Αυτή η μετάφραση παρέχεται για διευκόλυνση. Σε περίπτωση διαφοράς, υπερισχύει η αγγλική έκδοση.
Σύμβαση Επεξεργασίας Δεδομένων
Έκδοση: 2026-05-10 · Άρθρο 28 GDPR
Η παρούσα DPA αποτελεί μέρος των Όρων Υπηρεσίας. Ο Πελάτης είναι ο υπεύθυνος επεξεργασίας· η QBeat Technologies Ltd («Metix») είναι ο εκτελών την επεξεργασία.
1. Πεδίο και σκοπός
Η Metix επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Πελάτη αποκλειστικά για την παροχή της Υπηρεσίας: λειτουργία της πλατφόρμας HR, υποστήριξη συμμόρφωσης με την Οδηγία ΕΕ 2023/970, εκτέλεση επιβαλλόμενων αναφορών, και υποστήριξη.
2. Αντικείμενο, διάρκεια, φύση, σκοπός
- Αντικείμενο: προσωπικά δεδομένα μέσω της Υπηρεσίας.
- Διάρκεια: διάρκεια Όρων συν περίοδος §10.
- Φύση: φιλοξενία, ανάκτηση, μετάδοση, υπολογισμός.
- Σκοπός: παροχή της Υπηρεσίας.
3. Κατηγορίες υποκειμένων
- Εργαζόμενοι, εργολάβοι, υποψήφιοι και πρώην εργαζόμενοι του Πελάτη.
- Διαχειριστές λογαριασμού και αυθεντικοποιημένοι χρήστες.
- Εκπρόσωποι εργαζομένων όπου ενεργοποιείται ο ρόλος.
4. Κατηγορίες δεδομένων
- Ταυτοποίηση: όνομα, email, τηλέφωνο, διεύθυνση, αριθμός υπαλλήλου.
- Εργασία: τίτλος, βαθμίδα, ημερομηνία έναρξης, διευθυντής, τοποθεσία.
- Αποζημίωση: βασικός μισθός, μεταβλητές συνιστώσες. Κρυπτογράφηση envelope σε επίπεδο πεδίου.
- Δημογραφικά: φύλο, ηλικιακή ομάδα· ειδικές κατηγορίες μόνο με τεκμηριωμένη βάση Άρθρου 9.
- Αυθεντικοποίηση: tokens, μυστικά TOTP, κωδικοί ανάκτησης.
- Έλεγχος: ανέκπτωτα συμβάντα ασφαλείας.
5. Υποχρεώσεις εκτελούντος (Άρθρο 28(3))
- Επεξεργασία μόνο βάσει τεκμηριωμένων οδηγιών του Πελάτη.
- Πρόσωπα δεσμευμένα από εμπιστευτικότητα.
- Εφαρμογή μέτρων Άρθρου 32: κρυπτογράφηση, έλεγχος πρόσβασης, απομόνωση μισθωτή με RLS, έλεγχος ακεραιότητας audit-chain, δοκιμασμένη δυνατότητα ανάκτησης.
- Εμπλοκή υποπροσώπων μόνο με την εξουσιοδότηση του Πελάτη (§7).
- Συνδρομή του Πελάτη με αιτήματα δικαιωμάτων υποκειμένων (Άρθρα 12–22).
- Ειδοποίηση παραβίασης χωρίς αδικαιολόγητη καθυστέρηση και εντός 72 ωρών από τη γνωστοποίηση.
- Διαθεσιμότητα πληροφοριών για απόδειξη συμμόρφωσης και έλεγχο.
6. Διεθνείς διαβιβάσεις
Όπου η Metix ή υποπρόσωπος διαβιβάζει δεδομένα εκτός ΕΟΧ, η διαβίβαση καλύπτεται από Πρότυπες Συμβατικές Ρήτρες (Απόφαση ΕΕ 2021/914) με συμπληρωματικά μέτρα κατά την ανάλυση Schrems II.
7. Υποπρόσωποι
Ο Πελάτης εξουσιοδοτεί τους ακόλουθους. Αλλαγές κοινοποιούνται 30 ημέρες προηγουμένως.
| Sub-processor | Service | Region | Transfer |
|---|---|---|---|
| Hetzner Online GmbH | Compute, storage, network | Germany / Finland (EU) | Within EEA |
| Stripe Payments Europe Ltd | Billing | Ireland (with US affiliate) | SCCs (US transfers) |
| Resend | Transactional email | United States | SCCs |
| Sentry GmbH | Error monitoring | Germany (EU tier) | Within EEA |
8. Ασφάλεια
- TLS 1.3, HSTS.
- Envelope κρυπτογράφηση πεδίου (AES-256-GCM) για αποζημίωση και ευαίσθητα PII.
- RLS ανά μισθωτή και ρόλοι Postgres ανά άρθρωμα.
- Ανέκπτωτο audit chain με κρυπτογραφικό hashing.
- Εκτός εγκατάστασης κρυπτογραφημένα backups Postgres.
- Άμυνα σε βάθος: rate limit, CSP, CSRF, security headers.
- Σάρωση ευπαθειών στη CI· Dependabot.
9. Δικαιώματα υποκειμένων
Όταν υποκείμενο επικοινωνεί απευθείας με τη Metix, η Metix προωθεί το αίτημα στον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση. Διαθέσιμα εργαλεία αυτοεξυπηρέτησης για πρόσβαση, διόρθωση, εξαγωγή και διαγραφή.
10. Επιστροφή ή διαγραφή
Κατά την καταγγελία, η Metix παρέχει 30 ημέρες για εξαγωγή, μετά διαγράφει ή ανωνυμοποιεί εντός 90 ημερών, εκτός όπου απαιτείται διατήρηση από νόμο.
11. Σύγκρουση
Σε σύγκρουση μεταξύ DPA και Όρων, η DPA υπερισχύει για θέματα προσωπικών δεδομένων.