1. Ορισμοί
- «Υπεύθυνος Επεξεργασίας» (Controller): Ο Πελάτης — η επιχείρηση (τυροκομείο, συνεταιρισμός, γαλακτοκομική μονάδα) που χρησιμοποιεί την πλατφόρμα LactisGuard και εισάγει σε αυτήν δεδομένα τρίτων προσώπων (παραγωγών, οδηγών, συνεργατών).
- «Εκτελών Επεξεργασία» (Processor): Η LactisGuard, η οποία επεξεργάζεται τα δεδομένα αποκλειστικά για λογαριασμό και κατ' εντολή του Υπεύθυνου Επεξεργασίας.
- «Δεδομένα»: Κάθε προσωπικό δεδομένο (κατά την έννοια του Άρθρου 4 ΓΚΠΔ) που ο Υπεύθυνος Επεξεργασίας εισάγει ή επεξεργάζεται μέσω της πλατφόρμας.
- «Υποεκτελών»: Τρίτος πάροχος υπηρεσιών στον οποίο η LactisGuard αναθέτει μέρος της επεξεργασίας (βλ. §7).
2. Αντικείμενο και Διάρκεια Επεξεργασίας
Η LactisGuard επεξεργάζεται δεδομένα για λογαριασμό του Πελάτη αποκλειστικά για τον σκοπό της παροχής της υπηρεσίας LactisGuard (ποιοτικός έλεγχος νωπού γάλακτος, διαχείριση παραγωγών, ειδοποιήσεις, αναλύσεις, αποθήκευση δειγμάτων). Η επεξεργασία ξεκινά κατά την ενεργοποίηση του λογαριασμού και λήγει με τη διαγραφή του.
3. Είδος Δεδομένων και Κατηγορίες Υποκειμένων
| Κατηγορία Υποκειμένων | Είδος Δεδομένων |
|---|---|
| Παραγωγοί γάλακτος | Ονοματεπώνυμο, τηλέφωνο, αποτελέσματα δειγμάτων, ιστορικό αξιολόγησης |
| Οδηγοί / Δρομολογητές | Ονοματεπώνυμο, τηλέφωνο, ιστορικό παραδόσεων |
| Μέλη ομάδας Πελάτη | Email, ρόλος, ιστορικό ενεργειών |
| Προμηθευτές (B2B) | Στοιχεία επιχείρησης, τηλέφωνο επικοινωνίας |
Δεν επεξεργάζονται ειδικές κατηγορίες δεδομένων (Άρθρο 9 ΓΚΠΔ) μέσω της πλατφόρμας.
4. Υποχρεώσεις της LactisGuard (Εκτελούντος Επεξεργασία)
Η LactisGuard δεσμεύεται να:
- Επεξεργάζεται τα Δεδομένα αποκλειστικά βάσει των τεκμηριωμένων εντολών του Υπεύθυνου Επεξεργασίας και μόνο για τον σκοπό παροχής της υπηρεσίας.
- Διασφαλίζει ότι τα πρόσωπα που έχουν πρόσβαση στα Δεδομένα δεσμεύονται από εμπιστευτικότητα.
- Εφαρμόζει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που περιγράφονται στο §6.
- Συνδράμει τον Υπεύθυνο Επεξεργασίας στην εκπλήρωση των υποχρεώσεών του έναντι υποκειμένων δεδομένων (αιτήματα πρόσβασης, διαγραφής, φορητότητας) εντός 5 εργάσιμων ημερών από τη λήψη σχετικού αιτήματος.
- Ειδοποιεί τον Υπεύθυνο Επεξεργασίας για παραβίαση δεδομένων εντός 48 ωρών από τη διαπίστωσή της.
- Διαγράφει ή επιστρέφει όλα τα Δεδομένα εντός 30 ημερών από τη λήξη/διαγραφή του λογαριασμού, κατ' επιλογή του Υπεύθυνου Επεξεργασίας.
- Παρέχει κάθε απαραίτητη πληροφορία για την απόδειξη συμμόρφωσης με τις υποχρεώσεις του παρόντος άρθρου, επιτρέποντας και διευκολύνοντας ελέγχους από τον Υπεύθυνο Επεξεργασίας ή εξουσιοδοτημένο ελεγκτή, με εύλογη προειδοποίηση 14 ημερών.
5. Υποχρεώσεις του Πελάτη (Υπεύθυνου Επεξεργασίας)
Ο Πελάτης δεσμεύεται να:
- Έχει νόμιμη βάση για την εισαγωγή και επεξεργασία των δεδομένων τρίτων μέσω της πλατφόρμας (σύμβαση, συγκατάθεση, έννομο συμφέρον).
- Ενημερώνει τα υποκείμενα δεδομένων (παραγωγούς, οδηγούς) ότι τα δεδομένα τους αποθηκεύονται και επεξεργάζονται μέσω του LactisGuard.
- Παρέχει εντολές επεξεργασίας που συμμορφώνονται με τον ΓΚΠΔ.
- Ειδοποιεί άμεσα τη LactisGuard για οποιοδήποτε αίτημα υποκειμένου δεδομένων που αφορά δεδομένα που τηρούνται στην πλατφόρμα.
6. Τεχνικά και Οργανωτικά Μέτρα Ασφαλείας
Η LactisGuard εφαρμόζει τα ακόλουθα μέτρα ασφαλείας:
- Κρυπτογράφηση σε transit: Όλη η επικοινωνία μέσω TLS 1.2+.
- Κρυπτογράφηση at rest: Κρυπτογραφημένη αποθήκευση βάσης δεδομένων μέσω Supabase (AES-256).
- Row Level Security (RLS): Πλήρης απομόνωση δεδομένων μεταξύ πελατών σε επίπεδο βάσης δεδομένων.
- Έλεγχος πρόσβασης: Βάσει ρόλων (RBAC), με JWT αυθεντικοποίηση για κάθε API κλήση.
- Αντίγραφα ασφαλείας: Αυτόματα daily backups με διατήρηση 7 ημερών.
- Παρακολούθηση: Audit log για κρίσιμες ενέργειες (εγγραφές, διαγραφές, εξαγωγές).
- Περιορισμός πρόσβασης: Πρόσβαση στα δεδομένα παραγωγής μόνο από εξουσιοδοτημένο τεχνικό προσωπικό με ανάγκη γνώσης.
7. Υποεκτελούντες Επεξεργασία (Sub-processors)
Η LactisGuard χρησιμοποιεί τους ακόλουθους εγκεκριμένους υποεκτελούντες. Ο Πελάτης παρέχει γενική εξουσιοδότηση για τη χρήση τους με την αποδοχή των Όρων Χρήσης:
| Πάροχος | Χώρα | Σκοπός | Μηχανισμός Μεταφοράς |
|---|---|---|---|
| Supabase | ΕΕ (Ιρλανδία) | Βάση δεδομένων, αυθεντικοποίηση | Εντός ΕΟΧ |
| Netlify | ΗΠΑ | Φιλοξενία εφαρμογής, serverless functions | SCCs |
| Stripe | ΗΠΑ / ΕΕ | Επεξεργασία πληρωμών | SCCs + EU-US DPF |
| Twilio | ΗΠΑ | Αποστολή SMS ειδοποιήσεων | SCCs |
| Meta / WhatsApp Business | ΗΠΑ | Ειδοποιήσεις WhatsApp | SCCs |
| Resend | ΗΠΑ | Αποστολή email ειδοποιήσεων (παραγωγοί, οδηγοί, εβδομαδιαίες αναφορές) | SCCs |
| Anthropic | ΗΠΑ | Ανάλυση AI (insights ποιότητας) | SCCs |
| Usercentrics / Cookiebot | ΕΕ (Γερμανία) | Διαχείριση συγκατάθεσης cookies | Εντός ΕΟΧ |
Η LactisGuard θα ειδοποιεί τον Πελάτη για κάθε προσθήκη ή αλλαγή υποεκτελούντος με ενημέρωση της παρούσας σελίδας τουλάχιστον 30 ημέρες πριν από την αλλαγή. Ο Πελάτης δικαιούται να αντιταχθεί εγγράφως εντός 14 ημερών.
8. Διεθνείς Μεταφορές Δεδομένων
Για μεταφορές δεδομένων προς τρίτες χώρες (ΗΠΑ), η LactisGuard βασίζεται στις Τυποποιημένες Συμβατικές Ρήτρες (SCCs) της Ευρωπαϊκής Επιτροπής (Απόφαση 2021/914) και/ή στο πλαίσιο EU-US Data Privacy Framework, σύμφωνα με τα Άρθρα 44-49 ΓΚΠΔ.
9. Αιτήματα Υποκειμένων Δεδομένων
Εάν υποκείμενο δεδομένων (π.χ. παραγωγός) ασκήσει δικαίωμα πρόσβασης, διαγραφής ή φορητότητας απευθείας στη LactisGuard, η LactisGuard θα ανακατευθύνει το αίτημα στον Πελάτη ως Υπεύθυνο Επεξεργασίας εντός 3 εργάσιμων ημερών. Η LactisGuard θα παρέχει τεχνική συνδρομή για την εκπλήρωση του αιτήματος (εξαγωγή, διαγραφή στοιχείων) κατόπιν εντολής του Πελάτη.
10. Παραβιάσεις Δεδομένων
Σε περίπτωση παραβίασης δεδομένων που επηρεάζει δεδομένα του Πελάτη, η LactisGuard θα:
- Ειδοποιήσει τον Πελάτη εγγράφως (email) εντός 48 ωρών από τη διαπίστωση.
- Παράσχει πλήρη περιγραφή της φύσης, έκτασης και πιθανών συνεπειών της παραβίασης.
- Συνδράμει τον Πελάτη στην ειδοποίηση της ΑΠΔΠΧ (εντός 72 ωρών) και των υποκειμένων δεδομένων, εφόσον απαιτείται.
11. Διαγραφή Δεδομένων κατά τη Λήξη
Κατά τη λήξη ή διαγραφή του λογαριασμού, η LactisGuard:
- Διαθέτει τα δεδομένα για εξαγωγή (JSON) για 30 ημέρες.
- Διαγράφει μόνιμα όλα τα δεδομένα εντός 30 ημερών από τη λήξη της περιόδου εξαγωγής.
- Διατηρεί δεδομένα τιμολόγησης για 5 έτη σύμφωνα με τη φορολογική νομοθεσία.
- Παρέχει γραπτή βεβαίωση διαγραφής κατόπιν αιτήματος.
12. Εφαρμοστέο Δίκαιο
Το παρόν παράρτημα διέπεται από το ελληνικό δίκαιο και τον ΓΚΠΔ (EU 2016/679) όπως εφαρμόζεται στην Ελλάδα βάσει του ν. 4624/2019. Αρμόδια δικαστήρια για κάθε διαφορά είναι τα δικαστήρια της Αθήνας.
13. Τροποποιήσεις
Η LactisGuard δύναται να τροποποιεί το παρόν παράρτημα για να αντικατοπτρίζει αλλαγές στο κανονιστικό πλαίσιο ή τους υποεκτελούντες. Κάθε ουσιώδης τροποποίηση θα κοινοποιείται τουλάχιστον 30 ημέρες πριν από την έναρξη ισχύος της.
14. Επικοινωνία
Για ζητήματα που αφορούν την επεξεργασία δεδομένων ή την άσκηση των δικαιωμάτων σας:
LactisGuard
Email: info@lactisguard.com
Εποπτική Αρχή: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr)