DATA PROCESSING AGREEMENT (DPA) Σύμφωνα με το άρθρο 28 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR, Κανονισμός ΕΕ 2016/679) και τον Ν.4624/2019. Έκδοση προτύπου: 1.0 · Έκδοση από: IKEwebsites.gr / Helix Technologies Μονοπρόσωπη Ι.Κ.Ε. ============================================================ 1. Συμβαλλόμενα Μέρη Ο Υπεύθυνος Επεξεργασίας (Controller): - Επωνυμία: _______________________________________________ - ΑΦΜ: __________________ · ΓΕΜΗ: __________________ - Διεύθυνση: _____________________________________________ - Νόμιμος Εκπρόσωπος: ____________________________________ - Email: _________________________________________________ Ο Εκτελών την Επεξεργασία (Processor): - Επωνυμία: Helix Technologies Μονοπρόσωπη Ι.Κ.Ε. - ΑΦΜ: 803240617 · ΓΕΜΗ: 192841603000 - Διεύθυνση: Λεωφ. Κηφισίας 265, 14561 Κηφισιά - Email: legal@helixtechnologies.gr 2. Αντικείμενο και Σκοπός Επεξεργασίας Ο Processor παρέχει στον Controller την υπηρεσία IKEwebsites.gr — αυτοματοποιημένη δημιουργία και συντήρηση της εταιρικής ιστοσελίδας ΙΚΕ με συμμόρφωση προς Ν.4072/2012 Άρθρο 47 §2 + Άρθρο 98 §2. Στο πλαίσιο αυτό, ο Processor επεξεργάζεται τα ακόλουθα προσωπικά δεδομένα του Controller και τρίτων (εταίρων, διαχειριστών): - Ονοματεπώνυμο εταίρων / διαχειριστών - Διευθύνσεις (manual input) - ΑΦΜ / ΑΔΤ (όπου υπάρχουν στο ΓΕΜΗ) - Τηλέφωνα / email επικοινωνίας της εταιρείας - Ανεβασμένα PDFs (ισολογισμοί, πρακτικά, πιστοποιητικά) Σκοπός επεξεργασίας: Εκπλήρωση της νομικής υποχρέωσης δημοσιότητας (GDPR Art. 6(1)(c)). Διάρκεια: Καθ' όλη την ενεργή περίοδο της συνδρομής του Controller, συν 30 ημέρες μετά τον τερματισμό. 3. Υποχρεώσεις του Processor Ο Processor αναλαμβάνει: (α) Να επεξεργάζεται τα προσωπικά δεδομένα μόνο βάσει τεκμηριωμένων εντολών του Controller. (β) Να διασφαλίζει ότι τα πρόσωπα που έχουν εξουσιοδοτηθεί για την επεξεργασία έχουν αναλάβει δέσμευση εμπιστευτικότητας. (γ) Να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα (Άρθρο 32 GDPR): • HTTPS/TLS 1.3 παντού • HMAC-signed session cookies • PDF magic-byte verification για uploads • Per-IP rate limiting (brute-force protection) • Καθημερινά backups με 30-day retention • Audit log immutability • CSP, HSTS, Permissions-Policy headers (δ) Να βοηθά τον Controller στην απάντηση αιτημάτων υποκειμένων δεδομένων (Άρθρα 15-22 GDPR). (ε) Να βοηθά τον Controller σε ΕΔΠΕ (DPIA), κοινοποιήσεις παραβιάσεων και διαβουλεύσεις με την ΑΠΔΠΧ. (στ) Μετά τη λήξη, να διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα (επιλογή Controller) εντός 30 ημερών. (ζ) Να καθιστά διαθέσιμες όλες τις απαραίτητες πληροφορίες για να αποδεικνύει τη συμμόρφωσή του με τον Άρθρο 28. 4. Υπο-Εκτελούντες την Επεξεργασία (Sub-processors) Ο Controller εξουσιοδοτεί τον Processor να χρησιμοποιεί τους ακόλουθους sub-processors: | Sub-processor | Σκοπός | Τοποθεσία | |---|---|---| | Google LLC (Analytics 4) | Στατιστικά επισκεψιμότητας | EU (Dublin) | | Anthropic PBC | AI balance sheet parser (Business tier — opt-in) | US (SCC) | | OpenAI LLC | AI fallback (Business tier — opt-in) | US (SCC) | | Resend | Email delivery | EU | | Stripe / Viva Wallet | Payment processing | EU | | Cloudflare | CDN / WAF | Global anycast | | Αποθηκευτής (hosting): Enartia/OVH/Hetzner/AWS | Υποδομή | EU | Ο Processor θα ενημερώνει τον Controller εγγράφως 30 ημέρες πριν προστεθεί νέος sub-processor, δίνοντας δικαίωμα αντίρρησης. 5. Διασυνοριακές Μεταφορές Προσωπικά δεδομένα παραμένουν εντός ΕΕ/ΕΟΧ. Εξαιρέσεις (AI providers) διέπονται από SCCs της Ευρωπαϊκής Επιτροπής (2021/914). 6. Παραβιάσεις Δεδομένων (Art. 33) Ο Processor ενημερώνει τον Controller χωρίς αδικαιολόγητη καθυστέρηση (εντός 24 ωρών από την ανακάλυψη) σε κάθε παραβίαση προσωπικών δεδομένων, παρέχοντας: - Φύση της παραβίασης και κατηγορίες υποκειμένων - Εκτιμώμενο αριθμό επηρεαζόμενων προσώπων και εγγραφών - Πιθανές συνέπειες - Ληφθέντα ή προτεινόμενα μέτρα αντιμετώπισης 7. Δικαιώματα Ελέγχου Ο Controller δύναται να διενεργεί ελέγχους συμμόρφωσης του Processor μία φορά ετησίως, κατόπιν 30-ήμερης γραπτής ειδοποίησης, με δικά του έξοδα. Ο Processor διαθέτει pen-test reports και SOC-2-style documentation (βλ. /docs/SECURITY.md). 8. Διάρκεια και Τερματισμός Το παρόν DPA ισχύει από την υπογραφή και ταυτίζεται με τη διάρκεια της κύριας σύμβασης συνδρομής. Σε περίπτωση τερματισμού, ο Processor διαγράφει/επιστρέφει δεδομένα εντός 30 ημερών (επιλογή Controller). 9. Ευθύνη Η ευθύνη κάθε μέρους προς το υποκείμενο δεδομένων είναι όπως ορίζει ο Άρθρος 82 GDPR. Μεταξύ των συμβαλλομένων, η συνολική ευθύνη του Processor περιορίζεται κατά τα οριζόμενα στους Όρους Χρήσης IKEwebsites.gr. 10. Εφαρμοστέο Δίκαιο και Δικαιοδοσία Το παρόν DPA διέπεται από το Ελληνικό Δίκαιο. Αρμόδια δικαστήρια: Αθηνών. ============================================================ Υπογραφές ``` Controller Processor ____________________________ Helix Technologies Μονοπρόσωπη Ι.Κ.Ε. (Επωνυμία + Νόμιμος Εκπρόσωπος) ____________________________ (Διαχειριστής) Ημερομηνία: ____/____/2026 Ημερομηνία: ____/____/2026 Σφραγίδα: Σφραγίδα: ``` --- Παραρτήματα - [Πολιτική Απορρήτου](https://ikewebsites.gr/privacy) - [Πολιτική Cookies](https://ikewebsites.gr/cookies) - [Όροι Χρήσης](https://ikewebsites.gr/terms) - [Security documentation](https://ikewebsites.gr/docs/SECURITY.md) Έκδοση προτύπου δημιουργήθηκε αυτόματα: 2026-05-06T00:43:57.537Z