NomoaxisNomoaxis
Επιστροφή στην αρχική
Σε ισχύ από 25-06-2026 · v3.3

Σύμβαση Επεξεργασίας Δεδομένων

Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων ("DPA") αποτελεί μέρος της συμφωνίας μεταξύ της Nomoaxis ("Εκτελών την επεξεργασία") και του πελάτη ("Υπεύθυνος επεξεργασίας") για την παροχή της υπηρεσίας διαχείρισης δικηγορικής πρακτικής Nomoaxis (η "Υπηρεσία"). Συνάπτεται για συμμόρφωση με το Άρθρο 28 του Κανονισμού (ΕΕ) 2016/679 ("ΓΚΠΔ") και ισοδύναμες διατάξεις του UK GDPR και του ελβετικού FADP. Με τη δημιουργία λογαριασμού στη Nomoaxis αποδέχεστε την DPA εκ μέρους του γραφείου σας.

1. Ορισμοί

Όροι που δεν ορίζονται εδώ έχουν την έννοια που τους αποδίδει ο ΓΚΠΔ. "Προσωπικά Δεδομένα", "Επεξεργασία", "Υπεύθυνος επεξεργασίας", "Εκτελών την επεξεργασία" και "Υποκείμενο" έχουν την έννοια του ΓΚΠΔ. "Δεδομένα Πελάτη" σημαίνει τα Προσωπικά Δεδομένα που ο Υπεύθυνος επεξεργασίας ανεβάζει ή παράγει στην Υπηρεσία.

2. Αντικείμενο, διάρκεια, φύση και σκοπός

  • Αντικείμενο: επεξεργασία Δεδομένων Πελάτη απαραίτητη για την παροχή της Υπηρεσίας.
  • Διάρκεια: όσο ο Υπεύθυνος επεξεργασίας διατηρεί ενεργή συνδρομή Nomoaxis, συν την περίοδο διαγραφής του §10.
  • Φύση και σκοπός: φιλοξενία, αποθήκευση, μεταφορά, οργάνωση, ανάκτηση και προβολή δεδομένων διαχείρισης δικηγορικής πρακτικής, συμπεριλαμβανομένης αυθεντικοποίησης, χρέωσης, αρχείου ελέγχου και υποβοηθούμενης από AI σύνταξης, σύνοψης και Q&A επί πλαισίου υποθέσεων/εντολέων που εξουσιοδοτεί ο Υπεύθυνος.

3. Κατηγορίες Προσωπικών Δεδομένων και υποκειμένων

Κατηγορίες Προσωπικών Δεδομένων:

  • Δεδομένα ταυτοποίησης και επικοινωνίας (ονόματα, email, τηλέφωνα).
  • Περιεχόμενο υποθέσεων (περιγραφές, έγγραφα, σημειώσεις, προθεσμίες, εργασίες).
  • Δεδομένα χρέωσης και χρονομέτρησης (τιμολόγια, καταχωρήσεις χρόνου, συμβάσεις αμοιβής, αρχεία πληρωμών).
  • Δεδομένα λογαριασμού και αυθεντικοποίησης (οι κωδικοί αποθηκεύονται μόνο ως bcrypt hashes· παράγοντες MFA).
  • Τεχνικά δεδομένα (διεύθυνση IP, user-agent, εγγραφές αρχείου ελέγχου).
  • Δεδομένα αλληλεπίδρασης AI (prompts, σύνοψη πλαισίου με βάση τον ρόλο, απαντήσεις μοντέλου από το Nomoaxis AI, τον βοηθό εγγράφων και το chat υποστήριξης).

Η επεξεργασία μπορεί να περιλαμβάνει ευκαιριακά ειδικές κατηγορίες δεδομένων (ΓΚΠΔ Άρθρο 9) όπου οι υποθέσεις του Υπευθύνου σχετίζονται με υγεία, ποινικές διαδικασίες (Άρθρο 10), ή άλλα ευαίσθητα θέματα. Ο Υπεύθυνος είναι υπεύθυνος για τη διασφάλιση έγκυρης νομικής βάσης επεξεργασίας.

Κατηγορίες υποκειμένων: τα μέλη του γραφείου, οι πελάτες του Υπευθύνου, αντίδικοι, μάρτυρες και κάθε άλλο φυσικό πρόσωπο που αναφέρεται στις υποθέσεις του Υπευθύνου.

4. Υποχρεώσεις του Εκτελούντος

Ο Εκτελών οφείλει:

  • Να επεξεργάζεται Δεδομένα Πελάτη μόνο με τεκμηριωμένες εντολές του Υπευθύνου, συμπεριλαμβανομένων διαβιβάσεων σε τρίτη χώρα, εκτός εάν απαιτείται από το δίκαιο ΕΕ ή κράτους μέλους.
  • Να διασφαλίζει ότι τα εξουσιοδοτημένα πρόσωπα δεσμεύονται από καθήκον εμπιστευτικότητας.
  • Να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα (βλ. §6).
  • Να εμπλέκει Υπο-εκτελούντες μόνο υπό τους όρους του §5.
  • Να συνδράμει τον Υπεύθυνο στην εκπλήρωση υποχρεώσεων ανταπόκρισης σε αιτήματα υποκειμένων (§8).
  • Να ειδοποιεί τον Υπεύθυνο για Παραβιάσεις Προσωπικών Δεδομένων εντός 72 ωρών (§7).
  • Κατ' επιλογή του Υπευθύνου, να διαγράφει ή να επιστρέφει τα Δεδομένα Πελάτη κατά τον τερματισμό (§10).
  • Να καθιστά διαθέσιμες όλες τις πληροφορίες για την απόδειξη συμμόρφωσης με το Άρθρο 28 ΓΚΠΔ και να επιτρέπει και συνδράμει σε ελέγχους.

5. Υπο-εκτελούντες

Ο Υπεύθυνος εξουσιοδοτεί τον Εκτελούντα να εμπλέκει τους ακόλουθους Υπο-εκτελούντες:

Υπο-εκτελώνΠαρεχόμενη υπηρεσίαΠεριοχή
Lovable CloudΦιλοξενία εφαρμογής, edge runtime, CDN, AI Gateway (δρομολόγηση support chat)ΕΕ / Παγκοσμίως
SupabaseManaged PostgreSQL, αυθεντικοποίηση, αποθήκευση αρχείωνΕΕ
Stripe Payments Europe, Ltd.Χρέωση συνδρομών και επεξεργασία καρτώνIE / ΗΠΑ
Anthropic PBC (160 Eureka Street, San Francisco, CA 94114, USA)Inference μοντέλων ΤΝ για το Nomoaxis AI panel και τον βοηθό εγγράφων. Η επεξεργασία είναι ephemeral· τεχνικά αρχεία καταγραφής API διατηρούνται από την Anthropic έως 7 ημέρες για λόγους ασφάλειας και πρόληψης κατάχρησης, μετά τα οποία διαγράφονται αυτόματα. Δεν χρησιμοποιούνται δεδομένα για εκπαίδευση μοντέλων.ΗΠΑ
Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)Inference μοντέλου για το support chat (gemini-3-flash-preview) μέσω Lovable AI Gateway. Λαμβάνει μόνο το typed μήνυμα του χρήστη και static KB articles. Δεν λαμβάνει workspace data, identifiers ή encrypted content.ΗΠΑ
Brave Software Inc. (μέσω Anthropic)Πάροχος web search για νομική έρευνα AI. Επεξεργάζεται ανώνυμα ερωτήματα που δημιουργούνται αυτόματα — χωρίς ονόματα εντολέων, αριθμούς υπόθεσης ή προσωπικά στοιχεία. Εφαρμόζεται όταν ο AI Assistant εκτελεί αναζήτηση για νομική έρευνα (νομολογία, νομοθεσία, ΦΕΚ). Δεδομένα που διαβιβάζονται: μόνο ανώνυμα ερωτήματα αναζήτησης (χωρίς προσωπικά δεδομένα). Εγγυήσεις: η Brave Software καταχωρίζεται στο μητρώο υπεργολάβων της Anthropic με SCCs.ΗΠΑ
Sentry (sentry.io)Παρακολούθηση σφαλμάτων client-side. Περιοχή ΕΕ· χωρίς PII, IP, session replay ή performance tracing.ΕΕ
open.er-api.comΔημόσιο feed ισοτιμιών για μετατροπή νομισμάτων στις Αναφορές. Δεν αποστέλλονται προσωπικά δεδομένα.ΗΠΑ

Ο Εκτελών δίνει στον Υπεύθυνο γραπτή ειδοποίηση τουλάχιστον 30 ημερών (μέσω in-app ή email) πριν την προσθήκη ή αντικατάσταση Υπο-εκτελούντος. Ο Υπεύθυνος μπορεί να αντιταχθεί γραπτώς για εύλογους λόγους προστασίας δεδομένων. Εάν τα μέρη δεν επιλύσουν την αντίρρηση καλόπιστα εντός 30 ημερών, ο Υπεύθυνος μπορεί να τερματίσει το επηρεαζόμενο τμήμα της Υπηρεσίας με αναλογική επιστροφή. Ο Εκτελών επιβάλλει σε κάθε Υπο-εκτελούντα υποχρεώσεις προστασίας δεδομένων όχι λιγότερο προστατευτικές από την παρούσα DPA.

6. Μέτρα ασφαλείας (Άρθρο 32 ΓΚΠΔ)

Ο Εκτελών εφαρμόζει και διατηρεί τα ακόλουθα μέτρα:

  • Κρυπτογράφηση σε αποθήκευση: XChaCha20-Poly1305 με κλειδιά ανά workspace· έγγραφα σε ιδιωτικό bucket· database TDE.
  • Κρυπτογράφηση μεταφοράς: TLS 1.2+ για όλη την κίνηση πελάτη και υπηρεσιών.
  • Αυθεντικοποίηση: bcrypt password hashing· έλεγχοι HIBP· MFA· ρυθμιζόμενα όρια συνεδρίας και idle timeouts· device-bound sessions.
  • Έλεγχος πρόσβασης: PostgreSQL row-level security· πρόσβαση βάσει ρόλου (owner/admin/partner/associate/client)· λογαριασμοί υπηρεσιών ελάχιστου προνομίου· secrets αποθηκευμένα μόνο στον secrets manager της πλατφόρμας.
  • Αρχείο ελέγχου: append-only, hash-chained αρχείο όλων των διαχειριστικών και σχετικών με ασφάλεια ενεργειών· tamper-evident μέσω SHA-256 chain.
  • Δίκτυο και πλατφόρμα: WAF, προστασία DDoS, αυστηρό Content-Security-Policy με per-request nonce, HSTS, COEP/COOP.
  • Αντίγραφα ασφαλείας: καθημερινά κρυπτογραφημένα backups με point-in-time recovery· γεωγραφικά διαχωρισμένη αποθήκευση.
  • Προσωπικό: πρόσβαση need-to-know, συμφωνίες εμπιστευτικότητας, έλεγχοι ιστορικού όπου επιτρέπεται, εκπαίδευση ασφαλείας.
  • Έλεγχος πρόσβασης AI: server-side έλεγχοι ρόλου και ανάθεσης καθορίζουν ποιο πλαίσιο υπόθεσης/εντολέα μπορεί να αποσταλεί στο μοντέλο· τα στοιχεία εσόδων αφαιρούνται για ρόλους εκτός owner/partner· μηνιαία όρια tokens ανά θέση επιβάλλονται server-side.

7. Ειδοποίηση Παραβίασης Προσωπικών Δεδομένων

Ο Εκτελών ειδοποιεί τον Υπεύθυνο χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών από τη γνώση Παραβίασης Προσωπικών Δεδομένων που επηρεάζει Δεδομένα Πελάτη. Η ειδοποίηση περιγράφει, στο μέτρο που είναι γνωστό, (α) τη φύση της παραβίασης, (β) τις κατηγορίες και τον κατά προσέγγιση αριθμό υποκειμένων και εγγραφών, (γ) τις πιθανές συνέπειες, και (δ) τα μέτρα που λήφθηκαν ή προτείνονται. Ο Εκτελών συνεργάζεται με την έρευνα και θεραπεία του Υπευθύνου και παρέχει ενημερώσεις.

8. Συνδρομή σε δικαιώματα υποκειμένων

Η Υπηρεσία παρέχει εργαλεία εξαγωγής και διαγραφής Δεδομένων Πελάτη ώστε ο Υπεύθυνος να ανταποκρίνεται απευθείας σε αιτήματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, φορητότητας και εναντίωσης. Όπου απαιτείται εύλογη πρόσθετη συνδρομή του Εκτελούντος, παρέχεται λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις διαθέσιμες πληροφορίες.

9. Διεθνείς διαβιβάσεις

Όπου Δεδομένα Πελάτη μεταφέρονται εκτός ΕΟΧ, ΗΒ ή Ελβετίας, τα μέρη βασίζονται στις Τυποποιημένες Συμβατικές Ρήτρες της Ευρωπαϊκής Επιτροπής (Απόφαση 2021/914), Module 2 (υπεύθυνος προς εκτελών) ή Module 3 (εκτελών προς εκτελών όπου ισχύει), που θεωρούνται ενσωματωμένες στην παρούσα DPA. Το UK International Data Transfer Addendum και το Swiss FDPIC addendum εφαρμόζονται όπου σχετικό. Τα μέρη συμφωνούν στην προαιρετική docking clause. Ο Εκτελών διατηρεί Transfer Impact Assessment διαθέσιμη στον Υπεύθυνο κατόπιν αιτήματος.

10. Επιστροφή ή διαγραφή δεδομένων στον τερματισμό

Κατά τον τερματισμό ή λήξη της Υπηρεσίας ο Υπεύθυνος μπορεί να εξάγει όλα τα Δεδομένα Πελάτη μέσω της in-product εξαγωγής JSON. Εκτός εάν ο Υπεύθυνος ζητήσει διαφορετικά εντός 30 ημερών από τον τερματισμό, ο Εκτελών διαγράφει όλα τα Δεδομένα Πελάτη (συμπεριλαμβανομένων των backups, στον κανονικό κύκλο rotation έως 35 ημερών) και πιστοποιεί τη διαγραφή κατόπιν αιτήματος, εκτός εάν απαιτείται διατήρηση από το δίκαιο ΕΕ ή κράτους μέλους.

Το ιστορικό συνομιλιών AI (Nomoaxis AI panel, βοηθός εγγράφων) διαγράφεται με τη διαγραφή του workspace και μπορεί να εκκαθαρίζεται κατόπιν αιτήματος από κάθε χρήστη μέσω του AI panel καθ' όλη τη διάρκεια της συνδρομής.

11. Έλεγχοι

Μία φορά ανά δωδεκάμηνο, και συχνότερα εφόσον απαιτείται από αρμόδια εποπτική αρχή, ο Υπεύθυνος Επεξεργασίας μπορεί να ελέγξει τη συμμόρφωση του Εκτελούντος με την παρούσα ΣΕΔ. Ο Εκτελών ανταποκρίνεται σε εύλογα αιτήματα ελέγχου παρέχοντας διαθέσιμη τεκμηρίωση συμμόρφωσης, συμπεριλαμβανομένων απαντήσεων σε ερωτηματολόγια ασφάλειας, συνόψεων δοκιμών διείσδυσης (όπου διαθέσιμες και υπό εμπιστευτικότητα) και περιγραφών των εφαρμοζόμενων τεχνικών και οργανωτικών μέτρων. Εφόσον ο Εκτελών αποκτήσει στο μέλλον πιστοποιήσεις τρίτων (π.χ. SOC 2, ISO 27001), αυτές θα διατίθενται επίσης στον Υπεύθυνο κατόπιν αιτήματος. Οι επιτόπιοι έλεγχοι γίνονται με δαπάνες του Υπεύθυνου και υπόκεινται σε εύλογες απαιτήσεις εμπιστευτικότητας και ασφάλειας.

12. Ευθύνη και συγκρούσεις

Η ευθύνη κάθε μέρους βάσει της παρούσας DPA υπόκειται στους περιορισμούς ευθύνης των Όρων Χρήσης. Σε περίπτωση σύγκρουσης μεταξύ της DPA και των Όρων ως προς την επεξεργασία Προσωπικών Δεδομένων, υπερισχύει η DPA.

13. Εφαρμοστέο δίκαιο

Η παρούσα DPA διέπεται από το δίκαιο της Ελληνικής Δημοκρατίας. Οι διαφορές υπόκεινται στην αποκλειστική δικαιοδοσία των δικαστηρίων Αθηνών, υπό την επιφύλαξη των ρητρών εφαρμοστέου δικαίου και δικαιοδοσίας των SCCs όπου εφαρμόζονται σε διαβιβάσεις.

15. Αρχείο δραστηριοτήτων επεξεργασίας (Άρθρο 30 ΓΚΠΔ)

Νομική Έρευνα AI μέσω Web Search

  • Δραστηριότητα: Ανώνυμα ερωτήματα AI → Anthropic API → Brave Search.
  • Νομική βάση: Άρθρο 6(1)(β) ΓΚΠΔ — εκτέλεση σύμβασης.
  • Υποκείμενα δεδομένων: Χρήστες workspace (μόνο αρχή ερωτήματος — χωρίς δεδομένα εντολέων).
  • Αποδέκτες: Anthropic PBC, Brave Software Inc. (μόνο ανώνυμα ερωτήματα).
  • Διατήρηση: Δεν διατηρούνται — εφήμερη επεξεργασία.
  • Σημείωση: Τα ερωτήματα δεν περιέχουν ονόματα εντολέων ή στοιχεία ταυτοποίησης.

Καταγραφές Χρήσης AI (πίνακας `ai_usage_events`)

  • Δραστηριότητα: Καταγραφή ανά API call για χρέωση, όρια θέσεων και διαφάνεια ιδιοκτήτη.
  • Νομική βάση: Άρθρο 6(1)(β) ΓΚΠΔ — εκτέλεση σύμβασης.
  • Δεδομένα: workspace_id, user_id, model, agent_type, tokens, context_type, matter_id (nullable), search_count.
  • Αποδέκτες: Nomoaxis (Supabase).
  • Διατήρηση: Διάρκεια σύμβασης + 30 ημέρες μετά τη λήξη (CASCADE DELETE).

16. Επικοινωνία

Ερωτήματα απορρήτου: [contact@nomoaxis.com](mailto:contact@nomoaxis.com). Περιστατικά ασφαλείας: [contact@nomoaxis.com](mailto:contact@nomoaxis.com).