Σύμβαση Επεξεργασίας Δεδομένων

Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων (“ΣΕΔ”) αποτελεί μέρος των Όρων Χρήσης μεταξύ της ατομικής επιχείρησης ΚΟΥΤΙΔΗΣ ΓΕΩΡΓΙΟΣ, εγγεγραμμένης στην οδό Γεωργίου Μπότσκαρη 72, Ευκαρπία Θεσσαλονίκης (“Reply-Now”, “Εκτελών την Επεξεργασία”) και τον Πελάτη που αποδέχεται τους Όρους Χρήσης (“Πελάτης”, “Υπεύθυνος Επεξεργασίας”).

Με την αποδοχή των Όρων Χρήσης, ο Πελάτης συνάπτει την παρούσα ΣΕΔ. Δεν απαιτείται χωριστή υπογραφή: η παρούσα ΣΕΔ ενσωματώνεται στους Όρους Χρήσης με παραπομπή και τίθεται σε ισχύ αμέσως κατά τη δημιουργία λογαριασμού, σύμφωνα με το άρθρο 28(9) του Κανονισμού (ΕΕ) 2016/679 (“GDPR”).

Η παρούσα ΣΕΔ καθορίζει τα δικαιώματα και τις υποχρεώσεις των μερών όταν η Reply-Now επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για λογαριασμό του Πελάτη στο πλαίσιο της υπηρεσίας Reply-Now. Σε περίπτωση σύγκρουσης μεταξύ της παρούσας ΣΕΔ και των Όρων Χρήσης αναφορικά με την προστασία δεδομένων, υπερισχύει η παρούσα ΣΕΔ.

Οι κεφαλαιογράμματοι όροι που χρησιμοποιούνται στην παρούσα ΣΕΔ έχουν τις έννοιες που τους αποδίδει το GDPR, εκτός αν ορίζεται διαφορετικά εδώ. Συγκεκριμένα:

• Δεδομένα Προσωπικού Χαρακτήρα, Επεξεργασία, Υπεύθυνος Επεξεργασίας, Εκτελών την Επεξεργασία, Υποκείμενο των Δεδομένων, Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα, Υπεργολάβος (επεξεργασίας) έχουν τις έννοιες που τους αποδίδει το άρθρο 4 του GDPR.
• Δεδομένα Πελάτη νοούνται τα Δεδομένα Προσωπικού Χαρακτήρα που επεξεργάζεται η Reply-Now για λογαριασμό του Πελάτη στο πλαίσιο της υπηρεσίας Reply-Now.
• Τελικός Χρήστης νοείται κάθε φυσικό πρόσωπο που αλληλεπιδρά με τον λογαριασμό Instagram Business του Πελάτη ή τη δημόσια σελίδα κρατήσεων και του οποίου τα Δεδομένα Προσωπικού Χαρακτήρα συλλέγονται από τον Πελάτη ως αποτέλεσμα αυτής της αλληλεπίδρασης.
• Υπηρεσία νοείται η πλατφόρμα Reply-Now όπως περιγράφεται στους Όρους Χρήσης.
• Εφαρμοστέα Νομοθεσία Προστασίας Δεδομένων νοείται το GDPR, ο ελληνικός Νόμος 4624/2019 και κάθε άλλη νομοθεσία προστασίας δεδομένων εφαρμοστέα στον Πελάτη ή στην επεξεργασία Δεδομένων Πελάτη από τη Reply-Now.

Αντικείμενο: η επεξεργασία Δεδομένων Πελάτη από τη Reply-Now αποκλειστικά για τον σκοπό παροχής της Υπηρεσίας στον Πελάτη.

Πεδίο εφαρμογής: η Reply-Now επεξεργάζεται Δεδομένα Πελάτη μόνο βάσει τεκμηριωμένων εντολών του Πελάτη. Η αποδοχή των Όρων Χρήσης, της παρούσας ΣΕΔ και η χρήση των λειτουργιών της Υπηρεσίας από τον Πελάτη αποτελούν τεκμηριωμένες εντολές.

Διάρκεια: η επεξεργασία συνεχίζεται για όσο διάστημα ο Πελάτης διαθέτει ενεργό λογαριασμό, πλέον των περιόδων διατήρησης που ορίζονται στην Πολιτική Απορρήτου μετά τη λήξη. Το χρονοδιάγραμμα διαγραφής κατά τη λήξη της σχέσης με τον Πελάτη περιγράφεται στην Ενότητα 13.

Οι ακόλουθες κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα ενδέχεται να υποστούν επεξεργασία στο πλαίσιο της παρούσας ΣΕΔ:

• Δεδομένα λογαριασμού Πελάτη (Υπευθύνου Επεξεργασίας) — ονοματεπώνυμο, email, κατακερματισμός κωδικού πρόσβασης, επωνυμία επιχείρησης, διεύθυνση επιχείρησης, όνομα χρήστη Instagram, τηλέφωνο (προαιρετικό), προτιμώμενη γλώσσα.
• Αναγνωριστικά Τελικών Χρηστών — αναγνωριστικά χρηστών Instagram, Instagram handle, εμφανιζόμενο όνομα (όπως παρέχεται από τη Meta) και, για κρατήσεις μέσω δημόσιας φόρμας, διεύθυνση email και αριθμός τηλεφώνου που επιλέγει να κοινοποιήσει ο Τελικός Χρήστης.
• Περιεχόμενο συνομιλιών — το κείμενο των Instagram DM που αποστέλλονται προς και από τον συνδεδεμένο λογαριασμό Instagram Business του Πελάτη.
• Δεδομένα κρατήσεων — ημερομηνίες και ώρες ραντεβού, επιλεγμένη υπηρεσία, ανατεθειμένος υπάλληλος, προαιρετικές σημειώσεις.
• Δεδομένα χρέωσης — αναγνωριστικό πελάτη Stripe, κατάσταση συνδρομής. Η Reply-Now δεν αποθηκεύει αριθμούς καρτών πληρωμής· αυτοί παραμένουν στη Stripe υπό το πεδίο PCI.
• Τεχνικά αρχεία καταγραφής — διευθύνσεις IP, στοιχεία προγράμματος περιήγησης (user agents), ίχνη σφαλμάτων, μεταδεδομένα χρήσης API.

Οι κατηγορίες υποκειμένων των δεδομένων περιλαμβάνουν: τους εξουσιοδοτημένους χρήστες του Πελάτη (ιδιοκτήτης, προσωπικό) και τους Τελικούς Χρήστες που αλληλεπιδρούν με τον λογαριασμό Instagram Business του Πελάτη ή τη δημόσια σελίδα κρατήσεων.

Η Reply-Now δεν επεξεργάζεται εν γνώσει της ειδικές κατηγορίες δεδομένων κατά την έννοια του άρθρου 9 GDPR. Ο Πελάτης ευθύνεται για τη μη εισαγωγή τέτοιων κατηγοριών στην Υπηρεσία.

Ο Πελάτης, ως Υπεύθυνος Επεξεργασίας, εγγυάται ότι:

• Διαθέτει έγκυρη νομική βάση κατά το άρθρο 6 GDPR για κάθε πράξη επεξεργασίας που εντέλλεται στη Reply-Now να εκτελέσει.
• Έχει ενημερώσει τα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 GDPR, συμπεριλαμβανομένης της ύπαρξης της Reply-Now ως Εκτελούντος την Επεξεργασία.
• Οι εντολές του προς τη Reply-Now (είτε εκδίδονται μέσω των λειτουργιών της Υπηρεσίας, είτε μέσω επιλογών διαμόρφωσης, είτε μέσω γραπτής αλληλογραφίας) συμμορφώνονται με την Εφαρμοστέα Νομοθεσία Προστασίας Δεδομένων.
• Δεν θα εισαγάγει στην Υπηρεσία Δεδομένα Προσωπικού Χαρακτήρα που έχουν συλλεγεί παράνομα ή που παραβιάζουν τα δικαιώματα οποιουδήποτε υποκειμένου των δεδομένων.

Η Reply-Now, ως Εκτελών την Επεξεργασία, αναλαμβάνει να:

• Επεξεργάζεται μόνο βάσει τεκμηριωμένων εντολών του Πελάτη. Εάν η Reply-Now υποχρεούται εκ νόμου να επεξεργαστεί δεδομένα πέραν των εντολών αυτών, θα ενημερώνει τον Πελάτη για τη νομική υποχρέωση πριν από την επεξεργασία, εκτός εάν ο νόμος απαγορεύει την εν λόγω ενημέρωση για σημαντικούς λόγους δημοσίου συμφέροντος [άρθρο 28(3)(α) GDPR].
• Διασφαλίζει την εμπιστευτικότητα του προσωπικού που είναι εξουσιοδοτημένο να επεξεργάζεται Δεδομένα Πελάτη μέσω συμβατικών υποχρεώσεων εμπιστευτικότητας.
• Εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα όπως απαιτείται από το άρθρο 32 GDPR και περιγράφεται στην Ενότητα 9 κατωτέρω.
• Αναθέτει εργασίες σε υπεργολάβους μόνο με τη γενική εξουσιοδότηση του Πελάτη που χορηγείται στην παρούσα ΣΕΔ, και μόνο υπό τις προϋποθέσεις της Ενότητας 7.
• Παρέχει συνδρομή στον Πελάτη, λαμβάνοντας υπόψη τη φύση της επεξεργασίας, στην εκπλήρωση των υποχρεώσεών του δυνάμει των άρθρων 12–22 GDPR (δικαιώματα υποκειμένων δεδομένων), άρθρο 32 (ασφάλεια), άρθρα 33–34 (γνωστοποίηση παραβίασης) και άρθρα 35–36 (ΕΚΠΔ και προηγούμενη διαβούλευση).
• Διαγράφει ή επιστρέφει όλα τα Δεδομένα Πελάτη κατά τη λήξη της παροχής υπηρεσιών, σύμφωνα με την Ενότητα 13.
• Θέτει στη διάθεση του Πελάτη όλες τις πληροφορίες που είναι αναγκαίες για να αποδειχθεί η συμμόρφωση με την παρούσα ΣΕΔ και να επιτραπούν οι έλεγχοι που προβλέπονται στην Ενότητα 12.
• Ενημερώνει αμέσως τον Πελάτη εάν, κατά την κρίση της, κάποια εντολή παραβιάζει την Εφαρμοστέα Νομοθεσία Προστασίας Δεδομένων.

Ο Πελάτης χορηγεί στη Reply-Now γενική εξουσιοδότηση να αναθέτει εργασίες σε Υπεργολάβους (επεξεργασίας) για την παροχή της Υπηρεσίας. Κατά την ημερομηνία τελευταίας ενημέρωσης, η Reply-Now χρησιμοποιεί 7 Υπεργολάβους επεξεργασίας. Ο τρέχων κατάλογος τηρείται στο https://reply-now.com/subprocessors.

Η Reply-Now θα:

• Επιβάλλει σε κάθε Υπεργολάβο, με γραπτή σύμβαση, υποχρεώσεις προστασίας δεδομένων που δεν είναι λιγότερο αυστηρές από αυτές της παρούσας ΣΕΔ, συμπεριλαμβανομένων των υποχρεώσεων του άρθρου 28(3) GDPR.
• Ενημερώνει τον Πελάτη για κάθε σκοπούμενη προσθήκη ή αντικατάσταση Υπεργολάβου ενημερώνοντας τον δημόσιο κατάλογο υπεργολάβων τουλάχιστον 30 ημέρες πριν από την έναρξη ισχύος της αλλαγής.
• Παρέχει στον Πελάτη το δικαίωμα να αντιταχθεί στην αλλαγή αυτή για βάσιμους λόγους προστασίας δεδομένων. Εάν τα μέρη δεν μπορούν να επιλύσουν την αντίρρηση καλόπιστα, ο Πελάτης μπορεί να καταγγείλει το επηρεαζόμενο τμήμα της Υπηρεσίας με αναλογική επιστροφή τυχόν αμοιβών που καταβλήθηκαν για την περίοδο μετά την καταγγελία.
• Παραμένει πλήρως υπεύθυνη έναντι του Πελάτη για την εκπλήρωση των υποχρεώσεων των Υπεργολάβων της δυνάμει της παρούσας ΣΕΔ.

Ορισμένοι Υπεργολάβοι είναι εγκατεστημένοι εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), συμπεριλαμβανομένων των Ηνωμένων Πολιτειών. Για κάθε τέτοια διαβίβαση, η Reply-Now βασίζεται στις Τυποποιημένες Συμβατικές Ρήτρες (SCCs) που εγκρίθηκαν από την Ευρωπαϊκή Επιτροπή με την Εκτελεστική Απόφαση (ΕΕ) 2021/914, συμπληρούμενες όπου αναγκαίο από πρόσθετες εγγυήσεις σύμφωνες με τις συστάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Ο τρέχων κατάλογος Υπεργολάβων με τον τόπο εγκατάστασης και τον μηχανισμό διαβίβασης βρίσκεται στο /subprocessors. Όταν ένας Υπεργολάβος είναι εγκατεστημένος σε χώρα που καλύπτεται από απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής, η απόφαση αυτή αποτελεί τη νομική βάση για τη διαβίβαση.

Η Reply-Now εφαρμόζει τα ακόλουθα τεχνικά και οργανωτικά μέτρα (ΤΟΜ) για να διασφαλίσει επίπεδο ασφαλείας κατάλληλο για τον κίνδυνο, όπως απαιτεί το άρθρο 32 GDPR:

• Κρυπτογράφηση κατά τη μεταφορά — TLS 1.2+ σε όλη την επικοινωνία πελάτη-διακομιστή και διακομιστή-διακομιστή.
• Κρυπτογράφηση κατά την αποθήκευση — κρυπτογράφηση διαχειριζόμενη από τον πάροχο στην παραγωγική βάση δεδομένων και την αντικειμενοστραφή αποθήκευση.
• Έλεγχος πρόσβασης — πρόσβαση βάσει ρόλων με αρχή ελάχιστων προνομίων· διαπιστευτήρια παραγωγής σε σύστημα διαχείρισης μυστικών· πρόσβαση στην παραγωγική βάση δεδομένων περιορισμένη σε μικρή ομάδα ονομαστικών διαχειριστών· έλεγχος ταυτότητας πολλαπλών παραγόντων σε λογαριασμούς διαχειριστών όπου υποστηρίζεται.
• Έλεγχοι δικτύου — οι υπηρεσίες παραγωγής δεν εκτίθενται στο δημόσιο διαδίκτυο παρά μόνο μέσω επαληθευμένων τελικών σημείων HTTPS· τα τελικά σημεία webhook επαληθεύουν υπογραφές HMAC (Meta, Stripe) πριν από την επεξεργασία.
• Καταγραφή και παρακολούθηση — καταγράφονται σφάλματα εφαρμογής, συμβάντα ελέγχου ταυτότητας και ενέργειες διαχειριστή· η επιτυχής εκτέλεση εργασιών cron καταγράφεται ως αποδεικτικό συμμόρφωσης διατήρησης.
• Αντίγραφα ασφαλείας — ημερήσια αντίγραφα ασφαλείας βάσης δεδομένων με δυνατότητα επαναφοράς σε χρονικό σημείο· η διαδικασία επαναφοράς δοκιμάζεται τουλάχιστον ετησίως.
• Ελαχιστοποίηση δεδομένων — τα σώματα μηνυμάτων Instagram διαγράφονται μετά από 90 ημέρες, τα ακατέργαστα ωφέλιμα φορτία webhook μετά από 30 ημέρες και τα αρχεία καταγραφής χρήσης API μετά από 90 ημέρες. Ο εφαρμοστέος πίνακας διατήρησης βρίσκεται στην Πολιτική Απορρήτου.
• Προσωπικό — υποχρεώσεις εμπιστευτικότητας δεσμεύουν όλο το προσωπικό με πρόσβαση σε Δεδομένα Πελάτη· εκπαίδευση στις ευθύνες προστασίας δεδομένων.
• Διαχείριση προμηθευτών — γραπτές ΣΕΔ με όλους τους Υπεργολάβους που επιβάλλουν ισοδύναμες υποχρεώσεις.

Η Reply-Now επανεξετάζει τα μέτρα αυτά περιοδικά και τα επικαιροποιεί ώστε να αντικατοπτρίζουν αλλαγές στον κίνδυνο, την τεχνολογία και την εφαρμοστέα νομοθεσία.

Η Reply-Now θα παρέχει στον Πελάτη, λαμβάνοντας υπόψη τη φύση της επεξεργασίας, συνδρομή με κατάλληλα τεχνικά και οργανωτικά μέτρα, κατά το δυνατόν, ώστε ο Πελάτης να ανταποκρίνεται σε αιτήματα υποκειμένων των δεδομένων που ασκούν τα δικαιώματά τους κατά τα άρθρα 15–22 GDPR (πρόσβαση, διόρθωση, διαγραφή, περιορισμός, φορητότητα, εναντίωση, αυτοματοποιημένη λήψη αποφάσεων).

Εάν υποκείμενο των δεδομένων επικοινωνήσει απευθείας με τη Reply-Now, η Reply-Now θα διαβιβάζει το αίτημα στον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση και δεν θα απαντά στο υποκείμενο των δεδομένων εκ μέρους του Πελάτη χωρίς σχετική εξουσιοδότηση.

Η κατόπιν αιτήματος Πελάτη διαγραφή λογαριασμού υποστηρίζεται μέσω αυτοεξυπηρέτησης εντός της εφαρμογής και διεκπεραιώνεται εντός 30 ημερών σύμφωνα με τη διαδικασία που περιγράφεται στην Πολιτική Απορρήτου, Ενότητα 10.

Η Reply-Now θα ειδοποιεί τον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση, και οπωσδήποτε εντός 48 ωρών από τη στιγμή που αντιλαμβάνεται παραβίαση δεδομένων προσωπικού χαρακτήρα που αφορά Δεδομένα Πελάτη. Η ειδοποίηση θα περιλαμβάνει, στον βαθμό που είναι γνωστά κατά τον χρόνο αυτό:

• Τη φύση της παραβίασης, συμπεριλαμβανομένων κατηγοριών και κατά προσέγγιση αριθμών υποκειμένων δεδομένων και εγγραφών που επηρεάζονται·
• Τις πιθανές συνέπειες της παραβίασης·
• Τα ληφθέντα ή προτεινόμενα μέτρα για την αντιμετώπιση της παραβίασης και τον μετριασμό των ενδεχόμενων δυσμενών επιπτώσεων·
• Το ονοματεπώνυμο και τα στοιχεία επικοινωνίας της υπεύθυνης επικοινωνίας για θέματα απορρήτου της Reply-Now (support@reply-now.com) για περαιτέρω πληροφορίες.

Η δέσμευση της Reply-Now για 48 ώρες είναι σκοπίμως αυστηρότερη από το παράθυρο 72 ωρών του Υπευθύνου Επεξεργασίας προς την εποπτική αρχή που ορίζει το άρθρο 33 GDPR, ώστε ο Πελάτης να έχει χρόνο να αξιολογήσει και να ειδοποιήσει τη δική του εποπτική αρχή.

Η Reply-Now θα θέτει στη διάθεση του Πελάτη, κατόπιν εύλογης γραπτής ειδοποίησης και το πολύ μία φορά ανά δωδεκάμηνο (εκτός σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα ή αιτήματος ρυθμιστικής αρχής), τις αναγκαίες πληροφορίες για να αποδειχθεί η συμμόρφωση με την παρούσα ΣΕΔ.

Το δικαίωμα ελέγχου του Πελάτη μπορεί να ικανοποιηθεί με οποιοδήποτε από τα ακόλουθα, κατά την εύλογη εκτίμηση της Reply-Now:

• Γραπτές απαντήσεις σε ερωτηματολόγιο ασφαλείας που παρέχει ο Πελάτης·
• Αντίγραφα ανεξάρτητων εκθέσεων ασφαλείας ή συμμόρφωσης τρίτων που διαθέτει η Reply-Now (όταν είναι διαθέσιμα)·
• Εξ αποστάσεως έλεγχος από τον Πελάτη ή έναν αρμόδιο ανεξάρτητο ελεγκτή υπό εύλογες υποχρεώσεις εμπιστευτικότητας, προγραμματισμένος εκ των προτέρων και διεξαγόμενος κατά τρόπο που δεν διακόπτει την Υπηρεσία προς άλλους πελάτες.

Ο Πελάτης φέρει τα ίδια έξοδα κάθε ελέγχου. Η Reply-Now φέρει το κόστος παραγωγής τυποποιημένων απαντήσεων και εκθέσεων· η ειδικά προσαρμοσμένη υποστήριξη ελέγχου που υπερβαίνει δύο εργάσιμες ημέρες ανά δωδεκάμηνο τιμολογείται βάσει των εκάστοτε επαγγελματικών τιμολογίων της Reply-Now.

Η παρούσα ΣΕΔ εξακολουθεί να ισχύει για όσο διάστημα ο Πελάτης διαθέτει ενεργό λογαριασμό στη Reply-Now. Κατά τη λύση του λογαριασμού του Πελάτη ή των Όρων Χρήσης για οποιονδήποτε λόγο:

• Η Reply-Now θα, κατ’ επιλογή του Πελάτη που εκφράζεται εντός 30 ημερών από τη λύση, επιστρέψει τα Δεδομένα Πελάτη στον Πελάτη (υπό μορφή εξαγωγής δεδομένων κατά το άρθρο 20 GDPR) ή τα διαγράψει.
• Ελλείψει σαφούς εντολής από τον Πελάτη εντός 30 ημερών, η Reply-Now θα διαγράψει τα Δεδομένα Πελάτη μετά τη λήξη της περιόδου χάριτος 30 ημερών, με την επιφύλαξη μεγαλύτερων περιόδων διατήρησης που περιγράφονται στην Πολιτική Απορρήτου για αρχεία χρέωσης, αρχεία κατά της κατάχρησης και άλλους σκοπούς που επιβάλλει ο νόμος.
• Η Reply-Now μπορεί να διατηρεί ανωνυμοποιημένα ή συγκεντρωτικά δεδομένα που δεν ταυτοποιούν κανένα υποκείμενο δεδομένων, καθώς και αντίγραφα Δεδομένων Πελάτη σε μέσα αντιγράφων ασφαλείας για τη διάρκεια του τυπικού κύκλου διατήρησης αντιγράφων ασφαλείας.

Η συνολική ευθύνη κάθε μέρους βάσει της παρούσας ΣΕΔ διέπεται από τις διατάξεις περιορισμού ευθύνης των Όρων Χρήσης. Καμία διάταξη της παρούσας ΣΕΔ δεν περιορίζει ή αποκλείει ευθύνη που δεν μπορεί να περιοριστεί ή να αποκλειστεί βάσει της Εφαρμοστέας Νομοθεσίας Προστασίας Δεδομένων, συμπεριλαμβανομένων των δικαιωμάτων των υποκειμένων δεδομένων βάσει του άρθρου 82 GDPR.

Η παρούσα ΣΕΔ διέπεται από το ελληνικό δίκαιο και, σε θέματα προστασίας δεδομένων, από το GDPR και το εφαρμοστέο δίκαιο της ΕΕ. Οι διαφορές υπάγονται στα δικαστήρια της Αθήνας, Ελλάδα, με την επιφύλαξη των δικαιωμάτων των υποκειμένων δεδομένων βάσει του άρθρου 79 GDPR να ασκούν αγωγές κατά οποιουδήποτε μέρους ενώπιον των δικαστηρίων του κράτους μέλους συνήθους διαμονής τους.