Σύμβαση επεξεργασίας δεδομένων #

Ημερομηνία ισχύος: 22 Απριλίου 2026

Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων («DPA») αποτελεί μέρος της συμφωνίας μεταξύ του πελάτη («Υπεύθυνος Επεξεργασίας») και του EthicsPortal («Εκτελών την Επεξεργασία») για την παροχή της πλατφόρμας αναφορών του EthicsPortal.

Χρειάζεστε υπογεγραμμένο αντίγραφο; Επικοινωνήστε στο support@ethicsportal.eu για countersigned PDF έκδοση.

1. Μέρη #

Υπεύθυνος Επεξεργασίας: Ο οργανισμός που συνδρομεί στο EthicsPortal και καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων μέσω της Υπηρεσίας.

Εκτελών την Επεξεργασία: EthicsPortal, που λειτουργεί από τον Yaroslav Shmarov ως ατομική επιχείρηση εγγεγραμμένη στην Πολωνία, ul. Obrzeżna 1A, 02-691 Warsaw, Poland. Επικοινωνία: support@ethicsportal.eu.

2. Αντικείμενο και σκοπός της επεξεργασίας #

Ο Εκτελών επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου αποκλειστικά για την παροχή της Υπηρεσίας. Αυτό περιλαμβάνει:

λήψη και αποθήκευση αναφορών
ασφαλή επικοινωνία μεταξύ προσώπων που αναφέρουν και χειριστών
διαχείριση workflow υποθέσεων
παραγωγή audit logs και τεκμηρίωσης συμμόρφωσης
αποστολή transactional email notifications
επεξεργασία πληρωμών για την Υπηρεσία

3. Τύποι προσωπικών δεδομένων που υφίστανται επεξεργασία #

Κατηγορία δεδομένων	Παραδείγματα	Κρυπτογράφηση σε κατάσταση ηρεμίας
Ταυτότητα προσώπου που αναφέρει (προαιρετικά)	Όνομα, email, τηλέφωνο	Ναι
Περιεχόμενο αναφοράς	Περιγραφή της αναφερόμενης παράβασης	Ναι
Περιεχόμενο επικοινωνίας	Μηνύματα μεταξύ προσώπου που αναφέρει και χειριστή	Ναι
Συνημμένα αρχεία	Έγγραφα, εικόνες, ήχος, βίντεο	Αποθηκεύονται με αφαιρεμένα μεταδεδομένα
Κωδικοί πρόσβασης / πρόσβασης	Μοναδικοί κωδικοί για πρόσβαση στις αναφορές	Ναι
Δεδομένα handlers και admins	Όνομα, email, ρόλος, membership	Όχι
Εγγραφές audit trail	Timestamp, actor identity, action type	Όχι
Τεχνικά δεδομένα	One-way hashed IPs για rate limiting	Δεν εφαρμόζεται

4. Κατηγορίες υποκειμένων των δεδομένων #

Πρόσωπα που αναφέρουν
Χειριστές υποθέσεων
Διαχειριστές οργανισμού

5. Διάρκεια επεξεργασίας #

Ο Εκτελών επεξεργάζεται προσωπικά δεδομένα για τη διάρκεια της συνδρομής του Υπευθύνου. Μετά τη λήξη:

Ο Υπεύθυνος μπορεί να εξαγάγει τα δεδομένα του πριν λήξει η συνδρομή.
Τα δεδομένα αναφορών διατηρούνται σύμφωνα με τη ρυθμισμένη περίοδο διατήρησης (12, 24, 36 ή 60 μήνες μετά το κλείσιμο της αναφοράς) και στη συνέχεια διαγράφονται οριστικά.
Κατόπιν έγγραφου αιτήματος, ο Εκτελών διαγράφει όλα τα υπόλοιπα δεδομένα εντός 30 ημερών, εκτός αν ο νόμος απαιτεί διαφορετικά.

6. Υποχρεώσεις του Εκτελούντος #

6.1 Εντολές επεξεργασίας #

Ο Εκτελών επεξεργάζεται προσωπικά δεδομένα μόνο βάσει τεκμηριωμένων εντολών του Υπευθύνου.

6.2 Εμπιστευτικότητα #

Όλα τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται προσωπικά δεδομένα δεσμεύονται από υποχρέωση εμπιστευτικότητας.

6.3 Μέτρα ασφαλείας #

Ο Εκτελών εφαρμόζει τα τεχνικά και οργανωτικά μέτρα που περιγράφονται στη σελίδα Ασφάλεια, συμπεριλαμβανομένων:

μη ντετερμινιστικής κρυπτογράφησης ευαίσθητων δεδομένων αναφορών
μη αποθήκευσης IP διευθύνσεων
αυτόματης αφαίρεσης μεταδεδομένων αρχείων
ελέγχου πρόσβασης βάσει ρόλων
audit trail μόνο με προσθήκες
rate limiting στα δημόσια portal endpoints
HTTPS/TLS για όλες τις συνδέσεις
προστασίας CSRF

6.4 Υποεκτελούντες #

Ο Εκτελών χρησιμοποιεί τους υποεκτελούντες που αναφέρονται στην ενότητα 8 και θα ειδοποιεί τον Υπεύθυνο τουλάχιστον 30 ημέρες πριν από την προσθήκη ή αντικατάσταση υποεκτελούντος.

6.5 Δικαιώματα υποκειμένων #

Ο Εκτελών βοηθά τον Υπεύθυνο να απαντά σε αιτήματα υποκειμένων δεδομένων, παρέχοντας τις απαραίτητες τεχνικές δυνατότητες στην Υπηρεσία.

6.6 Ειδοποίηση παραβίασης δεδομένων #

Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο Εκτελών θα ειδοποιήσει τον Υπεύθυνο χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που θα λάβει γνώση.

6.7 DPIA #

Ο Εκτελών βοηθά τον Υπεύθυνο σε αξιολογήσεις αντικτύπου προστασίας δεδομένων και σε προηγούμενες διαβουλεύσεις με εποπτικές αρχές.

6.8 Διαγραφή και επιστροφή δεδομένων #

Με τη λήξη της Υπηρεσίας, ο Εκτελών, κατ’ επιλογή του Υπευθύνου:

θα επιστρέψει όλα τα προσωπικά δεδομένα στα διαθέσιμα format export της Υπηρεσίας κατά τον χρόνο λήξης, συμπεριλαμβανομένων PDF exports υποθέσεων και των σχετικών συνημμένων, ή
θα διαγράψει όλα τα προσωπικά δεδομένα και θα επιβεβαιώσει τη διαγραφή γραπτώς,

εκτός αν το δίκαιο της ΕΕ ή κράτους μέλους απαιτεί περαιτέρω αποθήκευση.

Αν ο Υπεύθυνος χρειάζεται εύλογα επιπλέον format portability για migration ή regulatory review, ο Εκτελών θα αξιολογήσει το αίτημα με καλή πίστη και, όπου είναι τεχνικά εφικτό, θα το παράσχει κατόπιν χωριστού γραπτού αιτήματος.

6.9 Δικαιώματα ελέγχου #

Ο Εκτελών θέτει στη διάθεση του Υπευθύνου όλες τις πληροφορίες που είναι απαραίτητες για την απόδειξη συμμόρφωσης με το άρθρο 28 GDPR.

7. Υποχρεώσεις του Υπευθύνου #

Ο Υπεύθυνος είναι υπεύθυνος για:

τη διασφάλιση νόμιμης βάσης επεξεργασίας
την παροχή των απαιτούμενων ενημερώσεων απορρήτου στα υποκείμενα
τη ρύθμιση κατάλληλων περιόδων διατήρησης
τον ορισμό εξουσιοδοτημένων handlers και admins
την απάντηση σε αιτήματα υποκειμένων δεδομένων

8. Υποεκτελούντες #

Οι ακόλουθοι υποεκτελούντες είναι εξουσιοδοτημένοι κατά την ημερομηνία ισχύος της παρούσας DPA:

Υποεκτελών	Σκοπός	Τοποθεσία	Εγγυήσεις
Hetzner Online GmbH	Hosting εφαρμογής, βάσης δεδομένων και αποθήκευση συνημμένων	Νυρεμβέργη, Γερμανία (ΕΕ)	Επεξεργασία αποκλειστικά εντός ΕΕ
Stripe Payments Europe, Ltd	Επεξεργασία πληρωμών	Ιρλανδία (ΕΕ)	Δεν αποθηκεύονται στοιχεία πληρωμής από τον Εκτελούντα
Mailjet (Sinch)	Transactional email delivery	Γαλλία (ΕΕ)	Επεξεργασία αποκλειστικά εντός ΕΕ
Cloudflare, Inc.	CDN και edge delivery για τον marketing ιστότοπο	Ηνωμένες Πολιτείες	Οι διαβιβάσεις, όπου εμπλέκονται προσωπικά δεδομένα, βασίζονται σε Standard Contractual Clauses και πρόσθετες safeguards
Honeybadger Industries, LLC	Error monitoring για admin και handler interfaces	Ηνωμένες Πολιτείες	Οι IP διευθύνσεις των προσώπων που αναφέρουν δεν καταγράφονται ποτέ· οι διαβιβάσεις βασίζονται σε Standard Contractual Clauses και πρόσθετες safeguards
Crisp IM SARL	Customer chat για operators και υποστήριξη ταυτοποίησης	Γαλλία (ΕΕ)	Δεν φορτώνεται σε reporter-facing σελίδες· κανένα Crisp script, cookie ή identifier δεν φτάνει στο whistleblower portal

Το marketing analytics (Cloudflare Web Analytics) είναι χωρίς cookies και δεν επεξεργάζεται προσωπικά δεδομένα.

9. Διεθνείς διαβιβάσεις δεδομένων #

Τα βασικά δεδομένα αναφορών, συμπεριλαμβανομένου του περιεχομένου των υποθέσεων και της αποθήκευσης συνημμένων, φιλοξενούνται εντός της Ευρωπαϊκής Ένωσης (Hetzner, Γερμανία). Η επεξεργασία πληρωμών πραγματοποιείται στην ΕΕ (Stripe) και τα transactional emails αποστέλλονται από την ΕΕ (Mailjet, Γαλλία).

Περιορισμένα προσωπικά δεδομένα που σχετίζονται με τον marketing ιστότοπο και τις λειτουργίες admin/handler μπορεί να υποβάλλονται σε επεξεργασία εκτός ΕΕ/ΕΟΧ μέσω Cloudflare και Honeybadger. Όπου πραγματοποιούνται τέτοιες διαβιβάσεις, βασίζονται σε Standard Contractual Clauses και πρόσθετες safeguards. Η Crisp εδρεύει στη Γαλλία και δεν φορτώνεται σε σελίδες για πρόσωπα που αναφέρουν.

10. Ευθύνη #

Η ευθύνη κάθε μέρους βάσει της παρούσας DPA υπόκειται στους περιορισμούς ευθύνης της κύριας συμφωνίας υπηρεσίας. Στον μέγιστο βαθμό που επιτρέπεται από τον νόμο, αξιώσεις που προκύπτουν από ή σχετίζονται με την παρούσα DPA αποτελούν μέρος του ίδιου συνολικού ορίου ευθύνης που ισχύει για την Υπηρεσία.

11. Διάρκεια και λήξη #

Η παρούσα DPA τίθεται σε ισχύ όταν ο Υπεύθυνος αρχίζει να χρησιμοποιεί την Υπηρεσία και παραμένει σε ισχύ όσο ο Εκτελών επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του.

12. Εφαρμοστέο δίκαιο #

Η παρούσα DPA διέπεται από το δίκαιο της Δημοκρατίας της Πολωνίας. Αποκλειστική δικαιοδοσία έχουν τα δικαστήρια της Βαρσοβίας, Πολωνία.

Επικοινωνία #

Για ερωτήσεις σχετικά με την παρούσα DPA ή για να ζητήσετε υπογεγραμμένο αντίγραφο:

EthicsPortal
Yaroslav Shmarov
ul. Obrzeżna 1A, 02-691 Warsaw, Poland
support@ethicsportal.eu

Τελευταία ενημέρωση: 23 Απριλίου 2026