← Επιστροφή στο ran-tevu.gr
Data Processing Agreement (DPA)
Σημείωση: Αυτό το DPA ισχύει αυτόματα για όλους τους B2B πελάτες της Ran-Tevu από την στιγμή που δημιουργούν λογαριασμό. Αν η επιχείρησή σας απαιτεί υπογεγραμμένη έκδοση, στείλτε email στο ntinosgkiou@gmail.com.
1. Συμβαλλόμενα μέρη
Controller (Υπεύθυνος Επεξεργασίας): η επιχείρηση-πελάτης που χρησιμοποιεί την υπηρεσία Ran-Tevu (εφεξής "εσείς").
Processor (Εκτελών την Επεξεργασία): Κωνσταντίνος Γκιουλμπαξιώτης, Ran-Tevu, Ρέθυμνο Κρήτης, ntinosgkiou@gmail.com (εφεξής "εμείς").
2. Σκοπός
Αυτό το DPA συμφωνείται για συμμόρφωση με τον GDPR (EU 2016/679), Άρθρο 28, και τον EU AI Act.
3. Υποκείμενα δεδομένων + κατηγορίες
| Υποκείμενο | Κατηγορίες δεδομένων | Σκοπός επεξεργασίας |
|---|
| Τελικοί πελάτες της επιχείρησής σας |
Όνομα, email, τηλέφωνο, ώρα ραντεβού, σημειώσεις, conversation history με AI |
Διαχείριση ραντεβού + customer communication |
| Επανερχόμενοι πελάτες |
Memory hash για αναγνώριση + preferences |
Customer experience improvement |
| Ασθενείς ιατρείου (όταν ο Controller είναι πάροχος υγείας) |
Δεδομένα ειδικής κατηγορίας — υγείας (Άρθρο 9 GDPR): ιατρικό ιστορικό, διαγνώσεις/σημειώσεις φακέλου, ΑΜΚΑ, ιατρικές ειδοποιήσεις (αλλεργίες/αγωγή), παραστατικά περίθαλψης |
Τήρηση ιατρικού φακέλου & διαχείριση περίθαλψης — νομική βάση Άρθρο 9(2)(η) GDPR (ιατρική περίθαλψη υπό επαγγελματικό απόρρητο, Άρθρο 9(3)) |
Τα δεδομένα υγείας τηρούνται κρυπτογραφημένα και υπόκεινται σε ιατρικό απόρρητο. Δεν διαβιβάζονται ποτέ κλινικά δεδομένα σε συστήματα AI (Anthropic) — η AI επεξεργάζεται μόνο στοιχεία ραντεβού (όνομα/υπηρεσία/ώρα).
4. Υποχρεώσεις του Processor (εμείς)
- Επεξεργαζόμαστε δεδομένα μόνο βάσει των οδηγιών σας (μέσω του dashboard ή email)
- Διασφαλίζουμε εμπιστευτικότητα από όλους τους εργαζόμενους / υπεργολάβους
- Εφαρμόζουμε τεχνικά και οργανωτικά μέτρα ασφάλειας (Section 7 της Privacy Policy)
- Σας βοηθάμε να ικανοποιήσετε αιτήματα υποκειμένων δεδομένων (πρόσβαση/διαγραφή/μεταφορά)
- Σας ενημερώνουμε αμέσως σε περίπτωση data breach (εντός 24 ωρών)
- Παρέχουμε audit rights (μπορείτε να ζητήσετε έλεγχο μία φορά τον χρόνο)
- Διαγράφουμε ή επιστρέφουμε όλα τα δεδομένα μετά τη λήξη της συνεργασίας
5. Υποχρεώσεις του Controller (εσείς)
- Παρέχετε αληθή, σχετικά δεδομένα
- Λαμβάνετε νόμιμη συναίνεση από τους τελικούς σας πελάτες
- Ενημερώνετε τους τελικούς σας πελάτες ότι χρησιμοποιείτε AI tool (μέσω της πολιτικής απορρήτου σας)
- Όταν επεξεργάζεστε δεδομένα υγείας (ειδική κατηγορία, Άρθρο 9) ως πάροχος υγείας, είστε ο αποκλειστικά υπεύθυνος για τη νόμιμη βάση (Άρθρο 9(2)(η) — ιατρική περίθαλψη), την τήρηση ιατρικού απορρήτου και τη συγκατάθεση όπου απαιτείται. Η υπηρεσία υποστηρίζει ρητά αυτή την επεξεργασία (βλ. §3 & §9).
6. Sub-processors
Εξουσιοδοτείτε τη χρήση των ακόλουθων sub-processors:
| Πάροχος | Υπηρεσία | Τοποθεσία | DPA |
|---|
| Anthropic | AI inference | USA | link |
| Resend | Email delivery | EU (Ireland) | link |
| Stripe | Payment processing | EU + USA | link |
| Railway | Hosting | USA | link |
| Cloudflare | CDN + DNS | Global | link |
| Twilio | SMS + Voice (optional) | EU + USA | link |
Σε προσθήκη νέου sub-processor, σας ειδοποιούμε 30 ημέρες πριν.
7. Διεθνείς μεταφορές
Μεταφορές δεδομένων εκτός EU/EEA γίνονται βάσει:
- Standard Contractual Clauses (SCCs) EU 2021/914
- EU-US Data Privacy Framework (για US providers)
- Adequacy decisions όπου ισχύουν
7β. Δεδομένα υγείας — ειδικές κατηγορίες (Άρθρο 9 GDPR)
Όταν ο Controller είναι πάροχος υγείας (ιατρείο, φυσικοθεραπευτήριο κ.λπ.), η υπηρεσία επεξεργάζεται δεδομένα ειδικής κατηγορίας. Δεσμευόμαστε:
- Επαγγελματικό απόρρητο (Άρθρο 9(3)) — όλα τα κλινικά δεδομένα υπό εμπιστευτικότητα.
- Κρυπτογράφηση κλινικών πεδίων (διαγνώσεις, σημειώσεις φακέλου, ΑΜΚΑ, ιατρικές ειδοποιήσεις) στη βάση.
- Καμία διαβίβαση κλινικών δεδομένων σε AI (Anthropic) ή εκτός EU — η AI επεξεργάζεται μόνο στοιχεία ραντεβού (όνομα/υπηρεσία/ώρα).
- Τήρηση ιατρικού φακέλου 10 έτη (ΠΔ 84/2001 & ν.3418/2005) — το δικαίωμα διαγραφής δεν υπερισχύει της νόμιμης υποχρέωσης τήρησης (Άρθρο 17(3)(β)).
- Η AI δεν ασκεί ιατρική πράξη: καμία διάγνωση/συμβουλή/συνταγή — μόνο διαχείριση ραντεβού. Σε επείγον παραπέμπει σε γιατρό/166.
8. Παραβίαση δεδομένων (data breach)
Σε περίπτωση παραβίασης:
- Σας ειδοποιούμε εντός 24 ωρών
- Παρέχουμε: τι έγινε, ποιοι επηρεάστηκαν, μέτρα που πάρθηκαν
- Βοηθάμε για ενημέρωση Αρχής Προστασίας Δεδομένων (72 ώρες deadline)
9. Επιστροφή / Διαγραφή δεδομένων
Στη λήξη της συνεργασίας:
- Έχετε 30 ημέρες να κατεβάσετε όλα τα data (export CSV/JSON)
- Μετά: αυτόματη διαγραφή από όλα τα συστήματα
- Backups: διαγράφονται σε 90 ημέρες
Εξαίρεση: billing records τα οποία κρατάμε για 10 χρόνια (φορολογική υποχρέωση Ελλάδας).
10. Διάρκεια
Το DPA ισχύει όσο διαρκεί η συνεργασία και επιβιώνει για όσο χρόνο διατηρούμε τα δεδομένα σας.
11. Εφαρμοστέο δίκαιο
Ελληνικό δίκαιο + GDPR. Δικαιοδοσία: Ρεθύμνου.
12. Επικοινωνία
Για ζητήματα προστασίας δεδομένων:
- Email: ntinosgkiou@gmail.com (θέμα: "DPA / Privacy")
- Τηλέφωνο: +30 698 774 7434
- Διεύθυνση: Ρέθυμνο, Κρήτη
© 2026 Ran-Tevu. |
Όροι Χρήσης |
Πολιτική Απορρήτου |
Επιστροφές