Συμφωνητικό Επεξεργασίας Δεδομένων

Εκτελών:I HAVE A DREAM ΙΚΕ — Αριάδνης 25, 71202 Ηράκλειο, Ελλάδα
Έκδοση: 1.1 — Τελευταία ενημέρωση: 14 Ιουνίου 2026

Το παρόν Συμφωνητικό Επεξεργασίας Δεδομένων (“DPA”) αποτελεί μέρος και ενσωματώνεται στους Όρους Χρήσης μεταξύ του Υπεύθυνου και του Εκτελούντος. Σε περίπτωση σύγκρουσης μεταξύ του παρόντος DPA και των Όρων Χρήσης ως προς την επεξεργασία προσωπικών δεδομένων, υπερισχύει το παρόν DPA.

Συμβαλλόμενα Μέρη

Υπεύθυνος Επεξεργασίας (“Υπεύθυνος”): Ο Πελάτης — η επιχειρηματική οντότητα ή ατομική επιχείρηση που έχει αποδεχθεί τους Όρους Χρήσης του Sync by Etherly και ενεργεί ως Υπεύθυνος Επεξεργασίας για τα προσωπικά δεδομένα κρατήσεων και επισκεπτών που υποβάλλονται σε επεξεργασία μέσω της Υπηρεσίας.

Εκτελών την Επεξεργασία (“Εκτελών”): I HAVE A DREAM ΙΚΕ, Αριάδνης 25, 71202 Ηράκλειο, Ελλάδα — ο φορέας λειτουργίας του Sync by Etherly.

1. Αντικείμενο και Διάρκεια

Ο Εκτελών παρέχει πλατφόρμα αυτοματοποίησης (middleware) που ανακτά δεδομένα κρατήσεων από τρίτα συστήματα διαχείρισης καναλιών/κρατήσεων και διαβιβάζει τα σχετικά δεδομένα σε παρόχους τιμολόγησης για την αυτοματοποιημένη δημιουργία φορολογικών παραστατικών για λογαριασμό του Υπεύθυνου.

Το παρόν DPA εφαρμόζεται για όλη τη διάρκεια ισχύος της συμφωνίας βάσει των Όρων Χρήσης και έως ότου όλα τα προσωπικά δεδομένα διαγραφούν ή επιστραφούν σύμφωνα με την Ενότητα 9 του παρόντος DPA.

2. Φύση και Σκοπός της Επεξεργασίας

Ο Εκτελών επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπεύθυνου για τους ακόλουθους σκοπούς:

• Ανάκτηση και αποθήκευση δεδομένων κρατήσεων και επισκεπτών από τρίτα συστήματα κρατήσεων (π.χ. Hosthub) μέσω API
• Διαβίβαση δεδομένων κρατήσεων και επισκεπτών σε παρόχους τιμολόγησης για τη δημιουργία φορολογικών παραστατικών
• Αυτοματοποιημένη δημιουργία παραστατικών, συμπεριλαμβανομένων τιμολογίων, αποδείξεων και συναφών φορολογικών εγγραφών
• Επεξεργασία logs για ακεραιότητα συστήματος, ασφάλεια και επίλυση προβλημάτων (με απόκρυψη/αφαίρεση PII πριν την αποθήκευση, όπου είναι εφικτό)
• Λειτουργίες ανωνυμοποίησης στο πλαίσιο αιτημάτων υποκειμένων (DSAR) κατόπιν τεκμηριωμένης εντολής του Υπεύθυνου

Ο Εκτελών δεν επεξεργάζεται προσωπικά δεδομένα για δικούς του σκοπούς, για διαφήμιση, ή για οποιονδήποτε άλλο σκοπό πέραν της παροχής της Υπηρεσίας όπως περιγράφεται στους Όρους Χρήσης.

3. Κατηγορίες Προσωπικών Δεδομένων

Οι ακόλουθες κατηγορίες προσωπικών δεδομένων ενδέχεται να υποβληθούν σε επεξεργασία βάσει του παρόντος DPA (ανάλογα με όσα παρέχονται από το σύστημα κρατήσεων και/ή εισάγονται από τον Υπεύθυνο):

• Ονοματεπώνυμο επισκέπτη
• Email επισκέπτη
• Τηλέφωνο επισκέπτη
• Ταχυδρομική διεύθυνση επισκέπτη
• Ημερομηνίες διαμονής (άφιξη και αναχώρηση)
• Αναγνωριστικά ακινήτου και αναφορές/κωδικοί κράτησης
• Σημειώσεις κράτησης (ενδέχεται να περιλαμβάνουν προσωπικά δεδομένα αν εισαχθούν από τον Υπεύθυνο ή τους επισκέπτες)
• Χρηματικά ποσά και δεδομένα φορολογικής/λογιστικής ταξινόμησης που απαιτούνται για τη δημιουργία παραστατικών

Ο Εκτελών δεν συλλέγει ή επεξεργάζεται σκοπίμως ειδικές κατηγορίες προσωπικών δεδομένων (Άρθρο 9 GDPR) ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (Άρθρο 10 GDPR) βάσει του παρόντος DPA.

4. Κατηγορίες Υποκειμένων Δεδομένων

Τα υποκείμενα δεδομένων είναι οι επισκέπτες και πελάτες του Υπεύθυνου — φυσικά πρόσωπα που έχουν πραγματοποιήσει κράτηση σε ακίνητο που διαχειρίζεται ο Υπεύθυνος.

5. Υποχρεώσεις του Εκτελούντος

Σύμφωνα με το Άρθρο 28(3) GDPR, ο Εκτελών οφείλει:

5.1 Επεξεργασία μόνο κατόπιν τεκμηριωμένων οδηγιών

Να επεξεργάζεται προσωπικά δεδομένα μόνο κατόπιν τεκμηριωμένων οδηγιών του Υπεύθυνου, συμπεριλαμβανομένων οδηγιών για διαβιβάσεις προς τρίτη χώρα ή διεθνή οργανισμό, εκτός αν απαιτείται από ενωσιακό ή εθνικό δίκαιο. Η χρήση της Υπηρεσίας και η παραμετροποίησή της από τον Υπεύθυνο συνιστούν τεκμηριωμένες οδηγίες για τους σκοπούς του παρόντος DPA.

5.2 Εμπιστευτικότητα

Να διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα έχουν δεσμευθεί με υποχρέωση εμπιστευτικότητας ή υπάγονται σε αντίστοιχη νόμιμη υποχρέωση. Η πρόσβαση σε προσωπικά δεδομένα περιορίζεται σε προσωπικό που τη χρειάζεται για την παροχή της Υπηρεσίας.

5.3 Μέτρα Ασφάλειας

Να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να εξασφαλίζεται επίπεδο ασφάλειας ανάλογο με τον κίνδυνο, συμπεριλαμβανομένων:

• Κρυπτογράφηση δεδομένων κατά τη μεταφορά (TLS/HTTPS)
• Κρυπτογράφηση ευαίσθητων διαπιστευτηρίων και λειτουργικών μυστικών (AES-256-GCM)
• Λογική απομόνωση ανά tenant ώστε να αποτρέπεται πρόσβαση μεταξύ tenants
• Έλεγχος πρόσβασης με ρόλους και περιορισμένα διοικητικά δικαιώματα
• Απόκρυψη/μάσκα PII στα logs πριν την αποθήκευση, όπου είναι εφικτό (π.χ. ονόματα, emails, ΑΦΜ, IBAN)
• Audit trails για λειτουργίες σχετικές με privacy (π.χ. PrivacyEventLog) με περιορισμένη πρόσβαση
• Κρυπτογραφημένα αντίγραφα ασφαλείας με ορισμένη πολιτική διατήρησης και rotation
• Εργαλεία ανωνυμοποίησης/διαγραφής για DSAR κατόπιν οδηγίας του Υπεύθυνου

5.4 Υπερεκτελούντες (Subprocessors) και τρίτοι πάροχοι

Ο Υπεύθυνος παρέχει γενική εξουσιοδότηση για την ανάθεση σε υπερεκτελούντες που αναφέρονται στο Παράρτημα 1. Ο Εκτελών θα ενημερώνει τον Υπεύθυνο για κάθε ουσιώδη μεταβολή σχετικά με την προσθήκη ή αντικατάσταση υπερεκτελούντος τουλάχιστον 30 ημέρες πριν, μέσω email ή/και ειδοποίησης εντός εφαρμογής, δίνοντας στον Υπεύθυνο τη δυνατότητα να προβάλει αντίρρηση.

Αν ο Υπεύθυνος προβάλει αντίρρηση και τα μέρη δεν επιλύσουν την αντίρρηση πριν από την ημερομηνία ισχύος, ο Υπεύθυνος μπορεί να τερματίσει το επηρεαζόμενο μέρος της Υπηρεσίας πριν τεθεί σε ισχύ η αλλαγή, σύμφωνα με τους Όρους Χρήσης.

Όταν ο Εκτελών αναθέτει σε υπερεκτελούντες, επιβάλλει συμβατικά στους υπερεκτελούντες τις ίδιες υποχρεώσεις προστασίας δεδομένων που προβλέπονται στο παρόν DPA.

5.5 Συνδρομή για δικαιώματα υποκειμένων

Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, να συνδράμει τον Υπεύθυνο με κατάλληλα τεχνικά και οργανωτικά μέτρα, στο μέτρο του δυνατού, ώστε να ανταποκρίνεται στις υποχρεώσεις του σχετικά με αιτήματα βάσει του Κεφαλαίου III GDPR.

Ο Εκτελών θα διαβιβάζει στον Υπεύθυνο οποιοδήποτε αίτημα υποκειμένου που λαμβάνει απευθείας, χωρίς αδικαιολόγητη καθυστέρηση.

5.6 Συνδρομή για υποχρεώσεις του Υπεύθυνου (Άρθρα 32–36)

Να συνδράμει τον Υπεύθυνο στην τήρηση των υποχρεώσεων των Άρθρων 32–36 GDPR, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο Εκτελών, συμπεριλαμβανομένων θεμάτων ασφάλειας, γνωστοποίησης παραβιάσεων, DPIA και διαβουλεύσεων με εποπτικές αρχές, όπου απαιτείται.

5.7 Διαγραφή ή Επιστροφή Δεδομένων

Κατ' επιλογή του Υπεύθυνου, να διαγράφει ή να επιστρέφει όλα τα προσωπικά δεδομένα μετά τη λήξη της παροχής υπηρεσιών που σχετίζονται με την επεξεργασία και να διαγράφει τυχόν αντίγραφα, εκτός αν απαιτείται διατήρηση από ενωσιακό ή εθνικό δίκαιο. Βλ. Ενότητα 9 για τις διαδικασίες διατήρησης και διαγραφής.

5.8 Παροχή πληροφοριών και έλεγχοι (audits)

Να καθιστά διαθέσιμες στον Υπεύθυνο πληροφορίες που είναι εύλογα αναγκαίες για την απόδειξη συμμόρφωσης με το Άρθρο 28 GDPR και να επιτρέπει ελέγχους, υπό τις ακόλουθες προϋποθέσεις:

• Τα αιτήματα ελέγχου υποβάλλονται εγγράφως με εύλογη προθεσμία (τουλάχιστον 30 ημέρες)
• Οι έλεγχοι διενεργούνται σε εργάσιμες ώρες και με τρόπο που δεν διαταράσσει αδικαιολόγητα την Υπηρεσία
• Ο Υπεύθυνος (ή ο ελεγκτής του) δεσμεύεται από υποχρεώσεις εμπιστευτικότητας
• Οι έλεγχοι περιορίζονται σε μία φορά ανά 12μηνο, εκτός αν απαιτηθεί από αρμόδια εποπτική αρχή ή μετά από επιβεβαιωμένη παραβίαση δεδομένων
• Όπου είναι κατάλληλο, ο Εκτελών μπορεί να ικανοποιεί αιτήματα ελέγχου με παροχή τεκμηρίωσης, πολιτικών, σχετικών logs ή/και απομακρυσμένο έλεγχο (remote audit), αντί επιτόπιου ελέγχου
• Εκτός αν απαιτείται διαφορετικά από τον νόμο, ο Υπεύθυνος επιβαρύνεται με τα δικά του κόστη και ο Εκτελών μπορεί να χρεώνει εύλογα κόστη για ουσιώδη πρόσθετη υποστήριξη πέραν της συνήθους τεκμηρίωσης

6. Υποχρεώσεις του Υπεύθυνου

Ο Υπεύθυνος οφείλει:

• Να διαθέτει έγκυρη νομική βάση για την επεξεργασία των προσωπικών δεδομένων που αναθέτει βάσει του παρόντος DPA
• Να παρέχει ακριβείς και πλήρεις οδηγίες και να διασφαλίζει ορθή παραμετροποίηση της Υπηρεσίας
• Να παρέχει στα υποκείμενα κατάλληλες ενημερώσεις (privacy notices) για την επεξεργασία των δεδομένων τους
• Να απαντά σε αιτήματα υποκειμένων εντός των προθεσμιών που ορίζει η νομοθεσία
• Να διατηρεί έγκυρα API credentials και να διασφαλίζει σωστή παραμετροποίηση των τρίτων συστημάτων που συνδέονται με την Υπηρεσία
• Να ενημερώνει άμεσα τον Εκτελούντα για οποιοδήποτε αίτημα υποκειμένου ή/και ερώτημα εποπτικής αρχής σχετίζεται με επεξεργασία που πραγματοποιεί ο Εκτελών βάσει του παρόντος DPA

7. Γνωστοποίηση Παραβίασης Προσωπικών Δεδομένων

Ο Εκτελών θα γνωστοποιεί στον Υπεύθυνο παραβίαση προσωπικών δεδομένων χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, εντός 72 ωρών αφότου λάβει γνώση αυτής.

Η γνωστοποίηση θα περιλαμβάνει, στο μέτρο που είναι διαθέσιμες κατά τον χρόνο της γνωστοποίησης, πληροφορίες για τη φύση της παραβίασης, τις πιθανές συνέπειες, τα μέτρα που ελήφθησαν ή προτείνονται και στοιχεία επικοινωνίας του σημείου επαφής του Εκτελούντος για θέματα προστασίας δεδομένων.

Ο Υπεύθυνος είναι υπεύθυνος για τη γνωστοποίηση στην αρμόδια εποπτική αρχή και στα υποκείμενα όπου απαιτείται βάσει των Άρθρων 33–34 GDPR.

8. Διεθνείς Διαβιβάσεις

Ο Εκτελών προτίθεται να φιλοξενεί τα πρωτεύοντα δεδομένα της Υπηρεσίας εντός της Ευρωπαϊκής Ένωσης / Ευρωπαϊκού Οικονομικού Χώρου. Ορισμένοι υπερεκτελούντες ή τρίτοι πάροχοι ενδέχεται να επεξεργάζονται περιορισμένα προσωπικά δεδομένα εκτός ΕΟΧ, όπως περιγράφεται στο Παράρτημα 1. Όπου υπάρχει διαβίβαση σε τρίτη χώρα, ο Εκτελών διασφαλίζει την ύπαρξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων Τυποποιημένων Συμβατικών Ρητρών (SCCs) κατ' Άρθρο 46 παρ. 2γ GDPR και, όπου απαιτείται, συμπληρωματικών μέτρων.

9. Διατήρηση και Διαγραφή Δεδομένων

Ο Εκτελών διατηρεί προσωπικά δεδομένα για τις παρακάτω περιόδους, εκτός αν ο Υπεύθυνος ρυθμίσει μικρότερη διάρκεια ή αν η νομοθεσία απαιτεί μεγαλύτερη:

• Λειτουργικά αρχεία κρατήσεων & επισκεπτών: σύμφωνα με τις ρυθμίσεις του Υπεύθυνου και τις λειτουργικές ανάγκες (υποστηρίζεται ανωνυμοποίηση DSAR εντός εφαρμογής).
• API & application logs: έως 120 ημέρες (PII αφαιρείται/αποκρύπτεται πριν την αποθήκευση όπου είναι εφικτό).
• Logs privacy & ασφάλειας / audit logs: διατηρούνται όσο απαιτείται για λογοδοσία και ασφάλεια, με περιορισμένη πρόσβαση.
• Ανηγμένα/ανωνυμοποιημένα δεδομένα:μπορούν να διατηρούνται επ' αόριστον εφόσον είναι μη αναστρέψιμα ανωνυμοποιημένα και δεν αποτελούν πλέον προσωπικά δεδομένα κατά GDPR.

Με τον τερματισμό των Όρων Χρήσης, ο Εκτελών, κατ' επιλογή του Υπεύθυνου: (α) διαγράφει τα προσωπικά δεδομένα που επεξεργάζεται για λογαριασμό του Υπεύθυνου εντός εύλογου χρονικού διαστήματος (όχι πέραν των 90 ημερών), εκτός αν ισχύουν νομικές υποχρεώσεις διατήρησης, και/ή (β) παρέχει στον Υπεύθυνο αντίγραφο των προσωπικών δεδομένων σε δομημένο, κοινώς χρησιμοποιούμενο μορφότυπο, κατόπιν έγγραφου αιτήματος που υποβάλλεται εντός 30 ημερών από τον τερματισμό.

Ο Εκτελών μπορεί να διατηρεί ανωνυμοποιημένα ή συγκεντρωτικά δεδομένα που δεν μπορούν πλέον να αποδοθούν σε φυσικό πρόσωπο. Τα δεδομένα αυτά δεν υπάγονται στο παρόν DPA. Στο μέτρο που ο Εκτελών υπάγεται σε υποχρεώσεις νόμιμης διατήρησης για δικά του φορολογικά/λογιστικά αρχεία, μπορεί να τα διατηρεί για την απαιτούμενη νόμιμη περίοδο. Ελάχιστα λειτουργικά μεταδεδομένα (π.χ. document IDs, timestamps, status) μπορούν να διατηρούνται για λογοδοσία, επίλυση προβλημάτων και ιχνηλασιμότητα, σύμφωνα με τις ανωτέρω περιόδους διατήρησης.

10. Περιορισμός Ευθύνης

Η ευθύνη κάθε μέρους βάσει του παρόντος DPA υπόκειται στους περιορισμούς και τις εξαιρέσεις ευθύνης που προβλέπονται στους Όρους Χρήσης. Τίποτα στο παρόν DPA δεν περιορίζει ευθύνη στον βαθμό που δεν επιτρέπεται από το εφαρμοστέο δίκαιο.

11. Εφαρμοστέο Δίκαιο

Το παρόν DPA διέπεται από το ελληνικό δίκαιο και το εφαρμοστέο ενωσιακό δίκαιο. Κάθε διαφορά που προκύπτει από το παρόν DPA υπάγεται στην αποκλειστική δικαιοδοσία των δικαστηρίων Ηρακλείου, Κρήτης, Ελλάδα.

12. Σημείο Επικοινωνίας

Για κάθε θέμα σχετικά με το παρόν DPA:

I HAVE A DREAM ΙΚΕ
Αριάδνης 25, 71202 Ηράκλειο, Ελλάδα
privacy@etherly.app

Παράρτημα 1 — Υπερεκτελούντες (Subprocessors) και τρίτοι πάροχοι

Ο Υπεύθυνος παρέχει γενική εξουσιοδότηση στον Εκτελούντα να χρησιμοποιεί τους ακόλουθους υπερεκτελούντες και/ή τρίτους παρόχους:

Πηγές δεδομένων τρίτων από τις οποίες ο Εκτελών λαμβάνει δεδομένα (π.χ. Hosthub) ενεργούν ως ανεξάρτητοι Υπεύθυνοι Επεξεργασίας και δεν αποτελούν υπερεκτελούντες για τους σκοπούς του παρόντος DPA. Η επεξεργασία εντός αυτών των πλατφορμών διέπεται από τις δικές τους πολιτικές απορρήτου.

Ο Εκτελών θα ενημερώνει τον Υπεύθυνο τουλάχιστον 30 ημέρες πριν από την προσθήκη ή αντικατάσταση υπερεκτελούντος. Ο Υπεύθυνος μπορεί να προβάλει αντίρρηση εγγράφως εντός 14 ημερών από την ενημέρωση. Αν δεν ληφθεί αντίρρηση, η αλλαγή θεωρείται αποδεκτή.

Παράρτημα 2 — Αποδοχή

Το παρόν DPA ενσωματώνεται και γίνεται αποδεκτό ως μέρος των Όρων Χρήσης. Με την αποδοχή των Όρων Χρήσης, ο Πελάτης (Υπεύθυνος Επεξεργασίας) αναγνωρίζει και συμφωνεί με τους όρους του παρόντος DPA. Δεν απαιτείται ξεχωριστή υπογραφή για υφιστάμενους συνδρομητές.

Οργανισμοί που επιθυμούν αντίγραφο με αντιυπογραφή για τα αρχεία τους μπορούν να το ζητήσουν επικοινωνώντας στο privacy@etherly.app.