Συμφωνία Επεξεργασίας Δεδομένων

Αυτή η Συμφωνία Επεξεργασίας Δεδομένων ("ΣΕΔ") συνάπτεται μεταξύ του Πελάτη ("Υπεύθυνος Επεξεργασίας") και της PremiumClients.ai ("Εκτελών την Επεξεργασία") σύμφωνα με το Άρθρο 28 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 ("GDPR").

Αυτή η ΣΕΔ διέπει την επεξεργασία προσωπικών δεδομένων από τον Εκτελούντα για λογαριασμό του Υπευθύνου σε σχέση με την παροχή της πλατφόρμας φωνητικού πράκτορα Aria AI και σχετικών υπηρεσιών.

"Προσωπικά Δεδομένα" σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο όπως ορίζεται στο Άρθρο 4(1) GDPR. "Επεξεργασία" σημαίνει κάθε πράξη που εκτελείται σε προσωπικά δεδομένα όπως ορίζεται στο Άρθρο 4(2) GDPR. "Υπο-εκτελών" σημαίνει κάθε τρίτο μέρος που προσλαμβάνεται από τον Εκτελούντα για την επεξεργασία δεδομένων.

Όλοι οι όροι που δεν ορίζονται στο παρόν έχουν τις σημασίες που τους αποδίδονται στον GDPR.

Τα υποκείμενα των δεδομένων περιλαμβάνουν: καλούντες και υποψήφιους πελάτες του Υπευθύνου· υφιστάμενους πελάτες· αιτούντες ραντεβού και επαφές.

Κατηγορίες δεδομένων: αριθμοί τηλεφώνου και ταυτοποίηση καλούντος· ηχογραφήσεις και μεταγραφές κλήσεων· ονόματα και στοιχεία επικοινωνίας· προτιμήσεις ραντεβού· μεταδεδομένα κλήσεων (διάρκεια, χρονικές σημάνσεις, αποτελέσματα).

Ο Εκτελών επεξεργάζεται δεδομένα αποκλειστικά για: λειτουργία του φωνητικού πράκτορα AI· δημιουργία μεταγραφών και περιλήψεων κλήσεων· προγραμματισμό ραντεβού· παροχή αναλύσεων και αναφορών· συντήρηση και βελτίωση ποιότητας υπηρεσιών.

Ο Εκτελών δεν επεξεργάζεται δεδομένα για κανέναν άλλο σκοπό χωρίς προηγούμενη γραπτή εξουσιοδότηση από τον Υπεύθυνο.

Ο Εκτελών υποχρεούται: να επεξεργάζεται δεδομένα μόνο βάσει τεκμηριωμένων οδηγιών· να διασφαλίζει ότι τα εξουσιοδοτημένα άτομα δεσμεύονται από υποχρεώσεις εμπιστευτικότητας· να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας· να προσλαμβάνει υπο-εκτελούντες μόνο με προηγούμενη εξουσιοδότηση.

Ο Εκτελών βοηθά τον Υπεύθυνο: στην ανταπόκριση σε αιτήματα υποκειμένων δεδομένων· στη διενέργεια εκτιμήσεων αντικτύπου· στη διαβούλευση με εποπτικές αρχές.

Ο Εκτελών δεν μεταφέρει δεδομένα εκτός ΕΟΧ χωρίς κατάλληλες εγγυήσεις, συμπεριλαμβανομένων Τυποποιημένων Συμβατικών Ρητρών (SCC) ή απόφασης επάρκειας.

Ο Υπεύθυνος παρέχει γενική εξουσιοδότηση στον Εκτελούντα για πρόσληψη υπο-εκτελούντων. Τρέχοντες υπο-εκτελούντες: · · LiveKit Inc. (υποδομή φωνής, WebRTC); Stripe Inc. (επεξεργασία πληρωμών)· SendGrid/Twilio (παράδοση email).

Ο Εκτελών υποχρεούται: να ενημερώνει τον Υπεύθυνο για αλλαγές στους υπο-εκτελούντες 30 ημέρες νωρίτερα· να διασφαλίζει ισοδύναμες υποχρεώσεις προστασίας δεδομένων· να παραμένει υπεύθυνος για τις ενέργειες και παραλείψεις τους.

Ο Εκτελών εφαρμόζει: κρυπτογράφηση κατά τη μεταφορά (TLS 1.3) και σε ηρεμία (AES-256)· αυστηρούς ελέγχους πρόσβασης βάσει ρόλων και αυθεντικοποίηση πολλαπλών παραγόντων· τακτικές αξιολογήσεις ασφαλείας· καταγραφή ελέγχου· συστήματα ανίχνευσης εισβολής.

Τα μέτρα ασφαλείας αναθεωρούνται τακτικά για την αντιμετώπιση νέων απειλών και τη διατήρηση συμμόρφωσης με το Άρθρο 32 GDPR.

Ο Εκτελών ειδοποιεί τον Υπεύθυνο για κάθε παραβίαση δεδομένων χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 48 ωρών.

Η ειδοποίηση περιλαμβάνει: τη φύση της παραβίασης, κατηγορίες δεδομένων και αριθμό υποκειμένων· στοιχεία DPO· πιθανές συνέπειες· μέτρα αντιμετώπισης.

Ο Εκτελών βοηθά τον Υπεύθυνο στην εκπλήρωση αιτημάτων δικαιωμάτων (Άρθρα 15-22 GDPR): πρόσβαση (Άρθ. 15)· διόρθωση (Άρθ. 16)· διαγραφή (Άρθ. 17)· περιορισμός (Άρθ. 18)· φορητότητα (Άρθ. 20)· εναντίωση (Άρθ. 21).

Ο Εκτελών ανταποκρίνεται εντός 10 εργάσιμων ημερών.

Ο Υπεύθυνος έχει δικαίωμα ελέγχου συμμόρφωσης. Ο Εκτελών παρέχει κάθε απαραίτητη πληροφορία και επιτρέπει ελέγχους.

Οι έλεγχοι διενεργούνται με εύλογη ειδοποίηση (τουλάχιστον 30 ημέρες), κατά τις εργάσιμες ώρες. Ο Εκτελών μπορεί να προσφέρει πιστοποιήσεις SOC 2 Type II ως εναλλακτική.

Μετά τη λήξη, ο Εκτελών: επιστρέφει τα δεδομένα σε αναγνώσιμο μορφότυπο εντός 30 ημερών· διαγράφει με ασφάλεια τα υπόλοιπα αντίγραφα εντός 60 ημερών, εκτός εάν η νομοθεσία απαιτεί διατήρηση.

Αυτή η ΣΕΔ διέπεται από τους νόμους της Κυπριακής Δημοκρατίας και την ισχύουσα νομοθεσία προστασίας δεδομένων της ΕΕ.