΚΟΠΟΥΛΟΣ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ
(+30) 210 6836561
[email protected],[email protected] 		Λογιστικό πρόγραμμα / ERP Windows Azure εντός της Ε.Ε.
VOICELAND AE Ιωάννης Καλαντζάκης
[email protected] 		Παροχή τηλεφωνικού κέντρου και υπηρεσίες τηλεφωνίας Φρανκφούρτη, Γερμανίας