Συμφωνία επεξεργασίας δεδομένων

1. Ορισμοί

• «Δεδομένα Προσωπικού Χαρακτήρα» σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («Υποκείμενο Δεδομένων»), όπως ορίζεται στο άρθρο 4(1) του GDPR.
• «Επεξεργασία» σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιούνται σε Δεδομένα Προσωπικού Χαρακτήρα, με ή χωρίς αυτοματοποιημένα μέσα, συμπεριλαμβανομένης της συλλογής, καταχώρησης, οργάνωσης, διάρθρωσης, αποθήκευσης, προσαρμογής, ανάκτησης, διαβούλευσης, χρήσης, αποκάλυψης μέσω μετάδοσης, διάδοσης, διαγραφής ή καταστροφής.
• «Υπο-εκτελών» σημαίνει οποιοδήποτε τρίτο μέρος που χρησιμοποιείται από τον Εκτελούντα για την επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα για λογαριασμό του Υπευθύνου Επεξεργασίας.
• «Υποκείμενο Δεδομένων» σημαίνει το ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο στο οποίο αναφέρονται τα Δεδομένα Προσωπικού Χαρακτήρα.
• «GDPR» σημαίνει τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.
• «Τυποποιημένες Συμβατικές Ρήτρες» (SCCs) σημαίνει τις συμβατικές ρήτρες που έχουν εγκριθεί από την Ευρωπαϊκή Επιτροπή για τη μεταφορά Δεδομένων Προσωπικού Χαρακτήρα σε τρίτες χώρες.

2. Πεδίο εφαρμογής και σκοπός

Ο Εκτελών επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για λογαριασμό του Υπευθύνου Επεξεργασίας αποκλειστικά για τους ακόλουθους σκοπούς:

• Παροχή της υπηρεσίας INCI API, συμπεριλαμβανομένης της ανάλυσης συστατικών, αναζήτησης προϊόντων, βαθμολόγησης ασφάλειας, ανίχνευσης αλλεργιογόνων και ανάλυσης συμβατότητας με τύπους δέρματος
• Διαχείριση λογαριασμού, ταυτοποίηση και εξουσιοδότηση
• Παρακολούθηση χρήσης, περιορισμός ρυθμού και χρέωση
• Βελτίωση υπηρεσίας, παρακολούθηση απόδοσης και αναλυτικά στοιχεία
• Υποστήριξη πελατών και επικοινωνία

Ο Εκτελών δεν θα επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για οποιονδήποτε σκοπό πέραν αυτών που καθορίζονται στην παρούσα DPA ή όπως τεκμηριώνονται γραπτώς από τον Υπεύθυνο Επεξεργασίας.

3. Τύποι δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται

• Δεδομένα λογαριασμού: όνομα, διεύθυνση email, hashed κωδικός πρόσβασης
• Δεδομένα χρήσης API: αρχεία αιτημάτων, χρονοσφραγίδες, διευθύνσεις IP, endpoints, κωδικοί απόκρισης, αναγνωριστικά κλειδιών API
• Δεδομένα χρέωσης: επίπεδο συνδρομής, μεταδεδομένα μεθόδου πληρωμής (πλήρη δεδομένα πληρωμής επεξεργάζονται αποκλειστικά από το Stripe και ποτέ δεν αποθηκεύονται στους διακομιστές μας)
• Τεχνικά δεδομένα: τύπος προγράμματος περιήγησης, πληροφορίες συσκευής, λειτουργικό σύστημα, URL παραπομπής (συλλέγονται μέσω αναλυτικών στοιχείων για βελτίωση υπηρεσίας)

Ο Εκτελών δεν επεξεργάζεται ειδικές κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα (άρθρο 9 GDPR) ή Δεδομένα Προσωπικού Χαρακτήρα που σχετίζονται με ποινικές καταδίκες (άρθρο 10 GDPR).

4. Κατηγορίες υποκειμένων δεδομένων

Τα Δεδομένα Προσωπικού Χαρακτήρα που υποβάλλονται σε επεξεργασία βάσει της παρούσας DPA αφορούν τις ακόλουθες κατηγορίες Υποκειμένων Δεδομένων:

• Υπάλληλοι και συνεργάτες του Πελάτη που έχουν πρόσβαση και χρησιμοποιούν το INCI API
• Τελικοί χρήστες των εφαρμογών του Πελάτη που ενσωματώνουν το INCI API (στον βαθμό που τα δεδομένα τους μεταδίδονται μέσω αιτημάτων API)

5. Υποχρεώσεις εκτελούντος

Ο Εκτελών:

1. Επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα μόνο σύμφωνα με τεκμηριωμένες οδηγίες από τον Υπεύθυνο Επεξεργασίας, συμπεριλαμβανομένου σχετικά με μεταφορές Δεδομένων Προσωπικού Χαρακτήρα σε τρίτη χώρα, εκτός εάν απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο Εκτελών
2. Διασφαλίζει ότι τα πρόσωπα που έχουν εξουσιοδοτηθεί να επεξεργάζονται τα Δεδομένα Προσωπικού Χαρακτήρα έχουν δεσμευτεί για τήρηση εμπιστευτικότητας ή υπόκεινται σε κατάλληλη νομική υποχρέωση εμπιστευτικότητας
3. Εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας όπως απαιτείται από το άρθρο 32 του GDPR για να διασφαλίσει επίπεδο ασφάλειας κατάλληλο προς τον κίνδυνο
4. Δεν χρησιμοποιεί άλλον εκτελούντα (υπο-εκτελών) χωρίς προηγούμενη ειδική ή γενική γραπτή εξουσιοδότηση του Υπευθύνου Επεξεργασίας. Σε περίπτωση γενικής γραπτής εξουσιοδότησης, ο Εκτελών ενημερώνει τον Υπεύθυνο Επεξεργασίας για τυχόν προβλεπόμενες αλλαγές σχετικά με την προσθήκη ή αντικατάσταση υπο-εκτελούντων, δίνοντας στον Υπεύθυνο Επεξεργασίας την ευκαιρία να αντιταχθεί
5. Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, βοηθά τον Υπεύθυνο Επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που είναι δυνατό, για την εκπλήρωση της υποχρέωσης του Υπευθύνου Επεξεργασίας να ανταποκρίνεται σε αιτήματα για άσκηση των δικαιωμάτων του Υποκειμένου Δεδομένων
6. Βοηθά τον Υπεύθυνο Επεξεργασίας στη διασφάλιση συμμόρφωσης με τις υποχρεώσεις σύμφωνα με τα άρθρα 32 έως 36 του GDPR, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που είναι διαθέσιμες στον Εκτελούντα
7. Κατ' επιλογή του Υπευθύνου Επεξεργασίας, διαγράφει ή επιστρέφει όλα τα Δεδομένα Προσωπικού Χαρακτήρα στον Υπεύθυνο Επεξεργασίας μετά το τέλος της παροχής υπηρεσιών και διαγράφει υπάρχοντα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των Δεδομένων Προσωπικού Χαρακτήρα
8. Καθιστά διαθέσιμες στον Υπεύθυνο Επεξεργασίας όλες τις πληροφορίες που είναι απαραίτητες για να αποδείξει τη συμμόρφωση με τις υποχρεώσεις που ορίζονται στο άρθρο 28 του GDPR και επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων επιθεωρήσεων, που διενεργούνται από τον Υπεύθυνο Επεξεργασίας ή άλλον ελεγκτή που έχει εντολοδοτηθεί από τον Υπεύθυνο Επεξεργασίας

6. Μέτρα ασφαλείας

Ο Εκτελών εφαρμόζει τα ακόλουθα τεχνικά και οργανωτικά μέτρα για την προστασία των Δεδομένων Προσωπικού Χαρακτήρα σύμφωνα με το άρθρο 32 του GDPR:

• Κρυπτογράφηση κατά τη μεταφορά: Όλα τα δεδομένα που μεταδίδονται μεταξύ πελατών και διακομιστών κρυπτογραφούνται χρησιμοποιώντας TLS 1.2 ή νεότερο (HTTPS)
• Κρυπτογράφηση σε ηρεμία: Η αποθήκευση βάσης δεδομένων χρησιμοποιεί κρυπτογράφηση MongoDB σε ηρεμία για όλα τα αποθηκευμένα Δεδομένα Προσωπικού Χαρακτήρα
• Έλεγχοι πρόσβασης: Ταυτοποίηση μέσω tokens JWT και κλειδιών API· έλεγχοι πρόσβασης βάσει ρόλων· αρχή ελάχιστων προνομίων
• Ασφάλεια κωδικών πρόσβασης: Οι κωδικοί πρόσβασης χρηστών αποθηκεύονται χρησιμοποιώντας hashing bcrypt με κατάλληλους παράγοντες κόστους· τα κλειδιά API αποθηκεύονται ως ασφαλή hashes
• Ασφάλεια υποδομής: Υποδομή με firewall (UFW με περιορισμένες θύρες), τακτικές ενημερώσεις και επιδιορθώσεις ασφαλείας
• Τοποθεσία διακομιστή: Υποδομή DigitalOcean (επί του παρόντος στις ΗΠΑ· σχεδιάζεται μετάβαση σε κέντρο δεδομένων ΕΕ/ΕΟΧ)
• Δεδομένα πληρωμής: Καμία αποθήκευση δεδομένων κάρτας πληρωμής στους διακομιστές μας. Όλη η επεξεργασία πληρωμών διεκπεραιώνεται από το Stripe, το οποίο διατηρεί συμμόρφωση PCI DSS Level 1
• Παρακολούθηση: Αυτοματοποιημένη παρακολούθηση, καταγραφή και ειδοποίηση για συμβάντα ασφαλείας και ανωμαλίες

7. Υπο-εκτελούντες

Ο Υπεύθυνος Επεξεργασίας παραχωρεί στον Εκτελούντα γενική εξουσιοδότηση να χρησιμοποιεί τους ακόλουθους υπο-εκτελούντες. Ο Εκτελών ειδοποιεί τον Υπεύθυνο Επεξεργασίας για τυχόν προβλεπόμενες αλλαγές σχετικά με την προσθήκη ή αντικατάσταση υπο-εκτελούντων με τουλάχιστον 30 ημέρες προηγούμενη γραπτή ειδοποίηση, παρέχοντας έτσι στον Υπεύθυνο Επεξεργασίας την ευκαιρία να αντιταχθεί σε τέτοιες αλλαγές.

Εάν ο Υπεύθυνος Επεξεργασίας αντιταχθεί σε νέο υπο-εκτελούντα για εύλογους λόγους που σχετίζονται με την προστασία δεδομένων, τα μέρη συζητούν το θέμα καλόπιστα. Εάν δεν επιτευχθεί λύση εντός 30 ημερών, ο Υπεύθυνος Επεξεργασίας μπορεί να καταγγείλει τις επηρεαζόμενες υπηρεσίες χωρίς ποινή.

8. Μεταφορές δεδομένων

Τα Δεδομένα Προσωπικού Χαρακτήρα ενδέχεται να μεταφερθούν και να υποβληθούν σε επεξεργασία σε χώρες εκτός της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Οικονομικού Χώρου. Όπου πραγματοποιούνται τέτοιες μεταφορές, ο Εκτελών διασφαλίζει ότι έχουν τεθεί κατάλληλες διασφαλίσεις σύμφωνα με το Κεφάλαιο V του GDPR, συμπεριλαμβανομένων:

• Τυποποιημένων Συμβατικών Ρητρών (SCCs) όπως εγκρίθηκαν από την Ευρωπαϊκή Επιτροπή (Εκτελεστική Απόφαση Επιτροπής (ΕΕ) 2021/914)
• Αποφάσεων επάρκειας από την Ευρωπαϊκή Επιτροπή όπου εφαρμόζεται
• Πρόσθετων τεχνικών και οργανωτικών μέτρων για συμπλήρωση των μηχανισμών μεταφοράς όπου είναι απαραίτητο, σύμφωνα με την απόφαση Schrems II (Υπόθεση C-311/18)

9. Ειδοποίηση παραβίασης δεδομένων

Ο Εκτελών ειδοποιεί τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών αφού λάβει γνώση παραβίασης Δεδομένων Προσωπικού Χαρακτήρα όπως ορίζεται στο άρθρο 4(12) του GDPR. Η ειδοποίηση περιλαμβάνει:

• Περιγραφή της φύσης της παραβίασης Δεδομένων Προσωπικού Χαρακτήρα, συμπεριλαμβανομένων των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων Υποκειμένων Δεδομένων και αρχείων
• Το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων από τον οποίο μπορούν να ληφθούν περισσότερες πληροφορίες
• Περιγραφή των πιθανών συνεπειών της παραβίασης
• Περιγραφή των μέτρων που έχουν ληφθεί ή προτείνονται για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων μέτρων για τον μετριασμό των πιθανών αρνητικών επιπτώσεων

Ο Εκτελών συνεργάζεται με τον Υπεύθυνο Επεξεργασίας και λαμβάνει εύλογα εμπορικά μέτρα για να βοηθήσει στη διερεύνηση, τον μετριασμό και την αποκατάσταση κάθε τέτοιας παραβίασης.

10. Δικαιώματα υποκειμένου δεδομένων

Ο Εκτελών βοηθά τον Υπεύθυνο Επεξεργασίας στην εκπλήρωση των υποχρεώσεών του να ανταποκρίνεται σε αιτήματα Υποκειμένων Δεδομένων που ασκούν τα δικαιώματά τους σύμφωνα με το Κεφάλαιο III του GDPR, συμπεριλαμβανομένων:

• Δικαίωμα πρόσβασης (άρθρο 15)
• Δικαίωμα διόρθωσης (άρθρο 16)
• Δικαίωμα διαγραφής / δικαίωμα στη λήθη (άρθρο 17)
• Δικαίωμα περιορισμού επεξεργασίας (άρθρο 18)
• Δικαίωμα φορητότητας δεδομένων (άρθρο 20)
• Δικαίωμα εναντίωσης (άρθρο 21)

Εάν ο Εκτελών λάβει αίτημα απευθείας από Υποκείμενο Δεδομένων, ειδοποιεί άμεσα τον Υπεύθυνο Επεξεργασίας και δεν απαντά στο αίτημα χωρίς προηγούμενη γραπτή εξουσιοδότηση του Υπευθύνου Επεξεργασίας, εκτός εάν απαιτείται νομικά.

11. Δικαιώματα ελέγχου

Ο Υπεύθυνος Επεξεργασίας μπορεί να ελέγξει τη συμμόρφωση του Εκτελούντος με την παρούσα DPA. Οι έλεγχοι υπόκεινται στις ακόλουθες προϋποθέσεις:

• Ο Υπεύθυνος Επεξεργασίας παρέχει τουλάχιστον 30 ημέρες προηγούμενη γραπτή ειδοποίηση
• Οι έλεγχοι διενεργούνται όχι περισσότερο από μία φορά ανά ημερολογιακό έτος, εκτός εάν απαιτείται από εποπτική αρχή ή μετά από παραβίαση Δεδομένων Προσωπικού Χαρακτήρα
• Οι έλεγχοι διενεργούνται κατά τη διάρκεια κανονικών ωρών εργασίας και δεν παρεμβαίνουν αδικαιολόγητα στις λειτουργίες του Εκτελούντος
• Ο Υπεύθυνος Επεξεργασίας επωμίζεται τα έξοδα του ελέγχου, εκτός εάν ο έλεγχος αποκαλύψει ουσιαστική μη συμμόρφωση από τον Εκτελούντα
• Ο Υπεύθυνος Επεξεργασίας μπορεί να εμπλέξει εξειδικευμένο, ανεξάρτητο τρίτο ελεγκτή, υπό εύλογες υποχρεώσεις εμπιστευτικότητας

12. Διάρκεια και καταγγελία

Η παρούσα DPA παραμένει σε ισχύ για τη διάρκεια της συμφωνίας υπηρεσίας μεταξύ των μερών. Με τη λήξη της συμφωνίας υπηρεσίας:

• Ο Εκτελών, κατ' επιλογή του Υπευθύνου Επεξεργασίας, διαγράφει ή επιστρέφει όλα τα Δεδομένα Προσωπικού Χαρακτήρα εντός 30 ημερών από την ημερομηνία λήξης
• Ο Εκτελών διαγράφει υπάρχοντα αντίγραφα Δεδομένων Προσωπικού Χαρακτήρα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί αποθήκευση (π.χ. φορολογικά και χρηματοοικονομικά αρχεία όπως απαιτείται από το ισπανικό δίκαιο)
• Ο Εκτελών παρέχει γραπτή πιστοποίηση διαγραφής κατόπιν αιτήματος του Υπευθύνου Επεξεργασίας

13. Εφαρμοστέο δίκαιο

Η παρούσα DPA διέπεται και ερμηνεύεται σύμφωνα με τους νόμους του Βασιλείου της Ισπανίας, χωρίς να λαμβάνονται υπόψη οι διατάξεις περί σύγκρουσης νόμων. Ο GDPR εφαρμόζεται σε όλα τα θέματα που σχετίζονται με την επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα. Οποιεσδήποτε διαφορές προκύπτουν από την παρούσα DPA υπόκεινται στην αποκλειστική δικαιοδοσία των δικαστηρίων των Κανάριων Νήσων, Ισπανία (Santa Cruz de Tenerife).

14. Επικοινωνία

Για ερωτήσεις, ανησυχίες ή αιτήματα που σχετίζονται με την παρούσα Συμφωνία Επεξεργασίας Δεδομένων, επικοινωνήστε μαζί μας: