ΞΕΚΙΝΑ ΕΔΩ

DPA

Σύμβαση Επεξεργασίας Δεδομένων

(Data Processing Agreement — DPA)

Τελευταία ενημέρωση: 05/05/2026 Έκδοση: 1.0 (Draft — εκκρεμεί νομική ανασκόπηση)

1. Συμβαλλόμενα Μέρη

Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων (εφεξής η «Σύμβαση» ή «DPA») καταρτίζεται μεταξύ:

α) Υπευθύνου Επεξεργασίας (Controller)

Ο εκάστοτε ιατρός, οδοντίατρος, κλινική, ιατρείο ή άλλο πρόσωπο (φυσικό ή νομικό) που χρησιμοποιεί την πλατφόρμα smashtheglass.gr για τη συλλογή και διαχείριση ψηφιακών φορμών ιατρικού ιστορικού (εφεξής ο «Controller»). Τα στοιχεία ταυτοποίησης του Controller προκύπτουν από τον λογαριασμό/προφίλ του στην πλατφόρμα.

β) Εκτελούντος την Επεξεργασία (Processor)

Επωνυμία: Νικόλαος Αναγνωστόπουλος Ευάγγελος (ατομική επιχείρηση) Διακριτικός τίτλος / Πλατφόρμα: smashtheglass.gr — https://smashtheglass.gr Έδρα: Δημητρακοπούλου 61-63, 11741, Αθήνα, Ελλάδα Α.Φ.Μ.: 154258818 Δ.Ο.Υ.: Α’ Αθηνών Email επικοινωνίας: info@smashtheglass.gr Email θεμάτων προστασίας δεδομένων: info@smashtheglass.gr

(εφεξής ο «Processor»).

Τα Μέρη αναφέρονται από κοινού ως «Μέρη» και έκαστο εξ αυτών ως «Μέρος».

2. Ορισμοί

Για τους σκοπούς της παρούσας Σύμβασης, οι ακόλουθοι όροι έχουν την εξής έννοια:

α) «Προσωπικά Δεδομένα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, σύμφωνα με το άρθρο 4§1 GDPR.

β) «Δεδομένα Υγείας»: προσωπικά δεδομένα που αφορούν τη σωματική ή ψυχική υγεία υποκειμένου, συμπεριλαμβανομένων στοιχείων ιατρικού ιστορικού, σύμφωνα με το άρθρο 4§15 GDPR. Αποτελούν «ειδικές κατηγορίες δεδομένων» του άρθρου 9 GDPR.

γ) «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων επί προσωπικών δεδομένων, όπως συλλογή, καταχώριση, οργάνωση, αποθήκευση, ανάκτηση, χρήση, κοινολόγηση, διαγραφή κ.λπ., σύμφωνα με το άρθρο 4§2 GDPR.

δ) «Υποκείμενο Δεδομένων»: ο ασθενής ή υποψήφιος ασθενής του Controller, του οποίου τα δεδομένα υποβάλλονται/καταχωρίζονται μέσω των φορμών της Πλατφόρμας.

ε) «Πλατφόρμα»: η διαδικτυακή υπηρεσία δημιουργίας, αποστολής, συμπλήρωσης, αποθήκευσης και διαχείρισης ψηφιακών φορμών ιατρικού ιστορικού που παρέχεται από τον Processor μέσω native εφαρμογής, με αποθήκευση δεδομένων σε υποδομές Supabase εντός Ευρωπαϊκής Ένωσης (Φρανκφούρτη, Γερμανία).

στ) «Υπο-εκτελών» ή «Sub-processor»: τρίτος που αναλαμβάνει επεξεργασία προσωπικών δεδομένων για λογαριασμό του Processor.

ζ) «Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα»: παραβίαση ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη κοινολόγηση ή πρόσβαση σε προσωπικά δεδομένα, σύμφωνα με το άρθρο 4§12 GDPR.

η) «GDPR»: ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

θ) «Εφαρμοστέα Νομοθεσία»: ο GDPR, ο Ν. 4624/2019 (ελληνική εφαρμογή GDPR), ο Ν. 3418/2005 (Κώδικας Ιατρικής Δεοντολογίας), και κάθε άλλη εθνική ή ευρωπαϊκή διάταξη περί προστασίας προσωπικών δεδομένων.

ι) «Κύριοι Όροι»: οι Όροι Χρήσης της Πλατφόρμας μεταξύ Processor και Controller.

3. Αντικείμενο, Πεδίο Εφαρμογής και Σχέση με τους Κύριους Όρους

3.1. Η παρούσα Σύμβαση ρυθμίζει τους όρους υπό τους οποίους ο Processor επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Controller, στο πλαίσιο της χρήσης της Πλατφόρμας.

3.2. Η παρούσα Σύμβαση αποτελεί αναπόσπαστο μέρος των Κύριων Όρων. Σε περίπτωση σύγκρουσης μεταξύ Κύριων Όρων και της παρούσας ως προς θέματα επεξεργασίας προσωπικών δεδομένων, υπερισχύουν οι ειδικές ρυθμίσεις της παρούσας.

3.3. Τα Μέρη ρητά αναγνωρίζουν ότι:

  • Ο Controller ενεργεί ως Υπεύθυνος Επεξεργασίας των δεδομένων ασθενών/υποκειμένων που συλλέγονται και διαχειρίζονται μέσω της Πλατφόρμας,
  • Ο Processor ενεργεί ως Εκτελών την Επεξεργασία των δεδομένων αυτών,
  • Η παρούσα Σύμβαση συντάσσεται προς εκπλήρωση των απαιτήσεων του άρθρου 28§3 GDPR.

4. Διάρκεια

4.1. Η παρούσα τίθεται σε ισχύ από την αποδοχή της από τον Controller (ηλεκτρονικά ή/και μέσω αποδοχής των Κύριων Όρων) και παραμένει σε ισχύ για όσο ο Controller χρησιμοποιεί την Πλατφόρμα και ο Processor επεξεργάζεται δεδομένα για λογαριασμό του.

4.2. Οι υποχρεώσεις εμπιστευτικότητας, ασφάλειας, ειδοποίησης παραβιάσεων, καθώς και οι ρυθμίσεις περί επιστροφής/διαγραφής δεδομένων, επιβιώνουν της λήξης ή καταγγελίας για όσο διάστημα απαιτείται από τη φύση τους και την Εφαρμοστέα Νομοθεσία.

5. Αντικείμενο, Φύση και Σκοπός της Επεξεργασίας

5.1. Αντικείμενο: Η παροχή από τον Processor τεχνολογικής υποδομής για τη δημιουργία, διανομή και διαχείριση ψηφιακών φορμών ιατρικού ιστορικού και συναφών δηλώσεων που ορίζει ο Controller.

5.2. Φύση επεξεργασίας: Ηλεκτρονική συλλογή (μέσω συμπλήρωσης φόρμας από τον ασθενή), καταχώριση, οργάνωση, αποθήκευση, προβολή, αναζήτηση, εξαγωγή/λήψη, αρχειοθέτηση και διαγραφή δεδομένων, καθώς και καταγραφή τεχνικών συμβάντων για λόγους ασφάλειας και λογοδοσίας.

5.3. Σκοπός: Αποκλειστικά η λειτουργία της Πλατφόρμας και η δυνατότητα του Controller να συλλέγει και να διαχειρίζεται πληροφορίες που αφορούν τους ασθενείς του, καθώς και η παροχή τεχνικής υποστήριξης, ασφάλειας, πρόληψης απάτης/κακόβουλης χρήσης και συμμόρφωσης με τεχνικές απαιτήσεις.

5.4. Πλήρης περιγραφή της επεξεργασίας περιλαμβάνεται στο Παράρτημα Α.

6. Κατηγορίες Δεδομένων και Υποκειμένων

6.1. Κατηγορίες Υποκειμένων: Ασθενείς ή υποψήφιοι ασθενείς του Controller, καθώς και τυχόν συνοδοί/κηδεμόνες όπου αυτό προβλέπεται από τη φόρμα του Controller.

6.2. Κατηγορίες Προσωπικών Δεδομένων (ενδεικτικά, ανάλογα με τη φόρμα που σχεδιάζει ο Controller):

α) Στοιχεία ταυτοποίησης και επικοινωνίας: όνομα, επώνυμο, email, τηλέφωνο, ημερομηνία γέννησης, διεύθυνση, ΑΜΚΑ ή λοιπά στοιχεία επικοινωνίας.

β) Δεδομένα υγείας (ειδική κατηγορία — άρθρο 9 GDPR): ιατρικό ιστορικό, συμπτώματα, αλλεργίες, φαρμακευτική αγωγή, διαγνώσεις, προηγούμενες επεμβάσεις, χρόνιες παθήσεις, οικογενειακό ιστορικό, λοιπές πληροφορίες που εισάγει το υποκείμενο ή ζητά ο Controller.

γ) Δεδομένα σχετικά με συγκαταθέσεις/δηλώσεις/επιβεβαιώσεις που ζητά ο Controller.

δ) Ηλεκτρονικές υπογραφές ή ισοδύναμα στοιχεία αποδοχής/επιβεβαίωσης, εφόσον ο Controller ενεργοποιεί τη σχετική λειτουργία.

ε) Τεχνικά δεδομένα και μεταδεδομένα ασφαλείας (π.χ. IP, user agent, ημερομηνίες/ώρες πρόσβασης, συμβάντα σύνδεσης), στον βαθμό που απαιτούνται για την ασφάλεια και τη λογοδοσία.

7. Εντολές του Controller και Όρια Επεξεργασίας

7.1. Ο Processor επεξεργάζεται τα προσωπικά δεδομένα μόνο βάσει τεκμηριωμένων εντολών του Controller, όπως αυτές αποτυπώνονται:

(α) στις ρυθμίσεις της Πλατφόρμας που επιλέγει ο Controller, (β) στο περιεχόμενο/πεδία των φορμών που δημιουργεί ο Controller, (γ) σε έγγραφες ή ηλεκτρονικές οδηγίες που παρέχονται από τον Controller, (δ) στους όρους της παρούσας Σύμβασης και των Κύριων Όρων.

7.2. Ο Processor δεν επεξεργάζεται τα δεδομένα για δικούς του ανεξάρτητους σκοπούς, ούτε τα πωλεί, εκμισθώνει, διαθέτει σε τρίτους, ούτε τα χρησιμοποιεί για εκπαίδευση μοντέλων μηχανικής μάθησης, στατιστική ανάλυση εκτός των ορίων της παρούσας, ή οποιοδήποτε άλλο σκοπό πέραν αυτών που προβλέπονται.

7.3. Εάν ο Processor θεωρήσει ότι κάποια εντολή του Controller παραβιάζει την Εφαρμοστέα Νομοθεσία, ενημερώνει τον Controller χωρίς αδικαιολόγητη καθυστέρηση και δύναται να αναστείλει την εκτέλεση της συγκεκριμένης εντολής μέχρι να διευκρινιστεί ή αρθεί η παραβίαση.

8. Υποχρεώσεις του Controller

8.1. Ο Controller δηλώνει και εγγυάται ότι:

α) Διαθέτει νόμιμη βάση για τη συλλογή και επεξεργασία των δεδομένων (κατά τα άρθρα 6 και 9 GDPR — ενδεικτικά: ρητή συγκατάθεση κατά το άρθρο 9§2(α) ή προληπτική/διαγνωστική ιατρική κατά το άρθρο 9§2(η)),

β) Παρέχει κατάλληλη ενημέρωση στα υποκείμενα σύμφωνα με τα άρθρα 13-14 GDPR, και όπου απαιτείται λαμβάνει έγκυρη συγκατάθεση,

γ) Καθορίζει ο ίδιος το περιεχόμενο των φορμών, τα πεδία και τις πληροφορίες που ζητά, μεριμνώντας για την αρχή της ελαχιστοποίησης (άρθρο 5§1(γ) GDPR),

δ) Εξασφαλίζει την ασφάλεια των διαπιστευτηρίων πρόσβασης και των λογαριασμών χρηστών (ισχυροί κωδικοί, MFA όπου διατίθεται, περιορισμένη πρόσβαση),

ε) Ελέγχει την ορθότητα των στοιχείων παραλήπτη όταν αποστέλλει συνδέσμους προς φόρμες, ώστε να αποφεύγεται αποστολή σε λάθος πρόσωπο,

στ) Τηρεί το ιατρικό απόρρητο σύμφωνα με τον Ν. 3418/2005,

ζ) Καθορίζει την πολιτική διατήρησης των δεδομένων που συλλέγει.

8.2. Ο Controller είναι αποκλειστικά υπεύθυνος για την απόφαση ως προς τον χρόνο τήρησης/διατήρησης, την αρχειοθέτηση, τις εσωτερικές πολιτικές πρόσβασης στο ιατρείο/κλινική, καθώς και για το ποιοι χρήστες του θα έχουν πρόσβαση στα δεδομένα.

9. Εμπιστευτικότητα

9.1. Ο Processor διασφαλίζει ότι κάθε πρόσωπο που ενεργεί υπό την εξουσία του και έχει πρόσβαση σε προσωπικά δεδομένα (εργαζόμενοι, συνεργάτες, εξουσιοδοτημένοι εκπρόσωποι) δεσμεύεται από υποχρέωση εμπιστευτικότητας, είτε μέσω σύμβασης είτε μέσω ισοδύναμης νομικής υποχρέωσης.

9.2. Η πρόσβαση σε δεδομένα περιορίζεται στα πρόσωπα που είναι απαραίτητο να έχουν πρόσβαση για την παροχή της Πλατφόρμας, την υποστήριξη και την ασφάλεια, σύμφωνα με την αρχή της ελάχιστης αναγκαίας πρόσβασης (least privilege).

9.3. Η υποχρέωση εμπιστευτικότητας παραμένει σε ισχύ και μετά τη λήξη της απασχόλησης ή συνεργασίας.

10. Τεχνικά και Οργανωτικά Μέτρα Ασφάλειας

10.1. Ο Processor εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση επιπέδου ασφάλειας ανάλογου με τον κίνδυνο, σύμφωνα με το άρθρο 32 GDPR, λαμβάνοντας υπόψη τη φύση των δεδομένων (συμπεριλαμβανομένων δεδομένων υγείας) και τους κινδύνους από μη εξουσιοδοτημένη πρόσβαση, αλλοίωση, απώλεια ή κοινολόγηση.

10.2. Τα ελάχιστα μέτρα ασφαλείας περιλαμβάνουν:

α) Κρυπτογράφηση κατά τη μεταφορά (TLS 1.2 ή ανώτερο) για όλες τις επικοινωνίες, β) Κρυπτογράφηση κατά την αποθήκευση (at rest) για τη βάση δεδομένων, γ) Έλεγχο πρόσβασης βάσει ρόλων (RBAC) και αρχή ελάχιστης πρόσβασης, δ) Λογικό διαχωρισμό δεδομένων ανά πελάτη (tenant isolation) μέσω Row Level Security (RLS) στη βάση δεδομένων Supabase, ε) Καταγραφή συμβάντων ασφαλείας (audit logs) για πρόσβαση και τροποποίηση δεδομένων, στ) Τακτικά αυτοματοποιημένα αντίγραφα ασφαλείας με δοκιμή επαναφοράς, ζ) Διαδικασίες διαχείρισης ευπαθειών και ενημέρωσης λογισμικού, η) Διαδικασίες διαχείρισης περιστατικών ασφαλείας και αποκατάστασης, θ) Φυσική ασφάλεια υποδομών μέσω παρόχων φιλοξενίας υψηλών προδιαγραφών (Supabase, Vercel — Φρανκφούρτη), ι) Διαθεσιμότητα MFA για λογαριασμούς Controllers.

10.3. Αναλυτική περιγραφή των τεχνικών και οργανωτικών μέτρων περιλαμβάνεται στο Παράρτημα Β. Τα μέτρα δύνανται να ενημερώνονται κατά καιρούς, υπό την προϋπόθεση ότι οι αλλαγές δεν μειώνουν ουσιωδώς το επίπεδο προστασίας.

10.4. Ο Controller αναγνωρίζει ότι η απόλυτη ασφάλεια δεν είναι τεχνικά εφικτή και ότι ο Processor υποχρεούται σε μέτρα κατάλληλα και εύλογα σε σχέση με τον κίνδυνο και τη διαθέσιμη τεχνολογία.

11. Υπο-εκτελούντες (Sub-processors)

11.1. Γενική εξουσιοδότηση: Ο Controller παρέχει με την παρούσα γενική εξουσιοδότηση στον Processor να χρησιμοποιεί υπο-εκτελούντες για την παροχή της Πλατφόρμας.

11.2. Λίστα εγκεκριμένων υπο-εκτελούντων: Η τρέχουσα λίστα υπο-εκτελούντων παρατίθεται στο Παράρτημα Γ και δημοσιεύεται/ενημερώνεται στη διεύθυνση https://smashtheglass.gr/subprocessors.

11.3. Υποχρεώσεις του Processor προς τους υπο-εκτελούντες: Ο Processor:

α) Επιλέγει υπο-εκτελούντες που παρέχουν επαρκείς εγγυήσεις εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων, β) Συνάπτει με κάθε υπο-εκτελούντα γραπτή σύμβαση που του επιβάλλει υποχρεώσεις προστασίας δεδομένων τουλάχιστον ισοδύναμες με αυτές της παρούσας Σύμβασης, γ) Παραμένει πλήρως υπεύθυνος έναντι του Controller για τις πράξεις και παραλείψεις των υπο-εκτελούντων.

11.4. Ενημέρωση για αλλαγές: Ο Processor ενημερώνει τον Controller για κάθε σκοπούμενη προσθήκη ή αντικατάσταση υπο-εκτελούντος τουλάχιστον τριάντα (30) ημέρες πριν τεθεί σε ισχύ, μέσω email στη διεύθυνση εγγραφής του Controller ή/και μέσω ανακοίνωσης στην Πλατφόρμα.

11.5. Δικαίωμα εναντίωσης: Ο Controller δύναται να εναντιωθεί σε νέο υπο-εκτελούντα εντός της προθεσμίας των τριάντα (30) ημερών, με τεκμηριωμένους και εύλογους λόγους που σχετίζονται με την προστασία δεδομένων. Σε περίπτωση εναντίωσης:

α) Τα Μέρη συζητούν εναλλακτικές λύσεις καλόπιστα, β) Εάν δεν επιτευχθεί συμφωνία, ο Controller δικαιούται να καταγγείλει τη Σύμβαση χωρίς κυρώσεις, λαμβάνοντας πίσω τα δεδομένα του σύμφωνα με το άρθρο 18.

12. Συνδρομή στην Άσκηση Δικαιωμάτων Υποκειμένων

12.1. Ο Processor, λαμβάνοντας υπόψη τη φύση της επεξεργασίας, παρέχει συνδρομή στον Controller με κατάλληλα τεχνικά και οργανωτικά μέτρα, για την εκπλήρωση της υποχρέωσης απόκρισης σε αιτήματα υποκειμένων που ασκούν τα δικαιώματα τους κατά τα άρθρα 15-22 GDPR:

α) Δικαίωμα πρόσβασης (άρθρο 15), β) Δικαίωμα διόρθωσης (άρθρο 16), γ) Δικαίωμα διαγραφής/λήθης (άρθρο 17), δ) Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18), ε) Δικαίωμα φορητότητας (άρθρο 20), στ) Δικαίωμα εναντίωσης (άρθρο 21), ζ) Δικαιώματα σε σχέση με την αυτοματοποιημένη ατομική λήψη απόφασης (άρθρο 22).

12.2. Η Πλατφόρμα παρέχει στον Controller εργαλεία self-service (πρόσβαση, εξαγωγή, διόρθωση, διαγραφή δεδομένων) ώστε να ικανοποιεί τα αιτήματα υποκειμένων αυτόνομα. Όπου τα εργαλεία αυτά δεν επαρκούν, ο Processor παρέχει εύλογη υποστήριξη κατόπιν αιτήματος.

12.3. Αιτήματα απευθείας στον Processor: Εάν υποκείμενο απευθυνθεί απευθείας στον Processor ασκώντας δικαίωμα του, ο Processor:

α) Δεν απαντά απευθείας στο υποκείμενο επί της ουσίας, β) Προωθεί το αίτημα στον Controller χωρίς αδικαιολόγητη καθυστέρηση, γ) Ενημερώνει το υποκείμενο ότι ο Controller είναι ο αρμόδιος.

12.4. Το κόστος ασυνήθιστα εκτεταμένης συνδρομής (πέραν της αυτοματοποιημένης λειτουργικότητας της Πλατφόρμας) ενδέχεται να χρεωθεί στον Controller, με προηγούμενη ενημέρωση του.

13. Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα

13.1. Ειδοποίηση Controller: Σε περίπτωση που ο Processor αντιληφθεί παραβίαση δεδομένων που αφορά τον Controller, ενημερώνει τον Controller χωρίς αδικαιολόγητη καθυστέρηση και κατά κανόνα εντός εβδομήντα δύο (72) ωρών από την αντίληψη της παραβίασης.

13.2. Περιεχόμενο ειδοποίησης: Η ειδοποίηση περιλαμβάνει, στο μέτρο που είναι διαθέσιμα κατά τον χρόνο της ειδοποίησης:

α) Φύση της παραβίασης, συμπεριλαμβανομένων των κατηγοριών και του κατά προσέγγιση αριθμού υποκειμένων και αρχείων που επηρεάζονται, β) Πιθανές συνέπειες της παραβίασης, γ) Μέτρα που έχουν ληφθεί ή προτείνονται για την αντιμετώπιση της παραβίασης και τον μετριασμό των επιπτώσεων, δ) Στοιχεία επικοινωνίας υπεύθυνου επαφής για περαιτέρω πληροφορίες.

13.3. Συνεργασία: Ο Processor συνεργάζεται με τον Controller και παρέχει εύλογη συνδρομή για:

α) Τη διερεύνηση της παραβίασης, β) Την εκπλήρωση από τον Controller της υποχρέωσης γνωστοποίησης στην εποπτική αρχή (άρθρο 33 GDPR), γ) Την εκπλήρωση της υποχρέωσης ανακοίνωσης στα υποκείμενα (άρθρο 34 GDPR), όπου απαιτείται, δ) Τη λήψη μέτρων αποκατάστασης.

13.4. Η ειδοποίηση παραβίασης από τον Processor δεν συνιστά αποδοχή ευθύνης ή υπαιτιότητας.

14. Διεθνείς Διαβιβάσεις Δεδομένων

14.1. Αρχή: Όλα τα Δεδομένα Υγείας και τα στοιχεία ταυτοποίησης ασθενών αποθηκεύονται και επεξεργάζονται εντός της Ευρωπαϊκής Ένωσης. Συγκεκριμένα:

  • Η βάση δεδομένων φιλοξενείται στη Φρανκφούρτη της Γερμανίας (Supabase),
  • Η διαδικτυακή εφαρμογή φιλοξενείται στη Φρανκφούρτη της Γερμανίας (Vercel),
  • Η αποστολή email πραγματοποιείται από υποδομές στην Ιρλανδία (Resend EU region).

14.2. Δέσμευση: Ο Processor δεσμεύεται να διατηρεί τα Δεδομένα Υγείας και τα στοιχεία ταυτοποίησης ασθενών εντός ΕΕ/ΕΟΧ για τη διάρκεια της παρούσας Σύμβασης. Δεν πραγματοποιούνται διεθνείς διαβιβάσεις των Δεδομένων Ασθενούς εκτός ΕΕ/ΕΟΧ.

14.3. Ενημέρωση για αλλαγές τοποθεσίας: Οποιαδήποτε αλλαγή στην τοποθεσία επεξεργασίας Δεδομένων Υγείας θα κοινοποιείται στον Controller με τη διαδικασία του άρθρου 11. Σε περίπτωση μελλοντικής διαβίβασης εκτός ΕΕ/ΕΟΧ, θα εφαρμόζονται Τυποποιημένες Συμβατικές Ρήτρες (SCCs) της Ευρωπαϊκής Επιτροπής (Απόφαση 2021/914) και κατάλληλα συμπληρωματικά μέτρα.

15. Συνεργασία με Εποπτική Αρχή

15.1. Ο Processor συνεργάζεται με την αρμόδια εποπτική αρχή (στην Ελλάδα: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα — ΑΠΔΠΧ) και παρέχει σε αυτή κάθε πληροφορία απαραίτητη για την εκπλήρωση των καθηκόντων της, σύμφωνα με το άρθρο 31 GDPR.

15.2. Ο Processor ενημερώνει τον Controller για κάθε αίτημα ή έρευνα εποπτικής αρχής που αφορά την επεξεργασία που εκτελεί για λογαριασμό του Controller, χωρίς αδικαιολόγητη καθυστέρηση, εκτός εάν αυτό απαγορεύεται από τον νόμο.

16. Συνδρομή σε Εκτίμηση Αντικτύπου (DPIA)

16.1. Λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του, ο Processor παρέχει εύλογη συνδρομή στον Controller για την εκπλήρωση των υποχρεώσεων του βάσει των άρθρων 35 και 36 GDPR (Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων και προηγούμενη διαβούλευση με την εποπτική αρχή).

16.2. Η συνδρομή αυτή περιορίζεται σε πληροφορίες που σχετίζονται άμεσα με την Πλατφόρμα και τα μέτρα ασφαλείας του Processor.

17. Έλεγχοι (Audits)

17.1. Ο Processor διαθέτει στον Controller, κατόπιν εύλογου γραπτού αιτήματος και όχι συχνότερα από μία φορά ετησίως (εκτός εάν υπάρχει εύλογη υπόνοια παραβίασης ή αίτημα εποπτικής αρχής), όλες τις απαραίτητες πληροφορίες για την απόδειξη συμμόρφωσης με τις υποχρεώσεις του παρόντος άρθρου 28 GDPR.

17.2. Μορφές απόδειξης: Η συμμόρφωση μπορεί να αποδεικνύεται μέσω:

α) Πιστοποιητικών (π.χ. ISO 27001) ή εκθέσεων ελέγχου (π.χ. SOC 2) του Processor ή των υπο-εκτελούντων του (όπου διαθέσιμα), β) Αναλυτικής τεχνικής τεκμηρίωσης των μέτρων ασφαλείας, γ) Συμπληρωμένου ερωτηματολογίου ασφάλειας/προστασίας δεδομένων.

17.3. Επιτόπιοι έλεγχοι: Επιτόπιοι έλεγχοι (on-site audits) επιτρέπονται μόνο εάν οι ανωτέρω μορφές απόδειξης δεν επαρκούν, με προειδοποίηση τουλάχιστον σαράντα πέντε (45) ημερών, σε εργάσιμες ημέρες και ώρες, με τήρηση εμπιστευτικότητας και χωρίς διατάραξη της λειτουργίας του Processor. Το κόστος επιτόπιου ελέγχου βαρύνει τον Controller.

17.4. Τυχόν ευρήματα του ελέγχου παραμένουν αυστηρά εμπιστευτικά μεταξύ των Μερών.

18. Επιστροφή ή Διαγραφή Δεδομένων

18.1. Επιλογή Controller: Με τη λήξη της παροχής υπηρεσιών επεξεργασίας (λήξη ή καταγγελία της σύμβασης), ο Processor διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα στον Controller, σύμφωνα με την επιλογή του Controller.

18.2. Διαδικασία:

α) Ο Controller έχει πρόσβαση σε εργαλεία αυτοματοποιημένης εξαγωγής δεδομένων (π.χ. CSV, JSON) μέσω της Πλατφόρμας έως τριάντα (30) ημέρες μετά τη λήξη της σύμβασης,

β) Μετά την παρέλευση της προθεσμίας αυτής, ο Processor προβαίνει σε ασφαλή διαγραφή των δεδομένων εντός εύλογου χρόνου, και πάντως όχι αργότερα από ενενήντα (90) ημέρες, συμπεριλαμβανομένων των αντιγράφων ασφαλείας (τα οποία διαγράφονται σύμφωνα με τον φυσιολογικό κύκλο εναλλαγής τους),

γ) Ο Processor παρέχει στον Controller, κατόπιν αιτήματος, έγγραφη επιβεβαίωση διαγραφής.

18.3. Νομικές υποχρεώσεις διατήρησης: Ο Processor δικαιούται να διατηρήσει συγκεκριμένα δεδομένα μετά τη λήξη μόνο εφόσον αυτό απαιτείται από την Εφαρμοστέα Νομοθεσία (π.χ. φορολογικά αρχεία τιμολογίων), διασφαλίζοντας ότι τα δεδομένα παραμένουν προστατευμένα σύμφωνα με την παρούσα Σύμβαση και χρησιμοποιούνται αποκλειστικά για τους νομικούς αυτούς σκοπούς.

19. Ευθύνη και Αποζημίωση

19.1. Κατανομή ευθύνης: Έκαστο Μέρος ευθύνεται για τις παραβιάσεις της Εφαρμοστέας Νομοθεσίας που οφείλονται στη συμπεριφορά του, σύμφωνα με το άρθρο 82 GDPR.

19.2. Όρια ευθύνης: Με την επιφύλαξη των αναγκαστικών διατάξεων του δικαίου, η συνολική ευθύνη του Processor βάσει της παρούσας Σύμβασης υπόκειται στους περιορισμούς ευθύνης που προβλέπονται στους Κύριους Όρους.

19.3. Αποζημίωση από τον Controller: Ο Controller αποζημιώνει τον Processor για κάθε ζημία ή πρόστιμο που υφίσταται ο τελευταίος ως αποτέλεσμα μη συμμόρφωσης του Controller με τις υποχρεώσεις του βάσει της Εφαρμοστέας Νομοθεσίας, ιδίως ως προς:

α) Την έλλειψη νόμιμης βάσης επεξεργασίας, β) Την έλλειψη ή ανεπάρκεια ενημέρωσης των υποκειμένων, γ) Την παροχή παράνομων εντολών στον Processor, δ) Την παράβαση των υποχρεώσεων του άρθρου 8 της παρούσας.

20. Τελικές Διατάξεις

20.1 Εφαρμοστέο Δίκαιο και Δικαιοδοσία

Η παρούσα Σύμβαση διέπεται από το ελληνικό δίκαιο και το δίκαιο της Ευρωπαϊκής Ένωσης. Αρμόδια για την επίλυση κάθε διαφοράς ορίζονται αποκλειστικά τα Δικαστήρια των Αθηνών.

20.2 Τροποποιήσεις

Κάθε ουσιώδης τροποποίηση της παρούσας Σύμβασης τίθεται σε ισχύ μετά από ενημέρωση του Controller τουλάχιστον τριάντα (30) ημέρες πριν την έναρξη ισχύος.

20.3 Μερική ακυρότητα

Εάν οποιοσδήποτε όρος κριθεί άκυρος ή μη εκτελεστός, οι λοιποί όροι παραμένουν σε πλήρη ισχύ.

20.4 Πληρότητα

Η παρούσα Σύμβαση μαζί με τους Κύριους Όρους και τα Παραρτήματά της αποτελεί την πλήρη συμφωνία των Μερών ως προς το αντικείμενο της επεξεργασίας προσωπικών δεδομένων.

20.5 Επικοινωνία

Για κάθε θέμα σχετικό με την παρούσα Σύμβαση: Email: info@smashtheglass.gr Email θεμάτων προστασίας δεδομένων: info@smashtheglass.gr

Παράρτημα Α: Περιγραφή Επεξεργασίας

Α.1. Πράξεις Επεξεργασίας

Η επεξεργασία που εκτελεί ο Processor για λογαριασμό του Controller περιλαμβάνει:

  • Φιλοξενία εφαρμογής
  • Δημιουργία και διαχείριση φορμών
  • Αποστολή/δημοσίευση συνδέσμων συμπλήρωσης σε ασθενείς
  • Λήψη απαντήσεων μέσω native φόρμας
  • Αποθήκευση και προβολή αποτελεσμάτων στην πύλη ιατρού
  • Εξαγωγή δεδομένων από τον Controller
  • Διαγραφή/ανωνυμοποίηση όπου ενεργοποιείται ή ζητείται
  • Αποστολή αυτοματοποιημένων email ειδοποιήσεων/υπενθυμίσεων
  • Τεχνική υποστήριξη και διαχείριση συμβάντων ασφάλειας
  • Δημιουργία αντιγράφων ασφαλείας

Α.2. Συχνότητα και Ένταση Επεξεργασίας

Συνεχής ή περιοδική επεξεργασία, ανάλογα με τη χρήση της Πλατφόρμας από τον Controller και τους ασθενείς του.

Α.3. Διάρκεια Επεξεργασίας

Για όσο διάστημα ο Controller χρησιμοποιεί την Πλατφόρμα, και για περαιτέρω 30 ημέρες μετά τη λήξη για σκοπούς εξαγωγής δεδομένων, σύμφωνα με το άρθρο 18.

Α.4. Τόπος Επεξεργασίας

Αποκλειστικά εντός Ευρωπαϊκής Ένωσης:

  • Βάση δεδομένων και αποθήκευση αρχείων: Φρανκφούρτη, Γερμανία (Supabase)
  • Διαδικτυακή εφαρμογή: Φρανκφούρτη, Γερμανία (Vercel)
  • Αποστολή email: Ιρλανδία (Resend)

Παράρτημα Β: Τεχνικά και Οργανωτικά Μέτρα

Ο Processor εφαρμόζει το ακόλουθο πρόγραμμα ασφάλειας:

Β.1. Έλεγχος Πρόσβασης

  • Ισχυροί κωδικοί (πολιτική minimum 8 χαρακτήρων με σύνθεση)
  • Διαθεσιμότητα MFA για όλους τους λογαριασμούς Controller
  • Έλεγχος πρόσβασης βάσει ρόλων (RBAC)
  • Αρχή ελάχιστης πρόσβασης για το προσωπικό του Processor
  • Αυτόματη αποσύνδεση μετά από περίοδο αδράνειας

Β.2. Κρυπτογράφηση

  • TLS 1.2+ για κάθε επικοινωνία (HTTPS)
  • Κρυπτογράφηση δεδομένων κατά την αποθήκευση (AES-256 από Supabase)
  • Κρυπτογραφημένα αντίγραφα ασφαλείας

Β.3. Διαχωρισμός Δεδομένων

  • Λογικός διαχωρισμός δεδομένων ανά Controller μέσω Row Level Security (RLS) στη βάση δεδομένων Supabase
  • Αυστηρή αντιστοίχιση δεδομένων με λογαριασμό Controller

Β.4. Καταγραφή και Παρακολούθηση

  • Audit logs για πρόσβαση και τροποποίηση δεδομένων
  • Παρακολούθηση συμβάντων ασφαλείας
  • Διατήρηση logs για εύλογο διάστημα για λόγους έρευνας περιστατικών

Β.5. Εφεδρεία και Ανάκαμψη

  • Αυτοματοποιημένα ημερήσια αντίγραφα ασφαλείας (μέσω Supabase)
  • Δοκιμές επαναφοράς σε εύλογα διαστήματα
  • Σχέδιο αποκατάστασης από καταστροφή (disaster recovery)

Β.6. Διαχείριση Ευπαθειών

  • Τακτικές ενημερώσεις λογισμικού και dependencies
  • Παρακολούθηση γνωστοποιήσεων ευπαθειών (CVE monitoring)

Β.7. Διαχείριση Περιστατικών

  • Διαδικασία αναφοράς και διερεύνησης συμβάντων ασφαλείας
  • Σχέδιο αντιμετώπισης παραβιάσεων δεδομένων με χρόνο απόκρισης ≤ 72 ώρες

Β.8. Διαχείριση Υπο-εκτελούντων

  • Αξιολόγηση ασφάλειας υπο-εκτελούντων πριν την ενσωμάτωση
  • Επανεκτίμηση σε εύλογα διαστήματα
  • Συμβατικές υποχρεώσεις προστασίας δεδομένων

Β.9. Φυσική Ασφάλεια

  • Φυσική ασφάλεια υποδομών μέσω παρόχων data center υψηλών προδιαγραφών:
    • Supabase Frankfurt: υπηρεσίες AWS με πιστοποιήσεις ISO 27001, SOC 1/2/3, PCI DSS
    • Vercel Frankfurt: υποδομές με πιστοποιήσεις ISO 27001, SOC 2 Type II
    • Resend Ireland: υποδομές με πιστοποιήσεις SOC 2 Type II

Σημείωση: Οι παραπάνω περιγραφές είναι υψηλού επιπέδου και δεν αποκαλύπτουν ευαίσθητες λεπτομέρειες που θα μπορούσαν να εκθέσουν την Πλατφόρμα σε κίνδυνο. Πρόσθετες λεπτομέρειες μπορούν να παρασχεθούν κατόπιν εύλογου αιτήματος και υπό την επιφύλαξη συμφωνίας εμπιστευτικότητας.

Παράρτημα Γ: Εγκεκριμένοι Υπο-εκτελούντες

Υπο-εκτελώνΣκοπόςΕίδος δεδομένωνΤοποθεσίαΝομικό πλαίσιο διαβίβασης
Supabase, Inc.Φιλοξενία βάσης δεδομένων, authentication, αποθήκευση αρχείωνΌλα τα Προσωπικά Δεδομένα και Δεδομένα ΥγείαςΦρανκφούρτη, Γερμανία (ΕΕ)Εντός ΕΕ — δεν απαιτείται ειδικός μηχανισμός
Resend, Inc.Αποστολή transactional email (ειδοποιήσεις)Email, όνομα ασθενούς (όπου περιλαμβάνεται στο email)Ιρλανδία (ΕΕ)Εντός ΕΕ — δεν απαιτείται ειδικός μηχανισμός
Vercel Inc.Φιλοξενία διαδικτυακής εφαρμογήςΤεχνικά δεδομένα, sessionsΦρανκφούρτη, Γερμανία (ΕΕ)Εντός ΕΕ — δεν απαιτείται ειδικός μηχανισμός

Έκδοση λίστας: 05/05/2026

Θέλετε να σας καλέσουμε;

Αφήστε μας τα στοιχεία επικοινωνίας και θα σας καλέσουμε το συντομότερο δυνατό!