Соглашение об обработке данных (DPA)

Настоящее Соглашение об обработке данных («DPA») заключается между: (a) организацией, принявшей Условия использования Filoxenos.gr («Контролёр данных» или «Клиент»), и (b) Filoxenos.gr («Обработчик данных» или «Filoxenos»).

Настоящее DPA действует в течение всего периода наших коммерческих отношений и регулирует обработку персональных данных Обработчиком от имени Контролёра. Оно автоматически прекращается при истечении или расторжении основного договора.

• Типы данных: Имена гостей, адреса электронной почты, даты заезда/выезда, суммы бронирований, комиссии, налоговые идентификаторы.
• Категории субъектов данных: Гости объектов краткосрочной аренды.
• Цель: Создание отчётов для налогового соответствия с AADE и автоматизированная доставка бухгалтерам.
• Срок хранения: 10 лет в соответствии с налоговым законодательством Греции.

Обработчик обязуется: (a) Обрабатывать данные только в соответствии с задокументированными инструкциями Контролёра. (b) Обеспечить, чтобы персонал с доступом к данным был связан обязательствами конфиденциальности. (c) Принимать все необходимые технические и организационные меры безопасности. (d) Не подвергать данные дальнейшей обработке за пределами рамок настоящего соглашения. (e) Оказывать Контролёру содействие в выполнении обязательств по GDPR.

Обработчик применяет соответствующие технические и организационные меры для защиты данных, включая: шифрование AES-256-GCM в состоянии покоя, TLS 1.2+ при передаче, контроль доступа на основе ролей, мониторинг и ведение журналов, процедуры резервного копирования и тестирование безопасности.

Обработчик может привлекать субобработчиков только с предварительного одобрения Контролёра. Текущий список субобработчиков доступен на странице Субобработчики. Обработчик информирует Контролёра о любом добавлении или замене субобработчика.

Обработчик не передаёт данные за пределы Европейской экономической зоны (ЕЭЗ) без надлежащих гарантий в соответствии с Главой V GDPR.

Обработчик оказывает Контролёру содействие в выполнении запросов субъектов данных (доступ, исправление, удаление, переносимость, возражение, ограничение).

Обработчик уведомляет Контролёра без неоправданной задержки и в течение 48 часов после обнаружения нарушения данных, которое может представлять риск для прав субъектов данных.

Обработчик предоставляет Контролёру всю информацию, необходимую для демонстрации соответствия, и допускает аудиты, проводимые Контролёром или уполномоченной третьей стороной.

После прекращения действия договора Обработчик удаляет или возвращает все данные Контролёру, если хранение не требуется применимым законодательством.

Настоящее DPA регулируется законодательством Германии. Суды Берлина имеют юрисдикцию.

• Шифрование: AES-256-GCM для данных в состоянии покоя, TLS 1.2+ при передаче.
• Контроль доступа: На основе ролей (RBAC), минимальные привилегии, многофакторная аутентификация.
• Управление ключами: Ключи шифрования хранятся отдельно, регулярная ротация.
• Мониторинг: Ведение журналов и анализ событий безопасности.
• Резервное копирование: Ежедневное шифрованное резервное копирование, тестирование восстановления.
• Контрмеры: Постоянные обновления, тестирование на проникновение, план реагирования на инциденты.
• Обучение персонала: Регулярное обучение по защите данных.
• Физическая безопасность: Дата-центры с сертификацией ISO 27001.