Συμφωνία Επεξεργασίας Δεδομένων

DATA PROCESSING AGREEMENT (DPA)

AI instech Hub – GDPR Άρθρο 28

Τελευταία Ενημέρωση: Νοέμβριος 2025
Έκδοση: 1.0

1. ΕΙΣΑΓΩΓΗ

1.1 Σκοπός

Το παρόν Data Processing Agreement («DPA») ρυθμίζει την επεξεργασία Προσωπικών Δεδομένων που πραγματοποιείται από την instech («Εκτελών την Επεξεργασία» / «Processor») για λογαριασμό του Συνδρομητή («Υπεύθυνος Επεξεργασίας» / «Controller») σύμφωνα με το Άρθρο 28 του GDPR.

1.2 Νομικό Πλαίσιο

Το παρόν DPA συμμορφώνεται με: – GDPR – Γενικός Κανονισμός Προστασίας Δεδομένων (EU 2016/679) – Ν. 4624/2019 – Ελληνική νομοθεσία για την προστασία δεδομένων – ePrivacy Directive (2002/58/EC) – EDPB Guidelines για Controllers & Processors

1.3 Ιεραρχία Εγγράφων

Σε περίπτωση αντίφασης, η σειρά ισχύος είναι:

  1. Το παρόν DPA
  2. Γενικοί Όροι Χρήσης
  3. Privacy Policy
  4. Άλλες πολιτικές

1.4 Ορισμοί

Προσωπικά Δεδομένα: Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (Άρθρο 4(1) GDPR).

Επεξεργασία: Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε Προσωπικά Δεδομένα (Άρθρο 4(2) GDPR).

Υπεύθυνος Επεξεργασίας (Controller): Ο Συνδρομητής που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας.

Εκτελών την Επεξεργασία (Processor): Η instech που επεξεργάζεται δεδομένα για λογαριασμό του Controller.

Υπεργολάβος (Sub-processor): Τρίτο μέρος που προσλαμβάνεται από τον Processor για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας.

Παραβίαση Δεδομένων (Data Breach): Παραβίαση της ασφάλειας που οδηγεί σε καταστροφή, απώλεια, μεταβολή, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε δεδομένα (Άρθρο 4(12) GDPR).

Υποκείμενο των Δεδομένων (Data Subject): Το φυσικό πρόσωπο στο οποίο αναφέρονται τα Προσωπικά Δεδομένα.

2. ΡΟΛΟΙ & ΕΥΘΥΝΕΣ

2.1 Καθορισμός Ρόλων

instech ΩΣ PROCESSOR (Εκτελών την Επεξεργασία)

Για τα ακόλουθα δεδομένα:

Α. Δεδομένα Πελατών του Συνδρομητή (Customer/Lead Data): – Στοιχεία επαφών που συλλέγει ο Συνδρομητής μέσω του website του – Email lists – Form submissions – Contact forms – Lead generation data – Customer relationship data – Analytics data των επισκεπτών του website του Συνδρομητή

Ρόλος: PROCESSOR (instech επεξεργάζεται για λογαριασμό του Συνδρομητή)

instech ΩΣ CONTROLLER (Υπεύθυνος Επεξεργασίας)

Για τα ακόλουθα δεδομένα:

Β. Δεδομένα Λογαριασμού του Συνδρομητή: – Στοιχεία εγγραφής (όνομα, email, τηλέφωνο) – Στοιχεία τιμολόγησης (ΑΦΜ, ΔΟΥ, διεύθυνση) – Πληρωμές & τιμολόγια – Support tickets – Usage analytics της πλατφόρμας instech

Ρόλος: CONTROLLER (instech καθορίζει τους σκοπούς & μέσα)

Αυτό το DPA καλύπτει μόνο τα δεδομένα της Κατηγορίας Α (όπου instech = PROCESSOR).

2.2 Υποχρεώσεις του Controller (Συνδρομητή)

Ο Συνδρομητής, ως Controller, είναι υπεύθυνος για:

Νομική Βάση: – Να έχει έγκυρη νομική βάση για την επεξεργασία (Άρθρο 6 GDPR) – Συγκατάθεση, σύμβαση, έννομο συμφέρον, κλπ.

Διαφάνεια: – Να ενημερώνει τα Υποκείμενα των Δεδομένων (Privacy Policy) – Να τους γνωστοποιεί ότι η instech ενεργεί ως Processor

GDPR Compliance: – Να συμμορφώνεται με όλες τις υποχρεώσεις του GDPR – Να απαντά σε Data Subject Requests (DSR) – Να διεξάγει Data Protection Impact Assessments (DPIA) όπου απαιτείται

Οδηγίες προς τον Processor: – Να παρέχει σαφείς, νόμιμες οδηγίες για την επεξεργασία – Να μην ζητά παράνομη επεξεργασία

Data Breaches: – Να ειδοποιεί την ΑΠΔΠΧ εντός 72 ωρών (όπου απαιτείται) – Να ειδοποιεί τα Υποκείμενα (όπου απαιτείται)

2.3 Υποχρεώσεις του Processor (instech)

Η instech, ως Processor, δεσμεύεται να:

Επεξεργασία μόνο με Οδηγίες: – Να επεξεργάζεται δεδομένα μόνο σύμφωνα με τις τεκμηριωμένες οδηγίες του Controller – Να μην χρησιμοποιεί τα δεδομένα για δικούς της σκοπούς

Εμπιστευτικότητα: – Να διασφαλίζει ότι όλα τα πρόσωπα με πρόσβαση έχουν υπογράψει συμφωνίες εμπιστευτικότητας

Ασφάλεια: – Να εφαρμόζει κατάλληλα τεχνικά & οργανωτικά μέτρα (Άρθρο 32 GDPR)

Sub-processors: – Να χρησιμοποιεί μόνο εγκεκριμένους Sub-processors – Να ειδοποιεί τον Controller για αλλαγές

Data Breaches: – Να ειδοποιεί τον Controller εντός 24 ωρών από την ανακάλυψη

Βοήθεια στον Controller: – Να βοηθά στην απάντηση Data Subject Requests – Να βοηθά σε DPIA όπου απαιτείται – Να παρέχει όλες τις απαραίτητες πληροφορίες για audits

Διαγραφή/Επιστροφή: – Να διαγράφει ή επιστρέφει τα δεδομένα μετά το τέλος της Σύμβασης

3. ΦΥΣΗ & ΣΚΟΠΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

3.1 Κατηγορίες Δεδομένων

Το instech επεξεργάζεται τα ακόλουθα δεδομένα ως Processor:

Κατηγορία 1: Στοιχεία Επαφών (Contact Data)

  • Ονοματεπώνυμο
  • Email address
  • Τηλέφωνο
  • Εταιρεία / Επάγγελμα
  • Διεύθυνση (προαιρετικά)

Κατηγορία 2: Δεδομένα Συμπεριφοράς (Behavioral Data)

  • IP address (anonymized μετά 90 ημέρες)
  • Browser & device information
  • Pages visited
  • Click behavior
  • Form submissions
  • Time spent on site

Κατηγορία 3: Δεδομένα Επικοινωνίας (Communication Data)

  • Email conversations (αν χρησιμοποιείτε Mailchimp integration)
  • Chat logs (αν χρησιμοποιείτε chat plugin)
  • Comments/Reviews

Κατηγορία 4: Δεδομένα Συναλλαγών (Transaction Data – αν εφαρμόζεται)

  • Order details (για e-shop πακέτα)
  • Payment status (ΌΧΙ card details – αυτά πηγαίνουν στο Viva Wallet)
  • Purchase history

ΣΗΜΑΝΤΙΚΟ: Το instech ΔΕΝ επεξεργάζεται: – Ευαίσθητα προσωπικά δεδομένα (Special Categories – Άρθρο 9 GDPR) – Δεδομένα παιδιών (κάτω των 16 ετών) – Ποινικά αρχεία – Βιομετρικά/γενετικά δεδομένα

Αν ο Controller επιθυμεί να επεξεργαστεί Special Categories data: – Απαιτείται ρητή γραπτή συγκατάθεση από το instech – Επιπλέον μέτρα ασφαλείας – Αυξημένη τιμολόγηση

3.2 Υποκείμενα των Δεδομένων

Τα Υποκείμενα είναι: – Πελάτες του Συνδρομητή (customers, leads, prospects) – Επισκέπτες του website του Συνδρομητή – Συνδρομητές σε newsletters – Χρήστες που υποβάλλουν forms

Γεωγραφική Εμβέλεια: Κυρίως EEA (European Economic Area), αλλά μπορεί να περιλαμβάνει και τρίτες χώρες.

3.3 Σκοποί Επεξεργασίας

Η instech επεξεργάζεται τα δεδομένα για τους ακόλουθους σκοπούς:

Α. Hosting & Technical Operations – Φιλοξενία του website – Database management – Backups & disaster recovery – Performance optimization – Technical support

Β. Email Services (αν χρησιμοποιείται Mailchimp integration) – Email campaign management – Newsletter distribution – Email analytics

Γ. Analytics & Reporting (αν χρησιμοποιείται) – Website analytics (Google Analytics) – Heatmaps (Hotjar) – Conversion tracking

Δ. Lead Management – Form submissions – Lead capture – CRM integration (αν χρησιμοποιείται)

Ε. E-commerce (για e-shop πακέτα) – Order processing – Payment facilitation (μέσω Viva Wallet) – Order management

ΚΑΝΕΝΑΣ ΑΛΛΟΣ ΣΚΟΠΟΣ – Η instech δεν χρησιμοποιεί τα δεδομένα για: – Marketing για δικό της λογαριασμό – Profiling – Cross-selling σε άλλους πελάτες – Training AI models – Πώληση σε τρίτους

3.4 Διάρκεια Επεξεργασίας

Κατά τη διάρκεια της Συνδρομής: – Τα δεδομένα αποθηκεύονται ενεργά

Μετά τον Τερματισμό:0-30 ημέρες: Grace period (δεδομένα διατηρούνται) – 30-38 ημέρες: Backup διαθέσιμο για download – 38+ ημέρες: Πλήρης διαγραφή

Εξαιρέσεις: Logs & audit trails διατηρούνται για 90 ημέρες (νομική υποχρέωση).

4. ΥΠΕΡΓΟΛΑΒΟΙ (SUB-PROCESSORS)

4.1 Γενική Εξουσιοδότηση

Ο Controller εξουσιοδοτεί την instech να χρησιμοποιεί Sub-processors για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας.

4.2 Τρέχοντες Sub-processors

Η instech χρησιμοποιεί τους ακόλουθους Sub-processors:

1. Cloudflare (CDN & Security)

  • Εδρα: USA
  • Υπηρεσία: Content Delivery Network, DDoS protection
  • Δεδομένα: IP addresses (anonymized), request logs
  • Διασφαλίσεις: Standard Contractual Clauses (SCCs), Supplementary Measures
  • Certification: ISO 27001, SOC 2 Type II

2. Viva Wallet (Payment Processing)

  • Εδρα: Ελλάδα / EU
  • Υπηρεσία: Payment processing
  • Δεδομένα: Payment details, transaction data
  • Διασφαλίσεις: PCI-DSS Level 1
  • Certification: ISO 27001

3. Google Analytics (Analytics – Προαιρετικό)

  • Εδρα: USA
  • Υπηρεσία: Website analytics
  • Δεδομένα: Anonymized usage data, IP addresses (anonymized)
  • Διασφαλίσεις: SCCs, Google’s Data Processing Amendment
  • Ενεργοποίηση: Μόνο με ρητή συγκατάθεση του Controller

4. Mailchimp (Email Marketing – Προαιρετικό)

  • Εδρα: USA
  • Υπηρεσία: Email campaign management
  • Δεδομένα: Email addresses, names, campaign data
  • Διασφαλίσεις: SCCs
  • Ενεργοποίηση: Μόνο αν ο Controller επιλέξει integration

Πλήρης Λίστα: www.instech.shop/subprocessors

4.3 Αλλαγές σε Sub-processors

Προσθήκη ή Αντικατάσταση:

Βήμα 1: Ειδοποίηση – Email στον Controller 30 ημέρες πριν την αλλαγή – Με στοιχεία του νέου Sub-processor

Βήμα 2: Δικαίωμα Αντίταξης – Ο Controller έχει 15 ημέρες να αντιταχθεί – Πρέπει να δώσει αιτιολογημένη αντίρρηση (π.χ. concerns σχετικά με GDPR compliance)

Βήμα 3: Επίλυση – Αν υπάρχει αντίταξη: Διαπραγμάτευση ή τερματισμός χωρίς ποινή

Emergency Sub-processors: – Σε περίπτωση επείγουσας ανάγκης (π.χ. data center failure), η instech μπορεί να προσθέσει Sub-processor χωρίς 30 ημέρες notice – Αλλά θα ειδοποιήσει εντός 48 ωρών

4.4 Ευθύνη για Sub-processors

Η instech παραμένει πλήρως υπεύθυνη για τις ενέργειες των Sub-processors της.

Αν ένας Sub-processor παραβιάσει το GDPR: – Η instech είναι υπεύθυνη έναντι του Controller – Σαν να το έκανε η ίδια η instech

5. ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ

5.1 Data Subject Requests (DSR)

Ο Controller είναι κύριος υπεύθυνος για την απάντηση σε Data Subject Requests.

Η instech βοηθά τον Controller παρέχοντας τα εργαλεία & δεδομένα που χρειάζεται.

5.2 Τύποι Αιτημάτων

1. Δικαίωμα Πρόσβασης (Right of Access – Άρθρο 15)

Τι χρειάζεται ο Controller: – Αντίγραφο όλων των δεδομένων του Data Subject

Πώς βοηθά η instech: – Export functionality στο dashboard – Παροχή database dump (αν χρειάζεται) – Response time: 48 ώρες από αίτημα του Controller

2. Δικαίωμα Διόρθωσης (Right to Rectification – Άρθρο 16)

Τι χρειάζεται ο Controller: – Διόρθωση ανακριβών δεδομένων

Πώς βοηθά η instech: – Edit functionality στο dashboard – Ο Controller μπορεί να διορθώσει μόνος του – Αν χρειάζεται βοήθεια: Support ticket

3. Δικαίωμα Διαγραφής / “Right to be Forgotten” (Άρθρο 17)

Τι χρειάζεται ο Controller: – Διαγραφή όλων των δεδομένων του Data Subject

Πώς βοηθά η instech: – Delete functionality στο dashboard – Hard delete (όχι soft delete) – διαγραφή από database + backups – Response time: 48 ώρες από αίτημα – Εξαιρέσεις: Logs που διατηρούνται για νομική υποχρέωση (90 ημέρες) – anonymized

4. Δικαίωμα Περιορισμού (Right to Restriction – Άρθρο 18)

Τι χρειάζεται ο Controller: – Προσωρινός περιορισμός της επεξεργασίας

Πώς βοηθά η instech: – “Freeze” functionality – τα δεδομένα διατηρούνται αλλά δεν επεξεργάζονται – Response time: 24 ώρες

5. Δικαίωμα Φορητότητας (Right to Data Portability – Άρθρο 20)

Τι χρειάζεται ο Controller: – Δεδομένα σε machine-readable format

Πώς βοηθά η instech: – Export σε JSON, CSV, XML – API access (για Premium+ πακέτα) – Response time: 48 ώρες

6. Δικαίωμα Αντίταξης (Right to Object – Άρθρο 21)

Τι χρειάζεται ο Controller: – Διακοπή επεξεργασίας για συγκεκριμένους σκοπούς

Πώς βοηθά η instech: – Disable specific integrations (π.χ. analytics) – Response time: 24 ώρες

5.3 Διαδικασία

Βήμα 1: Το Data Subject επικοινωνεί με τον Controller (όχι με την instech)

Βήμα 2: Ο Controller αξιολογεί το αίτημα & επαληθεύει την ταυτότητα

Βήμα 3: Ο Controller ενημερώνει την instech (μέσω dashboard ή email: dsr@instech.ai)

Βήμα 4: Η instech παρέχει τα εργαλεία/δεδομένα εντός των committed response times

Βήμα 5: Ο Controller απαντά στο Data Subject (εντός 30 ημερών GDPR deadline)

ΣΗΜΑΝΤΙΚΟ: Αν η instech λάβει DSR απευθείας από Data Subject, θα το προωθήσει στον Controller εντός 48 ωρών.

6. ΠΑΡΑΒΙΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ (DATA BREACHES)

6.1 Ορισμός Data Breach

Σύμφωνα με το Άρθρο 4(12) GDPR, Data Breach είναι: – Παραβίαση ασφάλειας – Που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση – Σε προσωπικά δεδομένα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν σε επεξεργασία

Παραδείγματα: – Hacking attack που αποκαλύπτει δεδομένα – Ransomware που κρυπτογραφεί δεδομένα – Accidental deletion που δεν μπορεί να ανακτηθεί από backup – Unauthorized access από εργαζόμενο – Lost/stolen device με unencrypted data – Misconfiguration που εκθέτει database publicly

6.2 Υποχρεώσεις της instech (Processor)

Άμεση Ανίχνευση: – 24/7 monitoring για security incidents

Ειδοποίηση του Controller:Εντός 24 ωρών από την ανακάλυψη – Email στο contact email του Controller – + SMS (αν διαθέσιμο) – + Phone call (για σοβαρά incidents)

Initial Notification περιλαμβάνει: – Περιγραφή του incident – Πότε συνέβη (ή εκτίμηση) – Τι δεδομένα επηρεάστηκαν (κατηγορίες & αριθμός records) – Πόσα Data Subjects επηρεάστηκαν (εκτίμηση) – Preliminary assessment της σοβαρότητας – Immediate actions που έχουν ληφθεί (containment)

Follow-up Report (εντός 72 ωρών): – Detailed root cause analysis – Full impact assessment – Δεδομένα που επηρεάστηκαν (ακριβής λίστα) – Remediation plan – Measures για πρόληψη παρόμοιων incidents – Timeline

Ongoing Updates: – Κάθε 24 ώρες μέχρι την πλήρη επίλυση

6.3 Υποχρεώσεις του Controller

Αξιολόγηση: – Να αξιολογήσει το incident εντός 24 ωρών από την ειδοποίηση

Notification στην ΑΠΔΠΧ:Εντός 72 ωρών αν το breach είναι πιθανό να θέσει σε κίνδυνο τα δικαιώματα των Data Subjects (Άρθρο 33 GDPR) – Η instech θα βοηθήσει με την προετοιμασία του notification

Notification στα Data Subjects:Χωρίς αδικαιολόγητη καθυστέρηση αν το breach είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα τους (Άρθρο 34 GDPR) – Η instech θα βοηθήσει με: – Template email – Λίστα επηρεαζόμενων Data Subjects (αν διαθέσιμη)

6.4 Βοήθεια της instech

Το instech παρέχει: – Technical details για το incident – Impact assessment – Breach notification templates – Communication support – Post-incident security improvements – Χωρίς επιπλέον κόστος (εντός εύλογου)

6.5 Ευθύνη & Αποζημίωση

Αν το breach οφείλεται σε:

Σφάλμα της instech: – Η instech ευθύνεται – Ενδέχεται να οφείλει αποζημίωση (περιορισμένη σύμφωνα με τους Γενικούς Όρους)

Σφάλμα του Controller: – Ο Controller ευθύνεται – π.χ. weak passwords, misconfiguration, sharing credentials

Third-party attack: – Shared responsibility – Αξιολογείται case-by-case

7. ΤΕΧΝΙΚΑ & ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ

7.1 Τεχνικά Μέτρα (Άρθρο 32 GDPR)

Α. Κρυπτογράφηση

In Transit: – TLS 1.3 για όλες τις επικοινωνίες (HTTPS) – Perfect Forward Secrecy (PFS) – Strong ciphers μόνο (AES-256, ChaCha20)

At Rest: – Database encryption (AES-256) – Backup encryption (AES-256) – Encrypted file storage

Application Level: – Passwords: bcrypt (cost factor 12) – API keys: Hashed & salted – Sensitive fields: Encrypted στο database

Β. Access Control

Authentication: – Strong password policy (min 12 chars, complexity requirements) – Multi-factor authentication (2FA) για admin accounts – Session timeouts (30 λεπτά inactivity) – Brute force protection

Authorization: – Role-Based Access Control (RBAC) – Principle of least privilege – Separate admin/user privileges

Network: – Firewall rules (whitelist-based) – IP restrictions για admin access – VPN για internal systems

Γ. Security Monitoring

Intrusion Detection: – IDS/IPS systems – Log monitoring – Anomaly detection

Malware Protection: – Daily malware scans – Real-time threat detection – Automatic quarantine

Vulnerability Management: – Weekly vulnerability scans – Patch management (24-72h for critical patches) – Penetration testing (quarterly – internal)

Δ. Backups & Disaster Recovery

Backup Strategy: – Daily full backups (03:00 EET) – Incremental backups every 6h (Premium+) – Off-site backup replication – Encrypted backups (AES-256)

Retention: – Last 30 days: Daily backups – 30-90 days: Weekly backups

Testing: – Monthly restore tests – Disaster recovery drills (quarterly)

RTO/RPO: – Βλ. SLA για committed times

7.2 Οργανωτικά Μέτρα

Α. Staff Training & Awareness

Training: – GDPR training για όλο το staff (ετήσια) – Security awareness training (τριμηνιαία) – Phishing simulations

Confidentiality: – Όλοι οι εργαζόμενοι υπογράφουν NDAs – Restricted access policy – Clean desk policy

Β. Vendor Management

Sub-processor Due Diligence: – Security assessment πριν την πρόσληψη – Annual reviews – Contract compliance monitoring

DPAs με Sub-processors: – Όλοι οι Sub-processors έχουν υπογράψει DPAs – GDPR-compliant terms

Γ. Incident Response

Incident Response Plan: – Documented procedures – Defined roles & responsibilities – Communication templates – Escalation paths

Response Times: – Detection: 24/7 monitoring – Containment: <2 ώρες – Notification: <24 ώρες (στον Controller)

Δ. Audits & Compliance

Internal Audits: – Quarterly security audits – Annual GDPR compliance reviews – Continuous improvement

External Audits: – Annual penetration tests (on request – για Premium+) – Compliance certifications (planning ISO 27001)

7.3 Data Minimization & Pseudonymization

Data Minimization: – Συλλέγουμε μόνο αναγκαία δεδομένα – Regular data cleanup – Automated deletion για expired data

Pseudonymization: – IP addresses: Anonymized μετά 90 ημέρες – Analytics: Aggregated & anonymized – Logs: PII removed where possible

8. AUDITS & ΕΠΙΘΕΩΡΗΣΕΙΣ

8.1 Δικαίωμα Επιθεώρησης του Controller

Ο Controller έχει το δικαίωμα να επιθεωρήσει (audit) την instech για να επαληθεύσει τη συμμόρφωση με το παρόν DPA.

8.2 Τύποι Audits

Α. Documentation Reviews

Τι περιλαμβάνει: – Review policies & procedures – Security documentation – Sub-processor agreements – Incident logs

Πότε: – Ανά πάσα στιγμή (με 30 ημέρες notice) – Κόστος: Δωρεάν (1 φορά/έτος)

Β. Questionnaire-Based Audits

Τι περιλαμβάνει: – Completion of GDPR questionnaire – Evidence provision (certificates, policies)

Πότε: – Ανά πάσα στιγμή – Κόστος: Δωρεάν (unlimited)

Γ. On-Site Audits

Τι περιλαμβάνει: – Physical inspection των data centers (με escort) – Interview με staff – Technical demonstrations

Πότε: – Με 60 ημέρες notice – Business hours μόνο – Κόστος: Χρέωση (€500/ημέρα για staff time) – Περιορισμός: Μέχρι 1 φορά/έτος (εκτός αν υπάρχει βάσιμη υποψία παραβίασης)

8.3 Υποχρέωση Παροχής Πληροφοριών

Η instech δεσμεύεται να:

Παρέχει: – Όλες τις απαραίτητες πληροφορίες για audit – Access σε relevant documentation – Cooperation με auditors

Εντός: – 30 ημερών από αίτημα (για documentation) – Κατά τη διάρκεια του on-site audit (για live demos)

Εξαιρέσεις: – Trade secrets προστατεύονται (με NDAs) – Multi-tenant security information (που θα μπορούσε να επηρεάσει άλλους πελάτες)

8.4 Συνέπειες Non-Compliance

Αν το audit αποκαλύψει παραβίαση:

Minor issues: – Remediation plan εντός 30 ημερών – Follow-up audit (6 μήνες)

Major issues: – Άμεση remediation (7-14 ημέρες) – Ο Controller έχει δικαίωμα τερματισμού (χωρίς ποινή)

9. ΔΙΕΘΝΕΙΣ ΜΕΤΑΒΙΒΑΣΕΙΣ

9.1 Τοποθεσίες Επεξεργασίας

Primary Data Center:Τοποθεσία: Ελλάδα / EU – Όλα τα δεδομένα αποθηκεύονται εντός EEA

Backup Data Center:Τοποθεσία: EU (άλλη χώρα – για disaster recovery)

Sub-processors εκτός ΕΕ: – Cloudflare (USA) – Google Analytics (USA – προαιρετικό) – Mailchimp (USA – προαιρετικό)

9.2 Διασφαλίσεις για Μεταβιβάσεις εκτός ΕΟΧ

Για Sub-processors εκτός ΕΟΧ, η instech χρησιμοποιεί:

Standard Contractual Clauses (SCCs)

  • Εγκεκριμένες από την Ευρωπαϊκή Επιτροπή (Commission Implementing Decision (EU) 2021/914)
  • Υπογεγραμμένες με όλους τους Sub-processors εκτός ΕΟΧ

Supplementary Measures (Schrems II Compliance)

Σύμφωνα με EDPB Recommendations 01/2020:

Technical Measures: – Encryption in transit & at rest – Pseudonymization όπου δυνατόν – Access controls & authentication – Multi-party encryption (όπου εφικτό)

Organizational Measures: – Contractual obligations για προστασία από government access – Transparency reports – Legal resistance commitments

Assessment: – Case-by-case assessment για κάθε Sub-processor – Documented Transfer Impact Assessments (TIAs)

9.3 Adequacy Decisions

Αν η Ευρωπαϊκή Επιτροπή εκδώσει Adequacy Decision για μια χώρα: – Η μεταβίβαση σε αυτή τη χώρα θα βασίζεται στην Adequacy Decision – Οι SCCs θα παραμείνουν ως fallback

9.4 Δικαίωμα Αντίταξης

Ο Controller μπορεί να αντιταχθεί σε μεταβιβάσεις σε συγκεκριμένες χώρες αν: – Έχει βάσιμες ανησυχίες για GDPR compliance – Η νομοθεσία της χώρας δεν προσφέρει επαρκή προστασία

Σε αυτή την περίπτωση: – Η instech θα προσπαθήσει να βρει εναλλακτικούς Sub-processors εντός ΕΟΧ – Αν δεν είναι δυνατόν → Δικαίωμα τερματισμού (χωρίς ποινή)

10. ΔΙΑΓΡΑΦΗ & ΕΠΙΣΤΡΟΦΗ ΔΕΔΟΜΕΝΩΝ

10.1 Μετά τον Τερματισμό της Σύμβασης

Εντός 30 ημερών από τον τερματισμό:

Επιλογή Α: Επιστροφή Δεδομένων

Τι περιλαμβάνει: – Πλήρες backup (database + files) – Machine-readable format (SQL, JSON, XML) – Download link (έγκυρο για 7 ημέρες)

Κόστος: Δωρεάν (1 φορά)

Επιλογή Β: Διαγραφή Δεδομένων

Τι περιλαμβάνει: – Πλήρης διαγραφή από production databases – Διαγραφή από backups (εντός 30 ημερών) – Secure deletion (overwriting)

Κόστος: Δωρεάν

ΑΝ ΔΕΝ ΕΠΙΛΕΞΕΙ Ο CONTROLLER: – Default: Διαγραφή μετά την 38η ημέρα

10.2 Certification της Διαγραφής

Κατόπιν αιτήματος, η instech θα παράσχει: – Γραπτή βεβαίωση (Certification of Deletion) – Ημερομηνία διαγραφής – Μέθοδος διαγραφής – Υπογεγραμμένη από DPO

Χρόνος: Εντός 14 ημερών από αίτημα

10.3 Εξαιρέσεις

Τα ακόλουθα ΔΕΝ διαγράφονται:

Logs για νομικούς λόγους: – Audit logs (90 ημέρες) – Security logs (90 ημέρες) – Anonymized – δεν περιέχουν PII

Invoicing/Tax Records: – Τιμολόγια & στοιχεία τιμολόγησης (7 έτη – νομική υποχρέωση) – Αυτά αφορούν τον λογαριασμό του Συνδρομητή, όχι τα δεδομένα των πελατών του

11. ΕΠΙΚΟΙΝΩΝΙΑ & ΕΙΔΟΠΟΙΗΣΕΙΣ

11.1 Designated Contacts

Για τον Controller (Συνδρομητή): – Τα στοιχεία επικοινωνίας που παρέχονται κατά την εγγραφή

Για την instech (Processor):DPO Email: dpo@instech.ai – Data Breach Hotline: abuse@instech.ai (24/7) – DSR Email: dsr@instech.ai – Audit Requests: audit@instech.ai

11.2 Τρόπος Ειδοποίησης

Κανονικές ειδοποιήσεις: – Email (primary) – Response time: 48 ώρες

Urgent notifications (data breaches): – Email + SMS (αν διαθέσιμο) – Response time: 24 ώρες

Formal notices: – Συστημένη επιστολή (για σοβαρά θέματα) – Response time: 10 εργάσιμες ημέρες

12. ΔΙΑΡΚΕΙΑ & ΤΕΡΜΑΤΙΣΜΟΣ

12.1 Διάρκεια

Το παρόν DPA ισχύει: – Από την ημερομηνία έναρξης της Συνδρομής – Μέχρι τον τερματισμό της Σύμβασης – + 38 ημέρες (για data retention/deletion)

12.2 Τερματισμός

Το DPA τερματίζεται: – Με τον τερματισμό της Συνδρομής – Με τη λήξη της περιόδου χάριτος (38 ημέρες) – Αν ο Controller ασκήσει δικαίωμα τερματισμού (π.χ. λόγω παραβίασης)

Μετά τον τερματισμό: – Όλες οι υποχρεώσεις παραμένουν μέχρι την πλήρη διαγραφή των δεδομένων – Εμπιστευτικότητα παραμένει (αορίστως)

13. ΝΟΜΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

13.1 Εφαρμοστέο Δίκαιο

Δίκαιο: Ελληνικό & EU law (GDPR)

Δικαστήρια: Αθηνών

Supervisory Authority: ΑΠΔΠΧ (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα)

13.2 Ιεραρχία με άλλα Έγγραφα

Σε περίπτωση αντίφασης: 1. Το παρόν DPA (υπερισχύει) 2. Γενικοί Όροι Χρήσης 3. Privacy Policy

13.3 Severability

Αν κάποια διάταξη κριθεί άκυρη, οι υπόλοιπες παραμένουν σε ισχύ.

13.4 Αλλαγές στο DPA

Τροποποιήσεις: – Μόνο με γραπτή συμφωνία και των δύο μερών – Εξαίρεση: Αλλαγές λόγω νομοθετικών αλλαγών (GDPR updates) – με 30 ημέρες notice

13.5 Limitation of Liability

Η ευθύνη της instech περιορίζεται: – Στο ποσό της ετήσιας συνδρομής – Για άμεσες ζημίες μόνο

Εξαιρέσεις (unlimited liability): – Gross negligence ή willful misconduct – Data breaches λόγω έλλειψης βασικών μέτρων ασφαλείας – Παραβίαση εμπιστευτικότητας

14. ΑΠΟΔΟΧΗ DPA

Με την εγγραφή στο instech.shop και τη χρήση των Υπηρεσιών, ο Συνδρομητής:

Αποδέχεται το παρόν DPA

Συμφωνεί να ενεργεί ως Controller για τα δεδομένα των πελατών του

Εξουσιοδοτεί την instech να ενεργεί ως Processor

Εγκρίνει τη χρήση των listed Sub-processors

Ημερομηνία Τελευταίας Ενημέρωσης: Νοέμβριος 2025
Έκδοση: 1.0
Επόμενη Αναθεώρηση:

© 2024 instech. All Rights Reserved.

APPENDIX A: SUB-PROCESSORS LIST

Sub-processor

Service

Location

Safeguards

Cloudflare

CDN/Security

USA

SCCs, ISO 27001

Viva Wallet

Payments

Greece/EU

PCI-DSS

Google Analytics

Analytics

USA

SCCs, IP anonymization

Mailchimp

Email

USA

SCCs

Updated list: www.instech.ai

APPENDIX B: TECHNICAL & ORGANIZATIONAL MEASURES SUMMARY

Encryption

  • In transit: TLS 1.3
  • At rest: AES-256
  • Passwords: bcrypt

Access Control

  • 2FA for admin
  • RBAC
  • Session timeouts

Monitoring

  • 24/7 security monitoring
  • Daily malware scans
  • Intrusion detection

Backups

  • Daily full backups
  • 30-day retention
  • Encrypted & off-site

Staff

  • GDPR training (annual)
  • NDAs
  • Background checks

Questions? dpo@instech.ai

Powered by  GDPR Cookie Compliance
Επισκόπηση απορρήτου

Αυτός ο ιστότοπος χρησιμοποιεί cookies για να σας παρέχουμε την καλύτερη δυνατή εμπειρία χρήστη. Οι πληροφορίες των cookies αποθηκεύονται στο πρόγραμμα περιήγησής σας και εκτελούν λειτουργίες όπως η αναγνώρισή σας όταν επιστρέφετε στον ιστότοπό μας και βοηθώντας την ομάδα μας να καταλάβει ποια τμήματα του ιστότοπου μας θεωρείτε πιο ενδιαφέροντα και χρήσιμα.