ΙΚΕIKEwebsites.gr
Νομικά

Data Processing Agreement (DPA)

Συμφωνητικό επεξεργασίας δεδομένων κατά το άρθρο 28 GDPR, μεταξύ του Πελάτη (Controller) και της Helix Technologies Μονοπρόσωπη Ι.Κ.Ε. (Processor).

Έκδοση
1.0
Τελευταία ενημέρωση
23/6/2026
Πάροχος
Helix Technologies Μονοπρόσωπη Ι.Κ.Ε.
ΑΦΜ · ΓΕΜΗ
803240617 · 192841603000

Έκδοση 2.2 · Τελευταία ενημέρωση: 24 Μαΐου 2026.

Το παρόν DPA αποτελεί αναπόσπαστο μέρος της Σύμβασης Χρήσης και ενεργοποιείται αυτόματα με την αποδοχή των Όρων Χρήσης. Συμπληρώνει την Πολιτική Απορρήτου.

Χρειάζεστε signable αντίγραφο για το λογιστικό / νομικό σας;

Κατεβάστε DPA template σε Markdown ή plain text που μπορείτε να ενσωματώσετε στο Word και να υπογράψετε.

Download .mdDownload .txt

Ορισμοί

  • Data Controller: ο πελάτης (εταιρεία-συνδρομητής)
  • Data Processor: Helix Technologies Μονοπρόσωπη Ι.Κ.Ε., ως πάροχος του IKEwebsites.gr

Κατηγορίες δεδομένων

  • Email χρήστη, IP, user agent (technical)
  • Δημόσια στοιχεία ΓΕΜΗ: επωνυμία, ΑΦΜ, ΓΕΜΗ, έδρα, εταίροι, διαχειριστές
  • Δηλωμένα από τον χρήστη: διευθύνσεις εταίρων, κατηγορία εισφορών

Σκοπός & αντικείμενο επεξεργασίας

Συμμόρφωση με Ν.4072/2012 Άρθρο 47 §2 & Άρθρο 98 §2 — δημιουργία και συντήρηση νόμιμης εταιρικής ιστοσελίδας.

Διάρκεια & τερματισμός

Όσο ενεργή η συνδρομή + 12 μήνες μετά τη λήξη (δυνατότητα ανάκτησης). Audit logs κρατιούνται 5 έτη.

Υπο-επεξεργαστές (sub-processors)

  • OVHcloud (εντός ΕΕ) — φιλοξενία διακομιστών εφαρμογής και βάσης δεδομένων.
  • Cloudflare, Inc. (ΗΠΑ, SCC) — CDN, DDoS protection, DNS, και κρυπτογραφημένο off-site backup σε object storage εντός ΕΕ.
  • Stripe Payments Europe, Ltd. (Ιρλανδία) — επεξεργασία πληρωμών (κάρτες, Apple/Google Pay).
  • Viva Services Single Member S.A. (Ελλάδα) — IRIS, τραπεζική κατάθεση.
  • Resend, Inc. (ΗΠΑ, SCC) — αποστολή και λήψη transactional email ([email protected], [email protected], [email protected], [email protected], [email protected]).
  • Instantly.ai, Inc. (ΗΠΑ, SCC) — ενορχήστρωση B2B cold-email επικοινωνιών (μόνο για prospects από δημόσιο ΓΕΜΗ — όχι customer data).
  • Google LLC (Workspace) (ΗΠΑ, SCC) — outbound mailbox infrastructure για cold-email αποστολές μέσω Instantly (domains ikewebsite.com, autoikewebsite.com, ikewebsites.com).
  • Microsoft Corporation (ΗΠΑ, SCC) — εταιρικές mailbox aliases στο domain helixtechnologies.io (Microsoft 365) για διοικητική επικοινωνία· επίσης διαθέσιμο ως πιθανός πάροχος mailbox για το Instantly outbound (εφόσον/όταν ενεργοποιηθεί).

Ενδέχεται μελλοντικά να προστεθούν εναλλακτικοί πάροχοι hosting (π.χ. Hetzner Online GmbH — Γερμανία, ή DigitalOcean — ΗΠΑ με SCCs), domain registrars (π.χ. Papaki / Top.host / Enartia — Ελλάδα), ή άλλοι εκτελούντες επεξεργασία. Σε κάθε τέτοια περίπτωση ο Πάροχος ειδοποιεί τον Πελάτη τουλάχιστον 30 ημέρες πριν (Άρθρο 28 §2 GDPR — γενική προηγούμενη εξουσιοδότηση με δικαίωμα εναντίωσης για βάσιμο λόγο προστασίας δεδομένων).

Ο Πελάτης (Controller) παρέχει γενική προηγούμενη εξουσιοδότηση για τους ως άνω υπο-επεξεργαστές (Άρθρο 28 §2 GDPR). Ο Πάροχος ειδοποιεί τον Πελάτη για κάθε σκοπούμενη προσθήκη/αντικατάσταση τουλάχιστον 30 ημέρες πριν, οπότε ο Πελάτης δικαιούται να εναντιωθεί για βάσιμο λόγο προστασίας δεδομένων· σε εμμένουσα διαφωνία, ο Πελάτης δύναται να καταγγείλει τη σύμβαση. Ο Πάροχος επιβάλλει σε κάθε υπο-επεξεργαστή, με σύμβαση, ισοδύναμες υποχρεώσεις προστασίας δεδομένων (flow-down) κατ' Άρθρο 28 §4 και παραμένει πλήρως υπεύθυνος έναντι του Πελάτη για τις πράξεις/παραλείψεις τους. Για κάθε υπο-επεξεργαστή εκτός ΕΟΧ ισχύουν SCCs (Απόφαση 2021/914) + TIA (Schrems II) + συμπληρωματικά μέτρα, ή/και απόφαση επάρκειας (EU–US DPF) όπου εφαρμόζεται.

Δικαιώματα Data Controller

  • Πρόσβαση, διόρθωση, διαγραφή (right-to-erasure)
  • Data portability (export όλων των uploaded εγγράφων ως ZIP)
  • Αντίρρηση επεξεργασίας (μόνο για μη-υποχρεωτικά πεδία)

Υποχρεώσεις Εκτελούντος (Άρθρο 28 §3 GDPR)

Ο Πάροχος, ως Εκτελών την Επεξεργασία, αναλαμβάνει ρητά ότι:

  • (α) Τεκμηριωμένες εντολές: επεξεργάζεται δεδομένα μόνο βάσει τεκμηριωμένων εντολών του Πελάτη (περιλαμβανομένων των διεθνών μεταφορών), εκτός αν επιβάλλεται από το ενωσιακό/εθνικό δίκαιο, οπότε ενημερώνει τον Πελάτη πριν την επεξεργασία (πλην απαγόρευσης από τον νόμο).
  • (β) Εμπιστευτικότητα: κάθε εξουσιοδοτημένο πρόσωπο δεσμεύεται με υποχρέωση εχεμύθειας (συμβατική ή εκ του νόμου).
  • (γ) Ασφάλεια: λαμβάνει τα τεχνικά/οργανωτικά μέτρα του Άρθρου 32 GDPR (βλ. ενότητα «Ασφάλεια»).
  • (δ) Υπο-επεξεργαστές: τηρεί τους όρους των Άρθρων 28 §2 & §4 (βλ. ενότητα «Υπο-επεξεργαστές»).
  • (ε) Συνδρομή σε δικαιώματα υποκειμένων: συνδράμει τον Πελάτη με κατάλληλα μέτρα για την ανταπόκριση σε αιτήματα άσκησης δικαιωμάτων (Κεφάλαιο ΙΙΙ GDPR).
  • (στ) Συνδρομή σε ασφάλεια/παραβιάσεις/DPIA: συνδράμει τον Πελάτη ως προς τα Άρθρα 32–36 (ασφάλεια, γνωστοποίηση παραβιάσεων, εκτίμηση αντικτύπου, προηγούμενη διαβούλευση).
  • (ζ) Διαγραφή ή επιστροφή: κατά τη λήξη της παροχής, κατ' επιλογή του Πελάτη, διαγράφει ή επιστρέφει όλα τα δεδομένα και διαγράφει τα υπάρχοντα αντίγραφα, εκτός αν η διατήρηση επιβάλλεται από τον νόμο.
  • (η) Έλεγχοι & απόδειξη συμμόρφωσης: θέτει στη διάθεση του Πελάτη κάθε αναγκαία πληροφορία προς απόδειξη συμμόρφωσης και επιτρέπει/συμβάλλει σε ελέγχους (audits/inspections) από τον Πελάτη ή εντεταλμένο ελεγκτή, με εύλογη προειδοποίηση και υπό εχεμύθεια.
  • Ειδοποίηση παράνομης εντολής: ενημερώνει αμέσως τον Πελάτη εάν, κατά την άποψή του, εντολή παραβιάζει το GDPR ή άλλη διάταξη προστασίας δεδομένων.

Διεθνείς μεταφορές & κατανομή ευθύνης

Κάθε μεταφορά εκτός ΕΟΧ διενεργείται με SCCs (Απόφαση 2021/914) + TIA (Schrems II) + συμπληρωματικά μέτρα, ή/και βάσει απόφασης επάρκειας (EU–US DPF) όπου εφαρμόζεται (Άρθρα 44–49 GDPR). Η κατανομή ευθύνης μεταξύ των μερών διέπεται από το Άρθρο 82 GDPR· οι τυχόν συμβατικοί περιορισμοί ευθύνης των Όρων Χρήσης ισχύουν στο μέτρο που δεν αντίκεινται σε αναγκαστικού δικαίου διατάξεις προστασίας δεδομένων. Καθένα μέρος ευθύνεται για τη μη συμμόρφωσή του που του καταλογίζεται.

Ασφάλεια (Άρθρο 32 GDPR)

Κατάλληλα τεχνικά & οργανωτικά μέτρα ανάλογα του κινδύνου: κρυπτογράφηση κατά τη μεταφορά & σε ηρεμία με σύγχρονα βιομηχανικά πρότυπα, αυτοματοποιημένα κρυπτογραφημένα off-site backups εντός ΕΕ με self-verification και τεκμηριωμένες διαδικασίες ανάκτησης (DR drills), high-availability υποδομή με γεωγραφικά κατανεμημένα data centers εντός ΕΕ, έλεγχος πρόσβασης & 2FA για το προσωπικό (TOTP enforced για admin λογαριασμούς), immutable audit logs με 5-έτη retention, magic-link authentication (zero password leak risk), rate-limiting και bot-detection σε όλα τα endpoints, WAF μέσω Cloudflare, intrusion monitoring, least-privilege access controls, και τακτική δοκιμή/αξιολόγηση της αποτελεσματικότητας των μέτρων.

Αναφορά παραβιάσεων

Σε περίπτωση παραβίασης δεδομένων, ο Πάροχος ειδοποιεί τον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση και εν πάση περιπτώσει εντός 24 ωρών από την ανακάλυψη (Άρθρο 33 §2 GDPR), με τις διαθέσιμες πληροφορίες ώστε ο Πελάτης να εκπληρώσει τις δικές του υποχρεώσεις γνωστοποίησης (Άρθρα 33–34 GDPR).

Επικοινωνία για θέματα προστασίας δεδομένων

[email protected] — Υπεύθυνος επικοινωνίας GDPR (ο Πάροχος δεν υποχρεούται σε τυπικό DPO κατά Άρθρο 37 GDPR, βλ. Πολιτική Απορρήτου §8).

Το παρόν έγγραφο αποτελεί αναπόσπαστο μέρος της σύμβασης χρήσης μεταξύ του Πελάτη και της Helix Technologies Μονοπρόσωπη Ι.Κ.Ε. (διαχειρίστριας του IKEwebsites.gr). Για οποιαδήποτε διευκρίνιση, επικοινωνήστε στο [email protected].

Σύμβαση Επεξεργασίας Δεδομένων (DPA)