Συμφωνία Επεξεργασίας Δεδομένων — Παράρτημα

Μεταξύ:

Υπεύθυνος Επεξεργασίας («Το Σχολείο»): Το εκπαιδευτικό ίδρυμα που λειτουργεί στην πλατφόρμα Thess LMS.
Εκτελών την Επεξεργασία («Thess LMS»): Ο πάροχος της πλατφόρμας.

Ημερομηνία ισχύος: Κατά την αποδοχή των όρων κατά την εγγραφή (η χρονική σήμανση καταγράφεται).

1. Αντικείμενο και διάρκεια

Το Thess LMS επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Σχολείου για την παροχή πλατφόρμας διαχείρισης μάθησης. Η επεξεργασία αρχίζει όταν το Σχολείο δημιουργεί τον λογαριασμό του και συνεχίζεται καθ' όλη τη διάρκεια της συνδρομής. Κατά τη λήξη, τα δεδομένα αντιμετωπίζονται όπως περιγράφεται στην Ενότητα 10.

2. Φύση και σκοπός της επεξεργασίας

Το Thess LMS επεξεργάζεται προσωπικά δεδομένα για να:

Ταυτοποιεί χρήστες και διαχειρίζεται πρόσβαση.
Αποθηκεύει και εμφανίζει ακαδημαϊκά αρχεία (βαθμοί, παρουσίες, αξιολογήσεις).
Επιτρέπει εσωτερική επικοινωνία (μηνύματα, ροές δραστηριοτήτων, ειδοποιήσεις).
Δημιουργεί κουίζ με τεχνητή νοημοσύνη (κανένα προσωπικό δεδομένο δεν αποστέλλεται στην AI — μόνο παράμετροι κουίζ).
Παρακολουθεί αποτελέσματα τεστ κατάταξης και επίπεδα γλωσσομάθειας CEFR.
Διαχειρίζεται αρχεία διδάκτρων και πληρωμών σε επίπεδο σχολείου.
Παρέχει διοικητικά εργαλεία (αναφορές, στατιστικά, αρχεία ασφαλείας).

3. Κατηγορίες υποκειμένων δεδομένων

Μαθητές
Εκπαιδευτικοί
Γονείς / Κηδεμόνες
Επόπτες και γραμματείς σχολείου

4. Τύποι προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία

Δεδομένα ταυτοποίησης: Όνομα, email, ρόλος, κατάσταση λογαριασμού.

Δεδομένα επικοινωνίας: Αριθμός τηλεφώνου, διεύθυνση, όνομα γονέα/κηδεμόνα. Αυτά τα πεδία κρυπτογραφούνται σε κατάσταση αδράνειας.

Ακαδημαϊκά δεδομένα: Βαθμοί, παρουσίες, βαθμολογίες κουίζ, αποτελέσματα κατάταξης, επίπεδα CEFR, δελτία βαθμολογίας, πόντοι συμπεριφοράς, υποβολές εργασιών.

Δεδομένα επικοινωνίας: Εσωτερικά μηνύματα, αναρτήσεις δραστηριοτήτων, ειδοποιήσεις.

Τεχνικά δεδομένα: Διεύθυνση IP, user agent, δεδομένα περιόδου λειτουργίας (για ασφάλεια και έλεγχο).

Οικονομικά δεδομένα (επίπεδο σχολείου): Αρχεία διδάκτρων, ιστορικό πληρωμών.

5. Υποχρεώσεις εκτελούντος

Το Thess LMS οφείλει να:

Επεξεργάζεται προσωπικά δεδομένα μόνο βάσει τεκμηριωμένων οδηγιών του Σχολείου.
Μην μεταφέρει δεδομένα εκτός ΕΕ/ΕΟΧ χωρίς κατάλληλες εγγυήσεις (εφαρμόζονται Τυποποιημένες Συμβατικές Ρήτρες ΕΕ για υπο-εκτελούντες με έδρα τις ΗΠΑ).
Εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας (βλ. Ενότητα 8).
Βοηθά το Σχολείο στην ανταπόκριση σε αιτήματα υποκειμένων δεδομένων (πρόσβαση, διόρθωση, διαγραφή, φορητότητα).
Ενημερώνει το Σχολείο για οποιαδήποτε παραβίαση προσωπικών δεδομένων χωρίς αδικαιολόγητη καθυστέρηση (βλ. Ενότητα 9).
Διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα κατά τη λήξη (βλ. Ενότητα 10).
Θέτει στη διάθεση όλες τις πληροφορίες που απαιτούνται για την απόδειξη συμμόρφωσης και επιτρέπει ελέγχους (βλ. Ενότητα 11).

6. Εμπιστευτικότητα

Όλα τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται προσωπικά δεδομένα έχουν δεσμευτεί για εχεμύθεια. Η πρόσβαση σε προσωπικά δεδομένα περιορίζεται βάσει ρόλου (ιδιοκτήτης σχολείου, επόπτης, εκπαιδευτικός, γραμματέας), ενώ τα ευαίσθητα πεδία (τηλέφωνο, διεύθυνση, ημερομηνία γέννησης, στοιχεία γονέα, σημειώσεις) περιορίζονται επιπλέον μόνο σε διοικητικούς ρόλους.

7. Υπο-εκτελούντες

Το Thess LMS χρησιμοποιεί τους ακόλουθους υπο-εκτελούντες:

Υπο-εκτελών	Χώρα	Σκοπός	Δεδομένα που υποβάλλονται σε επεξεργασία	Μηχανισμός μεταφοράς
OpenAI	ΗΠΑ	Δημιουργία κουίζ με AI	Παράμετροι κουίζ, επίπεδο CEFR — κανένα PII μαθητή	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
Viva Wallet	Ελλάδα (ΕΕ)	Επεξεργασία πληρωμών	Δεδομένα τιμολόγησης σχολείου	Δικαιοδοσία ΕΕ
ΑΑΔΕ / MyData	Ελλάδα (ΕΕ)	Φορολογική αναφορά	Δεδομένα τιμολογίων	Νομική υποχρέωση
Sentry	ΗΠΑ	Παρακολούθηση σφαλμάτων	Stack traces — PII απενεργοποιημένο	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
MXroute	ΗΠΑ	Αποστολή email	Όνομα, email, περιεχόμενο μηνύματος	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
Cloudflare R2	ΕΕ (Δυτική Ευρώπη)	Αποθήκευση αρχείων	Αρχεία χρηστών (εργασίες, έγγραφα, εικόνες)	Δικαιοδοσία ΕΕ

Το Σχολείο ενημερώνεται για αλλαγές υπο-εκτελούντων μέσω ενημερώσεων της παρούσας συμφωνίας. Κανένα προσωπικό δεδομένο μαθητή δεν αποστέλλεται στο OpenAI — μόνο εκπαιδευτικές παράμετροι (λίστες λέξεων, γραμματικά θέματα, επίπεδα CEFR).

8. Μέτρα ασφαλείας

Το Thess LMS εφαρμόζει τα ακόλουθα μέτρα:

Κρυπτογράφηση σε αδράνεια: Τηλέφωνο, διεύθυνση, στοιχεία γονέα, ημερομηνία γέννησης και σημειώσεις κρυπτογραφούνται με AES-256 μέσω του επιπέδου κρυπτογράφησης του Laravel.
Κατακερματισμός κωδικών πρόσβασης: Όλοι οι κωδικοί πρόσβασης κατακερματίζονται με bcrypt (δεν αποθηκεύονται ποτέ σε απλό κείμενο).
Ταυτοποίηση δύο παραγόντων: Υποχρεωτική για ιδιοκτήτες σχολείων, επόπτες, εκπαιδευτικούς και γραμματείς. Email OTP με ισχύ 10 λεπτών και cookies αξιόπιστης συσκευής 90 ημερών (υπογεγραμμένα με HMAC, δεσμευμένα σε user-agent).
Απομόνωση βάσης δεδομένων: Τα δεδομένα κάθε σχολείου αποθηκεύονται σε ξεχωριστή βάση δεδομένων (αρχιτεκτονική πολλαπλών ενοικιαστών).
Καταγραφή ελέγχου: Οι διοικητικές ενέργειες (αλλαγές χρηστών, παρουσίες, βαθμοί, αλλαγές ρόλων) καταγράφονται με ενεργούντα, χρονική σήμανση, διεύθυνση IP και λεπτομέρειες αλλαγών. Διατηρούνται για 12 μήνες.
Έλεγχοι πλαστοπροσωπίας: Λειτουργία μόνο ανάγνωσης κατά τη διάρκεια πλαστοπροσωπίας. Όλες οι περίοδοι καταγράφονται με IP, user agent, χρονικές σημάνσεις έναρξης/λήξης και διάρκεια.
Διαχείριση περιόδων λειτουργίας: Περίοδοι αποθηκευμένες σε βάση δεδομένων, αυτόματη εκκαθάριση μετά τη λήξη.
Έλεγχος πρόσβασης: Δικαιώματα βάσει ρόλου. Ευαίσθητα πεδία ορατά μόνο σε διοικητικούς ρόλους.
Χωρίς εξάρτηση από εξωτερικά CDN: Όλα τα frontend assets φιλοξενούνται τοπικά. Καμία διεύθυνση IP χρήστη δεν εκτίθεται σε δίκτυα παράδοσης περιεχομένου τρίτων.
Υποδομή: Κρυπτογραφημένα αντίγραφα ασφαλείας που διαχειρίζονται σε επίπεδο υποδομής με όρους φιλοξενίας συμβατούς με την ΕΕ.

9. Ειδοποίηση παραβίασης

Σε περίπτωση παραβίασης προσωπικών δεδομένων, το Thess LMS οφείλει να:

Ενημερώσει το Σχολείο χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών από τη στιγμή που λαμβάνει γνώση της παραβίασης.
Παρέχει λεπτομέρειες, συμπεριλαμβανομένων: φύση της παραβίασης, κατηγορίες δεδομένων που επηρεάστηκαν, κατά προσέγγιση αριθμός εγγραφών, πιθανές συνέπειες και μέτρα που ελήφθησαν για μετριασμό.
Βοηθήσει το Σχολείο στην ειδοποίηση της εποπτικής αρχής και των επηρεαζόμενων υποκειμένων δεδομένων εάν απαιτείται.

10. Διαγραφή δεδομένων κατά τη λήξη

Κατά τη λήξη της συνδρομής:

Βάση δεδομένων σχολείου: Διαγράφεται εξ ολοκλήρου (όλα τα δεδομένα ενοικιαστή διαγράφονται μόνιμα).
Αρχεία σχολείου: Όλα τα μεταφορτωμένα αρχεία (avatars, συνημμένα, έγγραφα) διαγράφονται μόνιμα.
Λογαριασμός χρέωσης με τιμολόγια: Τα προσωπικά δεδομένα ανωνυμοποιούνται. Τα αρχεία τιμολογίων διατηρούνται για φορολογική συμμόρφωση (ελληνικό δίκαιο, ελάχιστο 5 έτη).
Λογαριασμός χρέωσης χωρίς τιμολόγια: Διαγράφεται εξ ολοκλήρου.
Ενεργές συνδρομές: Σημειώνονται ως ληγμένες.

Η διαγραφή δεδομένων είναι μη αναστρέψιμη. Το Σχολείο είναι υπεύθυνο για την εξαγωγή τυχόν δεδομένων που επιθυμεί να διατηρήσει πριν από τη λήξη.

11. Δικαιώματα ελέγχου

Το Σχολείο έχει το δικαίωμα να ζητήσει αποδεικτικά στοιχεία συμμόρφωσης με την παρούσα συμφωνία. Το Thess LMS θα θέσει στη διάθεση:

Το αρχείο ασφαλείας (προσβάσιμο στους ιδιοκτήτες σχολείων στο /school-settings/oversight).
Αρχείο ελέγχου πλαστοπροσωπίας με χρονικές σημάνσεις, διάρκεια και διευθύνσεις IP.
Αποδεικτικά κρυπτογράφησης, ελέγχων πρόσβασης και πολιτικών διατήρησης.
Τεκμηρίωση υπο-εκτελούντων και μηχανισμών μεταφοράς.

Επίσημοι έλεγχοι μπορούν να διενεργηθούν κατόπιν εύλογης προειδοποίησης και κατά τις εργάσιμες ώρες, όχι περισσότερο από μία φορά ανά έτος.

12. Ευθύνες σχολείου

Το Σχολείο, ως Υπεύθυνος Επεξεργασίας, είναι υπεύθυνο για:

Τη λήψη έγκυρων συγκαταθέσεων από μαθητές, γονείς και κηδεμόνες πριν από τη δημιουργία λογαριασμών στην πλατφόρμα. Σύμφωνα με τον Ελληνικό Νόμο 4624/2019 (Άρθ. 21), η ηλικία ψηφιακής συγκατάθεσης είναι 15 — απαιτείται γονική συγκατάθεση για χρήστες κάτω των 15.
Τη διασφάλιση ότι τα προσωπικά δεδομένα που εισάγονται στην πλατφόρμα είναι ακριβή και νόμιμα.
Την ανταπόκριση σε αιτήματα πρόσβασης, διόρθωσης, διαγραφής και φορητότητας υποκειμένων δεδομένων.
Την προώθηση αιτημάτων εξαγωγής δεδομένων στο Thess LMS (εκπληρώνονται εντός 30 ημερών).
Την ενημέρωση των χρηστών σχετικά με την επεξεργασία των δεδομένων τους (μέσω της Πολιτικής Απορρήτου του Σχολείου).

13. Υπεύθυνος Προστασίας Δεδομένων

Για οποιοδήποτε θέμα σχετικό με την παρούσα συμφωνία ή ερωτήματα προστασίας δεδομένων, επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων του Thess LMS στο dpo@thesslms.com.

14. Εφαρμοστέο δίκαιο

Η παρούσα συμφωνία διέπεται από τον Ελληνικό Νόμο 4624/2019, τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ) 2016/679 και οποιαδήποτε εφαρμόσιμη καθοδήγηση από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Οι διαφορές θα επιλύονται υπό ελληνική δικαιοδοσία.

Data Processing Agreement — Annex

Between:

Data Controller ("The School"): The educational institution operating on the Thess LMS platform.
Data Processor ("Thess LMS"): The platform provider.

Effective date: Upon acceptance of terms at registration (timestamp recorded).

1. Subject and duration

Thess LMS processes personal data on behalf of The School to provide a learning management platform. Processing begins when The School creates its account and continues for the duration of the subscription. Upon termination, data is handled as described in Section 10.

2. Nature and purpose of processing

Thess LMS processes personal data to:

Authenticate users and manage access.
Store and display academic records (grades, attendance, assessments).
Enable internal communication (messaging, activity feeds, notifications).
Generate AI-powered quizzes (no personal data sent to AI — quiz parameters only).
Track placement test results and CEFR proficiency levels.
Manage tuition and payment records at the school level.
Provide administrative tools (reports, statistics, security logs).

3. Categories of data subjects

Students
Teachers
Parents / Guardians
School supervisors and secretaries

4. Types of personal data processed

Identity data: Name, email, role, account status.

Contact data: Phone number, address, parent/guardian contact name. These fields are encrypted at rest.

Academic data: Grades, attendance, quiz scores, placement results, CEFR levels, report cards, behavior points, homework submissions.

Communication data: Internal messages, activity posts, notifications.

Technical data: IP address, user agent, session data (for security and audit).

Financial data (school-level): Tuition records, payment history.

5. Processor obligations

Thess LMS shall:

Process personal data only on documented instructions from The School.
Not transfer data outside the EU/EEA without appropriate safeguards (EU Standard Contractual Clauses are in place for US-based sub-processors).
Implement appropriate technical and organizational security measures (see Section 8).
Assist The School in responding to data subject requests (access, correction, deletion, portability).
Notify The School of any personal data breach without undue delay (see Section 9).
Delete or return all personal data upon termination (see Section 10).
Make available all information necessary to demonstrate compliance and allow for audits (see Section 11).

6. Confidentiality

All persons authorized to process personal data have committed to confidentiality. Access to personal data is restricted based on role (school owner, supervisor, teacher, secretary) with sensitive fields (phone, address, date of birth, parent contact, notes) additionally restricted to administrative roles only.

7. Sub-processors

Thess LMS uses the following sub-processors:

Sub-processor	Country	Purpose	Data processed	Transfer mechanism
OpenAI	USA	AI quiz generation	Quiz parameters, CEFR level — no student PII	EU SCCs
Viva Wallet	Greece (EU)	Payment processing	School billing data	EU jurisdiction
AADE / MyData	Greece (EU)	Tax reporting	Invoice data	Legal obligation
Sentry	USA	Error monitoring	Stack traces — PII disabled	EU SCCs
MXroute	USA	Email delivery	Name, email, message content	EU SCCs
Cloudflare R2	EU (Western Europe)	File storage	User-uploaded files (homework, documents, images)	EU jurisdiction

The School is informed of sub-processor changes through updates to this agreement. No student personal data is sent to OpenAI — only educational parameters (word lists, grammar topics, CEFR levels).

8. Security measures

Thess LMS implements the following measures:

Encryption at rest: Phone, address, parent contact, date of birth, and notes are encrypted using AES-256 via Laravel's encryption layer.
Password hashing: All passwords are hashed with bcrypt (never stored in plain text).
Two-factor authentication: Required for school owners, supervisors, teachers, and secretaries. Email OTP with 10-minute validity and 90-day trusted device cookies (HMAC-signed, user-agent bound).
Database isolation: Each school's data is stored in a separate database (multi-tenant architecture).
Audit logging: Administrative actions (user changes, attendance, grades, role changes) are logged with actor, timestamp, IP address, and change details. Retained for 12 months.
Impersonation controls: Read-only mode enforced during impersonation. All sessions logged with IP, user agent, start/end timestamps, and duration.
Session management: Database-stored sessions, automatically pruned after expiry.
Access control: Role-based permissions. Sensitive fields visible only to administrative roles.
No external CDN dependencies: All frontend assets are self-hosted. No user IPs are exposed to third-party content delivery networks.
Infrastructure: Encrypted backups managed at the infrastructure level with EU-compliant hosting terms.

9. Breach notification

In the event of a personal data breach, Thess LMS shall:

Notify The School without undue delay and no later than 72 hours after becoming aware of the breach.
Provide details including: nature of the breach, categories of data affected, approximate number of records, likely consequences, and measures taken to mitigate.
Assist The School in notifying the supervisory authority and affected data subjects if required.

10. Data deletion on termination

Upon termination of the subscription:

School database: Dropped entirely (all tenant data permanently deleted).
School files: All uploaded files (avatars, attachments, documents) permanently deleted.
Billing account with invoices: Personal data anonymized. Invoice records retained for tax compliance (Greek law, minimum 5 years).
Billing account without invoices: Deleted entirely.
Active subscriptions: Marked as expired.

Data deletion is irreversible. The School is responsible for exporting any data they wish to retain before termination.

11. Audit rights

The School has the right to request evidence of compliance with this agreement. Thess LMS shall make available:

The security log (accessible to school owners at /school-settings/oversight).
Impersonation audit trail with timestamps, duration, and IP addresses.
Evidence of encryption, access controls, and retention policies.
Sub-processor documentation and transfer mechanisms.

Formal audits may be conducted upon reasonable notice and during business hours, no more than once per year.

12. School responsibilities

The School, as Data Controller, is responsible for:

Obtaining valid consents from students, parents, and guardians prior to creating accounts on the platform. Under Greek Law 4624/2019 (Art. 21), digital consent age is 15 — parental consent is required for users under 15.
Ensuring that personal data entered into the platform is accurate and lawful.
Responding to data subject access, correction, deletion, and portability requests.
Forwarding data export requests to Thess LMS (fulfilled within 30 days).
Informing users about the processing of their data (via the School Privacy Policy).

13. Data Protection Officer

For any matters related to this agreement or data protection inquiries, contact the Thess LMS Data Protection Officer at dpo@thesslms.com.

14. Governing law

This agreement is governed by Greek Law 4624/2019, the General Data Protection Regulation (EU) 2016/679, and any applicable guidance from the Hellenic Data Protection Authority (APDPCH). Disputes shall be resolved under Greek jurisdiction.