Σύμβαση επεξεργασίας δεδομένων #
Ημερομηνία ισχύος: 22 Απριλίου 2026
Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων («DPA») αποτελεί μέρος της συμφωνίας μεταξύ του πελάτη («Υπεύθυνος Επεξεργασίας») και του EthicsPortal («Εκτελών την Επεξεργασία») για την παροχή της πλατφόρμας αναφορών του EthicsPortal.
Χρειάζεστε υπογεγραμμένο αντίγραφο; Επικοινωνήστε στο legal@ethicsportal.eu για αντιυπογεγραμμένη έκδοση σε PDF.
1. Μέρη #
Υπεύθυνος Επεξεργασίας: Ο οργανισμός που συνδρομεί στο EthicsPortal και καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων μέσω της Υπηρεσίας.
Εκτελών την Επεξεργασία: EthicsPortal, που λειτουργεί από τον Yaroslav Shmarov, με έδρα την οδό Obrzeżna 1A, 02-691 Βαρσοβία, Πολωνία. Επικοινωνία: legal@ethicsportal.eu .
2. Αντικείμενο και σκοπός της επεξεργασίας #
Ο Εκτελών επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου αποκλειστικά για την παροχή της Υπηρεσίας. Αυτό περιλαμβάνει:
- λήψη και αποθήκευση αναφορών
- ασφαλή επικοινωνία μεταξύ προσώπων που αναφέρουν και χειριστών
- διαχείριση ροής εργασίας υποθέσεων
- παραγωγή αρχείων καταγραφής ελέγχου και τεκμηρίωσης συμμόρφωσης
- αποστολή ειδοποιήσεων μέσω ηλεκτρονικού ταχυδρομείου
- επεξεργασία πληρωμών για την Υπηρεσία
3. Τύποι προσωπικών δεδομένων που υφίστανται επεξεργασία #
| Κατηγορία δεδομένων | Παραδείγματα | Κρυπτογράφηση σε κατάσταση ηρεμίας |
|---|---|---|
| Ταυτότητα προσώπου που αναφέρει (προαιρετικά) | Όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, τηλέφωνο | Ναι |
| Περιεχόμενο αναφοράς | Περιγραφή της αναφερόμενης παράβασης | Ναι |
| Περιεχόμενο επικοινωνίας | Μηνύματα μεταξύ προσώπου που αναφέρει και χειριστή | Ναι |
| Συνημμένα αρχεία | Έγγραφα, εικόνες, ήχος, βίντεο | Αποθηκεύονται με αφαιρεμένα μεταδεδομένα |
| Κωδικοί πρόσβασης | Μοναδικοί κωδικοί για πρόσβαση στις αναφορές | Ναι |
| Δεδομένα χειριστών και διαχειριστών | Όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, ρόλος, ιδιότητα μέλους | Όχι |
| Εγγραφές ίχνους ελέγχου | Χρονοσφραγίδα, ταυτότητα εκτελεστή, τύπος ενέργειας | Όχι |
| Τεχνικά δεδομένα | Μονόδρομα hash διευθύνσεων IP για περιορισμό ρυθμού | Δεν εφαρμόζεται |
4. Κατηγορίες υποκειμένων των δεδομένων #
- Πρόσωπα που αναφέρουν
- Χειριστές υποθέσεων
- Διαχειριστές οργανισμού
5. Διάρκεια επεξεργασίας #
Ο Εκτελών επεξεργάζεται προσωπικά δεδομένα για τη διάρκεια της συνδρομής του Υπευθύνου. Μετά τη λήξη:
- Ο Υπεύθυνος μπορεί να εξαγάγει τα δεδομένα του πριν λήξει η συνδρομή.
- Τα δεδομένα αναφορών διατηρούνται σύμφωνα με τη ρυθμισμένη περίοδο διατήρησης (12, 24, 36 ή 60 μήνες μετά το κλείσιμο της αναφοράς) και στη συνέχεια διαγράφονται οριστικά.
- Κατόπιν έγγραφου αιτήματος, ο Εκτελών διαγράφει όλα τα υπόλοιπα δεδομένα εντός 30 ημερών, εκτός αν ο νόμος απαιτεί διαφορετικά.
6. Υποχρεώσεις του Εκτελούντος #
6.1 Εντολές επεξεργασίας #
Ο Εκτελών επεξεργάζεται προσωπικά δεδομένα μόνο βάσει τεκμηριωμένων εντολών του Υπευθύνου.
6.2 Εμπιστευτικότητα #
Όλα τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται προσωπικά δεδομένα δεσμεύονται από υποχρέωση εμπιστευτικότητας.
6.3 Μέτρα ασφαλείας #
Ο Εκτελών εφαρμόζει τα τεχνικά και οργανωτικά μέτρα που περιγράφονται στη σελίδα Ασφάλεια , συμπεριλαμβανομένων:
- μη ντετερμινιστικής κρυπτογράφησης ευαίσθητων δεδομένων αναφορών
- μη αποθήκευσης διευθύνσεων IP
- αυτόματης αφαίρεσης μεταδεδομένων αρχείων
- ελέγχου πρόσβασης βάσει ρόλων
- ίχνους ελέγχου μόνο με προσθήκες
- περιορισμού ρυθμού στα δημόσια σημεία πρόσβασης της πύλης
- HTTPS/TLS για όλες τις συνδέσεις
- προστασίας CSRF
Αναφορές για ευπάθειες και περιστατικά ασφάλειας μπορούν να αποστέλλονται στο security@ethicsportal.eu . Ερωτήματα σχετικά με τα δικαιώματα των υποκειμένων δεδομένων και τον Υπεύθυνο Προστασίας Δεδομένων μπορούν να απευθύνονται στο privacy@ethicsportal.eu ή dpo@ethicsportal.eu .
6.4 Υποεκτελούντες #
Ο Εκτελών χρησιμοποιεί τους υποεκτελούντες που αναφέρονται στην ενότητα 8 και θα ειδοποιεί τον Υπεύθυνο τουλάχιστον 30 ημέρες πριν από την προσθήκη ή αντικατάσταση υποεκτελούντος.
6.5 Δικαιώματα υποκειμένων #
Ο Εκτελών βοηθά τον Υπεύθυνο να απαντά σε αιτήματα υποκειμένων δεδομένων, παρέχοντας τις απαραίτητες τεχνικές δυνατότητες στην Υπηρεσία.
6.6 Ειδοποίηση παραβίασης δεδομένων #
Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο Εκτελών θα ειδοποιήσει τον Υπεύθυνο χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που θα λάβει γνώση.
6.7 DPIA #
Ο Εκτελών βοηθά τον Υπεύθυνο σε αξιολογήσεις αντικτύπου προστασίας δεδομένων και σε προηγούμενες διαβουλεύσεις με εποπτικές αρχές.
6.8 Διαγραφή και επιστροφή δεδομένων #
Με τη λήξη της Υπηρεσίας, ο Εκτελών, κατ’ επιλογή του Υπευθύνου:
- θα επιστρέψει όλα τα προσωπικά δεδομένα στις διαθέσιμες μορφές εξαγωγής της Υπηρεσίας κατά τον χρόνο λήξης, συμπεριλαμβανομένων εξαγωγών υποθέσεων σε PDF και των σχετικών συνημμένων, ή
- θα διαγράψει όλα τα προσωπικά δεδομένα και θα επιβεβαιώσει τη διαγραφή γραπτώς,
εκτός αν το δίκαιο της ΕΕ ή κράτους μέλους απαιτεί περαιτέρω αποθήκευση.
Αν ο Υπεύθυνος χρειάζεται εύλογα επιπλέον μεταφερσιμότητα δεδομένων για μετάβαση ή ρυθμιστικό έλεγχο, ο Εκτελών θα αξιολογήσει το αίτημα με καλή πίστη και, όπου είναι τεχνικά εφικτό, θα το παράσχει κατόπιν χωριστού γραπτού αιτήματος.
6.9 Δικαιώματα ελέγχου #
Ο Εκτελών θέτει στη διάθεση του Υπευθύνου όλες τις πληροφορίες που είναι απαραίτητες για την απόδειξη συμμόρφωσης με το άρθρο 28 ΓΚΠΔ.
6.10 Καμία επεξεργασία με ΤΝ ή LLM επί προσωπικών δεδομένων #
Ο Εκτελών δεσμεύεται ότι τα προσωπικά δεδομένα που υφίστανται επεξεργασία στο πλαίσιο της παρούσας DPA — συμπεριλαμβανομένου του περιεχομένου αναφορών, της ταυτότητας του προσώπου που αναφέρει, των μηνυμάτων των χειριστών, των συνημμένων αρχείων και των καταχωρίσεων του αρχείου ελέγχου — δεν διαβιβάζονται σε οποιοδήποτε μεγάλο γλωσσικό μοντέλο, υπηρεσία γενετικής ΤΝ ή ταξινομητή βάσει ΤΝ, είτε λειτουργεί από τον Εκτελούντα είτε από τρίτο μέρος (συμπεριλαμβανομένων, ενδεικτικά, των OpenAI, Anthropic, Google και Mistral). Η Υπηρεσία δεν εκτελεί κατηγοριοποίηση, διαλογή, σύνοψη, μετάφραση ή προτεινόμενες απαντήσεις με ΤΝ επί προσωπικών δεδομένων. Ο Υπεύθυνος μπορεί να βασιστεί σε αυτήν τη δέσμευση κατά την αξιολόγηση των υποχρεώσεων αυτοματοποιημένης λήψης αποφάσεων κατά το άρθρο 22 ΓΚΠΔ και κατά τον καθορισμό του εύρους γνωστοποίησης υποεκτελούντων στις δικές του δηλώσεις απορρήτου και στις Εκτιμήσεις Αντικτύπου (DPIA). Οποιαδήποτε μεταβολή της παρούσας δέσμευσης θα συνιστούσε ουσιώδη μεταβολή της Υπηρεσίας και θα γνωστοποιούνταν στον Υπεύθυνο σύμφωνα με τα άρθρα 6.4 (Υποεκτελούντες) και 11 (Διάρκεια και λήξη).
Η τοπικά φιλοξενούμενη στατιστική μηχανική μετάφραση που εκτελείται εξ ολοκλήρου σε υποδομή που ελέγχεται από τον Εκτελούντα (κανένα δεδομένο δεν φεύγει από την υποδομή, καμία εξωτερική κλήση συμπερασμού) δεν εμπίπτει στο πεδίο του παρόντος περιορισμού και μπορεί να χρησιμοποιηθεί για τη μετάφραση μηνυμάτων προσώπων που αναφέρουν ή χειριστών, εφόσον ο Υπεύθυνος την έχει ενεργοποιήσει.
Η παρούσα δέσμευση αναθεωρείται ετησίως. Η ημερομηνία «Τελευταία ενημέρωση» στην αρχή της παρούσας DPA αντικατοπτρίζει την πιο πρόσφατη επιβεβαίωση. Εάν ο Εκτελών, σε οποιαδήποτε στιγμή, προτίθεται να εισαγάγει επεξεργασία ΤΝ ή LLM σε προσωπικά δεδομένα που εμπίπτουν στο πεδίο της παρούσας DPA, θα ειδοποιήσει τον Υπεύθυνο σύμφωνα με το άρθρο 6.4 και η μεταβολή θα τεθεί σε ισχύ όχι νωρίτερα από τη χρονική περίοδο προειδοποίησης που ορίζεται εκεί.
6.11 Κλειδιά κρυπτογράφησης διαχειριζόμενα από τον πελάτη (BYOK) #
Η Υπηρεσία δεν υποστηρίζει κλειδιά κρυπτογράφησης διαχειριζόμενα από τον πελάτη — είτε περιγράφονται ως bring-your-own-key (BYOK), hold-your-own-key (HYOK) είτε ως ενσωμάτωση εξωτερικής υπηρεσίας διαχείρισης κλειδιών (KMS). Πρόκειται για συνειδητή αρχιτεκτονική επιλογή και όχι για λειτουργικό περιορισμό, η οποία θεμελιώνεται σε δύο εγγυήσεις εμπιστευτικότητας και κύκλου ζωής που αναλαμβάνει ο Εκτελών σε άλλα σημεία της παρούσας DPA:
- Όριο κλειδιών μεταξύ προσώπου που αναφέρει και χειριστή. Τα προσωπικά δεδομένα που καλύπτονται από την παρούσα DPA κρυπτογραφούνται σε κατάσταση ηρεμίας με κλειδιά διαχειριζόμενα από τον Εκτελούντα και τηρούμενα εντός της Υπηρεσίας. Το όριο κρυπτογράφησης που προστατεύει την ταυτότητα του προσώπου που αναφέρει και το περιεχόμενο της αναφοράς από εξωτερικά μέρη είναι το ίδιο όριο που τα προστατεύει και από τους ίδιους τους διαχειριστές πληροφορικής του Υπευθύνου. Η μεταφορά της φύλαξης των κλειδιών στον Υπεύθυνο θα μετατόπιζε αυτό το όριο εντός του περιβάλλοντος του Υπευθύνου, όπου οι διαχειριστές από την πλευρά του Υπευθύνου θα καθίσταντο, καταρχήν, ικανοί να αποκρυπτογραφούν την ταυτότητα του προσώπου που αναφέρει — αντιστρέφοντας το μοντέλο εμπιστευτικότητας που απαιτείται από το Art. 16 της Οδηγίας 2019/1937.
- Εγγύηση διαγραφής από άκρο σε άκρο. Η διαγραφή βάσει περιόδου διατήρησης (Art. 5(1)(e) ΓΚΠΔ) και η συμβατική διαγραφή κατά τη λήξη (άρθρο 6.8 ανωτέρω) στηρίζονται στην ικανότητα του Εκτελούντα να καταστρέφει κρυπτογραφικά και φυσικά τα κρυπτογραφημένα δεδομένα ανεξάρτητα από τον Υπεύθυνο. Ένα κλειδί που κρατείται από τον Υπεύθυνο θα δημιουργούσε μια κατηγορία αστοχίας, όπου ο Εκτελών δεν θα μπορούσε, από μόνος του, να εγγυηθεί την πλήρη διαγραφή εντός του συμβατικού χρονικού διαστήματος.
Το σχήμα κρυπτογράφησης σε ηρεμία του Εκτελούντα, οι μη ντετερμινιστικές ιδιότητες κρυπτογράφησης και η απομόνωση κλειδιών τεκμηριώνονται στη σελίδα Ασφάλεια . Μεταβολή αυτής της θέσης θα συνιστούσε ουσιώδη μεταβολή της Υπηρεσίας και θα γνωστοποιούνταν στον Υπεύθυνο σύμφωνα με τα άρθρα 6.4 (Υποεκτελούντες) και 11 (Διάρκεια και λήξη).
7. Υποχρεώσεις του Υπευθύνου #
Ο Υπεύθυνος είναι υπεύθυνος για:
- τη διασφάλιση νόμιμης βάσης επεξεργασίας
- την παροχή των απαιτούμενων ενημερώσεων απορρήτου στα υποκείμενα
- τη ρύθμιση κατάλληλων περιόδων διατήρησης
- τον ορισμό εξουσιοδοτημένων χειριστών και διαχειριστών
- την απάντηση σε αιτήματα υποκειμένων δεδομένων
8. Υποεκτελούντες #
Οι ακόλουθοι υποεκτελούντες είναι εξουσιοδοτημένοι κατά την ημερομηνία ισχύος της παρούσας DPA:
| Υποεκτελών | Σκοπός | Τοποθεσία | Εγγυήσεις |
|---|---|---|---|
| Hetzner Online GmbH | Φιλοξενία εφαρμογής, βάσης δεδομένων και αποθήκευση συνημμένων | Νυρεμβέργη, Γερμανία (ΕΕ) | Επεξεργασία αποκλειστικά εντός ΕΕ |
| Stripe Payments Europe, Ltd | Επεξεργασία πληρωμών | Ιρλανδία (ΕΕ) | Δεν αποθηκεύονται στοιχεία πληρωμής από τον Εκτελούντα |
| Mailjet (Sinch) | Παράδοση μηνυμάτων υπηρεσίας | Γαλλία (ΕΕ) | Επεξεργασία αποκλειστικά εντός ΕΕ |
| Cloudflare, Inc. | CDN και παράδοση από την περιφέρεια του δικτύου για τον δημόσιο ιστότοπο | Ηνωμένες Πολιτείες | Οι διαβιβάσεις, όπου εμπλέκονται προσωπικά δεδομένα, βασίζονται σε Τυποποιημένες Συμβατικές Ρήτρες και πρόσθετες εγγυήσεις |
| AppSignal B.V. | Παρακολούθηση σφαλμάτων και επιδόσεων εφαρμογής για διεπαφές διαχειριστών και χειριστών | Κάτω Χώρες (ΕΕ) | Επεξεργασία αποκλειστικά εντός ΕΕ· οι διευθύνσεις IP των προσώπων που αναφέρουν δεν καταγράφονται ποτέ |
| Crisp IM SARL | Ενσωματωμένη συνομιλία για χειριστές και υποστήριξη ταυτοποίησης | Γαλλία (ΕΕ) | Φορτώνεται μόνο στην πύλη χειριστών· δεν φορτώνεται ούτε στον δημόσιο ιστότοπο ούτε σε σελίδες προσβάσιμες από πρόσωπα που αναφέρουν |
Τα στατιστικά δημόσιου ιστότοπου (Cloudflare Web Analytics) είναι χωρίς cookies και δεν επεξεργάζονται προσωπικά δεδομένα.
Κανένας υποεκτελών ΤΝ ή LLM. Κανένα μεγάλο γλωσσικό μοντέλο, υπηρεσία γενετικής ΤΝ ή ταξινομητής βάσει ΤΝ δεν είναι υποεκτελών του Εκτελούντος. Τα προσωπικά δεδομένα που υφίστανται επεξεργασία στο πλαίσιο της παρούσας DPA δεν διαβιβάζονται σε OpenAI, Anthropic, Google, Mistral ή σε οποιονδήποτε άλλο πάροχο συμπερασμού ΤΝ. Δείτε το άρθρο 6.10.
9. Διεθνείς διαβιβάσεις δεδομένων #
Τα βασικά δεδομένα αναφορών, συμπεριλαμβανομένου του περιεχομένου των υποθέσεων και της αποθήκευσης συνημμένων, φιλοξενούνται εντός της Ευρωπαϊκής Ένωσης (Hetzner, Γερμανία). Η επεξεργασία πληρωμών πραγματοποιείται στην ΕΕ (Stripe) και τα μηνύματα υπηρεσίας αποστέλλονται από την ΕΕ (Mailjet, Γαλλία).
Τα αιτήματα προς τον δημόσιο ιστότοπο δρομολογούνται μέσω Cloudflare (CDN, Ηνωμένες Πολιτείες), η οποία επεξεργάζεται μεταδεδομένα δικτύου (διευθύνσεις IP επισκεπτών και κεφαλίδες αιτημάτων) για την παράδοση περιεχομένου και την προστασία από επιθέσεις DDoS. Καμία αναφορά, δεδομένα χειριστή ή δεδομένα λογαριασμού δεν κοινοποιούνται στην Cloudflare. Οι διαβιβάσεις βασίζονται σε Τυποποιημένες Συμβατικές Ρήτρες και πρόσθετες εγγυήσεις. Η πύλη αναφορών και η πύλη χειριστών δεν φορτώνουν Cloudflare. Η AppSignal (Κάτω Χώρες) και η Crisp (Γαλλία) εδρεύουν στην ΕΕ· η Crisp φορτώνεται μόνο στην πύλη χειριστών.
10. Ευθύνη #
Η ευθύνη κάθε μέρους βάσει της παρούσας DPA υπόκειται στους περιορισμούς ευθύνης της κύριας συμφωνίας υπηρεσίας. Στον μέγιστο βαθμό που επιτρέπεται από τον νόμο, αξιώσεις που προκύπτουν από ή σχετίζονται με την παρούσα DPA αποτελούν μέρος του ίδιου συνολικού ορίου ευθύνης που ισχύει για την Υπηρεσία.
11. Διάρκεια και λήξη #
Η παρούσα DPA τίθεται σε ισχύ όταν ο Υπεύθυνος αρχίζει να χρησιμοποιεί την Υπηρεσία και παραμένει σε ισχύ όσο ο Εκτελών επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του.
12. Εφαρμοστέο δίκαιο #
Η παρούσα DPA διέπεται από το δίκαιο της Δημοκρατίας της Πολωνίας. Αποκλειστική δικαιοδοσία έχουν τα δικαστήρια της Βαρσοβίας, Πολωνία.
Επικοινωνία #
Για ερωτήσεις σχετικά με την παρούσα DPA ή για να ζητήσετε υπογεγραμμένο αντίγραφο:
EthicsPortal
Yaroslav Shmarov
ul. Obrzeżna 1A, 02-691 Warsaw, Poland
legal@ethicsportal.eu
Τελευταία ενημέρωση: