Παράρτημα Επεξεργασίας Δεδομένων (DPA)

Παράρτημα Ι των Όρων Χρήσης · Έκδοση: 2026-07-06.1 · Έναρξη ισχύος: 6 Ιουλίου 2026 · Γλώσσα σύμβασης: ελληνική

Προοίμιο

1. Το παρόν Παράρτημα Επεξεργασίας Δεδομένων («DPA») αποτελεί αναπόσπαστο μέρος των Όρων Χρήσης της διαδικτυακής πλατφόρμας easylog (easylog.ai· η «Πλατφόρμα»), την οποία παρέχει ο Γεώργιος Τσίπος — ατομική επιχείρηση [ΑΦΜ: ____ · ΕΔΡΑ: ____ — συμπληρώνεται με την έναρξη] (ο «Πάροχος»), προς τον αντισυμβαλλόμενο επαγγελματία ή επιχείρηση (ο «Πελάτης» ή «Tenant»).

2. Το DPA γίνεται αποδεκτό μαζί με τους Όρους Χρήσης με ενεργή ηλεκτρονική δήλωση (click-wrap) κατά την εγγραφή. Η αποδοχή καταγράφεται (ταυτότητα χρήστη, χρόνος, έκδοση όρων) και το DPA διατίθεται σε αποθηκεύσιμη και εκτυπώσιμη μορφή στη διεύθυνση /dpa.

3. Το DPA εξειδικεύει τις υποχρεώσεις των μερών κατά το άρθρο 28 του Κανονισμού (ΕΕ) 2016/679 («GDPR») και τον ν. 4624/2019, όπως ισχύουν. Σε περίπτωση σύγκρουσης μεταξύ των Όρων Χρήσης και του DPA ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα, υπερισχύει το DPA.

4. Ο Πελάτης δηλώνει και εγγυάται ότι συμβάλλεται αποκλειστικά στο πλαίσιο επαγγελματικής ή επιχειρηματικής δραστηριότητας (B2B) και ότι το πρόσωπο που αποδέχεται το DPA έχει εξουσία εκπροσώπησης του Πελάτη.

Άρθρο 1 — Ορισμοί

1.1. Οι όροι «δεδομένα προσωπικού χαρακτήρα», «επεξεργασία», «υπεύθυνος επεξεργασίας», «εκτελών την επεξεργασία», «υποκείμενο των δεδομένων», «παραβίαση δεδομένων προσωπικού χαρακτήρα» και «εποπτική αρχή» έχουν την έννοια του άρθρου 4 GDPR.

1.2. «Δεδομένα Πελάτη»: κάθε δεδομένο προσωπικού χαρακτήρα που ο Πελάτης (ή χρήστες συνδεδεμένοι με τον λογαριασμό του, ή αυτοματοποιημένες ροές που ο Πελάτης έχει ενεργοποιήσει, όπως η προώθηση email παραστατικών ή η άντληση από το myDATA) εισάγει, μεταφορτώνει ή καθιστά προσβάσιμο στην Πλατφόρμα προς επεξεργασία για λογαριασμό του, όπως εξειδικεύεται στο Παράρτημα Α.

1.3. «Τελικός Υπεύθυνος»: στη Διαμόρφωση Β του άρθρου 2, ο πελάτης του Πελάτη-λογιστή, ο οποίος είναι υπεύθυνος επεξεργασίας των οικείων Δεδομένων Πελάτη.

1.4. «Υποεπεξεργαστής»: κάθε εκτελών την επεξεργασία στον οποίο ο Πάροχος αναθέτει τμήμα της επεξεργασίας Δεδομένων Πελάτη.

1.5. «SCCs»: οι τυποποιημένες συμβατικές ρήτρες της Εκτελεστικής Απόφασης (ΕΕ) 2021/914 της Επιτροπής. «DPF»: το πλαίσιο EU-U.S. Data Privacy Framework (Εκτελεστική Απόφαση επάρκειας της Επιτροπής της 10.7.2023).

Άρθρο 2 — Ρόλοι των μερών (ρήτρα ρόλων)

2.1. Διαμόρφωση Α — Πελάτης-επιχείρηση. Όταν ο Πελάτης είναι επιχείρηση που χρησιμοποιεί την Πλατφόρμα για τα δικά της παραστατικά και αρχεία, ο Πελάτης είναι υπεύθυνος επεξεργασίας και ο Πάροχος εκτελών την επεξεργασία των Δεδομένων Πελάτη (άρθρο 28(3) GDPR).

2.2. Διαμόρφωση Β — Πελάτης-λογιστής. Όταν ο Πελάτης είναι λογιστής ή λογιστικό γραφείο που επεξεργάζεται μέσω της Πλατφόρμας δεδομένα των δικών του πελατών ενεργώντας ως εκτελών την επεξεργασία αυτών, ο Πάροχος ενεργεί ως υποεπεξεργαστής («έτερος εκτελών» κατά το άρθρο 28(4) GDPR) και εφαρμόζονται επιπλέον οι ειδικές ρυθμίσεις του άρθρου 14 του παρόντος.

2.3. Διττός ρόλος λογιστή. Στο μέτρο που ο Πελάτης-λογιστής επεξεργάζεται δεδομένα βάσει δικών του επαγγελματικών ή εκ του νόμου υποχρεώσεων (και όχι υπό λεπτομερείς εντολές του πελάτη του), ενεργεί ως αυτοτελής υπεύθυνος επεξεργασίας και ως προς τα δεδομένα αυτά εφαρμόζεται η Διαμόρφωση Α. Το παρόν DPA καλύπτει και τα δύο σενάρια χωρίς να απαιτείται χαρακτηρισμός ανά περίπτωση· οι υποχρεώσεις του Παρόχου ως εκτελούντος/υποεπεξεργαστή είναι ταυτόσημες.

2.4. Ίδιες controller-δραστηριότητες του Παρόχου. Ο Πάροχος ενεργεί ως αυτοτελής υπεύθυνος επεξεργασίας αποκλειστικά για: (α) τα δεδομένα λογαριασμών και αυθεντικοποίησης χρηστών (email, κινητό, διαπιστευτήρια, sessions), (β) τα δεδομένα χρέωσης και τιμολόγησής του, (γ) τα αρχεία καταγραφής ασφαλείας (audit logs, login attempts) και (δ) τις ειδοποιήσεις λειτουργίας λογαριασμού. Για τις δραστηριότητες αυτές ισχύει η Πολιτική Απορρήτου της Πλατφόρμας και όχι το παρόν DPA. Η επεξεργασία πληρωμών (όταν ενεργοποιηθεί) εκτελείται από τη Stripe ως ανεξάρτητο υπεύθυνο επεξεργασίας, βάσει των δικών της όρων.

Άρθρο 3 — Αντικείμενο, διάρκεια, φύση και σκοπός της επεξεργασίας

3.1. Αντικείμενο: η παροχή της υπηρεσίας ψηφιακής παραλαβής, αποθήκευσης, ταξινόμησης και εξαγωγής δεδομένων επιχειρηματικών παραστατικών, η διασύνδεση με το myDATA/ΑΑΔΕ και δημόσια μητρώα, η κοινή χρήση αρχείων μεταξύ λογιστή και επιχείρησης και οι συναφείς ειδοποιήσεις, όπως περιγράφεται στους Όρους Χρήσης και εξειδικεύεται στο Παράρτημα Α.

3.2. Διάρκεια: όσο διαρκεί η σύμβαση παροχής υπηρεσιών (Όροι Χρήσης) και για το μεταβατικό διάστημα εξαγωγής και διαγραφής του άρθρου 12.

3.3. Φύση: συλλογή, αποθήκευση, δόμηση, αυτοματοποιημένη εξαγωγή πεδίων (τεχνολογίες AI/OCR), αντιπαραβολή με δημόσια μητρώα, διαβίβαση προς δημόσιες αρχές κατ' εντολή, κοινή χρήση εντός της σχέσης λογιστή-επιχείρησης, ανάγνωση, διαγραφή.

3.4. Σκοπός: αποκλειστικά η παροχή, συντήρηση, ασφάλεια και υποστήριξη της Πλατφόρμας προς τον Πελάτη. Ο Πάροχος δεν επεξεργάζεται Δεδομένα Πελάτη για δικούς του σκοπούς, δεν τα χρησιμοποιεί για εκπαίδευση μοντέλων AI (ούτε επιτρέπει τούτο στους Υποεπεξεργαστές του — βλ. Παράρτημα Δ), δεν τα πωλεί και δεν τα διαφημιστικοποιεί.

Άρθρο 4 — Κατηγορίες δεδομένων και υποκειμένων

4.1. Οι κατηγορίες δεδομένων και υποκειμένων εξειδικεύονται στο Παράρτημα Α. Επισημαίνεται ρητά ότι τα Δεδομένα Πελάτη περιλαμβάνουν δεδομένα τρίτων προσώπων που δεν έχουν συμβατική σχέση με τον Πάροχο, ιδίως:

  • στοιχεία αντισυμβαλλομένων του Πελάτη (ή των πελατών του Πελάτη-λογιστή) που περιέχονται σε παραστατικά: ονοματεπώνυμα, ΑΦΜ, ΙΒΑΝ, διευθύνσεις, στοιχεία επικοινωνίας, αξίες και περιγραφές συναλλαγών·
  • στοιχεία εργαζομένων που περιέχονται σε αρχεία μισθοδοσίας ή συναφή έγγραφα του Κοινού Φακέλου λογιστή-επιχείρησης: ονοματεπώνυμα, αποδοχές, στοιχεία απασχόλησης.

4.2. Ο Πελάτης εγγυάται ότι διαθέτει νόμιμη βάση για την επεξεργασία των ανωτέρω δεδομένων και ότι δεν θα μεταφορτώνει στην Πλατφόρμα ειδικές κατηγορίες δεδομένων του άρθρου 9 GDPR ή δεδομένα του άρθρου 10 GDPR, εκτός αν τούτο είναι αναπόφευκτα εμπεριεχόμενο σε νομίμως τηρούμενα παραστατικά ή μισθολογικά αρχεία· στην περίπτωση αυτή ο Πελάτης φέρει την ευθύνη νομιμότητας της επεξεργασίας τους.

Άρθρο 5 — Τεκμηριωμένες εντολές

5.1. Ο Πάροχος επεξεργάζεται τα Δεδομένα Πελάτη αποκλειστικά βάσει τεκμηριωμένων εντολών του Πελάτη. Τεκμηριωμένες εντολές αποτελούν: (α) το παρόν DPA και τα Παραρτήματά του, (β) οι Όροι Χρήσης, (γ) η διαμόρφωση της υπηρεσίας από τον Πελάτη μέσω των λειτουργιών της Πλατφόρμας (π.χ. ενεργοποίηση διασύνδεσης myDATA, δημιουργία σύνδεσης λογιστή-επιχείρησης, ρυθμίσεις ειδοποιήσεων) και (δ) πρόσθετες έγγραφες εντολές.

5.2. Πρόσθετες εντολές υποβάλλονται εγγράφως στη διεύθυνση privacy@easylog.ai ή μέσω της εφαρμογής, και ισχύουν από την έγγραφη επιβεβαίωση αποδοχής τους από τον Πάροχο. Εντολές που απαιτούν ουσιώδη αλλαγή της υπηρεσίας δεν δεσμεύουν τον Πάροχο χωρίς χωριστή συμφωνία.

5.3. Οι εντολές του Πελάτη επιτρέπουν ρητά τις διαβιβάσεις εκτός ΕΟΧ που περιγράφονται στο άρθρο 15 και στο Παράρτημα Δ.

5.4. Παρέκκλιση εκ του νόμου: ο Πάροχος δύναται να επεξεργαστεί Δεδομένα Πελάτη χωρίς εντολή μόνο εφόσον τούτο επιβάλλεται από το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται· στην περίπτωση αυτή ενημερώνει τον Πελάτη για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το δίκαιο αυτό απαγορεύει την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος.

5.5. Παράνομη εντολή: εάν, κατά την κρίση του Παρόχου, εντολή του Πελάτη παραβιάζει τον GDPR ή άλλη διάταξη περί προστασίας δεδομένων της Ένωσης ή κράτους μέλους, ο Πάροχος ενημερώνει αμέσως τον Πελάτη και δικαιούται να αναστείλει την εκτέλεση της συγκεκριμένης εντολής έως ότου αυτή επιβεβαιωθεί ή τροποποιηθεί· εάν ο Πελάτης εμμείνει εγγράφως, ο Πάροχος δικαιούται να καταγγείλει το επηρεαζόμενο τμήμα της υπηρεσίας με έγγραφη ειδοποίηση 15 ημερών.

Άρθρο 6 — Εμπιστευτικότητα

6.1. Ο Πάροχος διασφαλίζει ότι κάθε πρόσωπο εξουσιοδοτημένο να επεξεργάζεται Δεδομένα Πελάτη (εργαζόμενοι, στελέχη, εξωτερικοί συνεργάτες) έχει αναλάβει έγγραφη δέσμευση εμπιστευτικότητας πριν από οποιαδήποτε πρόσβαση, η οποία καλύπτει το σύνολο των Δεδομένων Πελάτη και εξακολουθεί να ισχύει μετά τη λήξη της σχέσης του με τον Πάροχο.

6.2. Η πρόσβαση παρέχεται κατά την αρχή της αναγκαίας γνώσης (need-to-know) και μόνο στο μέτρο που απαιτείται για την παροχή, συντήρηση ή ασφάλεια της υπηρεσίας. Κάθε διαχειριστική πρόσβαση καταγράφεται.

6.3. Τα εξουσιοδοτημένα πρόσωπα ενημερώνονται ότι η χωρίς εξουσιοδότηση πρόσβαση, αντιγραφή ή διαβίβαση δεδομένων επισύρει και προσωπικές ποινικές κυρώσεις κατά το άρθρο 38 ν. 4624/2019.

Άρθρο 7 — Ασφάλεια της επεξεργασίας

7.1. Ο Πάροχος εφαρμόζει τα τεχνικά και οργανωτικά μέτρα του Παραρτήματος Β (TOMs), τα οποία τα μέρη συμφωνούν ότι είναι κατάλληλα κατά το άρθρο 32 GDPR, λαμβανομένων υπόψη της φύσης, του πλαισίου και των σκοπών της επεξεργασίας και των κινδύνων για τα υποκείμενα.

7.2. Ο Πάροχος επανεξετάζει τα μέτρα του Παραρτήματος Β τουλάχιστον ετησίως και οποτεδήποτε μεταβάλλεται ουσιωδώς το προφίλ κινδύνου. Δύναται να τα επικαιροποιεί, υπό τον όρο ότι το συνολικό επίπεδο ασφάλειας δεν μειώνεται. Μεταβολή που μειώνει ουσιωδώς το επίπεδο ασφάλειας απαιτεί προηγούμενη ενημέρωση του Πελάτη κατά τη διαδικασία του άρθρου 8.3 (ειδοποίηση και δικαίωμα αντίρρησης).

Άρθρο 8 — Υποεπεξεργαστές

8.1. Γενική εξουσιοδότηση. Ο Πελάτης παρέχει γενική έγγραφη εξουσιοδότηση για την προσφυγή του Παρόχου σε Υποεπεξεργαστές. Οι εγκεκριμένοι κατά την έναρξη ισχύος Υποεπεξεργαστές, με τον ρόλο, την τοποθεσία και τις εγγυήσεις καθενός, απαριθμούνται στο Παράρτημα Γ και δημοσιεύονται επικαιροποιημένοι στη σελίδα /subprocessors.

8.2. Κριτήρια επιλογής. Ο Πάροχος επιλέγει Υποεπεξεργαστές που παρέχουν επαρκείς εγγυήσεις τεχνικών και οργανωτικών μέτρων (πιστοποιήσεις, DPA κατ' άρθρο 28, τεχνογνωσία, αξιοπιστία, πόροι) και συνάπτει με καθέναν έγγραφη σύμβαση που επιβάλλει υποχρεώσεις προστασίας δεδομένων κατ' ουσίαν ισοδύναμες με τις υποχρεώσεις του παρόντος DPA.

8.3. Ενεργή ειδοποίηση και αντίρρηση. Ο Πάροχος ειδοποιεί τον Πελάτη για κάθε σκοπούμενη προσθήκη ή αντικατάσταση Υποεπεξεργαστή με email και ειδοποίηση εντός της εφαρμογής τουλάχιστον 15 ημερολογιακές ημέρες πριν ο νέος Υποεπεξεργαστής αποκτήσει πρόσβαση σε Δεδομένα Πελάτη. Ο Πελάτης δικαιούται να προβάλει τεκμηριωμένη αντίρρηση για λόγους προστασίας δεδομένων εντός της ίδιας προθεσμίας των 15 ημερών· η άπρακτη παρέλευσή της λογίζεται ως έγκριση.

8.4. Συνέπειες αντίρρησης. Επί εμπρόθεσμης αντίρρησης, τα μέρη διαβουλεύονται καλόπιστα για εύλογη εναλλακτική λύση εντός 15 ημερών. Εάν δεν εξευρεθεί λύση, ο Πελάτης δικαιούται να καταγγείλει τη σύμβαση ως προς το τμήμα της υπηρεσίας που τελεί σε συνάρτηση με τον επίμαχο Υποεπεξεργαστή (ή στο σύνολό της, αν ο Υποεπεξεργαστής είναι αναγκαίος για τον πυρήνα της υπηρεσίας), με έγγραφη δήλωση προ της ενεργοποίησης του Υποεπεξεργαστή, και να λάβει αναλογική επιστροφή τυχόν προπληρωμένων τελών για τον μη διανυθέντα χρόνο.

8.5. Ευθύνη. Όταν Υποεπεξεργαστής δεν εκπληρώνει τις υποχρεώσεις του περί προστασίας δεδομένων, ο Πάροχος παραμένει πλήρως υπεύθυνος έναντι του Πελάτη για την εκπλήρωσή τους (άρθρο 28(4) εδ. β΄ GDPR).

Άρθρο 9 — Συνδρομή στα δικαιώματα των υποκειμένων

9.1. Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, ο Πάροχος συνδράμει τον Πελάτη με κατάλληλα τεχνικά και οργανωτικά μέτρα για την απάντηση σε αιτήματα άσκησης δικαιωμάτων του Κεφαλαίου ΙΙΙ GDPR, ιδίως ως εξής:

  • Self-service: η Πλατφόρμα παρέχει λειτουργίες πρόσβασης, διόρθωσης, εξαγωγής και διαγραφής των Δεδομένων Πελάτη, ώστε ο Πελάτης να εξυπηρετεί μόνος του τα περισσότερα αιτήματα·
  • Προώθηση: εάν υποκείμενο απευθύνει αίτημα απευθείας στον Πάροχο σε σχέση με Δεδομένα Πελάτη, ο Πάροχος δεν απαντά επί της ουσίας αλλά το προωθεί στον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 3 εργάσιμων ημερών, ενημερώνοντας το υποκείμενο ότι το αίτημά του διαβιβάστηκε στον υπεύθυνο επεξεργασίας·
  • Πρόσθετη συνδρομή: εφόσον ο Πελάτης δεν μπορεί να εξυπηρετήσει αίτημα μέσω των λειτουργιών self-service, ο Πάροχος παρέχει την αναγκαία πληροφόρηση ή ενέργεια εντός 10 εργάσιμων ημερών από τεκμηριωμένο αίτημα.

9.2. Η κρίση περί του παραδεκτού και βασίμου των αιτημάτων ανήκει αποκλειστικά στον Πελάτη (ή στον Τελικό Υπεύθυνο).

Άρθρο 10 — Παραβίαση δεδομένων προσωπικού χαρακτήρα

10.1. Ο Πάροχος ειδοποιεί τον Πελάτη για κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα που αφορά Δεδομένα Πελάτη χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 48 ωρών αφότου λάβει γνώση της παραβίασης, με email στη διεύθυνση επικοινωνίας του λογαριασμού και ειδοποίηση εντός της εφαρμογής.

10.2. Η ειδοποίηση περιλαμβάνει, στο μέτρο που είναι διαθέσιμα (και συμπληρώνεται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση, εφόσον δεν είναι), τουλάχιστον τα στοιχεία του άρθρου 33(3) GDPR:
(α) περιγραφή της φύσης της παραβίασης, με τις κατηγορίες και τον κατά προσέγγιση αριθμό υποκειμένων και αρχείων που αφορά·
(β) όνομα και στοιχεία επικοινωνίας του σημείου επαφής του Παρόχου (privacy@easylog.ai)·
(γ) περιγραφή των πιθανών συνεπειών·
(δ) περιγραφή των μέτρων που ελήφθησαν ή προτείνονται για την αντιμετώπιση και τον μετριασμό των συνεπειών.

10.3. Ο Πάροχος τεκμηριώνει την παραβίαση και συνεργάζεται εύλογα με τον Πελάτη για τη διερεύνησή της. Η αξιολόγηση του κινδύνου, η γνωστοποίηση στην εποπτική αρχή (άρθρο 33) και η ανακοίνωση στα υποκείμενα (άρθρο 34) αποτελούν ευθύνη και απόφαση του Πελάτη (ή του Τελικού Υπευθύνου)· ο Πάροχος δεν προβαίνει σε γνωστοποίηση για λογαριασμό του Πελάτη χωρίς εντολή του.

10.4. Η ειδοποίηση παραβίασης δεν συνιστά καθ' εαυτήν αναγνώριση πταίσματος ή ευθύνης του Παρόχου.

Άρθρο 11 — Συνδρομή σε ασφάλεια, DPIA και προηγούμενη διαβούλευση

11.1. Ο Πάροχος συνδράμει τον Πελάτη στη διασφάλιση της συμμόρφωσης με τα άρθρα 32 έως 36 GDPR, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει, ιδίως: παρέχοντας την τεκμηρίωση του άρθρου 13.1 και, κατόπιν τεκμηριωμένου αιτήματος, τις πληροφορίες που ευλόγως απαιτούνται για εκτίμηση αντικτύπου (DPIA) ή προηγούμενη διαβούλευση με την εποπτική αρχή, εντός 15 εργάσιμων ημερών.

11.2. Η ευθύνη εκπόνησης της DPIA και διενέργειας της διαβούλευσης παραμένει στον Πελάτη.

Άρθρο 12 — Διαγραφή και επιστροφή κατά τη λήξη

12.1. Καθ' όλη τη διάρκεια της σύμβασης, ο Πελάτης δύναται να εξάγει τα Δεδομένα Πελάτη μέσω των λειτουργιών self-service της Πλατφόρμας.

12.2. Με τη λήξη ή λύση της σύμβασης για οποιονδήποτε λόγο, ο Πάροχος: (α) διαθέτει στον Πελάτη πλήρη εξαγωγή των Δεδομένων Πελάτη (αρχεία παραστατικών και δομημένα δεδομένα) σε κοινώς αναγνώσιμο, μηχαναγνώσιμο μορφότυπο (ZIP περιέχον PDF/εικόνες και CSV ή JSON) εντός 30 ημερών από τη λήξη, κατόπιν αιτήματος στη διεύθυνση privacy@easylog.ai ή μέσω της εφαρμογής· και (β) διαγράφει οριστικά το σύνολο των Δεδομένων Πελάτη από τα ενεργά συστήματά του εντός 90 ημερών από τη λήξη, παρέχοντας έγγραφη βεβαίωση διαγραφής κατόπιν αιτήματος.

12.3. Αντίγραφα ασφαλείας: τα Δεδομένα Πελάτη παύουν να περιλαμβάνονται σε νέα αντίγραφα ασφαλείας από την οριστική διαγραφή και τα υφιστάμενα κρυπτογραφημένα snapshots λήγουν αυτόματα βάσει του κυλιόμενου σχήματος διατήρησης του Παραρτήματος Β, το αργότερο εντός 7 μηνών από τη διαγραφή. Εάν στο μεσοδιάστημα απαιτηθεί επαναφορά snapshot για λόγους συνέχειας της υπηρεσίας, τα ήδη διαγραφέντα Δεδομένα Πελάτη διαγράφονται εκ νέου αμελλητί.

12.4. Κατανομή της υποχρέωσης διαφύλαξης ΚΦΔ: η υποχρέωση διαφύλαξης λογιστικών αρχείων, βιβλίων και στοιχείων επί πέντε (5) τουλάχιστον έτη (άρθρο 13 ν. 5104/2024 και άρθρο 7 ν. 4308/2014) βαρύνει αποκλειστικά τον Πελάτη (ή, στη Διαμόρφωση Β, τους Τελικούς Υπευθύνους) ως υπόχρεο τήρησης· ο Πάροχος δεν έχει ίδια νόμιμη βάση διατήρησης των Δεδομένων Πελάτη μετά τη λήξη. Ο Πελάτης οφείλει να έχει παραλάβει την εξαγωγή της παρ. 12.2(α) πριν από την οριστική διαγραφή· μετά την πάροδο της 90ήμερης προθεσμίας ο Πάροχος δεν υποχρεούται και δεν δύναται να ανακτήσει τα δεδομένα.

12.5. Κατ' εξαίρεση, ο Πάροχος διατηρεί δεδομένα μόνο στο μέτρο και για όσο χρόνο επιβάλλει το δίκαιο της Ένωσης ή κράτους μέλους (π.χ. δικά του φορολογικά παραστατικά τιμολόγησης), ενημερώνοντας σχετικά τον Πελάτη.

Άρθρο 13 — Πληροφόρηση και έλεγχοι (audits)

13.1. Πρώτο επίπεδο — τεκμηρίωση. Ο Πάροχος θέτει στη διάθεση του Πελάτη κάθε πληροφορία που είναι απαραίτητη για την απόδειξη συμμόρφωσης με το άρθρο 28 GDPR, ιδίως: το παρόν DPA και τα Παραρτήματά του, τον επικαιροποιημένο κατάλογο Υποεπεξεργαστών, περιγραφή των TOMs, αποσπάσματα του μητρώου δραστηριοτήτων (άρθρο 30(2)) που αφορούν τον Πελάτη, τοποθεσία αποθήκευσης δεδομένων, καθώς και διαθέσιμες εκθέσεις ή πιστοποιήσεις ανεξάρτητων τρίτων (εφόσον και όταν αποκτηθούν).

13.2. Δεύτερο επίπεδο — απομακρυσμένος έλεγχος. Ο Πελάτης δικαιούται, έως μία φορά ανά ημερολογιακό έτος, να υποβάλει γραπτό ερωτηματολόγιο ασφαλείας ή να ζητήσει απομακρυσμένο έλεγχο· ο Πάροχος απαντά εντός 20 εργάσιμων ημερών.

13.3. Τρίτο επίπεδο — επιτόπιος έλεγχος. Εφόσον η τεκμηρίωση των παρ. 13.1-13.2 δεν επαρκεί ευλόγως ή υφίσταται σχετική υπόδειξη εποπτικής αρχής ή παραβίαση δεδομένων, ο Πελάτης δικαιούται επιτόπιο έλεγχο, ο ίδιος ή μέσω εντεταλμένου ελεγκτή (μη ανταγωνιστή του Παρόχου), υπό τους όρους: (α) έως μία φορά ανά ημερολογιακό έτος, εκτός αν συντρέχει παραβίαση δεδομένων ή εντολή εποπτικής αρχής· (β) με έγγραφη ειδοποίηση 30 ημερών· (γ) εντός εργάσιμων ημερών και ωρών, χωρίς δυσανάλογη διατάραξη της λειτουργίας· (δ) με υπογραφή συμφωνίας εμπιστευτικότητας· (ε) χωρίς πρόσβαση σε δεδομένα άλλων tenants ή σε πληροφορίες τρίτων που τελούν υπό απόρρητο.

13.4. Κόστος: ο Πελάτης φέρει το κόστος των δικών του ελεγκτών και αποζημιώνει τον Πάροχο για τον εύλογο χρόνο απασχόλησης προσωπικού στον επιτόπιο έλεγχο βάσει εύλογης χρέωσης που γνωστοποιείται εκ των προτέρων· η χρέωση δεν μπορεί να είναι αποτρεπτική του δικαιώματος ελέγχου. Ο πρώτος έλεγχος κατόπιν παραβίασης δεδομένων που οφείλεται στον Πάροχο διενεργείται χωρίς χρέωση.

13.5. Ο Πάροχος δύναται να προτείνει ελεγκτή, όμως η τελική επιλογή ανήκει στον Πελάτη· ο Πελάτης διατηρεί το δικαίωμα να αμφισβητήσει εύρος, μεθοδολογία και πορίσματα.

13.6. Ο Πάροχος ενημερώνει αμέσως τον Πελάτη εάν, κατά την άποψή του, εντολή ή αίτημα ελέγχου παραβιάζει τον GDPR ή άλλες διατάξεις περί προστασίας δεδομένων.

Άρθρο 14 — Ειδικές ρυθμίσεις όταν ο Πελάτης είναι λογιστής (Διαμόρφωση Β — άρθρο 28(4) GDPR)

14.1. Εγγύηση εξουσιοδότησης. Ο Πελάτης-λογιστής δηλώνει και εγγυάται ότι: (α) κατέχει, πριν από την εισαγωγή δεδομένων εκάστου πελάτη του στην Πλατφόρμα, την προηγούμενη ειδική ή γενική γραπτή εξουσιοδότηση του οικείου Τελικού Υπευθύνου για τη χρήση του Παρόχου (και των Υποεπεξεργαστών του Παραρτήματος Γ) ως έτερων εκτελούντων· (β) θα διατηρεί την εξουσιοδότηση αυτή σε ισχύ καθ' όλη τη διάρκεια της επεξεργασίας· και (γ) θα προσκομίζει απόδειξή της στον Πάροχο κατόπιν εύλογου αιτήματος.

14.2. Ανάκληση/αντίρρηση Τελικού Υπευθύνου. Εάν εξουσιοδότηση ανακληθεί ή Τελικός Υπεύθυνος προβάλει αντίρρηση, ο Πελάτης-λογιστής υποχρεούται να παύσει την εισαγωγή νέων δεδομένων του εν λόγω Τελικού Υπευθύνου και να εξάγει και διαγράψει τα υφιστάμενα μέσω των λειτουργιών της Πλατφόρμας χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 30 ημερών.

14.3. Pass-through — λειτουργική ισοδυναμία. Οι υποχρεώσεις που αναλαμβάνει ο Πάροχος με το παρόν DPA είναι κατ' ουσίαν οι ίδιες με τις υποχρεώσεις προστασίας δεδομένων που φέρει ο Πελάτης-λογιστής έναντι εκάστου Τελικού Υπευθύνου. Ο Πελάτης-λογιστής εγγυάται ότι οι εντολές που δίδει στον Πάροχο αντανακλούν τις εντολές των Τελικών Υπευθύνων· ο Πάροχος λαμβάνει εντολές αποκλειστικά από τον Πελάτη-λογιστή και δεν υποχρεούται να εκτελεί εντολές που του απευθύνουν απευθείας Τελικοί Υπεύθυνοι.

14.4. Αλυσίδα ειδοποίησης παραβίασης. Ο Πάροχος ειδοποιεί για παραβίαση κατά το άρθρο 10 τον Πελάτη-λογιστή, ο οποίος φέρει την ευθύνη έγκαιρης ενημέρωσης των Τελικών Υπευθύνων. Απευθείας ειδοποίηση Τελικού Υπευθύνου από τον Πάροχο γίνεται μόνο κατόπιν τριμερούς συμφωνίας, με ταυτόχρονη κοινοποίηση στον Πελάτη-λογιστή.

14.5. Flow-down ελέγχων. Τα δικαιώματα πληροφόρησης και ελέγχου του άρθρου 13 ασκούνται και υπέρ Τελικού Υπευθύνου (ή εντεταλμένου ελεγκτή του), μέσω και με συντονισμό του Πελάτη-λογιστή και υπό τους ίδιους όρους και περιορισμούς.

14.6. Ο Πελάτης-λογιστής παραμένει πλήρως υπεύθυνος έναντι των Τελικών Υπευθύνων για την εκπλήρωση των υποχρεώσεων του Παρόχου (άρθρο 28(4) εδ. β΄ GDPR) και αποζημιώνει τον Πάροχο για ζημία που ο Πάροχος υφίσταται από αναληθή δήλωση της παρ. 14.1 ή από εντολές που δεν αντανακλούν τις εντολές των Τελικών Υπευθύνων.

Άρθρο 15 — Διαβιβάσεις εκτός ΕΟΧ

15.1. Ο Πάροχος αποθηκεύει τα Δεδομένα Πελάτη σε υποδομές εντός ΕΟΧ (Γερμανία — Hetzner· βάση δεδομένων σε AWS eu-central-1, Φρανκφούρτη — Neon). Διαβιβάσεις προς τρίτες χώρες πραγματοποιούνται μόνο προς τους αποδέκτες, για τους σκοπούς και με τα εργαλεία διαβίβασης του Παραρτήματος Δ, ήτοι: απόφαση επάρκειας κατ' άρθρο 45 GDPR (EU-U.S. DPF για πιστοποιημένους αποδέκτες) ή SCCs της Απόφασης (ΕΕ) 2021/914 (Module 3, processor-to-processor) με συμπληρωματικά μέτρα, κατά περίπτωση αποδέκτη όπως εξειδικεύεται στο Παράρτημα Δ.

15.2. Ο Πάροχος διενεργεί και επικαιροποιεί εκτιμήσεις αντικτύπου διαβίβασης (TIA) κατά τις Συστάσεις EDPB 01/2020 για κάθε αποδέκτη τρίτης χώρας και τις θέτει στη διάθεση του Πελάτη κατά το άρθρο 13.1.

15.3. Σε περίπτωση ακύρωσης ή αναστολής εργαλείου διαβίβασης (π.χ. προσβολή της απόφασης επάρκειας του DPF), ο Πάροχος μεταπίπτει στο εφεδρικό εργαλείο του Παραρτήματος Δ ή, ελλείψει έγκυρου εργαλείου, αναστέλλει τη σχετική διαβίβαση και ενημερώνει τον Πελάτη κατά το άρθρο 8.3.

Άρθρο 16 — Διαφάνεια έναντι υποκειμένων (άρθρα 13-14 GDPR)

16.1. Η ενημέρωση των υποκειμένων των Δεδομένων Πελάτη — συμπεριλαμβανομένων των τρίτων προσώπων που εμφανίζονται σε παραστατικά (αντισυμβαλλόμενοι, εργαζόμενοι, νόμιμοι εκπρόσωποι) — κατά τα άρθρα 13 και 14 GDPR αποτελεί αποκλειστική ευθύνη του Πελάτη ως υπευθύνου επεξεργασίας (ή των Τελικών Υπευθύνων στη Διαμόρφωση Β). Ο Πάροχος, ως εκτελών, δεν φέρει αυτοτελή υποχρέωση διαφάνειας έναντι των υποκειμένων αυτών.

16.2. Τα μέρη αναγνωρίζουν ότι για τα δεδομένα τρίτων στα παραστατικά είναι κατά κανόνα εφαρμοστέες οι εξαιρέσεις του άρθρου 14(5)(γ) GDPR (η απόκτηση των στοιχείων προβλέπεται ρητώς από τη φορολογική νομοθεσία — άρθρα 8-9 ν. 4308/2014, άρθρο 13 ν. 5104/2024, υποχρεωτική διαβίβαση myDATA — με εγγυήσεις όπως το φορολογικό απόρρητο) και, επικουρικά, του άρθρου 14(5)(β) (δυσανάλογη προσπάθεια), υπό τον όρο ότι ο Πελάτης διατηρεί δημόσια διαθέσιμη ενημέρωση (privacy notice) που καλύπτει την επεξεργασία δεδομένων αντισυμβαλλομένων και τρίτων σε φορολογικά παραστατικά, και τεκμηριώνει τη σχετική στάθμιση. Η επίκληση και τεκμηρίωση των εξαιρέσεων αποτελεί ευθύνη του Πελάτη· ο Πάροχος δύναται να διαθέτει υπόδειγμα σχετικής ενημέρωσης ως καλή πρακτική, χωρίς ανάληψη υποχρέωσης.

Άρθρο 17 — Ευθύνη, διάρκεια, τελικές διατάξεις

17.1. Ευθύνη. Η ευθύνη εκάστου μέρους από το παρόν DPA υπόκειται στη ρήτρα περιορισμού ευθύνης των Όρων Χρήσης (άρθρο 17 αυτών), με την επιφύλαξη ότι ο περιορισμός δεν καταλαμβάνει δόλο ή βαριά αμέλεια, ούτε ισχύει όπου ο περιορισμός απαγορεύεται από αναγκαστικό δίκαιο. Η κατανομή ευθύνης έναντι υποκειμένων και τα δικαιώματα αναγωγής μεταξύ των μερών διέπονται από το άρθρο 82 GDPR.

17.2. Διάρκεια. Το DPA ισχύει από την αποδοχή των Όρων Χρήσης και για όσο ο Πάροχος επεξεργάζεται Δεδομένα Πελάτη, συμπεριλαμβανομένης της περιόδου του άρθρου 12. Τα άρθρα 6, 12, 16 και 17 επιβιώνουν της λύσης κατά το αναγκαίο μέτρο.

17.3. Τροποποιήσεις. Τροποποιήσεις του DPA γνωστοποιούνται με email τουλάχιστον 30 ημέρες πριν την έναρξη ισχύος τους· ο Πελάτης δικαιούται να καταγγείλει τη σύμβαση αζημίως πριν την έναρξη ισχύος, εφόσον η τροποποίηση μειώνει ουσιωδώς το επίπεδο προστασίας. Επικαιροποιήσεις του Παραρτήματος Γ ακολουθούν τη διαδικασία του άρθρου 8, και του Παραρτήματος Β τη διαδικασία του άρθρου 7.2.

17.4. Εφαρμοστέο δίκαιο — δωσιδικία. Το DPA διέπεται από το ελληνικό δίκαιο. Αποκλειστικά αρμόδια είναι τα δικαστήρια των Αθηνών.

17.5. Τυχόν ακυρότητα επιμέρους όρου δεν θίγει το κύρος των λοιπών· ο άκυρος όρος αντικαθίσταται από έγκυρο που προσεγγίζει κατά το δυνατόν τον επιδιωκόμενο σκοπό.


ΠΑΡΑΡΤΗΜΑ Α — Περιγραφή της επεξεργασίας

Α.1 Δραστηριότητες επεξεργασίας

#ΔραστηριότηταΠεριγραφή
1Παραλαβή & αποθήκευση παραστατικών Μεταφόρτωση μέσω web, σάρωση μέσω mobile εφαρμογής, προώθηση με email (αποθηκεύονται μόνο τα συνημμένα, όχι το σώμα του email)· αποθήκευση αρχείων και εξαχθέντων δεδομένων
2Αυτοματοποιημένη εξαγωγή πεδίων (AI) Ταξινόμηση και εξαγωγή πεδίων παραστατικού μέσω Anthropic Claude API· αποστέλλεται μόνο το αναγκαίο κείμενο (έως 12.000 χαρακτήρες) και εικόνα μόνο της 1ης σελίδας μόνο όταν δεν υπάρχει αναγνώσιμο κείμενο
3Διασύνδεση με δημόσιες αρχές/μητρώα Υποβολή/άντληση στο myDATA (ΑΑΔΕ), αναζήτηση επωνυμίας σε Μητρώο ΑΑΔΕ/ΓΓΠΣ και VIES — διαβιβάζεται μόνο ΑΦΜ· οι αρχές αυτές είναι αυτοτελείς αποδέκτες, όχι Υποεπεξεργαστές
4Κοινός Φάκελος λογιστή-επιχείρησης Ανταλλαγή αρχείων (συμπεριλαμβανομένων αρχείων μισθοδοσίας), σχόλια και ετικέτες επί παραστατικών
5Ειδοποιήσεις Ειδοποιήσεις push/email/SMS για νέα παραστατικά, σχόλια, αιτήματα· το περιεχόμενο push είναι γενικό (τίτλος + σύνδεσμος), χωρίς προσωπικά δεδομένα τρίτων στο σώμα της ειδοποίησης

Α.2 Κατηγορίες δεδομένων

  • Αρχεία παραστατικών (PDF/εικόνες) και εξαχθέντα δομημένα δεδομένα: ονοματεπώνυμα, επωνυμίες, ΑΦΜ, ΙΒΑΝ, διευθύνσεις, στοιχεία επικοινωνίας, ημερομηνίες, ποσά, περιγραφές συναλλαγών·
  • Στοιχεία προφίλ επιχείρησης του Πελάτη (επωνυμία, ΑΦΜ, ΙΒΑΝ, διευθύνσεις)·
  • Αρχεία Κοινού Φακέλου, ιδίως μισθοδοσίες: ονοματεπώνυμα και αποδοχές εργαζομένων, στοιχεία απασχόλησης·
  • Σχόλια και ετικέτες χρηστών επί παραστατικών·
  • Διαπιστευτήρια διασύνδεσης myDATA (subscription key), κρυπτογραφημένα.

Δεν αποτελούν αντικείμενο σκοπούμενης επεξεργασίας ειδικές κατηγορίες δεδομένων (άρθρο 9 GDPR)· βλ. άρθρο 4.2.

Α.3 Κατηγορίες υποκειμένων

  • Αντισυμβαλλόμενοι του Πελάτη ή των Τελικών Υπευθύνων που είναι φυσικά πρόσωπα (πελάτες, προμηθευτές, ελεύθεροι επαγγελματίες) και φυσικά πρόσωπα-εκπρόσωποι ή υπάλληλοι νομικών προσώπων που εμφανίζονται σε παραστατικά·
  • Εργαζόμενοι του Πελάτη ή των Τελικών Υπευθύνων (αρχεία μισθοδοσίας στον Κοινό Φάκελο)·
  • Χρήστες που ο Πελάτης συνδέει με τον λογαριασμό του.

Α.4 Διάρκεια

Βλ. άρθρα 3.2 και 12.

ΠΑΡΑΡΤΗΜΑ Β — Τεχνικά και οργανωτικά μέτρα (TOMs)

Β.1 Κρυπτογράφηση

  • Κρυπτογράφηση σε κατάσταση ηρεμίας (at rest) όλων των αρχείων παραστατικών και αρχείων Κοινού Φακέλου με συμμετρική κρυπτογράφηση Fernet (AES-128-CBC + HMAC-SHA256) σε κάθε εγγραφή αρχείου· αποκρυπτογράφηση σε μνήμη κατά την ανάγνωση.
  • Κρυπτογράφηση σε διαμετακόμιση (in transit): TLS σε όλες τις συνδέσεις, με HSTS και Content-Security-Policy.
  • Κρυπτογράφηση μυστικών διασύνδεσης (myDATA subscription keys, κλειδιά παρόχων) σε κατάσταση ηρεμίας (NaCl secretbox).

Β.2 Έλεγχος πρόσβασης & αυθεντικοποίηση

  • Αυστηρή λογική απομόνωση δεδομένων ανά tenant (tenant isolation) σε επίπεδο εφαρμογής· πρόσβαση στον Κοινό Φάκελο μόνο βάσει ενεργής, καταγεγραμμένης σχέσης λογιστή-επιχείρησης.
  • Κωδικοί χρηστών: PBKDF2-SHA256 με 200.000 επαναλήψεις και salt, σύγκριση σταθερού χρόνου· διαθέσιμος δεύτερος παράγοντας (TOTP 2FA).
  • Session cookies με ιδιότητες secure/httponly/samesite· απόλυτη λήξη sessions σε 14 ημέρες· προστασία CSRF τύπου fail-closed.
  • Περιορισμός ρυθμού αιτημάτων (rate limiting) και προοδευτική επιβράδυνση προσπαθειών σύνδεσης ανά email και IP.
  • Πρόσβαση προσωπικού κατά την αρχή need-to-know, με δέσμευση εμπιστευτικότητας (άρθρο 6).

Β.3 Ασφάλεια καναλιών εισόδου

  • Παραλαβή παραστατικών μέσω email: επαλήθευση με κοινό μυστικό (shared secret) του παρόχου εισερχόμενης αλληλογραφίας και μη-μαντεύσιμο, ανά tenant, διακριτικό εισερχομένων (inbox token)· αποθήκευση μόνο των συνημμένων.

Β.4 Ελαχιστοποίηση στην επεξεργασία AI

  • Αποστολή στον πάροχο AI μόνο του αναγκαίου κειμένου (όριο 12.000 χαρακτήρων)· εικόνα μόνο της 1ης σελίδας και μόνο ελλείψει αναγνώσιμου κειμένου (<200 χαρακτήρες)·
  • Λευκή λίστα (whitelist) επιτρεπόμενων πεδίων απόκρισης — το μοντέλο δεν ορίζει πεδία ελέγχου της εφαρμογής· στατικό system prompt χωρίς ενσωματωμένα δεδομένα ανά επιχείρηση·
  • Δυνατότητα ανθρώπινου ελέγχου και διόρθωσης κάθε εξαχθέντος πεδίου πριν από περαιτέρω χρήση· ρύθμιση no-training στον πάροχο AI (βλ. Παράρτημα Δ).

Β.5 Αντίγραφα ασφαλείας & συνέχεια

  • Κρυπτογραφημένα στον πελάτη-πλευρά (client-side encrypted) αντίγραφα ασφαλείας restic με κυλιόμενο σχήμα διατήρησης 7 ημερήσια / 4 εβδομαδιαία / 6 μηνιαία snapshots· πλήρης λήξη δεδομένων από snapshots το αργότερο σε ~7 μήνες· δέσμευση εκ νέου διαγραφής μετά από τυχόν επαναφορά (άρθρο 12.3).

Β.6 Καταγραφή & εποπτεία

  • Αρχείο καταγραφής ενεργειών (audit log) με ταυτότητα και ρόλο ενεργούντος, ενέργεια, στόχο, IP και αναγνωριστικό αιτήματος — σχεδιασμένο χωρίς περιεχόμενο δεδομένων (no PII bodies)· διατήρηση 24 μήνες·
  • Καταγραφή προσπαθειών σύνδεσης (90 ημέρες)· καταγραφή χρήσης AI χωρίς περιεχόμενο εγγράφων.

Β.7 Ειδοποιήσεις

  • Διακριτικά push (tokens) αποθηκεύονται στη συσκευή μόνο σε ασφαλή αποθήκευση (SecureStore)· διαγραφή διακριτικών κατά την αποσύνδεση, σε πελάτη και διακομιστή· γενικό περιεχόμενο ειδοποιήσεων push χωρίς προσωπικά δεδομένα τρίτων.

Β.8 Οργανωτικά

  • Μητρώο δραστηριοτήτων επεξεργασίας (άρθρο 30)· διαδικασία διαχείρισης περιστατικών με τα χρονικά όρια του άρθρου 10· ετήσια επανεξέταση των TOMs (άρθρο 7.2)· έλεγχος DPA όλων των Υποεπεξεργαστών πριν από την ένταξή τους.

ΠΑΡΑΡΤΗΜΑ Γ — Εγκεκριμένοι Υποεπεξεργαστές

Επικαιροποιημένος κατάλογος: /subprocessors (οι μεταβολές ακολουθούν τη διαδικασία του άρθρου 8).

ΥποεπεξεργαστήςΈδραΡόλος Τοποθεσία δεδομένωνΕγγυήσεις
Hetzner Online GmbHΓερμανία Φιλοξενία εφαρμογής & αποθήκευση αρχείωνΓερμανία (ΕΟΧ) DPA κατ' άρθρο 28· ISO 27001 (datacenter)
Neon, LLC (θυγατρική Databricks, Inc.)ΗΠΑ Διαχειριζόμενη βάση δεδομένων PostgreSQL AWS eu-central-1 (Φρανκφούρτη)· ενδεχόμενη απομακρυσμένη διαχειριστική πρόσβαση από ΗΠΑ DPA (Databricks MCSA/DPA)· EU-U.S. DPF certified + SCCs ως εφεδρικό· SOC 2, ISO 27001/27701
Anthropic PBC (σύμβαση μέσω Anthropic Ireland, Limited) ΗΠΑ / Ιρλανδία Αυτοματοποιημένη εξαγωγή πεδίων παραστατικών (AI) ΗΠΑ (επεξεργασία API) Anthropic DPA με SCCs 2021 (Module 3)· no-training default· ελαχιστοποίηση δεδομένων (Παράρτημα Β.4)· ISO 27001/42001, SOC 2
Brevo (Sendinblue SAS)Γαλλία Αποστολή email & SMSΕΟΧ DPA κατ' άρθρο 28
650 Industries, Inc. (Expo)ΗΠΑ Δρομολόγηση ειδοποιήσεων push ΗΠΑ (μόνο push tokens· το περιεχόμενο δεν αποθηκεύεται μετά την παράδοση) EU-U.S. DPF (αυτο-πιστοποίηση) + SCCs· γενικό περιεχόμενο ειδοποιήσεων
Apple Inc. (APNs) / Google LLC (FCM)ΗΠΑ Δίκτυα μεταφοράς push της εκάστοτε πλατφόρμας συσκευήςΗΠΑ Google: EU-U.S. DPF· Apple: SCCs· ψευδωνυμοποιημένα tokens, γενικό περιεχόμενο

Δεν είναι Υποεπεξεργαστές: ΑΑΔΕ/ΓΓΠΣ και Ευρωπαϊκή Επιτροπή (VIES) — δημόσιες αρχές/μητρώα ως αυτοτελείς αποδέκτες κατ' εντολή του Πελάτη· Stripe Payments Europe Ltd / Stripe, Inc. — ανεξάρτητος υπεύθυνος επεξεργασίας για την εκτέλεση πληρωμών (όταν ενεργοποιηθούν).

ΠΑΡΑΡΤΗΜΑ Δ — Διαβιβάσεις εκτός ΕΟΧ

ΑποδέκτηςΧώραΔεδομένα που διαβιβάζονται Κύριο εργαλείο (Κεφ. V GDPR)Εφεδρικό εργαλείο Συμπληρωματικά μέτρα
Anthropic PBCΗΠΑ Κείμενο παραστατικού (≤12.000 χαρ.), κατά περίπτωση εικόνα 1ης σελίδας, στοιχεία προφίλ επιχείρησης SCCs 2021, Module 3 (processor→processor), ενσωματωμένες στο Anthropic DPA· UK & Swiss Addenda — (η Anthropic δεν είναι πιστοποιημένη στο DPF) TLS/AES-256· no-training· ελαχιστοποίηση Β.4· ανθρώπινος έλεγχος αποτελεσμάτων· TIA με ετήσια επανεξέταση· επιδίωξη καθεστώτος Zero Data Retention
Neon, LLC / Databricks, Inc.ΗΠΑ Δεδομένα βάσης αποθηκεύονται στη Φρανκφούρτη· διαβίβαση = ενδεχόμενη απομακρυσμένη διαχειριστική πρόσβαση από ΗΠΑ EU-U.S. DPF (πιστοποίηση Databricks, Inc. & Neon, LLC) SCCs 2021 Module 3 (στο DPA) EU region pinning· AES-256 at rest, TLS 1.2+· καταγεγραμμένη πρόσβαση παραγωγής· TIA (συμπερίληψη CLOUD Act)
650 Industries, Inc. (Expo)ΗΠΑ Push tokens· περιεχόμενο ειδοποίησης μόνο κατά τη διάρκεια αποστολής EU-U.S. DPF (αυτο-πιστοποίηση)SCCs Γενικό περιεχόμενο push χωρίς προσωπικά δεδομένα τρίτων· διαγραφή tokens στο logout
Google LLC (FCM)ΗΠΑ Push token συσκευής, γενικό payload EU-U.S. DPFSCCs Ψευδωνυμοποιημένο token, γενικό περιεχόμενο
Apple Inc. (APNs)ΗΠΑ Push token συσκευής, γενικό payload SCCs— Ψευδωνυμοποιημένο token, γενικό περιεχόμενο

Για κάθε γραμμή τηρείται τεκμηριωμένο TIA κατά τις Συστάσεις EDPB 01/2020 (6 βήματα), με ετήσια επανεξέταση· διαθέσιμο στον Πελάτη κατά το άρθρο 13.1.

Δείτε επίσης: Όροι Χρήσης · Πολιτική Απορρήτου · Κατάλογος υποεπεξεργαστών

© 2026 easylog · Πολιτική Απορρήτου · Όροι Χρήσης · DPA · Υποεπεξεργαστές · Όροι v2026-07-06.1