Συμφωνία Επεξεργασίας Δεδομένων

1. Αντικείμενο και Διάρκεια

Το αντικείμενο της επεξεργασίας είναι η παροχή της ψηφιακής πλατφόρμας δηλώσεων αποποίησης ευθύνης WaiverKit στον Υπεύθυνο Επεξεργασίας. Η επεξεργασία συνεχίζεται για όσο διάστημα ο Υπεύθυνος Επεξεργασίας διατηρεί ενεργό λογαριασμό και για οποιαδήποτε εφαρμοστέα περίοδο διατήρησης μετά τη λήξη που περιγράφεται στην Ενότητα 11.

2. Φύση και Σκοπός της Επεξεργασίας

Ο Εκτελών την Επεξεργασία επεξεργάζεται προσωπικά δεδομένα αποκλειστικά για τη φιλοξενία, παράδοση, ασφάλιση και υποστήριξη της υπηρεσίας WaiverKit: συλλογή και αποθήκευση υπογεγραμμένων δηλώσεων αποποίησης ευθύνης, δημιουργία εγγραφών PDF, αποστολή συναλλακτικών email, έλεγχο ταυτότητας χρηστών, επεξεργασία πληρωμών και παραγωγή αναλυτικών στοιχείων εκ μέρους του Υπεύθυνου Επεξεργασίας.

3. Είδη Προσωπικών Δεδομένων και Κατηγορίες Υποκειμένων Δεδομένων

Τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία μπορεί να περιλαμβάνουν:

• Δεδομένα ταυτότητας υπογράφοντος (όνομα, ημερομηνία γέννησης, διεύθυνση, email, τηλέφωνο)
• Εικόνες υπογραφής και δακτυλογραφημένες υπογραφές
• Στοιχεία κηδεμόνα για ανήλικους υπογράφοντες
• Δεδομένα εταιρικού λογαριασμού χρήστη (όνομα, email, αναγνωριστικά ελέγχου ταυτότητας, διεύθυνση IP)

Οι κατηγορίες των υποκειμένων των δεδομένων περιλαμβάνουν: συμμετέχοντες που υπογράφουν δηλώσεις, κηδεμόνες ανηλίκων συμμετεχόντων και υπαλλήλους ή εξουσιοδοτημένους χρήστες του υπεύθυνου επεξεργασίας.

4. Υποχρεώσεις και δικαιώματα του υπευθύνου επεξεργασίας

Ο Υπεύθυνος Επεξεργασίας είναι υπεύθυνος για τη νομιμότητα της συλλογής και επεξεργασίας προσωπικών δεδομένων, για τη λήψη τυχόν αναγκαίων συγκαταθέσεων από τα υποκείμενα των δεδομένων, για την ακρίβεια των οδηγιών που δίνονται στον Εκτελούντα την Επεξεργασία και για τη διασφάλιση ότι τα πρότυπα δηλώσεων αποποίησης ευθύνης και οι ροές εργασίας που διαμορφώνει συμμορφώνονται με την ισχύουσα νομοθεσία. Ο Υπεύθυνος Επεξεργασίας διατηρεί όλα τα δικαιώματα στα προσωπικά δεδομένα και μπορεί να εκδώσει τεκμηριωμένες οδηγίες στον Εκτελούντα την Επεξεργασία ανά πάσα στιγμή.

5. Υπο-επεξεργαστές

Ο Υπεύθυνος Επεξεργασίας εξουσιοδοτεί τον Εκτελούντα την Επεξεργασία να χρησιμοποιήσει τους ακόλουθους υπο-εκτελούντες την επεξεργασία για την παροχή της υπηρεσίας:

• Clerk (έλεγχος ταυτότητας, διαχείριση περιόδων σύνδεσης και κατάλογος χρηστών).
• Stripe (διεκπεραίωση πληρωμών και χρέωση συνδρομής).
• Resend (παράδοση email συναλλαγών).
• Cloudflare R2 (αποθήκευση αντικειμένων για εικόνες υπογραφής και PDF τεχνουργήματα).
• Vercel (φιλοξενία εφαρμογών, δίκτυο αιχμής και δρομολόγηση αιτημάτων).
• Neon (Postgres) (διαχειριζόμενη φιλοξενία βάσης δεδομένων Postgres για δομημένα δεδομένα).

Ο Εκτελών την Επεξεργασία θα ειδοποιήσει τον Υπεύθυνο Επεξεργασίας για οποιαδήποτε προγραμματισμένη προσθήκη ή αντικατάσταση υπο-εκτελούντων την επεξεργασία με εύλογη δυνατότητα ένστασης για νόμιμους λόγους.

6. Μέτρα Ασφαλείας

Ο Εκτελών την Επεξεργασία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένων:

• Κρυπτογράφηση κατά τη μεταφορά (TLS 1.2+) και σε κατάσταση ηρεμίας για αποθήκευση δεδομένων και αντικειμένων
• Έλεγχοι πρόσβασης βάσει ρόλων και IAM με τα λιγότερα προνόμια σε όλη την υποδομή
• Η απομόνωση μισθωτή επιβάλλεται στο επίπεδο εφαρμογής και ερωτήματος
• Καταγραφή ελέγχου διαχειριστικών ενεργειών και πρόσβαση σε PII
• Τακτικά αντίγραφα ασφαλείας, αυτοματοποιημένη σάρωση εξάρτησης και διαδικασίες απόκρισης συμβάντων

7. Δικαιώματα υποκειμένου δεδομένων

Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, ο Εκτελών την Επεξεργασία θα βοηθήσει τον Υπεύθυνο Επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα για να εκπληρώσει την υποχρέωση του Υπεύθυνου Επεξεργασίας να ανταποκρίνεται σε αιτήματα των υποκειμένων των δεδομένων που ασκούν τα δικαιώματά τους πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, φορητότητας και αντίρρησης σύμφωνα με τα άρθρα 15 έως 22 του GDPR.

8. Ειδοποίηση παραβίασης δεδομένων

Ο Εκτελών την Επεξεργασία θα ειδοποιήσει τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που θα αντιληφθεί παραβίαση προσωπικών δεδομένων που επηρεάζει τα δεδομένα του Υπεύθυνου Επεξεργασίας. Η κοινοποίηση θα περιγράφει τη φύση της παραβίασης, τις πιθανές συνέπειες, τα μέτρα που λαμβάνονται ή προτείνονται και ένα σημείο επαφής για περαιτέρω πληροφορίες.

9. Διεθνείς διαβιβάσεις

Όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται εκτός του Ευρωπαϊκού Οικονομικού Χώρου, του Ηνωμένου Βασιλείου ή της Ελβετίας σε χώρα χωρίς απόφαση επάρκειας, αυτές οι μεταφορές διέπονται από τις Τυπικές Συμβατικές Ρήτρες (SCC) της Ευρωπαϊκής Επιτροπής και, κατά περίπτωση, από το Προσάρτημα Διεθνούς Μεταφοράς Δεδομένων του Ηνωμένου Βασιλείου και το προσάρτημα της Ελβετίας, μαζί με τυχόν συμπληρωματικά μέτρα που απαιτούνται από την εκτίμηση επιπτώσεων της μεταφοράς.

10. Δικαιώματα ελέγχου

Ο Εκτελών την Επεξεργασία θα καταστήσει διαθέσιμες στον Υπεύθυνο Επεξεργασίας όλες τις εύλογα απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωση με αυτήν τη DPA και θα επιτρέψει και θα συνδράμει σε ελέγχους, συμπεριλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον Υπεύθυνο Επεξεργασίας ή ελεγκτή εξουσιοδοτημένο από τον Υπεύθυνο Επεξεργασίας, με την επιφύλαξη εύλογων υποχρεώσεων εμπιστευτικότητας και όχι περισσότερο από μία φορά ανά ημερολογιακό έτος, εκτός από την περίπτωση καταγεγραμμένου περιστατικού ασφάλειας ή ρυθμιστικής απαίτησης.

11. Τερματισμός, Επιστροφή και Διαγραφή

Κατά τη λήξη της συμφωνίας, ο Εκτελών την Επεξεργασία, κατ' επιλογή του Υπεύθυνου Επεξεργασίας, θα διαγράψει ή θα επιστρέψει όλα τα προσωπικά δεδομένα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του Υπεύθυνου Επεξεργασίας και θα διαγράψει τα υπάρχοντα αντίγραφα, εκτός εάν η ισχύουσα νομοθεσία απαιτεί συνεχή διατήρηση. Τα αντίγραφα ασφαλείας που περιέχουν προσωπικά δεδομένα θα διαγραφούν κατά τη συνήθη πορεία του κύκλου διατήρησης αντιγράφων ασφαλείας.