Data Processing Addendum / Προσάρτημα Επεξεργασίας Δεδομένων

Effective date / Ημερομηνία ισχύος: 10 August 2025 Parties / Μέρη:

  • Customer (Controller) / Πελάτης (Υπεύθυνος Επεξεργασίας)
  • AIME (Processor) / AIME (Εκτελών την Επεξεργασία)

This DPA forms part of the Terms of Service between Customer and AIME (the “Agreement”). In case of conflict, this DPA prevails to the extent of the conflict.

1) Scope and Roles / Πεδίο και Ρόλοι

EN: Customer is the Controller of Customer Personal Data. AIME acts as Processor and will process Customer Personal Data only on documented instructions from Customer and as required by law. For activities like account administration, billing and fraud prevention, AIME may act as an independent controller of Service Data (outside this DPA), as described in the Privacy Policy.
GR: Ο Πελάτης είναι ο Υπεύθυνος Επεξεργασίας. Η AIME ενεργεί ως Εκτελών και επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη μόνο βάσει τεκμηριωμένων οδηγιών του Πελάτη και όπως απαιτείται από τον νόμο. Για δραστηριότητες όπως διαχείριση λογαριασμών, τιμολόγηση και πρόληψη απάτης, η AIME μπορεί να ενεργεί ως ανεξάρτητος υπεύθυνος για Δεδομένα Υπηρεσίας (εκτός του παρόντος), όπως περιγράφεται στην Πολιτική Απορρήτου.

2) Duration / Διάρκεια

EN: This DPA applies for the term of the Agreement and until deletion/return of Customer Personal Data by AIME. GR: Ισχύει για τη διάρκεια της Σύμβασης και μέχρι τη διαγραφή/επιστροφή των δεδομένων από την AIME.

3) Processing Details / Λεπτομέρειες Επεξεργασίας

EN: Subject matter, nature, purpose, types of data and data subjects are set out in Annex I. Customer will not include special categories unless permitted and instructed (e.g., Fitness data with explicit consent).
GR: Το αντικείμενο, η φύση, ο σκοπός, οι κατηγορίες δεδομένων και τα υποκείμενα ορίζονται στο Παράρτημα I. Ο Πελάτης δεν θα περιλαμβάνει ειδικές κατηγορίες εκτός αν επιτρέπεται και δοθούν οδηγίες (π.χ. δεδομένα υγείας με ρητή συγκατάθεση).

4) Instructions / Οδηγίες

EN: AIME will process Customer Personal Data only on Customer’s documented instructions, including regarding transfers, unless EU or Member State law requires otherwise (in which case AIME will inform Customer unless legally prohibited). Customer is responsible for the lawfulness of its instructions.
GR: Η AIME επεξεργάζεται δεδομένα μόνο βάσει τεκμηριωμένων οδηγιών του Πελάτη, συμπεριλαμβανομένων τυχόν διαβιβάσεων, εκτός αν άλλως απαιτείται από το δίκαιο ΕΕ/κράτους‑μέλους (οπότε θα ενημερώσει τον Πελάτη εκτός αν απαγορεύεται). Ο Πελάτης ευθύνεται για τη νομιμότητα των οδηγιών του.

5) Confidentiality / Εμπιστευτικότητα

EN: AIME ensures persons authorized to process Customer Personal Data are bound by confidentiality and receive appropriate privacy and security training.
GR: Η AIME διασφαλίζει ότι τα εξουσιοδοτημένα πρόσωπα δεσμεύονται από εχεμύθεια και λαμβάνουν κατάλληλη εκπαίδευση.

6) Security Measures / Μέτρα Ασφάλειας

EN: AIME implements the technical and organizational measures in Annex II, including encryption in transit and at rest, Row‑Level Security (RLS), role‑based access control and least privilege, MFA for console access, logging and monitoring, backups, and secure development practices. AIME may update measures provided security is not materially reduced.
GR: Η AIME εφαρμόζει τα μέτρα του Παραρτήματος II, συμπεριλαμβανομένης κρυπτογράφησης σε μεταφορά και αποθήκευση, RLS, ελέγχου πρόσβασης βάσει ρόλων και ελάχιστων δικαιωμάτων, MFA για πρόσβαση σε κονσόλες, καταγραφών/παρακολούθησης, αντιγράφων ασφαλείας και ασφαλούς ανάπτυξης. Τα μέτρα μπορεί να επικαιροποιούνται χωρίς ουσιώδη μείωση ασφάλειας.

7) Sub‑processors / Εκτελούντες Δευτέρου Επιπέδου

EN: Customer authorizes AIME to use sub‑processors listed in Annex III and any updated list maintained by AIME. AIME will ensure a written contract imposing GDPR‑equivalent obligations. AIME will notify Customer of changes at least 15 days in advance and allow reasonable objections; if unresolved, Customer may suspend the affected use.
GR: Ο Πελάτης εξουσιοδοτεί τη χρήση εκτελούντων που αναφέρονται στο Παράρτημα III και σε ενημερωμένο κατάλογο. Η AIME συνάπτει έγγραφες συμβάσεις με ισοδύναμες υποχρεώσεις GDPR. Θα παρέχεται προειδοποίηση 15 ημερών για αλλαγές και δυνατότητα ένστασης· αν δεν επιλυθεί, ο Πελάτης μπορεί να αναστείλει τη σχετική χρήση.

8) International Transfers / Διεθνείς Διαβιβάσεις

EN: Where Customer Personal Data is transferred outside the EEA/UK, AIME will ensure appropriate safeguards under GDPR Chapter V (e.g., Standard Contractual Clauses) and implement supplementary technical and organizational measures where needed.
GR: Για διαβιβάσεις εκτός ΕΟΧ/ΗΒ, η AIME εφαρμόζει κατάλληλες εγγυήσεις (π.χ. Τυποποιημένες Συμβατικές Ρήτρες) και συμπληρωματικά μέτρα όπου απαιτείται.

9) Assistance / Συνδρομή

EN: Taking into account the nature of processing, AIME assists Customer with reasonable technical and organizational measures to: (a) respond to data subject requests; (b) perform DPIAs and prior consultations; and (c) ensure compliance with Articles 32–36 GDPR.
GR: Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, η AIME συνδράμει ευλόγως τον Πελάτη για: (α) αιτήματα υποκειμένων, (β) DPIA και προ‑διαβουλεύσεις, (γ) συμμόρφωση με άρθρα 32–36 GDPR.

10) Personal Data Breach Notification (72 hours) / Γνωστοποίηση Παραβίασης (72 ώρες)

EN: AIME will notify Customer without undue delay and in any event within 72 hours after becoming aware of a Personal Data Breach affecting Customer Personal Data. The notice will describe the nature of the breach, likely consequences, measures taken, and a contact point. AIME will promptly take steps to mitigate effects. GR: Η AIME θα ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών από τη γνώση Παραβίασης Δεδομένων. Η ειδοποίηση θα περιγράφει τη φύση, τις πιθανές συνέπειες, τα μέτρα και σημείο επικοινωνίας. Θα ληφθούν άμεσα μέτρα μετριασμού.

11) Audits & Compliance / Έλεγχοι & Συμμόρφωση

EN: Upon reasonable written request, AIME will make available information necessary to demonstrate compliance and allow audits by Customer or an independent auditor bound by confidentiality, no more than once annually, during business hours, without disrupting operations.
GR: Κατόπιν εύλογου αιτήματος, η AIME παρέχει πληροφορίες συμμόρφωσης και επιτρέπει ελέγχους από τον Πελάτη ή ανεξάρτητο ελεγκτή με εχεμύθεια, όχι συχνότερα από ετησίως και χωρίς διακοπή λειτουργίας.

12) Return and Deletion / Επιστροφή και Διαγραφή

EN: Upon termination or upon Customer’s written request, AIME will delete Customer Personal Data or return it in a commonly used format and then delete remaining copies within standard backup cycles, unless retention is required by law.
GR: Μετά τη λύση ή κατόπιν αιτήματος, η AIME διαγράφει ή επιστρέφει τα δεδομένα σε συνήθη μορφή και κατόπιν διαγράφει τυχόν αντίγραφα εντός τυπικών κύκλων αντιγράφων ασφαλείας, εκτός αν απαιτείται διατήρηση από τον νόμο.

13) Records & Cooperation / Αρχεία & Συνεργασία

EN: AIME maintains records of processing activities as required and cooperates with supervisory authorities upon request.
GR: Η AIME τηρεί αρχεία επεξεργασίας όπου απαιτείται και συνεργάζεται με τις αρχές.

14) Liability and Indemnity / Ευθύνη και Αποζημίωση

EN: The parties’ liability under this DPA is subject to the limitations set out in the Agreement, to the extent permitted by law.
GR: Η ευθύνη των μερών βάσει του παρόντος υπόκειται στους περιορισμούς της Σύμβασης, στον βαθμό που επιτρέπεται από τον νόμο.

15) Governing Law and Venue / Εφαρμοστέο Δίκαιο και Δικαιοδοσία

EN: This DPA is governed by the laws of Greece, with exclusive jurisdiction in the competent courts of Athens, subject to mandatory law.
GR: Το παρόν διέπεται από το ελληνικό δίκαιο, με αποκλειστική δικαιοδοσία των δικαστηρίων Αθηνών, με την επιφύλαξη αναγκαστικού δικαίου.

16) Order of Precedence; Changes / Ιεραρχία· Τροποποιήσεις

EN: If there is a conflict between this DPA and the Agreement, this DPA controls. AIME may update Annex III (sub‑processors) per Section 7; other changes require written agreement.
GR: Σε σύγκρουση με τη Σύμβαση, υπερισχύει το παρόν. Ενημερώσεις του Παραρτήματος III επιτρέπονται κατά το Τμήμα 7· άλλες τροποποιήσεις απαιτούν έγγραφη συμφωνία.

17) Contacts / Επαφές

EN: Privacy and security notices: privacy@aime.gr and legal@aime.gr. GR: Για απορρήτο και ασφάλεια: privacy@aime.gr και legal@aime.gr.

Annex I — Details of Processing / Παράρτημα I — Λεπτομέρειες Επεξεργασίας

Subject Matter / Αντικείμενο: Provision of AIME subscription SaaS services and related support.
Duration / Διάρκεια: Term of the Agreement plus backup retention.
Nature & Purpose / Φύση & Σκοπός: Hosting, storage, transmission, generation and transformation of Customer content; authentication; analytics (if consented); emailing; payments; automation via webhooks.
Types of Personal Data / Τύποι Δεδομένων: Account identifiers (name, email), billing details (address, VAT, transaction metadata), usage metadata (IP, logs), content submitted by Customer and outputs generated. Optional health data for Fitness features with explicit consent.
Categories of Data Subjects / Υποκείμενα: Customer’s staff and end users; Customer’s clients or leads whose data Customer submits.
Customer Instructions / Οδηγίες Πελάτη: Process data to deliver the Service as configured by Customer and per the Agreement and this DPA.

Annex II — Security Measures / Παράρτημα II — Μέτρα Ασφάλειας

  1. Governance & Access Control / Διακυβέρνηση & Έλεγχος Πρόσβασης: Role‑based access, least privilege, MFA for consoles, unique accounts, periodic access reviews, secure secrets management.
  2. Data Segregation & RLS / Διαχωρισμός Δεδομένων & RLS: Logical isolation of tenants; Row‑Level Security policies in the database to ensure tenant scoping.
  3. Encryption / Κρυπτογράφηση: TLS for data in transit; provider‑level encryption at rest for databases, files and backups.
  4. Network & Infrastructure / Δίκτυο & Υποδομή: Managed hosting (e.g., Render, Supabase) with hardened defaults, firewalls, least‑exposed services, and CDN protections.
  5. Logging & Monitoring / Καταγραφή & Παρακολούθηση: Centralized logs, audit trails for admin actions, anomaly detection, alerting; Sentry for error/performance monitoring.
  6. Rate Limiting & Abuse Prevention / Περιορισμός Ροής & Πρόληψη Κατάχρησης: Upstash Redis or equivalent to throttle abusive traffic and protect availability.
  7. Secure Development / Ασφαλής Ανάπτυξη: Code reviews, dependency scanning, vulnerability management, environment segregation, secrets in env stores, CI/CD with approvals.
  8. Backups & DR / Αντίγραφα & Ανάκαμψη: Regular automated backups, integrity checks, tested restoration procedures, region redundancy where available.
  9. Personnel & Training / Προσωπικό & Εκπαίδευση: Confidentiality commitments and periodic security/privacy training.
  10. Incident Response / Αντιμετώπιση Περιστατικών: Documented plan for detection, containment, investigation, notification within required timelines, and lessons learned.
  11. Data Minimization & Retention / Ελαχιστοποίηση & Τήρηση: Retain only as long as necessary; configurable retention where feasible; secure deletion routines.
  12. Customer Controls / Έλεγχοι Πελάτη: Admin settings for user roles, data export, deletion mechanisms and consent banners where applicable.

Annex III — Sub‑processors / Παράρτημα III — Εκτελούντες Δευτέρου Επιπέδου

  • Supabase — Authentication, database, file storage, logging; typical region EU where available.
  • Render — Hosting platform, operational logs.
  • Stripe — Payments, invoicing, tax/VAT processing.
  • Make.com (Integromat) — Webhook‑based automation and integrations triggered by Customer workflows.
  • Sentry — Error and performance monitoring.
  • Plausible or PostHog (if enabled) — Analytics; PostHog may use cookies.
  • Upstash Redis — Rate limiting and transient data.
  • Email provider: Postmark or Resend — Transactional email delivery and logs.

AIME maintains an updated internal list with data categories and regions and will provide it upon request.

Privacy PolicyTerms of ServiceCookie PolicyContact