Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων (εφεξής «DPA») αποτελεί αναπόσπαστο μέρος των Όρων Χρήσης της πλατφόρμας Δάφνη και διέπει την επεξεργασία προσωπικών δεδομένων που πραγματοποιεί η Δάφνη για λογαριασμό του λογιστικού γραφείου, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) 2016/679 και την κείμενη ελληνική νομοθεσία.
1. Συμβαλλόμενοι
| Ρόλος | Μέρος | Στοιχεία |
|---|---|---|
| Υπεύθυνος Επεξεργασίας (Controller — Άρθρο 4 §7 GDPR) |
Το λογιστικό γραφείο / Λογιστής | Ως δηλώνεται κατά την εγγραφή στην πλατφόρμα (επωνυμία, ΑΦΜ, έδρα, email) |
| Εκτελούσα την Επεξεργασία (Processor — Άρθρο 4 §8 GDPR) |
Δάφνη | Αμασείας 11, Καισαριανή, Αττική Email: daphne-support@agrilakon.gr DPO: daphne-dpo@agrilakon.gr |
2. Αντικείμενο και Διάρκεια
Αντικείμενο: Η επεξεργασία προσωπικών δεδομένων που ανατίθεται στη Δάφνη από τον Λογιστή μέσω της χρήσης της πλατφόρμας, για την εκτέλεση των υπηρεσιών που περιγράφονται στους Όρους Χρήσης.
Διάρκεια: Η παρούσα DPA ισχύει από την έναρξη χρήσης της πλατφόρμας από τον Λογιστή και παραμένει σε ισχύ έως ότου:
(α) διαγραφεί ο λογαριασμός του Λογιστή, και
(β) διαγραφούν ή επιστραφούν όλα τα δεδομένα σύμφωνα με το Άρθρο 10 της παρούσας.
3. Φύση και Σκοπός Επεξεργασίας
Φύση: Συλλογή, αποθήκευση, οργάνωση, δομή, ανάκτηση, χρήση, διαβίβαση και διαγραφή προσωπικών δεδομένων μέσω της πλατφόρμας Δάφνη.
Σκοπός: Η παροχή των υπηρεσιών της πλατφόρμας προς τον Λογιστή, ήτοι:
- Αποστολή ερωτηματολογίων σε πελάτες για συλλογή φορολογικών στοιχείων
- Αυτόματη δημιουργία checklist (PDF) για λογιστή και πελάτη
- Παρακολούθηση προόδου συμπλήρωσης ερωτηματολογίων
- Διαχείριση ραντεβού, reminders και επικοινωνίας
4. Κατηγορίες Δεδομένων και Υποκειμένων
4.1 Κατηγορίες υποκειμένων
- Πελάτες του λογιστικού γραφείου (φορολογούμενοι φυσικά πρόσωπα)
- Νόμιμοι εκπρόσωποι νομικών προσώπων-πελατών
- Σύζυγοι/πρώην σύζυγοι και προστατευόμενα μέλη (εφόσον δηλωθούν)
- Συνεργάτες, υπάλληλοι και εξουσιοδοτημένα πρόσωπα του λογιστικού γραφείου
4.2 Κατηγορίες δεδομένων
| Κατηγορία | Περιγραφή |
|---|---|
| Στοιχεία ταυτοποίησης | Ονοματεπώνυμο, έτος γέννησης, ΑΦΜ |
| Στοιχεία επικοινωνίας | Email, κινητό/σταθερό τηλέφωνο |
| Οικογενειακή κατάσταση | Έγγαμος/άγαμος/διαζευγμένος, αριθμός τέκνων, στοιχεία συζύγου |
| Οικονομικά & φορολογικά | Πηγές εισοδημάτων, μισθώματα, επιδοτήσεις, δάνεια, ακίνητα, οχήματα, επενδύσεις |
| Ειδικής κατηγορίας | Πληροφορίες αναπηρίας (εφόσον δηλωθούν για φορολογικές εκπτώσεις — Άρθρο 9 GDPR) |
| Δεδομένα λογαριασμού | Email, όνομα χρήστη, κωδικός πρόσβασης (μόνο για λογιστές/συνεργάτες) |
5. Υποχρεώσεις του Εκτελούντος την Επεξεργασία (Δάφνη)
Η Δάφνη, ως Εκτελούσα την Επεξεργασία, υποχρεούται:
5.1 Επεξεργασία κατ' εντολή
Να επεξεργάζεται τα προσωπικά δεδομένα μόνο κατ' εντολή του Υπευθύνου Επεξεργασίας (Λογιστή), εκτός αν απαιτείται διαφορετικά από το δίκαιο της ΕΕ ή κράτους-μέλους. Σε αυτή την περίπτωση, η Δάφνη ενημερώνει τον Λογιστή πριν από την επεξεργασία, εκτός αν η γνωστοποίηση απαγορεύεται από τον νόμο.
5.2 Εμπιστευτικότητα
Να διασφαλίζει ότι όλα τα πρόσωπα που εξουσιοδοτούνται να επεξεργάζονται τα δεδομένα (προσωπικό, συνεργάτες) έχουν δεσμευτεί για εμπιστευτικότητα ή υπόκεινται σε νόμιμη υποχρέωση τήρησης απορρήτου.
5.3 Μέτρα ασφαλείας
Να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας σύμφωνα με το Άρθρο 32 GDPR (βλ. Άρθρο 7 της παρούσας).
5.4 Υπεργολάβοι
Να μην αναθέτει την επεξεργασία σε υπεργολάβο (sub-processor) χωρίς προηγούμενη ενημέρωση και δικαίωμα εναντίωσης του Λογιστή (βλ. Άρθρο 8 της παρούσας).
5.5 Συνδρομή προς τον Υπεύθυνο Επεξεργασίας
Να συνδράμει τον Λογιστή με κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να ανταποκρίνεται στις υποχρεώσεις του προς τα υποκείμενα των δεδομένων (άρθρα 12-23 GDPR), ιδίως όσον αφορά την απάντηση σε αιτήματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού και φορητότητας.
5.6 Κοινοποίηση παραβίασης
Να γνωστοποιεί στον Λογιστή χωρίς αδικαιολόγητη καθυστέρηση οποιαδήποτε παραβίαση προσωπικών δεδομένων που αφορά τα δεδομένα που επεξεργάζεται για λογαριασμό του (βλ. Άρθρο 9 της παρούσας).
5.7 Διαγραφή/Επιστροφή
Να διαγράφει ή να επιστρέφει όλα τα προσωπικά δεδομένα μετά το πέρας της παροχής υπηρεσιών, σύμφωνα με το Άρθρο 10 της παρούσας.
5.8 Τήρηση αρχείων
Να τηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που πραγματοποιεί για λογαριασμό του Λογιστή, σύμφωνα με το Άρθρο 30 §2 GDPR.
5.9 Διορισμός Υπευθύνου Προστασίας Δεδομένων (DPO)
Η Δάφνη έχει διορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO), προσβάσιμο στη διεύθυνση daphne-dpo@agrilakon.gr.
6. Υποχρεώσεις του Υπευθύνου Επεξεργασίας (Λογιστής)
Ο Λογιστής, ως Υπεύθυνος Επεξεργασίας, υποχρεούται:
- Να διασφαλίζει ότι η επεξεργασία των προσωπικών δεδομένων γίνεται σύμφωνα με τον GDPR και την κείμενη νομοθεσία
- Να παρέχει στους πελάτες του την Πολιτική Προστασίας Δεδομένων και να λαμβάνει τη συγκατάθεσή τους όπου απαιτείται
- Να χορηγεί στη Δάφνη σαφείς, γραπτές εντολές επεξεργασίας
- Να διασφαλίζει την ακρίβεια και νομιμότητα των δεδομένων που εισάγει στην πλατφόρμα
- Να ορίζει και να διαχειρίζεται κατάλληλα δικαιώματα πρόσβασης για τους συνεργάτες και το προσωπικό του
- Να απαντά στα αιτήματα των υποκειμένων δεδομένων, με τη συνδρομή της Δάφνης όπου απαιτείται
- Να διενεργεί (ή να έχει ήδη διενεργήσει) Εκτίμηση Αντικτύπου (DPIA) όπου απαιτείται βάσει νόμου
7. Μέτρα Ασφαλείας (Άρθρο 32 GDPR)
Η Δάφνη εφαρμόζει τα ακόλουθα τεχνικά και οργανωτικά μέτρα ασφαλείας:
| Κατηγορία | Μέτρο |
|---|---|
| Κρυπτογράφηση μεταφοράς | TLS 1.2+ για όλες τις επικοινωνίες (HTTPS) |
| Έλεγχος πρόσβασης | Πρόσβαση βάσει ρόλων (RBAC), πολιτική ελάχιστων δικαιωμάτων (least privilege) |
| Αυθεντικοποίηση | Ισχυροί κωδικοί πρόσβασης, προαιρετικό 2FA |
| Αντίγραφα ασφαλείας | Καθημερινά backups σε απομονωμένο περιβάλλον, δοκιμή επαναφοράς |
| Παρακολούθηση | Καταγραφή ενεργειών (audit logs), ανίχνευση ανωμαλιών (intrusion detection) |
| Διαχείριση ευπαθειών | Τακτικές ενημερώσεις λογισμικού, δοκιμές διείσδυσης (penetration testing) |
| Εκπαίδευση προσωπικού | Υποχρεωτική εκπαίδευση σε θέματα GDPR και ασφάλειας πληροφοριών |
8. Υπεργολάβοι (Sub-processors)
8.1 Εγκεκριμένοι υπεργολάβοι
Ο Λογιστής συναινεί στη χρήση των ακόλουθων υπεργολάβων (sub-processors) για την υποστήριξη της πλατφόρμας:
| Πάροχος | Υπηρεσία | Τοποθεσία δεδομένων |
|---|---|---|
| Linode (Akamai) | Cloud hosting (VPS, object storage) | ΕΕ (Γερμανία) |
| Object Storage | Αποθήκευση PDF, λογότυπων, αρχείων | ΕΕ |
8.2 Προσθήκη νέων υπεργολάβων
Η Δάφνη θα ενημερώνει τον Λογιστή τουλάχιστον 30 ημέρες πριν από την προσθήκη νέου υπεργολάβου. Ο Λογιστής δικαιούται να εναντιωθεί εντός 14 ημερών. Σε περίπτωση εναντίωσης, η Δάφνη και ο Λογιστής θα συνεργαστούν καλόπιστα για την εξεύρεση λύσης. Αν δεν καταστεί δυνατόν, ο Λογιστής δικαιούται να καταγγείλει τη χρήση της πλατφόρμας.
8.3 Δέσμευση υπεργολάβων
Κάθε υπεργολάβος δεσμεύεται συμβατικά με όρους ουσιαδώς ισοδύναμους με την παρούσα DPA.
9. Γνωστοποίηση Παραβίασης Δεδομένων
9.1 Υποχρέωση ενημέρωσης
Σε περίπτωση παραβίασης προσωπικών δεδομένων που αφορά δεδομένα τα οποία επεξεργάζεται η Δάφνη για λογαριασμό του Λογιστή, η Δάφνη υποχρεούται να ενημερώσει τον Λογιστή εντός 24 ωρών από την αντιληψή της.
9.2 Περιεχόμενο γνωστοποίησης
Η ενημέρωση περιλαμβάνει τουλάχιστον:
- Περιγραφή της φύσης της παραβίασης
- Κατηγορίες και αριθμό υποκειμένων που επηρεάζονται
- Κατηγορίες και όγκο δεδομένων που επηρεάζονται
- Πιθανές συνέπειες
- Μέτρα που ελήφθησαν ή προτείνονται για την αντιμετώπιση
- Στοιχεία επικοινωνίας του DPO για περαιτέρω πληροφορίες
9.3 Συνδρομή
Η Δάφνη παρέχει κάθε δυνατή συνδρομή στον Λογιστή για την εκπλήρωση της υποχρέωσής του να γνωστοποιήσει την παραβίαση στην Αρχή Προστασίας Δεδομένων (εντός 72 ωρών) και, όπου απαιτείται, στα υποκείμενα.
10. Διαγραφή και Επιστροφή Δεδομένων
10.1 Λήξη της DPA
Κατά τη λήξη της παρούσας DPA (λόγω διαγραφής λογαριασμού ή καταγγελίας), η Δάφνη υποχρεούται, κατ' επιλογή του Λογιστή:
- Να διαγράψει όλα τα προσωπικά δεδομένα που αφορούν τον Λογιστή και τους πελάτες του, ή
- Να τα επιστρέψει σε δομημένο, κοινώς χρησιμοποιούμενο μορφότυπο (JSON/CSV)
10.2 Προθεσμία
Η διαγραφή ή επιστροφή πραγματοποιείται εντός 30 ημερών από την επιλογή του Λογιστή. Μετά την παρέλευση της προθεσμίας, η Δάφνη δικαιούται να διαγράψει όλα τα δεδομένα εκτός αν υφίσταται νομική υποχρέωση διατήρησης.
10.3 Εξαίρεση
Η Δάφνη δύναται να διατηρήσει αντίγραφα ασφαλείας για μέγιστο διάστημα 3 μηνών μετά τη διαγραφή, αποκλειστικά για λόγους αποκατάστασης από καταστροφή (disaster recovery). Τα αντίγραφα αυτά δεν είναι προσβάσιμα και υπόκεινται σε αυτόματη διαγραφή.
11. Έλεγχοι και Επιθεωρήσεις (Audit)
Ο Λογιστής δικαιούται να διενεργεί ελέγχους συμμόρφωσης της Δάφνης με την παρούσα DPA, κατόπιν έγγραφης προειδοποίησης τουλάχιστον 30 ημερών και όχι συχνότερα από μία φορά ανά ημερολογιακό έτος, εκτός αν έχει προηγηθεί παραβίαση δεδομένων.
Ο έλεγχος διενεργείται:
- Από ανεξάρτητο τρίτο ελεγκτή (π.χ. πιστοποιημένο κατά ISO 27001)
- Σε εργάσιμες ώρες και με τρόπο που δεν διαταράσσει τη λειτουργία της πλατφόρμας
- Με κάλυψη του κόστους από τον Λογιστή, εκτός αν ο έλεγχος αποκαλύψει ουσιώδη μη συμμόρφωση
Η Δάφνη δύναται να αντικαταστήσει τον επιτόπιο έλεγχο με πιστοποιητικό συμμόρφωσης (π.χ. SOC 2 Type II, ISO 27001) ή με λεπτομερή έκθεση ανεξάρτητου ελεγκτή.
12. Διεθνείς Διαβιβάσεις
Η Δάφνη διασφαλίζει ότι όλα τα προσωπικά δεδομένα παραμένουν αποθηκευμένα εντός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Καμία διαβίβαση δεδομένων εκτός ΕΟΧ δεν πραγματοποιείται, εκτός αν:
- Υπάρχει απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής (Άρθρο 45 GDPR)
- Έχουν ληφθεί κατάλληλες εγγυήσεις (Τυπικές Συμβατικές Ρήτρες — SCCs, Άρθρο 46 GDPR)
Ο Λογιστής θα ενημερώνεται εκ των προτέρων για οποιαδήποτε τέτοια διαβίβαση και θα παρέχεται το δικαίωμα εναντίωσης.
13. Ευθύνη και Αποζημίωση
13.1 Ευθύνη της Δάφνης
Η Δάφνη ευθύνεται έναντι του Λογιστή για ζημίες που προκαλούνται από παραβίαση της παρούσας DPA, σύμφωνα με το Άρθρο 82 GDPR. Η ευθύνη περιορίζεται στο ποσό των αμοιβών που κατέβαλε ο Λογιστής στη Δάφνη κατά τους 12 μήνες που προηγήθηκαν του ζημιογόνου γεγονότος, εκτός αν η ζημία προκλήθηκε από δόλο ή βαριά αμέλεια.
13.2 Ευθύνη του Λογιστή
Ο Λογιστής ευθύνεται έναντι της Δάφνης για ζημίες που προκαλούνται από παραβίαση των υποχρεώσεών του ως Υπευθύνου Επεξεργασίας, συμπεριλαμβανομένων ζημιών που απορρέουν από εντολές επεξεργασίας που παραβιάζουν τον GDPR.
13.3 Αποζημίωση τρίτων
Σε περίπτωση που υποκείμενο δεδομένων ή αρχή επιβάλει κυρώσεις ή αξιώσει αποζημίωση, η ευθύνη κατανέμεται σύμφωνα με το Άρθρο 82 GDPR. Κάθε μέρος φέρει την ευθύνη για τη δική του παραβίαση.
14. Ισχύον Δίκαιο και Επίλυση Διαφορών
Η παρούσα DPA διέπεται από το Ελληνικό Δίκαιο, συμπληρωματικά από το δίκαιο της Ευρωπαϊκής Ένωσης. Για οποιαδήποτε διαφορά προκύψει σχετικά με την παρούσα, αρμόδια είναι τα δικαστήρια της Αθήνας.
15. Λοιπές Διατάξεις
15.1 Σχέση με Όρους Χρήσης
Σε περίπτωση αντίφασης μεταξύ της παρούσας DPA και των Όρων Χρήσης, υπερισχύει η παρούσα DPA όσον αφορά την επεξεργασία προσωπικών δεδομένων.
15.2 Μερική ακυρότητα
Αν οποιαδήποτε διάταξη της παρούσας DPA κριθεί άκυρη ή ανεφάρμοστη, οι λοιπές διατάξεις παραμένουν σε πλήρη ισχύ. Η άκυρη διάταξη αντικαθίσταται από διάταξη που προσεγγίζει όσο το δυνατόν περισσότερο τον αρχικό σκοπό των μερών.
15.3 Τροποποιήσεις
Η Δάφνη διατηρεί το δικαίωμα να τροποποιεί την παρούσα DPA για συμμόρφωση με νέες νομικές απαιτήσεις. Ο Λογιστής θα ενημερώνεται εγγράφως τουλάχιστον 30 ημέρες πριν από την έναρξη ισχύος των τροποποιήσεων. Η συνέχιση χρήσης μετά την τροποποίηση συνιστά αποδοχή.
Υπογραφή Σύμβασης
Η παρούσα DPA θεωρείται ότι υπογράφεται από τα μέρη κατά την αποδοχή των Όρων Χρήσης της πλατφόρμας Δάφνη. Εφόσον ζητηθεί, η Δάφνη θα παράσχει αντίγραφο της παρούσας υπογεγραμμένο ψηφιακά.
Εκτελούσα την Επεξεργασία (Processor)
Δάφνη
Διεύθυνση: Αμασείας 11, Καισαριανή, Αττική
Email: daphne-support@agrilakon.gr
Υπεύθυνος Επεξεργασίας (Controller)
Λογιστικό Γραφείο: ______________________________
ΑΦΜ: ______________________________
Email: ______________________________