Σύμβαση Επεξεργασίας Δεδομένων (Data Processing Addendum – “DPA”)

Το παρόν DPA αποτελεί αναπόσπαστο μέρος των Όρων Χρήσης της υπηρεσίας online ραντεβού που παρέχει η πλατφόρμα Patras Logistics (η «Πλατφόρμα»). Σε περίπτωση σύγκρουσης μεταξύ του παρόντος DPA και των γενικών Όρων Χρήσης, ως προς ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, υπερισχύουν οι ρυθμίσεις του παρόντος DPA.

Πελάτης: η εκάστοτε επιχείρηση που χρησιμοποιεί την Πλατφόρμα για να δέχεται/διαχειρίζεται ραντεβού (κομμωτήρια, κουρεία κ.λπ.).
Εκτελούσα την Επεξεργασία: Patras Logistics, με έδρα Πάτρα, Ελλάδα.

Ο Πελάτης ενεργεί ως Υπεύθυνος Επεξεργασίας για τα δεδομένα των τελικών χρηστών του, ενώ η Patras Logistics ενεργεί ως Εκτελούσα την Επεξεργασία (“Processor”) για λογαριασμό του Πελάτη, σύμφωνα με τους όρους του παρόντος.

1. Αντικείμενο, διάρκεια και φύση της επεξεργασίας

1.1. Αντικείμενο του παρόντος DPA είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιεί η Patras Logistics για λογαριασμό του Πελάτη, αποκλειστικά στο πλαίσιο της λειτουργίας της Πλατφόρμας online ραντεβού.

1.2. Η επεξεργασία αφορά κυρίως τη λήψη, αποθήκευση, οργάνωση και διαχείριση στοιχείων ραντεβού (όπως περιγράφονται παρακάτω), καθώς και τη χρήση τους για την εμφάνιση/τροποποίηση/ακύρωση ραντεβού και, κατά περίπτωση, την αποστολή βασικών ειδοποιήσεων μέσω email.

1.3. Η διάρκεια της επεξεργασίας αντιστοιχεί στη διάρκεια της συμβατικής σχέσης μεταξύ Πελάτη και Patras Logistics και συνεχίζεται για εύλογο διάστημα μετά τη λήξη της συνεργασίας μόνο στον βαθμό που απαιτείται για τεχνικούς (backup/restore) ή λογιστικούς/νομικούς λόγους, σύμφωνα με τις σχετικές διατάξεις των Όρων Χρήσης και της Πολιτικής Απορρήτου.

2. Κατηγορίες υποκειμένων και δεδομένων

2.1. Υποκείμενα δεδομένων
Η επεξεργασία αφορά κυρίως:

• τους τελικούς πελάτες/χρήστες του Πελάτη που κλείνουν ή διαχειρίζονται ραντεβού μέσω της Πλατφόρμας,
  
  

• ενδεχομένως μέλη προσωπικού ή συνεργάτες του Πελάτη που εμφανίζονται σε ραντεβού (π.χ. ως παροχείς υπηρεσιών) ή χρησιμοποιούν τη διαχειριστική διεπαφή.
  
  

2.2. Είδη δεδομένων
Στο πλαίσιο της τυπικής υλοποίησης της Πλατφόρμας, η Patras Logistics επεξεργάζεται, για λογαριασμό του Πελάτη, ενδεικτικά τις παρακάτω κατηγορίες δεδομένων προσωπικού χαρακτήρα:

• Δεδομένα ταυτοποίησης/επικοινωνίας τελικών χρηστών: ονοματεπώνυμο (ή όνομα που εισάγει ο χρήστης), αριθμός τηλεφώνου και διεύθυνση email, όπως αυτά παρέχονται μέσω της φόρμας ραντεβού.
  
  

• Δεδομένα ραντεβού: ημερομηνία και ώρα ραντεβού, τύπος/είδος υπηρεσίας (π.χ. «κούρεμα», «χτένισμα»), κατάσταση ραντεβού (π.χ. προγραμματισμένο, ακυρωμένο), καθώς και τυχόν κωδικοί ή ταυτοποιητικά πελατών ή slots που χρησιμοποιεί ο Πελάτης.
  
  

• Βασικά τεχνικά/λειτουργικά δεδομένα: χρονικές σημάνσεις (timestamps) δημιουργίας/τροποποίησης ραντεβού, logs τεχνικών σφαλμάτων ή συμβάντων που αφορούν τη λειτουργία της υπηρεσίας, στον βαθμό που είναι αναγκαία για την ασφάλεια και την αποσφαλμάτωση.
  
  

Δεν προορίζεται να γίνεται συστηματική επεξεργασία ειδικών κατηγοριών δεδομένων (ευαίσθητα δεδομένα, π.χ. υγείας) μέσω της τυπικής φόρμας ραντεβού. Εάν ο Πελάτης επιλέξει να εισάγει τέτοια δεδομένα, φέρει ο ίδιος την ευθύνη για τη νομιμότητα και την αναλογικότητα της επεξεργασίας.

3. Οδηγίες Πελάτη και σκοπός επεξεργασίας

3.1. Η Patras Logistics επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο κατόπιν τεκμηριωμένων οδηγιών του Πελάτη και αποκλειστικά για τους σκοπούς που συνδέονται με τη λειτουργία της Πλατφόρμας online ραντεβού (δημιουργία, εμφάνιση, διαχείριση ραντεβού και σχετικών ειδοποιήσεων).

3.2. Ο Πελάτης δηλώνει ότι οι οδηγίες του είναι σύμφωνες με το εφαρμοστέο δίκαιο και αναλαμβάνει την ευθύνη για την ύπαρξη κατάλληλης νομικής βάσης επεξεργασίας για τα δεδομένα των υποκειμένων (τελικών χρηστών, προσωπικού κ.λπ.).

3.3. Η Patras Logistics δεν επιτρέπεται να χρησιμοποιεί τα δεδομένα για δικούς της σκοπούς (π.χ. δικό της marketing προς τους τελικούς χρήστες), εκτός αν έχει ληφθεί χωριστά και νόμιμα σχετική συναίνεση ή έχει συμφωνηθεί διαφορετικά εγγράφως.

4. Εμπιστευτικότητα και ασφάλεια

4.1. Η Patras Logistics διασφαλίζει ότι κάθε πρόσωπο που ενεργεί υπό την εξουσία της και έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα (π.χ. τεχνικό προσωπικό ή συνεργάτες) δεσμεύεται από υποχρέωση εμπιστευτικότητας ή υπάγεται σε κατάλληλο καθεστώς επαγγελματικού απορρήτου.

4.2. Η Patras Logistics εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας, τα οποία περιγράφονται συνοπτικά στο Παράρτημα ΙΙ του παρόντος DPA, λαμβάνοντας υπόψη το επίπεδο κινδύνου, τη φύση των δεδομένων και τις τεχνικές δυνατότητες.

4.3. Ο Πελάτης αναγνωρίζει ότι κανένα σύστημα δεν μπορεί να θεωρηθεί απόλυτα ασφαλές και ότι τα μέτρα που λαμβάνονται αποσκοπούν σε λογικό, αναλογικό επίπεδο προστασίας, όχι σε απόλυτη εξάλειψη κάθε κινδύνου.

5. Υπο-εκτελούντες (Subprocessors)

5.1. Ο Πελάτης παρέχει στη Patras Logistics γενική άδεια να χρησιμοποιεί υπο-εκτελούντες επεξεργασίας (subprocessors) για την παροχή της Πλατφόρμας, υπό τον όρο ότι αυτοί παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων μέτρων προστασίας δεδομένων.

5.2. Ενδεικτικά, ως υπο-εκτελούντες μπορεί να χρησιμοποιούνται:

• Google (π.χ. Google Workspace / Google Cloud, Google Apps Script, Google Sheets, Google Calendar, Google Sites) για φιλοξενία, αποθήκευση δεδομένων και τεχνική λειτουργία,
  
  

• πάροχοι email ή σχετικές υπηρεσίες που χρησιμοποιούνται για την αποστολή ειδοποιήσεων (π.χ. μέσω υποδομών της Google ή άλλου παρόχου),
  
  

• πάροχοι φιλοξενίας στατικών νομικών/ενημερωτικών σελίδων, εφόσον χρησιμοποιούνται.
  
  

5.3. Η Patras Logistics καταβάλλει προσπάθεια ώστε κάθε υπο-εκτελών να δεσμεύεται βάσει σύμβασης ως προς το επίπεδο προστασίας δεδομένων που επιβάλλεται από το εφαρμοστέο δίκαιο (π.χ. χρήση τυποποιημένων συμβατικών ρητρών όπου απαιτείται).

5.4. Η Patras Logistics θα ενημερώνει τον Πελάτη, σε εύλογο χρόνο, για ουσιώδεις αλλαγές στη λίστα των βασικών υπο-εκτελούντων που επηρεάζουν την επεξεργασία (π.χ. προσθήκη νέου κεντρικού παρόχου).

6. Διεθνείς διαβιβάσεις

6.1. Στο μέτρο που η επεξεργασία συνεπάγεται διαβιβάσεις δεδομένων σε χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), η Patras Logistics θα εξασφαλίζει ότι εφαρμόζονται κατάλληλες διασφαλίσεις, όπως οι Τυποποιημένες Συμβατικές Ρήτρες (SCCs) της Ευρωπαϊκής Επιτροπής και τυχόν συμπληρωματικά μέτρα, ώστε να διασφαλίζεται αντίστοιχο επίπεδο προστασίας.

6.2. Ο Πελάτης μπορεί, κατόπιν αιτήματος, να λάβει πρόσθετες πληροφορίες για τις σχετικές διαβιβάσεις και τις εφαρμοζόμενες διασφαλίσεις, στον βαθμό που αυτό είναι εφικτό χωρίς να παραβιάζονται υποχρεώσεις εμπιστευτικότητας.

7. Βοήθεια προς τον Πελάτη — Αιτήματα υποκειμένων & DPIA

7.1. Στο μέτρο του δυνατού και λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις τεχνικές δυνατότητες της Πλατφόρμας, η Patras Logistics θα συνδράμει τον Πελάτη ώστε ο τελευταίος να μπορεί να ανταποκρίνεται σε αιτήματα υποκειμένων δεδομένων (π.χ. αιτήματα πρόσβασης, διόρθωσης, διαγραφής ή περιορισμού), εφόσον αυτά αφορούν δεδομένα που τηρούνται εντός της Πλατφόρμας.

7.2. Ο Πελάτης φέρει την ευθύνη να λαμβάνει τα αιτήματα από τα υποκείμενα και να τα διαχειρίζεται· η Patras Logistics δεν έχει άμεση υποχρέωση επικοινωνίας με τα υποκείμενα δεδομένων εκ μέρους του Πελάτη.

7.3. Όπου απαιτείται διενέργεια εκτίμησης αντικτύπου (DPIA) ή προηγούμενης διαβούλευσης με εποπτική αρχή, η Patras Logistics θα παρέχει στον Πελάτη τις διαθέσιμες σχετικές πληροφορίες για τα μέτρα ασφαλείας και τη λειτουργία της Πλατφόρμας, στον βαθμό που αυτό είναι εύλογο.

8. Ειδοποίηση παραβίασης δεδομένων

Σε περίπτωση περιστατικού παραβίασης ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται η Patras Logistics για λογαριασμό του Πελάτη, η Patras Logistics θα ενημερώνει τον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση από τη στιγμή που λάβει γνώση του περιστατικού, παρέχοντας, στο μέτρο του δυνατού, πληροφορίες σχετικά με τη φύση του περιστατικού, τις πιθανές συνέπειες και τα μέτρα που προτίθεται να λάβει.

Ο Πελάτης είναι υπεύθυνος για την αξιολόγηση της υποχρέωσης κοινοποίησης του περιστατικού σε εποπτική αρχή και/ή στα υποκείμενα δεδομένων, σύμφωνα με το εφαρμοστέο δίκαιο.

9. Διαγραφή ή επιστροφή δεδομένων μετά τη λήξη

9.1. Μετά τη λήξη της συμβατικής σχέσης με τον Πελάτη, η Patras Logistics θα προβεί, κατόπιν εύλογου χρονικού διαστήματος και εφόσον δεν υφίσταται άλλη νομική υποχρέωση διατήρησης, σε διαγραφή ή ανωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται για λογαριασμό του Πελάτη, σύμφωνα με τις συνήθεις διαδικασίες της.

9.2. Εφόσον ο Πελάτης ζητήσει ρητώς, και στο μέτρο που είναι τεχνικά εφικτό, η Patras Logistics μπορεί να διαθέσει στον Πελάτη εξαγωγή των βασικών δεδομένων ραντεβού πριν από τη διαγραφή τους, σε κοινώς αποδεκτή μορφή (π.χ. αρχείο από Google Sheets), υπό την προϋπόθεση ότι ο Πελάτης έχει τακτοποιήσει τις τυχόν οικονομικές του υποχρεώσεις.

10. Πληροφορίες συμμόρφωσης και έλεγχοι

10.1. Η Patras Logistics θέτει στη διάθεση του Πελάτη, κατόπιν εύλογου αιτήματος, τις απαραίτητες πληροφορίες για να επιδεικνύει ότι συμμορφώνεται με τις υποχρεώσεις της ως Εκτελούσα την Επεξεργασία, στο πλαίσιο της λειτουργίας της Πλατφόρμας.

10.2. Ο Πελάτης μπορεί, εφόσον αυτό απαιτείται από το δίκαιο ή από τις δικές του υποχρεώσεις, να ζητήσει τη διενέργεια ελέγχου ή επιθεώρησης, σύμφωνα με μια διαδικασία που θα συμφωνηθεί μεταξύ των μερών, λαμβάνοντας υπόψη τον χαρακτήρα μιας μικρής SaaS υποδομής και αποφεύγοντας υπερβολική επιβάρυνση της Patras Logistics.

10.3. Η Patras Logistics μπορεί να απορρίψει αιτήματα που είναι υπερβολικά, επαναλαμβανόμενα ή δυσαναλόγως επαχθή, προτείνοντας εναλλακτικές μορφές πληροφόρησης (π.χ. έγγραφες βεβαιώσεις ή τεχνική τεκμηρίωση).

11. Προτεραιότητα και λοιπές ρυθμίσεις

11.1. Σε περίπτωση σύγκρουσης μεταξύ διατάξεων του παρόντος DPA και των Όρων Χρήσης, ως προς ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, υπερισχύουν οι διατάξεις του παρόντος DPA.

11.2. Το παρόν DPA διέπεται από το ίδιο εφαρμοστέο δίκαιο και την ίδια δικαιοδοσία που ορίζεται στους Όρους Χρήσης μεταξύ Πελάτη και Patras Logistics.

Παράρτημα ΙΙ — Τεχνικά και Οργανωτικά Μέτρα (σύνοψη)

Χωρίς να περιορίζονται σε αυτά, τα βασικά τεχνικά και οργανωτικά μέτρα που εφαρμόζει η Patras Logistics περιλαμβάνουν:

1. Έλεγχο πρόσβασης
   
   

   • Χρήση λογαριασμών με περιορισμένα δικαιώματα (“least privilege”) για πρόσβαση σε δεδομένα και scripts.
     
     

   • Διαχείριση πρόσβασης σε πίνακες (π.χ. Google Sheets) και σενάρια με κατάλληλες ρυθμίσεις κοινής χρήσης.
     
     

2. Ασφάλεια υποδομής
   
   

   • Αξιοποίηση υποδομών της Google (Google Workspace / Google Cloud), οι οποίες παρέχουν κρυπτογράφηση εν κινήσει και σε ανάπαυση, όπου εφαρμόζεται από προεπιλογή.
     
     

   • Χρήση ασφαλούς επικοινωνίας (HTTPS) για πρόσβαση στις φόρμες και στα σχετικά web interfaces.
     
     

3. Διαχωρισμός δεδομένων
   
   

   • Λογικός διαχωρισμός δεδομένων ανά Πελάτη (π.χ. μέσω ξεχωριστών πινάκων ή διακριτών “clientKey”), ώστε να αποφεύγεται η ανάμειξη δεδομένων διαφορετικών Πελατών.
     
     

4. Καταγραφή συμβάντων και αποσφαλμάτωση
   
   

   • Βασική καταγραφή τεχνικών σφαλμάτων και συμβάντων για σκοπούς αποσφαλμάτωσης και ασφάλειας, με περιορισμένη πρόσβαση στα σχετικά logs.
     
     

5. Backup και ανάκτηση
   
   

   • Χρήση των μηχανισμών ανάκτησης/ιστορικού εκδόσεων που παρέχονται από τις υποδομές της Google, ώστε να μπορεί να γίνει επαναφορά δεδομένων σε περίπτωση τυχαίας διαγραφής ή τεχνικού προβλήματος, στον βαθμό που αυτό είναι εφικτό.
     
     

6. Οργανωτικά μέτρα
   
   

   • Ευαισθητοποίηση του περιορισμένου αριθμού εμπλεκόμενων ατόμων σχετικά με την εμπιστευτικότητα των δεδομένων.
     
     

   • Βασικές διαδικασίες για χειρισμό περιστατικών ασφαλείας και ενημέρωση του Πελάτη σε περίπτωση παραβίασης, όπως προβλέπεται ανωτέρω.
     
     

Τελευταία ενημέρωση: 2025-11-09