Σύμβαση Επεξεργασίας Δεδομένων (DPA)

Σύμφωνα με το Άρθρο 28 του Κανονισμού (ΕΕ) 2016/679 (GDPR)
Έκδοση: Μάρτιος 2026

Συμβαλλόμενα Μέρη

Υπεύθυνος Επεξεργασίας (Controller)

________________________

Ιατρική Κλινική / Ιατρός
ΑΦΜ: ________________
Διεύθυνση: ________________

Εκτελών την Επεξεργασία (Processor)

Momentumer

Πλατφόρμα Διαχείρισης Ιατρικής Επικοινωνίας
ΑΦΜ: ________________
Διεύθυνση: ________________

Άρθρο 1 — Αντικείμενο και Διάρκεια

Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων ("ΣΕΔ") ρυθμίζει την επεξεργασία προσωπικών δεδομένων από την Momentumer (Εκτελών) για λογαριασμό της Κλινικής (Υπεύθυνος) στο πλαίσιο παροχής υπηρεσιών διαχείρισης ραντεβού και επικοινωνίας.

Η παρούσα ΣΕΔ ισχύει καθ' όλη τη διάρκεια της σύμβασης παροχής υπηρεσιών και παύει να ισχύει με τη λήξη ή καταγγελία αυτής.

Άρθρο 2 — Φύση και Σκοπός Επεξεργασίας

Η Momentumer επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για τους παρακάτω σκοπούς:

Αποστολή αυτοματοποιημένων μηνυμάτων SMS/Viber σε ασθενείς
Διαχείριση αιτημάτων ραντεβού μέσω της φόρμας αιτήματος
Τήρηση αρχείου επικοινωνίας (leads pipeline)
Υπενθύμιση επαναλαμβανόμενων ιατρικών διαδικασιών
Διαχείριση αξιολογήσεων και ανατροφοδότησης ασθενών

Άρθρο 3 — Κατηγορίες Δεδομένων και Υποκειμένων

Κατηγορίες δεδομένων: Ονοματεπώνυμο, αριθμός κινητού τηλεφώνου, λόγος επικοινωνίας, ενδιαφέρον για ιατρικές διαδικασίες (ειδική κατηγορία — δεδομένα υγείας), διεύθυνση IP, χρονικές σφραγίδες.

Κατηγορίες υποκειμένων: Ασθενείς, δυνητικοί ασθενείς και επισκέπτες της κλινικής που έχουν εκφράσει ενδιαφέρον για υπηρεσίες.

Άρθρο 4 — Υποχρεώσεις Εκτελούντος (Momentumer)

Η Momentumer δεσμεύεται να:

Επεξεργάζεται τα δεδομένα αποκλειστικά βάσει τεκμηριωμένων εντολών της Κλινικής
Διασφαλίζει ότι τα εξουσιοδοτημένα πρόσωπα έχουν δεσμευτεί για εμπιστευτικότητα
Εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας (Άρθρο 32 GDPR)
Συνδράμει την Κλινική στην εκπλήρωση των υποχρεώσεών της έναντι των υποκειμένων
Διαγράφει ή επιστρέφει όλα τα δεδομένα κατόπιν λήξης της σύμβασης
Παρέχει κάθε αναγκαία πληροφορία για την απόδειξη συμμόρφωσης
Γνωστοποιεί παραβιάσεις δεδομένων εντός 24 ωρών από τη διαπίστωσή τους

Άρθρο 5 — Υπεργολάβοι Επεξεργασίας

Η Momentumer χρησιμοποιεί τους παρακάτω εγκεκριμένους υπεργολάβους:

Railway Inc. (ΗΠΑ) — Υποδομή cloud, αποθήκευση δεδομένων. Μεταφορά βάσει Standard Contractual Clauses.
Yuboto.gr (Ελλάδα) — Αποστολή SMS και Viber Business Messages.

Η Momentumer θα ενημερώνει την Κλινική για κάθε προτιθέμενη αλλαγή υπεργολάβων, παρέχοντας δυνατότητα αντίρρησης.

Άρθρο 6 — Ασφάλεια Επεξεργασίας

Τεχνικά και οργανωτικά μέτρα που εφαρμόζει η Momentumer:

Κρυπτογράφηση δεδομένων κατά τη μεταφορά (TLS 1.3) και αποθήκευση (AES-256)
Έλεγχος πρόσβασης βάσει ρόλων (Role-Based Access Control)
Πολιτική ελάχιστων προνομίων για πρόσβαση σε δεδομένα
Αυτόματη διαγραφή δεδομένων μετά από 24 μήνες
Τακτικά αντίγραφα ασφαλείας με κρυπτογράφηση
Καταγραφή και παρακολούθηση πρόσβασης (audit logs)
Διαδικασία αντιμετώπισης περιστατικών ασφαλείας

Άρθρο 7 — Παραβίαση Δεδομένων

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η Momentumer:

Γνωστοποιεί στην Κλινική εντός 24 ωρών από τη διαπίστωση
Παρέχει πλήρη περιγραφή της φύσης της παραβίασης
Συνδράμει στη γνωστοποίηση προς την ΑΠΔΠΧ εντός 72 ωρών (Άρθρο 33 GDPR)
Λαμβάνει άμεσα μέτρα αποκατάστασης

Άρθρο 8 — Δικαιώματα Υποκειμένων

Η Momentumer θα συνδράμει την Κλινική στην ανταπόκριση σε αιτήματα υποκειμένων (πρόσβαση, διόρθωση, διαγραφή, περιορισμός, φορητότητα, εναντίωση) εντός εύλογου χρονικού διαστήματος και το αργότερο εντός 30 ημερών.

Άρθρο 9 — Λήξη Σύμβασης

Κατά τη λήξη ή καταγγελία της σύμβασης, η Momentumer:

Παύει κάθε επεξεργασία δεδομένων της Κλινικής
Διαγράφει ή επιστρέφει όλα τα δεδομένα εντός 30 ημερών
Παρέχει γραπτή βεβαίωση διαγραφής κατόπιν αιτήματος

Άρθρο 10 — Εφαρμοστέο Δίκαιο

Η παρούσα ΣΕΔ διέπεται από το ελληνικό δίκαιο και τον Κανονισμό (ΕΕ) 2016/679. Αρμόδια δικαστήρια για κάθε διαφορά είναι τα δικαστήρια της Αθήνας.

Τα συμβαλλόμενα μέρη δηλώνουν ότι έχουν αναγνώσει, κατανοήσει και αποδέχονται τους όρους της παρούσας Σύμβασης Επεξεργασίας Δεδομένων.

Για τον Υπεύθυνο Επεξεργασίας (Κλινική)

Ονοματεπώνυμο: ____________________

Ιδιότητα: ____________________

Ημερομηνία: ____________________

Για τον Εκτελούντα (Momentumer)

Ονοματεπώνυμο: ____________________

Ιδιότητα: Νόμιμος Εκπρόσωπος

Ημερομηνία: ____________________

Data Processing Agreement (DPA)

Pursuant to Article 28 of Regulation (EU) 2016/679 (GDPR)
Version: March 2026

Parties

Data Controller

________________________

Medical Clinic / Physician
Tax ID: ________________
Address: ________________

Data Processor

Momentumer

Medical Communication Management Platform
Tax ID: ________________
Address: ________________

Article 1 — Subject Matter and Duration

This Data Processing Agreement ("DPA") governs the processing of personal data by Momentumer (Processor) on behalf of the Clinic (Controller) in the context of providing appointment management and communication services.

This DPA remains in force throughout the duration of the service agreement and terminates upon its expiry or termination.

Article 2 — Nature and Purpose of Processing

Momentumer processes personal data for the following purposes:

Sending automated SMS/Viber messages to patients
Managing appointment requests through the intake form
Maintaining communication records (leads pipeline)
Reminders for recurring medical procedures
Management of patient reviews and feedback

Article 3 — Categories of Data and Data Subjects

Categories of data: Full name, mobile phone number, reason for contact, interest in medical procedures (special category — health data), IP address, timestamps.

Categories of data subjects: Patients, prospective patients and visitors of the clinic who have expressed interest in services.

Article 4 — Processor Obligations (Momentumer)

Momentumer undertakes to:

Process data only on documented instructions from the Controller
Ensure authorized persons are bound by confidentiality obligations
Implement appropriate technical and organizational security measures (Article 32 GDPR)
Assist the Controller in fulfilling its obligations to data subjects
Delete or return all data upon termination of the agreement
Provide all information necessary to demonstrate compliance
Notify data breaches within 24 hours of becoming aware

Article 5 — Sub-processors

Momentumer uses the following approved sub-processors:

Railway Inc. (USA) — Cloud infrastructure, data storage. Transfer based on Standard Contractual Clauses.
Yuboto.gr (Greece) — SMS and Viber Business Messages delivery.

Article 6 — Security Measures

Encryption in transit (TLS 1.3) and at rest (AES-256)
Role-Based Access Control
Principle of least privilege
Automatic data deletion after 24 months
Encrypted backups
Audit logging
Incident response procedures

Article 7 — Data Breach Notification

In the event of a personal data breach, Momentumer will notify the Controller within 24 hours of becoming aware, and assist in notifying the HDPA within 72 hours as required by Article 33 GDPR.

Article 8 — Data Subject Rights

Momentumer will assist the Controller in responding to data subject requests (access, rectification, erasure, restriction, portability, objection) within 30 days.

Article 9 — Termination

Upon termination, Momentumer will cease all processing, delete or return all data within 30 days, and provide written confirmation of deletion upon request.

Article 10 — Governing Law

This DPA is governed by Greek law and Regulation (EU) 2016/679. The courts of Athens have exclusive jurisdiction.

The parties confirm they have read, understood and agree to the terms of this Data Processing Agreement.

For the Data Controller (Clinic)

Name: ____________________

Title: ____________________

Date: ____________________

For the Data Processor (Momentumer)

Name: ____________________

Title: Legal Representative

Date: ____________________