Σύμβαση Επεξεργασίας Δεδομένων

Ο Εκτελών την Επεξεργασία παρέχει στον Υπεύθυνο Επεξεργασίας υπηρεσίες CRM, διαχείρισης ραντεβού, επικοινωνίας ασθενών (SMS/Viber) και ανάλυσης δεδομένων, μέσω της πλατφόρμας Momentumer.

Η παρούσα Σύμβαση ισχύει για όσο χρονικό διάστημα παρέχονται οι υπηρεσίες σύμφωνα με τη συμφωνία παροχής υπηρεσιών μεταξύ των μερών.

Η επεξεργασία δεδομένων πραγματοποιείται για τους ακόλουθους σκοπούς:

• Διαχείριση εισερχόμενων αιτημάτων ασθενών (φόρμα διαδικτύου, χαμένες κλήσεις)
• Αποστολή SMS και Viber για επικοινωνία, υπενθύμιση ραντεβού και αξιολόγηση
• Τήρηση αρχείου επαφών και ιστορικού επικοινωνίας
• Διαχείριση κύκλου επαναλαμβανόμενων θεραπειών
• Αναφορές και στατιστικά για εσωτερική χρήση της κλινικής

• Στοιχεία ταυτότητας: ονοματεπώνυμο
• Στοιχεία επικοινωνίας: αριθμός κινητού τηλεφώνου
• Δεδομένα υγείας (ειδική κατηγορία – Άρθρο 9 ΓΚΠΔ): ενδιαφέρον για ιατρικές διαδικασίες, ιστορικό θεραπειών
• Τεχνικά δεδομένα: διεύθυνση IP, χρονοσφραγίδα υποβολής, πηγή υποβολής
• Δεδομένα επικοινωνίας: ιστορικό αποστελλόμενων μηνυμάτων, αποτελέσματα αποστολής

Τα υποκείμενα των δεδομένων είναι ασθενείς και υποψήφιοι ασθενείς της κλινικής που έχουν επικοινωνήσει ή υποβάλει αίτημα μέσω οποιουδήποτε καναλιού (τηλέφωνο, φόρμα ιστοσελίδας, SMS, Viber).

Ο Υπεύθυνος Επεξεργασίας αναλαμβάνει:

• Να διασφαλίσει ότι η επεξεργασία δεδομένων έχει νόμιμη βάση (συναίνεση ή άλλη νομική βάση)
• Να ενημερώνει τα υποκείμενα δεδομένων σύμφωνα με τα Άρθρα 13–14 ΓΚΠΔ
• Να ικανοποιεί τα αιτήματα άσκησης δικαιωμάτων των υποκειμένων
• Να διασφαλίζει ότι το εξουσιοδοτημένο προσωπικό έχει δεσμευτεί με εμπιστευτικότητα
• Να γνωστοποιεί στον Εκτελούντα αμέσως οποιοδήποτε αίτημα ή καταγγελία αφορά τα επεξεργαζόμενα δεδομένα

Η Momentumer αναλαμβάνει:

• Επεξεργασία μόνο κατ' εντολή: Να επεξεργάζεται δεδομένα αποκλειστικά σύμφωνα με τις γραπτές οδηγίες του Υπεύθυνου Επεξεργασίας
• Εμπιστευτικότητα: Να διασφαλίζει ότι τα εξουσιοδοτημένα πρόσωπα έχουν δεσμευτεί με εμπιστευτικότητα
• Ασφάλεια: Να λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα (κρυπτογράφηση, πρόσβαση βάσει ρόλου, τακτικά αντίγραφα ασφαλείας)
• Υποεπεξεργαστές: Να μην εμπλέκει υποεπεξεργαστές χωρίς προηγούμενη γραπτή εξουσιοδότηση. Υφιστάμενοι υποεπεξεργαστές: παρόχοι SMS/Viber (Yuboto), υπηρεσίες cloud (Railway/PostgreSQL)
• Γνωστοποίηση παραβίασης: Να ειδοποιεί τον Υπεύθυνο Επεξεργασίας εντός 72 ωρών από τη διαπίστωση παραβίασης δεδομένων (Άρθρο 33 ΓΚΠΔ)
• Υποστήριξη DPIA: Να παρέχει κάθε αναγκαία πληροφορία για τη διεξαγωγή εκτίμησης αντίκτυπου σχετικά με την προστασία δεδομένων
• Διαγραφή μετά τη λήξη: Κατά τη λήξη της σύμβασης, να διαγράφει ή να επιστρέφει όλα τα δεδομένα εντός 30 ημερών, εκτός εάν η διατήρηση απαιτείται από τη νομοθεσία

Η παρούσα Σύμβαση ενσωματώνει κατά τα λοιπά τις αρχές των Τυποποιημένων Συμβατικών Ρητρών της Ευρωπαϊκής Επιτροπής για τη διαβίβαση δεδομένων σε τρίτες χώρες, όπου εφαρμόζεται.

Η παρούσα Σύμβαση διέπεται από ελληνικό δίκαιο. Για οποιαδήποτε διαφορά αρμόδια είναι αποκλειστικά τα δικαστήρια της Αθήνας.

The Processor provides CRM, appointment management, patient communication (SMS/Viber) and analytics services through the Momentumer platform on behalf of the Controller.

This Agreement remains in force for the duration of the service agreement between the parties.

• Managing incoming patient enquiries (web form, missed calls)
• Sending appointment reminders and follow-up messages via SMS/Viber
• Maintaining a contact database and communication history
• Managing repeat treatment cycles
• Generating reports and statistics for the clinic's internal use

• Identity data: full name
• Contact data: mobile phone number
• Health data (special category – Article 9 GDPR): interest in medical procedures, treatment history
• Technical data: IP address, submission timestamp, form source URL
• Communication data: outgoing message log, delivery status

Data subjects are patients and prospective patients of the clinic who have contacted or submitted a request via any channel (phone, web form, SMS, Viber).

• Ensure a valid legal basis for processing (consent or other lawful basis under Article 6 GDPR)
• Provide data subjects with the required information under Articles 13–14 GDPR
• Handle data subject rights requests in a timely manner
• Ensure authorised staff are bound by appropriate confidentiality obligations
• Notify the Processor promptly of any data subject request or complaint

• Process only on documented instructions of the Controller
• Confidentiality: Ensure all authorised persons are bound by confidentiality
• Security: Implement appropriate technical and organisational measures (encryption at rest and in transit, role-based access, regular backups)
• Sub-processors: Not engage sub-processors without prior written authorisation. Current sub-processors: SMS/Viber provider (Yuboto), cloud infrastructure (Railway/PostgreSQL)
• Breach notification: Notify the Controller within 72 hours of becoming aware of a personal data breach (Article 33 GDPR)
• DPIA support: Provide all necessary information to enable the Controller to conduct Data Protection Impact Assessments
• Deletion on termination: Upon contract termination, delete or return all personal data within 30 days, unless retention is required by applicable law
• Audit rights: Make available to the Controller all information necessary to demonstrate compliance with this Agreement

This Agreement incorporates by reference the principles of the European Commission's Standard Contractual Clauses for international transfers of personal data, where applicable.

This Agreement is governed by Greek law. Any disputes shall be subject to the exclusive jurisdiction of the courts of Athens, Greece.