Σύμβαση επεξεργασίας δεδομένων

1. Συμβαλλόμενα μέρη

Η παρούσα συμφωνία συνάπτεται μεταξύ της Kwamle Media (του «Εκτελούντος την επεξεργασία») και του Πελάτη (του «Υπευθύνου επεξεργασίας») που χρησιμοποιεί την πλατφόρμα kwamlemedia.com / app.kwamlemedia.com.

2. Ορισμοί

• «Προσωπικά δεδομένα»: κάθε πληροφορία που αφορά ταυτοποιήσιμο φυσικό πρόσωπο.
• «Επεξεργασία»: κάθε πράξη που εκτελείται σε προσωπικά δεδομένα (συλλογή, αποθήκευση, χρήση, διαβίβαση, διαγραφή).
• «GDPR»: ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ (Κανονισμός 2016/679).
• «CCPA»: ο νόμος περί απορρήτου καταναλωτών της Καλιφόρνια.
• «Υπο-εκτελών την επεξεργασία»: κάθε τρίτος που επεξεργάζεται δεδομένα για λογαριασμό της Kwamle.

3. Πεδίο επεξεργασίας

Η Kwamle επεξεργάζεται προσωπικά δεδομένα για τους εξής σκοπούς:

• Λειτουργία υπηρεσιών αυτοματισμού μάρκετινγκ και έξυπνων bots.
• Διαχείριση σελίδων και λογαριασμών Meta και αλληλεπίδραση με το κοινό του πελάτη.
• Δημιουργία αναλύσεων και στατιστικών.
• Εκτέλεση κλήσεων AI σύμφωνα με τις ρυθμίσεις του πελάτη.

Τα δεδομένα περιλαμβάνουν: ονόματα, αριθμούς τηλεφώνου, διευθύνσεις email, αναγνωριστικά Facebook/Instagram, περιεχόμενο μηνυμάτων και σχόλια.

4. Υποχρεώσεις της Kwamle ως εκτελούντος την επεξεργασία

• Επεξεργασία δεδομένων μόνο βάσει των τεκμηριωμένων οδηγιών του πελάτη.
• Διασφάλιση της εμπιστευτικότητας των δεδομένων μεταξύ όλου του προσωπικού που έχει πρόσβαση σε αυτά.
• Εφαρμογή κατάλληλων μέτρων ασφαλείας (άρθρο 32 του GDPR).
• Συνδρομή στον πελάτη για την ανταπόκριση σε αιτήματα υποκειμένων των δεδομένων.
• Ειδοποίηση του πελάτη για κάθε παραβίαση δεδομένων εντός 72 ωρών.
• Να μην προσλαμβάνετε υπο-εκτελούντα την επεξεργασία χωρίς τη συγκατάθεση του πελάτη.
• Διαγραφή ή επιστροφή των δεδομένων του πελάτη όταν λήξει η υπηρεσία.

5. Μέτρα ασφαλείας

• Κρυπτογράφηση δεδομένων κατά τη μεταφορά (TLS 1.3) και σε ηρεμία (AES-256).
• Έλεγχος πρόσβασης βάσει ρόλων (RBAC) και η αρχή των ελάχιστων προνομίων.
• Αρχεία ελέγχου που διατηρούνται για 12 μήνες.
• Ετήσιες δοκιμές διείσδυσης από τρίτους.
• Έλεγχος ταυτότητας δύο παραγόντων για το προσωπικό στα συστήματα παραγωγής.
• Κρυπτογραφημένα αντίγραφα ασφαλείας κάθε 24 ώρες σε διαφορετική γεωγραφική τοποθεσία.
• Ένα πρόγραμμα διαχείρισης ευπαθειών καθώς και άμεσες ενημερώσεις ασφαλείας.

6. Τρέχοντες υπο-εκτελούντες την επεξεργασία

Ο πελάτης μπορεί να αντιταχθεί στην προσθήκη νέου υπο-εκτελούντος την επεξεργασία εντός 30 ημερών από την ειδοποίηση.

7. Διεθνείς διαβιβάσεις δεδομένων

Κατά τη διαβίβαση δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου, βασιζόμαστε σε:

• Οι νέες Τυποποιημένες Συμβατικές Ρήτρες (SCCs 2021).
• Αποφάσεις επάρκειας για χώρες που έχουν εγκριθεί από την Ευρωπαϊκή Επιτροπή.
• Μια Αξιολόγηση Αντικτύπου Διαβίβασης (TIA) για κάθε σχέση με υπο-εκτελούντα την επεξεργασία.

8. Παραβιάσεις δεδομένων

Όταν εντοπίζεται παραβίαση:

• Ειδοποίηση του πελάτη εντός 72 ωρών με τις λεπτομέρειες του περιστατικού.
• Παροχή ολοκληρωμένης αναφοράς για την αιτία, την έκταση και τις ενέργειες που έγιναν.
• Πλήρης συνεργασία στην αντιμετώπιση και στην αναφορά στις ρυθμιστικές αρχές.

9. Δικαίωμα ελέγχου

Ο πελάτης έχει το δικαίωμα να:

• Να ζητήσετε την ετήσια αναφορά SOC 2 Type II.
• Να διενεργήσετε ετήσιο έλεγχο με προειδοποίηση 30 ημερών, με δικά σας έξοδα.
• Να λάβετε συνοπτικά αποτελέσματα δοκιμών διείσδυσης.

10. Διαγραφή δεδομένων στο τέλος της υπηρεσίας

• Με τη λήξη της συμφωνίας, η Kwamle διαγράφει όλα τα προσωπικά δεδομένα εντός 90 ημερών.
• Τα αρχεία χρέωσης διατηρούνται για 7 χρόνια (λογιστική απαίτηση).
• Κατόπιν αιτήματος, παρέχεται στον πελάτη αντίγραφο των δεδομένων του σε μορφή JSON/CSV πριν από τη διαγραφή.