Παράρτημα επεξεργασίας δεδομένων

 

Το παρόν προσάρτημα αποτελεί αναπόσπαστο μέρος της Σύμβασης και συνάπτεται από:

 

  1. (i) Ο Πελάτης (" Εξαγωγέας Δεδομένων ")
  2. (ii) ταχυδρομικός κώδικας (" Εισαγωγέας δεδομένων ")

 

Το καθένα είναι «Κόμμα » και κοινώς «Κόμματα ».

 

Προοίμιο

ΟΠΟΥ ο Εισαγωγέας Δεδομένων παρέχει επαγγελματικές υπηρεσίες λογισμικού, υπολογιστές και σχετικές υπηρεσίες.

ΟΠΟΥ, σύμφωνα με τη Σύμβαση, ο Εισαγωγέας Δεδομένων έχει συμφωνήσει να παρέχει στον Εξαγωγέα Δεδομένων τις υπηρεσίες που καθορίζονται στη Σύμβαση (οι «Υπηρεσίες »).

ΟΠΟΥ, παρέχοντας τις Υπηρεσίες, ο Εισαγωγέας Δεδομένων λαμβάνει ή επωφελείται από την πρόσβαση στις πληροφορίες του Εξαγωγέα Δεδομένων ή στις πληροφορίες άλλων προσώπων που έχουν (δυνητική) σχέση με τον Εξαγωγέα Δεδομένων, οι πληροφορίες αυτές μπορεί να χαρακτηριστούν ως προσωπικά δεδομένα κατά την έννοια του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, σχετικά με την προστασία των ατόμων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών («GDPR ») και άλλους ισχύοντες νόμους περί προστασίας δεδομένων.

ΟΠΟΥ το παρόν προσάρτημα περιέχει τους όρους και τις προϋποθέσεις που ισχύουν για τη συλλογή, επεξεργασία και χρήση τέτοιων προσωπικών δεδομένων από τον Εισαγωγέα Δεδομένων υπό την ιδιότητά του ως εξουσιοδοτημένος αντιπρόσωπος επεξεργασίας δεδομένων του εξαγωγέα δεδομένων, ώστε να διασφαλίζεται ότι τα μέρη συμμορφώνονται με την ισχύουσα νομοθεσία περί προστασίας δεδομένων .

 

Ως εκ τούτου, και για να μπορέσουν τα Μέρη να συνεχίσουν νόμιμα τη σχέση τους, τα Μέρη συνήψαν το παρόν Προσάρτημα ως εξής:

Μέρος 1

 

1. Δομή του εγγράφου και ορισμοί

1.1 Δομή

Το παρόν προσάρτημα περιλαμβάνει διάφορα μέρη ως εξής:

 

Μέρος 1:

περιέχει γενικές διατάξεις, π.χ. σχετικά με τους ορισμούς που χρησιμοποιούνται στο παρόν Παράρτημα, τη συμμόρφωση με τους τοπικούς νόμους, το χρονοδιάγραμμα και τον τερματισμό

Μέρος 2ο:

περιέχει το κύριο μέρος του εγγράφου Standard Contractual Clauses που δεν έχει τροποποιηθεί

Παράρτημα 1.1 του Μέρους 2:

περιέχει τις λεπτομέρειες των εργασιών επεξεργασίας που παρέχονται από τον Εισαγωγέα Δεδομένων στον Εξαγωγέα Δεδομένων ως εξουσιοδοτημένο φορέα επεξεργασίας δεδομένων (συμπεριλαμβανομένης της επεξεργασίας, της φύσης και του σκοπού της επεξεργασίας, του τύπου των προσωπικών δεδομένων και των κατηγοριών υποκειμένων των δεδομένων) σύμφωνα με το παρόν παράρτημα

Παράρτημα 2 του Μέρους 2:

περιέχει μια περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του Εισαγωγέα Δεδομένων, τα οποία εφαρμόζονται σε σχέση με όλες τις δραστηριότητες επεξεργασίας που περιγράφονται στο Παράρτημα 1.1 του Μέρους 2

Μέρος 3:

περιέχει τις υπογραφές των μερών που δεσμεύονται από το παρόν προσάρτημα και προσδιορίζει κάθε εισαγωγέα δεδομένων

 

1.2 Ορολογία και ορισμοί

Για τους σκοπούς του παρόντος Παραρτήματος, ισχύουν η ορολογία και οι ορισμοί που χρησιμοποιούνται από τον GDPR (Στο κύριο μέρος του εγγράφου Standard Contractual Clause στο Μέρος 2, όπου οι καθορισμένοι όροι δεν γράφονται με κεφαλαία). 

 

"Κράτος μέλος"

σημαίνει χώρα που ανήκει στην Ευρωπαϊκή Ένωση ή στον Ευρωπαϊκό Οικονομικό Χώρο

«Ειδικές κατηγορίες (προσωπικών) δεδομένων»

αναφέρεται σε δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γενετικά δεδομένα, βιομετρικά δεδομένα, εάν υποβάλλονται σε επεξεργασία με σκοπό τη μοναδική ταυτοποίηση ενός ατόμου, δεδομένα σχετικά με την υγεία, δεδομένα σχετικά με το φύλο ενός ατόμου ζωή ή σεξουαλικό προσανατολισμό

«Τυπικές συμβατικές ρήτρες»

σημαίνει τις Τυπικές συμβατικές ρήτρες για τη μεταφορά δεδομένων προσωπικού χαρακτήρα των φορέων επεξεργασίας που είναι εγκατεστημένοι σε τρίτες χώρες, βάσει της απόφασης 2010/87/ΕΕ της Επιτροπής στις 5 Φεβρουαρίου 2010, η οποία τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής στις 16 Δεκέμβριος 2016

"Επεξεργαστής δεδομένων"

σημαίνει οποιονδήποτε φορέα επεξεργασίας, που βρίσκεται εντός ή εκτός της ΕΕ/ΕΟΧ, ο οποίος συμφωνεί να λαμβάνει από τον Εισαγωγέα Δεδομένων ή οποιονδήποτε άλλο επεξεργαστή του Εισαγωγέα Δεδομένων, προσωπικά δεδομένα για αποκλειστικό σκοπό των δραστηριοτήτων επεξεργασίας που θα διεξαχθούν από τον Εξαγωγέα Δεδομένων μετά την μεταφορά σύμφωνα με τις οδηγίες του εξαγωγέα δεδομένων, τους όρους του παρόντος προσαρτήματος και τη σύμβαση με τον εισαγωγέα δεδομένων

 

 

2. Υποχρεώσεις του Εξαγωγέα Δεδομένων

2.1 Ο Εξαγωγέας Δεδομένων έχει υποχρέωση να διασφαλίζει τη συμμόρφωση με όλες τις ισχύουσες υποχρεώσεις βάσει του GDPR και οποιουδήποτε άλλου ισχύοντος νόμου περί προστασίας δεδομένων που ισχύει για τον εξαγωγέα δεδομένων και να επιδεικνύει τη συμμόρφωση που απαιτείται από το άρθρο 5 παράγραφος 2 του GDPR. Ο Εξαγωγέας Δεδομένων εγγυάται ότι ο Εισαγωγέας Δεδομένων έχει λάβει την προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 6 (α) του GDPR και έχει συμμορφωθεί με την υποχρέωσή του να ενημερώσει τα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 του GDPR.

2.2 Ο Εξαγωγέας Δεδομένων πρέπει να παρέχει στον Εισαγωγέα Δεδομένων τα αντίστοιχα αρχεία των δραστηριοτήτων επεξεργασίας σύμφωνα με το άρθρο 30 παράγραφος 1 του GDPR που σχετίζονται με τις Υπηρεσίες βάσει του παρόντος Παραρτήματος, στον βαθμό που απαιτείται για να συμμορφωθεί ο Εισαγωγέας Δεδομένων με την υποχρέωση Άρθρο 30 παράγραφος 2 του GDPR.

2.3 Ο Εξαγωγέας Δεδομένων πρέπει να διορίσει έναν υπεύθυνο ή εκπρόσωπο προστασίας δεδομένων στο βαθμό που απαιτείται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων. Ο Εξαγωγέας Δεδομένων υποχρεούται να παρέχει στον Εισαγωγέα Δεδομένων τα στοιχεία επικοινωνίας του αντιπροσώπου ή του αντιπροσώπου προστασίας δεδομένων, εάν υπάρχουν.

2.4. Ο Εξαγωγέας Δεδομένων επιβεβαιώνει πριν από την ολοκλήρωση της επεξεργασίας, με την αποδοχή του παρόντος Παραρτήματος, ότι τα τεχνικά και οργανωτικά μέτρα ασφαλείας του Εισαγωγέα Δεδομένων, όπως ορίζονται στο Παράρτημα 2 του Μέρους 2, είναι κατάλληλα και επαρκή για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων και επιβεβαιώνει ότι ο Εισαγωγέας Δεδομένων παρέχει επαρκείς διασφαλίσεις ως προς αυτό.

 

3. Συμμόρφωση με την τοπική νομοθεσία

Προκειμένου να ικανοποιηθούν οι απαιτήσεις της εφαρμογής των πρακτόρων επεξεργασίας σύμφωνα με το άρθρο 28 του ΓΚΠΔ, εφαρμόζονται οι ακόλουθες τροποποιήσεις:

 

3.1 Οδηγίες

  1. (i) Ο Εξαγωγέας Δεδομένων δίνει εντολή στον Εισαγωγέα Δεδομένων να επεξεργάζεται προσωπικά δεδομένα μόνο για λογαριασμό του Εξαγωγέα Δεδομένων. Οι οδηγίες του Εξαγωγέα Δεδομένων παρέχονται στο παρόν Παράρτημα και στη Σύμβαση. Ο Εξαγωγέας Δεδομένων έχει την υποχρέωση να διασφαλίσει ότι όλες οι οδηγίες που δόθηκαν στον Εισαγωγέα Δεδομένων συμμορφώνονται με την ισχύουσα νομοθεσία περί προστασίας δεδομένων. Ο Εισαγωγέας Δεδομένων πρέπει να επεξεργάζεται προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες που παρέχονται από τον Εξαγωγέα Δεδομένων, εκτός εάν απαιτείται διαφορετικά από την Ευρωπαϊκή Ένωση ή τη νομοθεσία του κράτους μέλους (στην τελευταία περίπτωση, εφαρμόζεται το Μέρος 1 Άρθρο 3.2 (iv) (γ)) .
  2. (ii) Όλες οι άλλες οδηγίες που υπερβαίνουν τις οδηγίες του παρόντος Παραρτήματος ή της Σύμβασης πρέπει να περιλαμβάνονται στο αντικείμενο του παρόντος Προσαρτήματος και της Σύμβασης. Εάν η εφαρμογή αυτής της πρόσθετης εντολής συνεπάγεται κόστος για τον Εισαγωγέα Δεδομένων, ο Εισαγωγέας Δεδομένων ενημερώνει τον Εξαγωγέα Δεδομένων για τέτοιο κόστος και παρέχει μια εξήγηση πριν από την εφαρμογή της εντολής. Μόνο αφού ο Εξαγωγέας Δεδομένων επιβεβαιώσει την αποδοχή αυτών των δαπανών για την εφαρμογή της εντολής, ο Εισαγωγέας Δεδομένων θα εφαρμόσει αυτήν την πρόσθετη οδηγία. Ο Εξαγωγέας Δεδομένων πρέπει να δώσει πρόσθετες οδηγίες γραπτώς, εκτός εάν επείγουσα ανάγκη ή άλλες ειδικές περιστάσεις απαιτούν άλλο έντυπο (π.χ. προφορικό, ηλεκτρονικό). Οι οδηγίες σε μορφή διαφορετική από τη γραπτή πρέπει να επιβεβαιώνονται γραπτώς και χωρίς καθυστέρηση από τον Εξαγωγέα Δεδομένων.
  3. 1. Εκτός εάν ο Εξαγωγέας Δεδομένων δεν μπορεί να πραγματοποιήσει τη διόρθωση, τη διαγραφή ή τον περιορισμό των προσωπικών δεδομένων από μόνος του, οι οδηγίες μπορεί επίσης να σχετίζονται με τη διόρθωση, τη διαγραφή ή/και τον περιορισμό των προσωπικών δεδομένων όπως ορίζεται στο Μέρος 1 Παράγραφος 3.3.
  4. 2. Ο Εισαγωγέας Δεδομένων πρέπει να ενημερώσει αμέσως τον Εξαγωγέα Δεδομένων εάν, κατά τη γνώμη του, μια Οδηγία παραβιάζει τον GDPR ή άλλες ισχύουσες διατάξεις περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης ή ενός κράτους μέλους (" Disputed Instruction""). Εάν ο Εισαγωγέας Δεδομένων πιστεύει ότι μια Οδηγία παραβιάζει τον GDPR ή άλλες ισχύουσες διατάξεις περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης ή ενός κράτους μέλους, ο Εισαγωγέας Δεδομένων δεν υποχρεούται να ακολουθήσει την Επίμαχη Οδηγία. Εάν ο Εξαγωγέας Δεδομένων επιβεβαιώσει την Αμφισβητούμενη Οδηγία λαμβάνει πληροφορίες από τον εισαγωγέα δεδομένων και αναγνωρίζει την ευθύνη του για την αμφισβητούμενη οδηγία, ο εισαγωγέας δεδομένων εφαρμόζει την αμφισβητούμενη οδηγία, εκτός εάν η αμφισβητούμενη οδηγία αφορά (i) την εφαρμογή τεχνικών και οργανωτικών μέτρων, (ii) τα δικαιώματα των Δεδομένων Υποκείμενα ή (iii) δέσμευση υπευθύνων επεξεργασίας Δεδομένων Στις περιπτώσεις (i) έως (iii), ο Εισαγωγέας Δεδομένων μπορεί να επικοινωνήσει με μια αρμόδια εποπτική αρχή για να ζητήσει τη νομική αξιολόγηση της αμφισβητούμενης Οδηγίας από την εν λόγω αρχή.Εάν η εποπτική αρχή δηλώσει ότι η αμφισβητούμενη Οδηγία είναι νόμιμη, ο Εισαγωγέας Δεδομένων θα εφαρμόσει την προσβαλλόμενη Οδηγία. Μέρος 1 Η ρήτρα 3.1 (ii) παραμένει σε ισχύ.

 

3.2 Υποχρεώσεις του Εισαγωγέα Δεδομένων

  1. (i) Ο Εισαγωγέας Δεδομένων πρέπει να διασφαλίζει ότι τα άτομα που είναι εξουσιοδοτημένα από τον Εισαγωγέα Δεδομένων να επεξεργάζονται προσωπικά δεδομένα για λογαριασμό του Εξαγωγέα Δεδομένων, ιδίως οι υπάλληλοι του Εισαγωγέα Δεδομένων και οι υπάλληλοι οποιουδήποτε Υπεργολάβου, έχουν δεσμευτεί να τηρούν το απόρρητο ή υπόκεινται σε μια κατάλληλη νομοθετική υποχρέωση εμπιστευτικότητας και ότι τα πρόσωπα αυτά που έχουν πρόσβαση σε προσωπικά δεδομένα τα επεξεργάζονται σύμφωνα με τις οδηγίες του Εξαγωγέα Δεδομένων.
  2. (ii) Ο Εισαγωγέας Δεδομένων πρέπει να εφαρμόσει τα τεχνικά και οργανωτικά μέτρα ασφαλείας όπως ορίζονται στο Παράρτημα 2 του Μέρους 2 πριν επεξεργαστεί τα προσωπικά δεδομένα για λογαριασμό του Εξαγωγέα Δεδομένων. Ο Εισαγωγέας Δεδομένων μπορεί να αλλάζει τα τεχνικά και οργανωτικά μέτρα ασφαλείας από καιρό σε καιρό, εάν δεν παρέχουν λιγότερη προστασία από εκείνα που ορίζονται στο Παράρτημα 2 του Μέρους 2.
  3. (iii) Ο Εισαγωγέας Δεδομένων θέτει στη διάθεση του Εξαγωγέα Δεδομένων, κατόπιν αιτήματος του Εξαγωγέα Δεδομένων, πληροφορίες που αποδεικνύουν τη συμμόρφωση με τις υποχρεώσεις του Εισαγωγέα Δεδομένων βάσει του παρόντος Προσαρτήματος. Τα μέρη συμφωνούν ότι αυτή η υποχρέωση πληροφόρησης εκπληρώνεται παρέχοντας στον Εξαγωγέα Δεδομένων έκθεση ελέγχου (που καλύπτει την ασφάλεια των αρχών, τη διαθεσιμότητα του συστήματος και την εμπιστευτικότητα) ("Έκθεση ελέγχου"). Εάν απαιτούνται νομικά πρόσθετες δραστηριότητες ελέγχου, ο Εξαγωγέας Δεδομένων μπορεί να ζητήσει τη διενέργεια επιθεωρήσεων από τον Εξαγωγέα Δεδομένων ή άλλον ελεγκτή που ορίζεται από τον Εξαγωγέα Δεδομένων, με την επιφύλαξη της εκτέλεσης από τον εν λόγω ελεγκτή συμφωνίας εμπιστευτικότητας με τον Εισαγωγέα Δεδομένων στον Εισαγωγέα Δεδομένων εύλογη ικανοποίηση ("Έλεγχος"). Ο έλεγχος αυτός υπόκειται στις ακόλουθες προϋποθέσεις:(i) την προηγούμενη επίσημη γραπτή αποδοχή του εισαγωγέα δεδομένων· και (ii) ο Εξαγωγέας Δεδομένων αναλαμβάνει όλα τα έξοδα που σχετίζονται με τον Επιτόπιο Έλεγχο για τον Εξαγωγέα Δεδομένων και τον Εισαγωγέα Δεδομένων. Ο Εξαγωγέας Δεδομένων πρέπει να δημιουργήσει μια έκθεση ελέγχου που θα συνοψίζει τα αποτελέσματα και τις παρατηρήσεις του επιτόπιου ελέγχου ("Επιτόπια έκθεση ελέγχου"). Οι Επιτόπιες Εκθέσεις Ελέγχου και οι Εκθέσεις Ελέγχου είναι εμπιστευτικές πληροφορίες του Εισαγωγέα Δεδομένων και δεν πρέπει να αποκαλύπτονται σε τρίτα μέρη εκτός εάν απαιτείται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων ή σύμφωνα με τη συγκατάθεση του Εισαγωγέα Δεδομένων.Οι Επιτόπιες Εκθέσεις Ελέγχου και οι Εκθέσεις Ελέγχου είναι εμπιστευτικές πληροφορίες του Εισαγωγέα Δεδομένων και δεν πρέπει να αποκαλύπτονται σε τρίτα μέρη εκτός εάν απαιτείται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων ή σύμφωνα με τη συγκατάθεση του Εισαγωγέα Δεδομένων.Οι Επιτόπιες Εκθέσεις Ελέγχου και οι Εκθέσεις Ελέγχου είναι εμπιστευτικές πληροφορίες του Εισαγωγέα Δεδομένων και δεν πρέπει να αποκαλύπτονται σε τρίτα μέρη εκτός εάν απαιτείται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων ή σύμφωνα με τη συγκατάθεση του Εισαγωγέα Δεδομένων.
  4. (iv) Ο Εισαγωγέας Δεδομένων έχει υποχρέωση να ειδοποιήσει τον Εξαγωγέα Δεδομένων χωρίς αδικαιολόγητη καθυστέρηση:
    1. ένα. σχετικά με οποιοδήποτε νομικά δεσμευτικό αίτημα για αποκάλυψη προσωπικών δεδομένων από αρχή επιβολής του νόμου, εκτός εάν απαγορεύεται διαφορετικά, όπως η απαγόρευση βάσει του ποινικού δικαίου για προστασία του απορρήτου μιας έρευνας επιβολής του νόμου
    2. σι. σχετικά με οποιοδήποτε παράπονο και αίτημα που λαμβάνεται απευθείας από ένα υποκείμενο δεδομένων (π.χ. σχετικά με πρόσβαση, διόρθωση, διαγραφή, περιορισμό επεξεργασίας, φορητότητα δεδομένων, αντίρρηση για επεξεργασία δεδομένων, αυτοματοποιημένη λήψη αποφάσεων) χωρίς να ανταποκριθεί στο αίτημα αυτό, εκτός εάν ο Εισαγωγέας Δεδομένων έχει εξουσιοδοτηθεί να να το κάνεις
    3. ντο. εάν ο Εισαγωγέας Δεδομένων ή ο Εκτελών την Επεξεργασία Δεδομένων υποχρεούται, σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο Εισαγωγέας Δεδομένων ή ο Επεξεργαστής Δεδομένων, να επεξεργάζεται τα προσωπικά δεδομένα πέρα ​​από τις οδηγίες του Εξαγωγέα Δεδομένων, πριν προβεί σε αυτήν την επεξεργασία πέραν τις οδηγίες, εκτός εάν η νομοθεσία της Ευρωπαϊκής Ένωσης ή του κράτους μέλους απαγορεύει αυτή την επεξεργασία για λόγους ζωτικής σημασίας δημόσιου συμφέροντος, οπότε η κοινοποίηση στον εξαγωγέα δεδομένων προσδιορίζει τη νομική απαίτηση βάσει του εν λόγω δικαίου της Ευρωπαϊκής Ένωσης ή του κράτους μέλους· ή
    4. ρε. εάν ο Εισαγωγέας Δεδομένων διαπιστώσει παραβίαση προσωπικών δεδομένων, αποκλειστικά εξαιτίας του ίδιου ή του υπεργολάβου του, η οποία θα επηρέαζε τα προσωπικά δεδομένα του Εξαγωγέα Δεδομένων που καλύπτονται από την παρούσα σύμβαση, οπότε ο Εισαγωγέας Δεδομένων θα βοηθήσει τον Εξαγωγέα Δεδομένων στην υποχρέωσή του, έναντι της ισχύουσας νομοθεσίας περί προστασίας δεδομένων, να ενημερώνει τα υποκείμενα των δεδομένων και, κατά περίπτωση, τις εποπτικές αρχές παρέχοντας τις πληροφορίες που έχει στη διάθεσή του, σύμφωνα με το άρθρο 33 παράγραφος 3 του GDPR.
    5. (v) Κατόπιν αιτήματος του Εξαγωγέα Δεδομένων, ο Εισαγωγέας Δεδομένων υποχρεούται να συνδράμει τον Εξαγωγέα Δεδομένων στην υποχρέωσή του να διενεργήσει εκτίμηση επιπτώσεων στην προστασία δεδομένων που μπορεί να απαιτείται από το άρθρο 35 του ΓΚΠΔ και σε προηγούμενη διαβούλευση που μπορεί να που απαιτείται από το άρθρο 36 του GDPR σχετικά με τις υπηρεσίες που παρέχει ο Εισαγωγέας Δεδομένων στον Εξαγωγέα Δεδομένων σύμφωνα με το παρόν Παράρτημα, παρέχοντας τα απαραίτητα και πληροφορίες στον Εξαγωγέα Δεδομένων. Ο Εισαγωγέας Δεδομένων θα είναι υποχρεωμένος να παρέχει τέτοια βοήθεια μόνο εάν ο Εξαγωγέας Δεδομένων δεν μπορεί να εκπληρώσει την υποχρέωσή του με άλλα μέσα. Ο Εισαγωγέας Δεδομένων θα ενημερώσει τον Εξαγωγέα Δεδομένων για το κόστος αυτής της βοήθειας. Μόλις ο Εξαγωγέας Δεδομένων επιβεβαιώσει ότι μπορεί να αναλάβει αυτό το κόστος, ο Εισαγωγέας Δεδομένων θα παράσχει αυτή τη βοήθεια στον Εξαγωγέα Δεδομένων.
    6. (vi) Στο τέλος της παροχής των υπηρεσιών, ο Εξαγωγέας Δεδομένων μπορεί να ζητήσει την επιστροφή των προσωπικών δεδομένων που επεξεργάζεται ο Εισαγωγέας Δεδομένων σύμφωνα με το παρόν Προσάρτημα εντός ενός μηνός από τις υπηρεσίες. Εκτός εάν η νομοθεσία του κράτους μέλους ή της Ευρωπαϊκής Ένωσης απαιτεί από τον Εισαγωγέα Δεδομένων να αποθηκεύει ή να διατηρεί αυτά τα προσωπικά δεδομένα, ο Εισαγωγέας Δεδομένων θα διαγράψει όλα αυτά τα προσωπικά ή μη δεδομένα μετά την περίοδο ενός μηνός, είτε αυτά έχουν επιστραφεί στο ο εξαγωγέας δεδομένων κατόπιν αιτήματός του ή όχι.

 

3.3 Δικαιώματα των ενδιαφερομένων

  1.  
    1. (i) Ο Εξαγωγέας Δεδομένων διαχειρίζεται και ανταποκρίνεται σε αιτήματα που υποβάλλονται από τα υποκείμενα των δεδομένων. Ο Εισαγωγέας Δεδομένων δεν υποχρεούται να απαντά απευθείας στα υποκείμενα των δεδομένων.
    2. (ii) Εάν ο Εξαγωγέας Δεδομένων απαιτεί τη βοήθεια του Εισαγωγέα Δεδομένων για την επεξεργασία και την ανταπόκριση στα αιτήματα του Υποκειμένου των Δεδομένων, ο Εξαγωγέας Δεδομένων θα εκδώσει περαιτέρω οδηγίες σύμφωνα με την ρήτρα 3.1 (ii) του Μέρους 1. Ο Εισαγωγέας Δεδομένων θα βοηθήσει τον Εξαγωγέα Δεδομένων με τα ακόλουθα κατάλληλα και τεχνικά οργανωτικά μέτρα για την ανταπόκριση στα αιτήματα για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που ορίζονται στο Κεφάλαιο III του GDPR ως εξής:
    3. ένα. Όσον αφορά τα αιτήματα για πληροφορίες, ο Εισαγωγέας Δεδομένων θα παρέχει στον Εξαγωγέα Δεδομένων μόνο τις πληροφορίες που απαιτούνται από τα άρθρα 13 και 14 του PGRD που μπορεί να έχει στη διάθεσή του εάν ο Εξαγωγέας Δεδομένων δεν μπορεί να τις βρει μόνος του.
    4. σι. Όσον αφορά αιτήματα πρόσβασης (άρθρο 15 του GDPR), ο Εισαγωγέας Δεδομένων θα παρέχει στον Εξαγωγέα Δεδομένων μόνο τις πληροφορίες που υποτίθεται ότι παρέχονται σε ένα υποκείμενο των δεδομένων για το εν λόγω αίτημα πρόσβασης, τις οποίες μπορεί να έχει στη διάθεσή του εάν ο τελευταίος δεν μπορεί να το βρει μόνος του.
    5. ντο. Όσον αφορά αιτήματα διόρθωσης (άρθρο 16 του GDPR), αιτήματα διαγραφής (άρθρο 17 του GDPR), περιορισμό αιτημάτων για επεξεργασία (άρθρο 18 του GDPR) ή αιτήματα φορητότητας (άρθρο 20 του GDPR) και μόνο εάν ο Εξαγωγέας Δεδομένων δεν μπορεί ο ίδιος να διορθώσει ή να διαγράψει, να περιορίσει ή να διαβιβάσει τα προσωπικά δεδομένα σε άλλο τρίτο μέρος, ο Εισαγωγέας Δεδομένων θα προσφέρει στον Εξαγωγέα Δεδομένων τη δυνατότητα να διορθώσει ή να διαγράψει, να περιορίσει ή να διαβιβάσει τα σχετικά προσωπικά δεδομένα στο άλλο τρίτο μέρος, ή εάν αυτό δεν είναι δυνατό, θα παράσχει τη βοήθεια για τη διόρθωση ή τη διαγραφή, τον περιορισμό ή τη διαβίβαση στο άλλο τρίτο μέρος των σχετικών προσωπικών δεδομένων.
    6. ρε. Όσον αφορά την ειδοποίηση σχετικά με τη διόρθωση, τη διαγραφή ή τον περιορισμό της επεξεργασίας (άρθρο 19 του GDPR), ο Εισαγωγέας Δεδομένων θα βοηθήσει τον Εξαγωγέα Δεδομένων ειδοποιώντας όλους τους παραλήπτες των προσωπικών δεδομένων που δεσμεύονται από τον Εισαγωγέα Δεδομένων ως εκτελούντες την επεξεργασία, εάν το ζητήσει ο Εξαγωγέας Δεδομένων και εάν ο Εξαγωγέας Δεδομένων δεν μπορεί να διορθώσει την κατάσταση μόνος του.
    7. μι. Όσον αφορά το δικαίωμα εναντίωσης που ασκείται από ένα υποκείμενο των δεδομένων (άρθρα 21 και 22 του ΓΚΠΔ), ο Εξαγωγέας Δεδομένων θα καθορίσει εάν η αντίθεση είναι νόμιμη και πώς θα την αντιμετωπίσει.
    8. (iii) Οι υποχρεώσεις βοήθειας του Εισαγωγέα Δεδομένων περιορίζονται στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία εντός της υποδομής του (π.χ. βάσεις δεδομένων, συστήματα, εφαρμογές που ανήκουν ή παρέχονται από τον Εισαγωγέα Δεδομένων).
    9. (iv) Ο Εξαγωγέας Δεδομένων θα καθορίσει εάν ένα Υποκείμενο Δεδομένων μπορεί να ασκήσει τα δικαιώματα των Υποκειμένων των Δεδομένων που ορίζονται στην ρήτρα 3.1 του παρόντος Μέρους 1 και θα ενημερώσει τον Εισαγωγέα Δεδομένων για τον βαθμό στον οποίο η βοήθεια που καθορίζεται στις ρήτρες 3.3 (ii), ( iii) του Μέρους 1 είναι απαραίτητο.
    10. (v) Εάν ο Εξαγωγέας Δεδομένων ζητήσει πρόσθετα ή τροποποιημένα τεχνικά και οργανωτικά μέτρα για την εκπλήρωση των δικαιωμάτων των υποκειμένων των δεδομένων τα οποία υπερβαίνουν τη βοήθεια που παρέχεται από τον Εισαγωγέα Δεδομένων σύμφωνα με την Υποκλάση 3.3 (ii), (iii) του Μέρους 1, τα Δεδομένα Ο εισαγωγέας ενημερώνει τον εξαγωγέα δεδομένων για το κόστος εφαρμογής αυτών των πρόσθετων ή τροποποιημένων τεχνικών και οργανωτικών μέτρων. Μόλις ο Εξαγωγέας Δεδομένων επιβεβαιώσει ότι μπορεί να καλύψει αυτές τις δαπάνες, ο Εισαγωγέας Δεδομένων θα εφαρμόσει τέτοια πρόσθετα ή τροποποιημένα τεχνικά και οργανωτικά μέτρα για να βοηθήσει τον Εξαγωγέα Δεδομένων να ανταποκριθεί στα αιτήματα των Υποκειμένων των Δεδομένων.
    11. (vi) Χωρίς περιορισμό του πεδίου εφαρμογής της ρήτρας 3.3 (v) του Μέρους 1, ο Εξαγωγέας Δεδομένων υποχρεούται να αποζημιώσει τον Εισαγωγέα Δεδομένων για τα εύλογα έξοδά του που πραγματοποιήθηκαν για την ανταπόκριση στα αιτήματα των Υποκειμένων των Δεδομένων.

 

3.4 Υποεπεξεργασία

  1.  
    1. (i) Ο Εξαγωγέας Δεδομένων εξουσιοδοτεί τον Εισαγωγέα Δεδομένων να χρησιμοποιεί υπεργολάβους για την παροχή υπηρεσιών βάσει του παρόντος Παραρτήματος. Ο Εισαγωγέας Δεδομένων επιλέγει προσεκτικά αυτούς τους επεξεργαστές δεδομένων. Ο εξαγωγέας δεδομένων εγκρίνει τον(τους) επεξεργαστή(ες) δεδομένων που αναφέρονται στο Παράρτημα 1.1 στο τέλος του Μέρους 2.
    2. (ii) Ο Εισαγωγέας Δεδομένων θα μεταβιβάσει τις υποχρεώσεις του βάσει του παρόντος Προσαρτήματος στον ή στους εκτελούντες την επεξεργασία δεδομένων στο βαθμό που ισχύει για τις υπηρεσίες υπεργολαβίας.
    3. (iii) Ο Εισαγωγέας Δεδομένων μπορεί να απορρίψει, να αντικαταστήσει ή να διορίσει άλλον κατάλληλο και αξιόπιστο(ους) υπεύθυνο(ους) επεξεργασίας δεδομένων κατά την κρίση του. Εάν ζητηθεί γραπτώς από τον Εξαγωγέα Δεδομένων, ο Εισαγωγέας Δεδομένων πρέπει να ακολουθήσει τη διαδικασία που ορίζεται παρακάτω:
  1.  
    1. ένα. Ο Εισαγωγέας Δεδομένων ενημερώνει τον Εξαγωγέα Δεδομένων πριν από οποιεσδήποτε αλλαγές στον κατάλογο των υπευθύνων επεξεργασίας δεδομένων που αναφέρονται στην ρήτρα 3.4 (i) του Μέρους 1. Εάν ο Εξαγωγέας Δεδομένων δεν έχει αντίρρηση σύμφωνα με τον Όρο 3.4. (β) του Μέρους 1 τριάντα ημέρες μετά τη λήψη ειδοποίησης από τον Εισαγωγέα Δεδομένων, οι πρόσθετοι υπεύθυνοι επεξεργασίας δεδομένων θεωρούνται αποδεκτοί.
    2. σι. Εάν ο Εξαγωγέας Δεδομένων έχει νόμιμο λόγο να αντιταχθεί σε έναν πρόσθετο επεξεργαστή δεδομένων, θα ειδοποιήσει εκ των προτέρων γραπτώς τον Εισαγωγέα Δεδομένων εντός τριάντα ημερών από τη λήψη της ειδοποίησης του Εισαγωγέα Δεδομένων και πριν τεθεί σε λειτουργία η υπηρεσία του Εισαγωγέα Δεδομένων. Εάν ο Εξαγωγέας Δεδομένων αντιταχθεί στη χρήση πρόσθετου επεξεργαστή δεδομένων, ο Εισαγωγέας δεδομένων μπορεί να εξαλείψει την ένσταση με μία από τις ακόλουθες επιλογές (που επιλέγεται κατά την κρίση του): (Α) ο Εισαγωγέας Δεδομένων θα ακυρώσει τα σχέδιά του για χρήση πρόσθετου επεξεργαστή σχετικά με τα προσωπικά δεδομένα του εξαγωγέα δεδομένων· (Β) ο Εισαγωγέας Δεδομένων θα λάβει τα διορθωτικά μέτρα που ζητούνται από τον Εξαγωγέα Δεδομένων στην ένστασή του (ακύρωση της ένστασης) και θα χρησιμοποιήσει τον πρόσθετο επεξεργαστή σχετικά με τα προσωπικά δεδομένα του Εξαγωγέα Δεδομένων·(Γ) ο Εισαγωγέας Δεδομένων μπορεί να σταματήσει να παρέχει ή ο Εξαγωγέας Δεδομένων μπορεί να συμφωνήσει να μην χρησιμοποιεί (προσωρινά ή μόνιμα) μια συγκεκριμένη πτυχή της υπηρεσίας που θα συνεπαγόταν τη χρήση των προσωπικών δεδομένων του Εξαγωγέα Δεδομένων από τον περαιτέρω επεξεργαστή του Εξαγωγέα Δεδομένων.
  1.  
    1. (iv) εάν ο εκτελών την επεξεργασία δεδομένων εδρεύει εκτός ΕΕ-ΕΟΧ σε χώρα που δεν αναγνωρίζεται ότι προσφέρει επαρκές επίπεδο προστασίας δεδομένων μετά από απόφαση της Ευρωπαϊκής Επιτροπής, ο Εισαγωγέας Δεδομένων θα λάβει τα μέτρα για να συμμορφωθεί με το κατάλληλο επίπεδο προστασίας δεδομένων σύμφωνα με τον GDPR (τα μέτρα αυτά μπορεί να περιλαμβάνουν - μεταξύ άλλων - τη χρήση συμβάσεων επεξεργασίας δεδομένων με βάση τις ρήτρες του προτύπου ΕΕ, μεταφορά σε αυτοπιστοποιημένους επεξεργαστές δεδομένων στο πλαίσιο της ασπίδας προστασίας ΕΕ-ΗΠΑ , ή παρόμοιο πρόγραμμα).

 

3.5 Λήξη

Η λήξη του παρόντος Παραρτήματος είναι ταυτόσημη με την ημερομηνία λήξης της αντίστοιχης Σύμβασης. Εκτός εάν ορίζεται διαφορετικά στο παρόν προσάρτημα, τα δικαιώματα και οι υποχρεώσεις που σχετίζονται με την καταγγελία είναι τα ίδια με αυτά που περιέχονται στη Σύμβαση.

 

4. Περιορισμός Ευθύνης

4.1 Κάθε συμβαλλόμενο μέρος χειρίζεται τις υποχρεώσεις του βάσει του παρόντος Παραρτήματος και της ισχύουσας νομοθεσίας περί προστασίας δεδομένων.

4.2 Οποιαδήποτε ευθύνη που σχετίζεται με παραβίαση των υποχρεώσεων βάσει του παρόντος Προσαρτήματος ή της ισχύουσας νομοθεσίας περί προστασίας δεδομένων υπόκειται και διέπεται από τις διατάξεις περί ευθύνης που ορίζονται ή εφαρμόζονται στη Σύμβαση, εκτός εάν προβλέπεται διαφορετικά στο παρόν Προσάρτημα. Εάν η ευθύνη διέπεται από τις διατάξεις περί ευθύνης που ορίζονται ή εφαρμόζονται στη Σύμβαση, για τον υπολογισμό των ορίων ευθύνης ή τον καθορισμό της εφαρμογής άλλων περιορισμών ευθύνης, οποιαδήποτε ευθύνη που προκύπτει από το παρόν Προσάρτημα θα θεωρείται ότι προκύπτει από τη Σύμβαση.

 

5. Γενικές διατάξεις

5.1 Εάν υπάρχουν οποιεσδήποτε ασυνέπειες ή ασυμφωνίες μεταξύ των μερών 1 και 2 του παρόντος προσαρτήματος, υπερισχύει το Μέρος 2. Συγκεκριμένα, ακόμη και σε μια τέτοια περίπτωση, το Μέρος 1 το οποίο απλώς υπερβαίνει το Μέρος 2 (δηλαδή τους όρους των Τυποποιημένων ρητρών) χωρίς να έρχεται σε αντίθεση με αυτό, θα παραμείνει σε ισχύ.

5.2 Εάν προκύψει οποιαδήποτε ασυμφωνία μεταξύ των διατάξεων του παρόντος Παραρτήματος και εκείνων άλλων συμβάσεων που δεσμεύουν τα μέρη, το παρόν Προσάρτημα υπερισχύει όσον αφορά τις υποχρεώσεις των μερών για την προστασία δεδομένων. Σε περίπτωση αμφιβολίας ως προς το εάν οι ρήτρες σε άλλες συμβάσεις αφορούν τις υποχρεώσεις των μερών για την προστασία δεδομένων, υπερισχύει το παρόν προσάρτημα.

5.3 Εάν οποιαδήποτε διάταξη του παρόντος Παραρτήματος είναι άκυρη ή ανεφάρμοστη, το υπόλοιπο αυτού του Παραρτήματος θα παραμείνει σε πλήρη ισχύ και ισχύ. Η άκυρη ή μη εκτελεστή διάταξη (i) θα τροποποιηθεί για να διασφαλιστεί η εγκυρότητα και η εκτελεστότητά της, διατηρώντας στο μέτρο του δυνατού την πρόθεση των μερών, ή - εάν αυτό δεν είναι δυνατό - (ii) ερμηνεύεται ως εάν το άκυρο ή μη εκτελεστό μέρος είχε δεν ήταν ποτέ μέρος της σύμβασης. Τα ανωτέρω ισχύουν επίσης εάν υπάρχει παράλειψη στο παρόν Προσάρτημα.

5.5 Στο βαθμό που είναι απαραίτητο, τα Μέρη μπορούν να ζητήσουν τροποποιήσεις στο Μέρος 1, Ρήτρα 3 (Συμμόρφωση με την τοπική νομοθεσία) ή άλλα μέρη του Παραρτήματος προκειμένου να συμμορφωθούν με ερμηνείες, οδηγίες ή εντολές που εκδίδονται από τις αρμόδιες αρχές της Ένωσης ή του Κράτη μέλη, εθνικές διατάξεις επιβολής ή οποιεσδήποτε άλλες νομικές εξελίξεις σχετικά με τον GDPR ή άλλους όρους ανάθεσης σε οποιεσδήποτε οντότητες που εμπλέκονται στην επεξεργασία δεδομένων και συγκεκριμένα σχετικά με τη χρήση των Τυπικών συμβατικών ρητρών στον GDPR. Οι όροι των Τυπικών συμβατικών ρητρών δεν μπορούν να τροποποιηθούν ή να αντικατασταθούν εκτός εάν η Ευρωπαϊκή Επιτροπή το εγκρίνει ρητά (π.χ. με νέες κατάλληλες ρήτρες και πρότυπα προστασίας δεδομένων).

5.6 Οποιαδήποτε αναφορά σε αυτό το Παράρτημα στις «Ρήτρες» νοείται ότι αναφέρεται σε όλες τις διατάξεις του παρόντος Παραρτήματος, εκτός εάν ορίζεται διαφορετικά.

5.7 Η επιλογή δικαίου στο Μέρος 2, Ρήτρα 9 ισχύει για ολόκληρη τη Σύμβαση.

 

6.  Προσωπικά δεδομένα που διαβιβάζονται και υφίστανται επεξεργασία από τα μέρη για προσωπικούς σκοπούς (μεταφορά από τον υπεύθυνο επεξεργασίας στον υπεύθυνο επεξεργασίας δεδομένων)

6.1 Τα Μέρη γνωρίζουν πλήρως ότι ορισμένα προσωπικά δεδομένα θα μεταφερθούν από τον Εξαγωγέα Δεδομένων στον Εισαγωγέα Δεδομένων και αντιστρόφως, και ότι τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από κάθε Μέρος για τους δικούς του σκοπούς. Όσον αφορά αυτά τα προσωπικά δεδομένα, δεν επηρεάζει τις λοιπές διατάξεις του παρόντος Παραρτήματος (εκτός από την παρούσα ρήτρα 6).

6.2 Ο Εξαγωγέας Δεδομένων μπορεί να μεταφέρει προσωπικά δεδομένα που σχετίζονται με το προσωπικό του Εισαγωγέα Δεδομένων στον Εισαγωγέα Δεδομένων, συμπεριλαμβανομένων πληροφοριών για συμβάντα ασφαλείας ή οποιωνδήποτε άλλων εγγράφων ή αρχείων που δημιουργούνται ή δημιουργούνται από τον Εξαγωγέα Δεδομένων σε σχέση με τις Υπηρεσίες που παρέχονται από το προσωπικό του τον Εισαγωγέα Δεδομένων. Ο Εισαγωγέας Δεδομένων μπορεί να επεξεργάζεται αυτά τα προσωπικά δεδομένα για δικούς του σκοπούς, ιδίως στις επαγγελματικές του σχέσεις με το προσωπικό του Εισαγωγέα Δεδομένων, για ποιοτικό έλεγχο και εκπαίδευση ή για επιχειρηματικούς σκοπούς.

6.3. Ο Εισαγωγέας Δεδομένων μπορεί να μεταφέρει προσωπικά δεδομένα στον Εξαγωγέα Δεδομένων, συμπεριλαμβανομένων του ονόματος και των στοιχείων επικοινωνίας του προσωπικού του Εισαγωγέα Δεδομένων. Ο Εξαγωγέας Δεδομένων μπορεί να επεξεργάζεται αυτά τα προσωπικά δεδομένα για δικούς του σκοπούς.

6.4 Και τα δύο μέρη θα συμμορφώνονται με τυχόν ισχύοντες νόμους περί προστασίας δεδομένων, συμπεριλαμβανομένου του GDPR, κατά τη συλλογή, επεξεργασία και χρήση τέτοιων προσωπικών δεδομένων που λαμβάνονται από το άλλο μέρος σύμφωνα με την ρήτρα 1 του Μέρους 1. Ειδικότερα, και τα δύο Μέρη λαμβάνουν τα κατάλληλα μέτρα ασφαλείας, παρέχοντας παρόμοιο επίπεδο προστασίας με τα μέτρα ασφαλείας που ορίζονται στο Παράρτημα 2 του Μέρους 2. Οποιαδήποτε πρόσβαση σε αυτά τα προσωπικά δεδομένα περιορίζεται στην ανάγκη γνώσης τους.

6.5 Και τα δύο μέρη πρέπει να διαγράψουν αυτά τα προσωπικά δεδομένα το συντομότερο δυνατό μετά την επίτευξη των στόχων.

Μέρος 2ο

 

ΑΠΟΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ

στις 5 Φεβρουαρίου 2010

σχετικά με τις τυπικές συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες την επεξεργασία δεδομένων εγκατεστημένων σε τρίτες χώρες δυνάμει της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

 

 

 

Ρήτρα 1

Ορισμοί

Κατά την έννοια των ρητρών:

α) «δεδομένα προσωπικού χαρακτήρα», «ειδικές κατηγορίες δεδομένων», «επεξεργασία/επεξεργασία», «υπεύθυνος επεξεργασίας», «υπεύθυνος επεξεργασίας», «υποκείμενο δεδομένων» και «εποπτική αρχή» έχουν την ίδια έννοια όπως στην 95/46/ΕΚ Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των ατόμων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών (1)·

β) ο «Εξαγωγέας Δεδομένων» είναι ο υπεύθυνος επεξεργασίας δεδομένων που μεταφέρει τα προσωπικά δεδομένα·

γ) ο «Εισαγωγέας Δεδομένων» είναι ο εκτελών την επεξεργασία δεδομένων που συμφωνεί να λάβει από τον Εξαγωγέα Δεδομένων προσωπικά δεδομένα που προορίζονται να υποστούν επεξεργασία για λογαριασμό του Εξαγωγέα Δεδομένων μετά τη διαβίβαση σύμφωνα με τις οδηγίες του και σύμφωνα με τους όρους αυτών των ρητρών και ο οποίος δεν είναι με την επιφύλαξη του μηχανισμού τρίτης χώρας που εξασφαλίζει επαρκή προστασία κατά την έννοια του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ· (δ) «Εκτελών την επεξεργασία δεδομένων» σημαίνει τον εκτελούντα την επεξεργασία δεδομένων που δεσμεύεται από τον Εισαγωγέα Δεδομένων ή από οποιονδήποτε άλλο επεξεργαστή δεδομένων του Εισαγωγέα Δεδομένων που συμφωνεί να λαμβάνει από τον Εισαγωγέα Δεδομένων ή οποιονδήποτε άλλο επεξεργαστή δεδομένων του Εισαγωγέα δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δραστηριότητες επεξεργασίας να πραγματοποιηθεί για λογαριασμό του Εξαγωγέα Δεδομένων μετά τη διαβίβαση σύμφωνα με τις οδηγίες του Εξαγωγέα Δεδομένων,υπό τους όρους που ορίζονται στις παρούσες ρήτρες και υπό τους όρους της γραπτής υπεργολαβίας της σύμβασης επεξεργασίας δεδομένων·

ε) "ισχύουσα νομοθεσία για την προστασία δεδομένων" σημαίνει τη νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, συμπεριλαμβανομένου του δικαιώματος στην ιδιωτική ζωή όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, και εφαρμόζεται σε υπεύθυνο επεξεργασίας στο κράτος μέλος όπου είναι εγκατεστημένος ο εξαγωγέας δεδομένων·

στ) "τεχνικά και οργανωτικά μέτρα σχετικά με την ασφάλεια" σημαίνει μέτρα που αποσκοπούν στην προστασία των δεδομένων προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση, ιδίως όταν η επεξεργασία περιλαμβάνει τη μετάδοση δεδομένων μέσω δικτύων και από κάθε άλλη παράνομη επεξεργασία.

Ρήτρα 2

Λεπτομέρειες για τη μεταγραφή

Οι λεπτομέρειες της διαβίβασης, συμπεριλαμβανομένων, κατά περίπτωση, ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθορίζονται στο Παράρτημα 1, το οποίο αποτελεί αναπόσπαστο μέρος αυτών των ρητρών.

Ρήτρα 3

Ρήτρα δικαιούχου τρίτων

1. Το υποκείμενο των δεδομένων μπορεί να επιβάλει εναντίον του Εξαγωγέα Δεδομένων την παρούσα ρήτρα, την ρήτρα 4 στοιχεία β) έως (i), την ρήτρα 5 (α) έως (ε) και (ζ) έως (ι), την ρήτρα 6 (1) και (2). ), Ρήτρα 7, ρήτρα 8 παράγραφος 2 και ρήτρες 9 έως 12 ως δικαιούχος τρίτου

2. Το υποκείμενο των δεδομένων μπορεί να επιβάλει την παρούσα ρήτρα, ρήτρα 5 (α) έως (ε) και (ζ), ρήτρα 6, ρήτρα 7, ρήτρα 8 (2) και ρήτρες 9 έως 12 κατά του εισαγωγέα δεδομένων όταν ο Εξαγωγέας Δεδομένων έχει εξαφανίστηκε ή έπαυσε να υφίσταται νομικά, εκτός εάν όλες οι νομικές του υποχρεώσεις έχουν μεταφερθεί, με σύμβαση ή βάσει νόμου, στη διάδοχη οντότητα, στην οποία επιστρέφονται επομένως τα δικαιώματα και οι υποχρεώσεις του Εξαγωγέα Δεδομένων και κατά της οποίας τα δεδομένα Το υποκείμενο μπορεί επομένως να επιβάλει τις εν λόγω ρήτρες.

Το υποκείμενο των δεδομένων μπορεί να επιβάλει την παρούσα ρήτρα, ρήτρα 5 (α) έως (ε) και (ζ), ρήτρα 6, ρήτρα 7, ρήτρα 8 (2) και ρήτρες 9 έως 12 κατά του εκτελούντος την επεξεργασία δεδομένων, αλλά μόνο σε περιπτώσεις όπου τα Δεδομένα Ο Εξαγωγέας και ο Εισαγωγέας Δεδομένων έχουν εξαφανιστεί σωματικά, έχουν πάψει να υφίστανται νομικά ή έχουν καταστεί αφερέγγυα, εκτός εάν όλες οι νομικές υποχρεώσεις του Εξαγωγέα Δεδομένων έχουν μεταβιβαστεί, με σύμβαση ή βάσει νόμου, στον νόμιμο διάδοχο, στον οποίο τα δικαιώματα και Συνεπώς, βαρύνουν τον Εξαγωγέα Δεδομένων και έναντι του οποίου το υποκείμενο των δεδομένων μπορεί να επιβάλει τέτοιες ρήτρες. Αυτή η ευθύνη του εκτελούντος την επεξεργασία δεδομένων πρέπει να περιορίζεται στις δικές του δραστηριότητες επεξεργασίας βάσει αυτών των ρητρών.

4. Τα μέρη δεν αντιτίθενται στην εκπροσώπηση του υποκειμένου των δεδομένων από ένωση ή άλλο φορέα εάν το επιθυμεί και εάν το επιτρέπει η εθνική νομοθεσία.

Ρήτρα 4

Υποχρεώσεις του Εξαγωγέα Δεδομένων

Ο Εξαγωγέας Δεδομένων αποδέχεται και εγγυάται τα ακόλουθα:

α) η επεξεργασία, συμπεριλαμβανομένης της πραγματικής διαβίβασης δεδομένων προσωπικού χαρακτήρα, πραγματοποιήθηκε και θα συνεχίσει να πραγματοποιείται σύμφωνα με τις σχετικές διατάξεις της ισχύουσας νομοθεσίας περί προστασίας δεδομένων (και, κατά περίπτωση, έχει κοινοποιηθεί στις αρμόδιες αρχές του κράτους μέλους στην οποία εδρεύει ο Εξαγωγέας Δεδομένων) και δεν παραβιάζει τις σχετικές διατάξεις αυτού του Κράτους·

β) έχουν δώσει οδηγίες και θα δώσουν εντολή στον Εισαγωγέα Δεδομένων να επεξεργάζεται τα προσωπικά δεδομένα που διαβιβάζονται για λογαριασμό του Εξαγωγέα Δεδομένων και σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας δεδομένων και τις παρούσες ρήτρες, κατά τη διάρκεια των υπηρεσιών επεξεργασίας δεδομένων.

γ) ο Εισαγωγέας Δεδομένων θα παρέχει επαρκείς διασφαλίσεις σχετικά με τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο Παράρτημα 2 της παρούσας σύμβασης.

δ) μετά από αξιολόγηση των απαιτήσεων της ισχύουσας νομοθεσίας για την προστασία δεδομένων, τα μέτρα ασφαλείας είναι επαρκή για την προστασία των προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση, ιδίως όταν η επεξεργασία περιλαμβάνει τη μετάδοση δεδομένων μέσω δικτύου και έναντι όλων των άλλων παράνομων μορφών επεξεργασίας και να διασφαλίζει επίπεδο ασφάλειας κατάλληλο για τους κινδύνους που αντιπροσωπεύει η επεξεργασία και τη φύση των δεδομένων που πρέπει να προστατευθούν, λαμβάνοντας υπόψη το επίπεδο τεχνολογίας και το κόστος εφαρμογής·

ε) θα διασφαλίζουν τη συμμόρφωση με τα μέτρα ασφαλείας·

στ) εάν η διαβίβαση σχετίζεται με ειδικές κατηγορίες δεδομένων, το υποκείμενο των δεδομένων έχει ενημερωθεί ή θα ενημερωθεί πριν από τη διαβίβαση ή το συντομότερο δυνατό μετά τη διαβίβαση ότι τα δεδομένα του ενδέχεται να μεταφερθούν σε τρίτη χώρα που δεν προσφέρει επαρκές επίπεδο προστασίας κατά την έννοια της οδηγίας 95/46/ΕΚ·

ζ) θα διαβιβάσουν οποιαδήποτε ειδοποίηση ληφθεί από τον Εισαγωγέα Δεδομένων ή οποιονδήποτε εκτελούντα την επεξεργασία δεδομένων σύμφωνα με τις ρήτρες 5 (β) και 8 (3) στην εποπτική αρχή προστασίας δεδομένων εάν αποφασίσει να συνεχίσει τη διαβίβαση ή να άρει την αναστολή της·

η) θέτουν στη διάθεση των υποκειμένων των δεδομένων, εάν το ζητήσουν, αντίγραφο αυτών των ρητρών, εκτός από το Παράρτημα 2, και μια συνοπτική περιγραφή των μέτρων ασφαλείας και αντίγραφο οποιασδήποτε περαιτέρω συμφωνίας υπεργολαβίας, που έχει συναφθεί βάσει αυτών των ρητρών, εκτός εάν Οι ρήτρες ή η συμφωνία περιέχουν εμπορικές πληροφορίες, οπότε μπορεί να αποσύρει αυτές τις πληροφορίες.

θ) σε περίπτωση υπεργολαβίας της διαδικασίας επεξεργασίας δεδομένων, η δραστηριότητα επεξεργασίας πραγματοποιείται σύμφωνα με την ρήτρα 11 από έναν εκτελούντα την επεξεργασία δεδομένων που παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας των προσωπικών δεδομένων και των δικαιωμάτων του υποκειμένου των δεδομένων με τον Εισαγωγέα Δεδομένων βάσει αυτών των ρητρών ; και

ι) θα διασφαλίζει τη συμμόρφωση με την ρήτρα 4 (α) έως (i).

Ρήτρα 5

Υποχρεώσεις του Εισαγωγέα Δεδομένων

Ο Εισαγωγέας Δεδομένων αποδέχεται και εγγυάται τα ακόλουθα:

α) θα επεξεργάζονται τα προσωπικά δεδομένα μόνο για λογαριασμό του Εξαγωγέα Δεδομένων και σύμφωνα με τις οδηγίες του Εξαγωγέα Δεδομένων και αυτές τις ρήτρες· εάν δεν μπορεί να συμμορφωθεί για οποιονδήποτε λόγο, συμφωνούν να ενημερώσουν τον Εξαγωγέα Δεδομένων για την αδυναμία του το συντομότερο δυνατό, οπότε ο Εξαγωγέας Δεδομένων μπορεί να αναστείλει τη μεταφορά δεδομένων ή/και να τερματίσει τη σύμβαση·

β) δεν έχουν κανένα λόγο να πιστεύουν ότι το εφαρμοστέο σε αυτούς δίκαιο τον εμποδίζει να εκπληρώσει τις οδηγίες του Εξαγωγέα Δεδομένων και τις υποχρεώσεις που του απορρέουν βάσει της σύμβασης, και εάν το δίκαιο αυτό υπόκειται σε αλλαγή που θα μπορούσε να έχει ουσιώδεις αρνητικές επιπτώσεις επηρεάζει τις εγγυήσεις και τις υποχρεώσεις βάσει των ρητρών, ενημερώνει τον Εξαγωγέα Δεδομένων για την αλλαγή χωρίς καθυστέρηση αφού λάβει γνώση, οπότε ο Εξαγωγέας Δεδομένων μπορεί να αναστείλει τη μεταφορά δεδομένων ή/και να τερματίσει τη σύμβαση· (γ) έχουν εφαρμόσει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο Παράρτημα 2 πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν·

δ) θα ειδοποιήσουν χωρίς καθυστέρηση τον Εξαγωγέα Δεδομένων:

i) κάθε δεσμευτικό αίτημα για αποκάλυψη προσωπικών δεδομένων από αρχή επιβολής του νόμου, εκτός εάν ορίζεται διαφορετικά, όπως ποινική απαγόρευση που αποσκοπεί στη διατήρηση του απορρήτου μιας αστυνομικής έρευνας·

ii) οποιαδήποτε τυχαία ή μη εξουσιοδοτημένη πρόσβαση· και

iii) κάθε αίτημα που λαμβάνεται απευθείας από τα ενδιαφερόμενα πρόσωπα χωρίς να απαντήσει σε αυτό, εκτός εάν έχει εξουσιοδοτηθεί να το πράξει· διαχειριστές

ε) θα χειρίζονται έγκαιρα και σωστά όλα τα ερωτήματα από τον Εξαγωγέα Δεδομένων σχετικά με την επεξεργασία των προσωπικών δεδομένων που διαβιβάζονται και θα ενεργούν σύμφωνα με τη γνώμη της εποπτικής αρχής σχετικά με την επεξεργασία των δεδομένων που διαβιβάζονται·

στ) κατόπιν αιτήματος του Εξαγωγέα Δεδομένων, θα υποβάλουν τις εγκαταστάσεις επεξεργασίας δεδομένων του σε έλεγχο των δραστηριοτήτων επεξεργασίας που καλύπτονται από αυτές τις ρήτρες που θα διενεργήσει ο Εξαγωγέας Δεδομένων ή εποπτικό όργανο που αποτελείται από ανεξάρτητα μέλη με τα απαιτούμενα επαγγελματικά προσόντα, υπόκειται σε υποχρέωση εχεμύθειας και επιλέγεται από τον Εξαγωγέα Δεδομένων, κατά περίπτωση με τη συμφωνία της εποπτικής αρχής·

ζ) θα θέσουν στη διάθεση του υποκειμένου των δεδομένων, εάν το ζητήσει, αντίγραφο αυτών των ρητρών ή οποιασδήποτε υπάρχουσας υπεργολαβίας τη σύμβαση επεξεργασίας δεδομένων, εκτός εάν οι όροι ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε μπορεί να αφαιρέσει αυτές τις πληροφορίες, εκτός από το Παράρτημα 2, το οποίο θα αντικατασταθεί από μια συνοπτική περιγραφή των μέτρων ασφαλείας, όταν το υποκείμενο των δεδομένων δεν μπορεί να λάβει αντίγραφο από τον εξαγωγέα δεδομένων·

η) σε περίπτωση εμπιστευτικής περαιτέρω υπεργολαβίας για την επεξεργασία των δεδομένων, θα μεριμνήσει ώστε να ενημερώσει εκ των προτέρων τον Εξαγωγέα Δεδομένων και να λάβει τη γραπτή συγκατάθεση του Εξαγωγέα Δεδομένων·

i) οι υπηρεσίες επεξεργασίας που παρέχονται από τον εκτελούντα την επεξεργασία δεδομένων συμμορφώνονται με την ρήτρα 11·

ι) θα αποστείλουν αμέσως αντίγραφο οποιασδήποτε υπεργολαβίας της συμφωνίας επεξεργασίας δεδομένων που έχει συνάψει βάσει αυτών των ρητρών στον εξαγωγέα δεδομένων.

Ρήτρα 6

Ευθύνη

1. Τα μέρη συμφωνούν ότι κάθε υποκείμενο δεδομένων που έχει υποστεί ζημία λόγω παραβίασης των υποχρεώσεων που αναφέρονται στην ρήτρα 3 ή στην ρήτρα 11 από ένα μέρος ή από έναν εκτελούντα την επεξεργασία δεδομένων μπορεί να λάβει αποζημίωση από τον Εξαγωγέα Δεδομένων για τη ζημία που υπέστη.

2. Εάν ένα υποκείμενο των δεδομένων εμποδίζεται να ασκήσει αγωγή αποζημίωσης, όπως αναφέρεται στην παράγραφο 1, κατά του Εξαγωγέα Δεδομένων για αδυναμία του Εισαγωγέα Δεδομένων ή του επεξεργαστή δεδομένων του να συμμορφωθεί με οποιαδήποτε από τις υποχρεώσεις του βάσει της ρήτρας 3 ή της ρήτρας 11, επειδή τα δεδομένα Ο εξαγωγέας έχει εξαφανιστεί σωματικά, έπαυσε να υπάρχει νομικά ή έχει καταστεί αφερέγγυος, ο Εισαγωγέας Δεδομένων συμφωνεί ότι το υποκείμενο των δεδομένων μπορεί να υποβάλει καταγγελία εναντίον του σαν να ήταν ο Εξαγωγέας Δεδομένων, εκτός εάν όλες οι νομικές υποχρεώσεις του Εξαγωγέα Δεδομένων έχουν μεταφερθεί με σύμβαση ή βάσει νόμου, στον διάδοχό του φορέα, έναντι του οποίου το υποκείμενο των δεδομένων μπορεί στη συνέχεια να ασκήσει τα δικαιώματά του. Ο Εισαγωγέας Δεδομένων δεν μπορεί να βασιστεί σε παραβίαση των υποχρεώσεών του από τον εκτελούντα την επεξεργασία δεδομένων για να αποφύγει τη δική του ευθύνη.

3. Εάν ένα υποκείμενο των δεδομένων εμποδίζεται να ασκήσει τη αγωγή που αναφέρεται στις παραγράφους 1 και 2 κατά του Εξαγωγέα Δεδομένων ή του Εισαγωγέα Δεδομένων για παραβίαση από τον επεξεργαστή δεδομένων των υποχρεώσεών του βάσει της ρήτρας 3 ή της ρήτρας 11, επειδή ο Εξαγωγέας Δεδομένων και ο Εισαγωγέας Δεδομένων έχουν εξαφανιστεί σωματικά, έπαυσαν να υφίστανται βάσει νόμου ή έχουν καταστεί αφερέγγυος, ο επεξεργαστής δεδομένων συμφωνεί ότι το υποκείμενο των δεδομένων μπορεί να υποβάλει καταγγελία εναντίον του σχετικά με τις δικές του δραστηριότητες επεξεργασίας σύμφωνα με αυτές τις ρήτρες σαν να ήταν ο εξαγωγέας ή ο εισαγωγέας δεδομένων, εκτός εάν όλα οι νομικές υποχρεώσεις του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων έχουν μεταβιβαστεί, με σύμβαση ή βάσει νόμου, στον νόμιμο διάδοχο, έναντι του οποίου το υποκείμενο των δεδομένων μπορεί στη συνέχεια να διεκδικήσει τα δικαιώματά του.Η ευθύνη του εκτελούντος την επεξεργασία δεδομένων πρέπει να περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με αυτές τις ρήτρες.

 

Ρήτρα 7

Διαμεσολάβηση και δικαιοδοσία

1. Ο Εισαγωγέας Δεδομένων συμφωνεί ότι εάν σύμφωνα με τις ρήτρες, το υποκείμενο των δεδομένων επικαλεστεί εναντίον του το δικαίωμα του τρίτου δικαιούχου ή/και αξιώσει αποζημίωση για την ζημία που υπέστη, θα αποδεχτεί την απόφαση του υποκειμένου των δεδομένων:

α) να υποβάλει τη διαφορά σε διαμεσολάβηση από ανεξάρτητο πρόσωπο ή, κατά περίπτωση, από την εποπτική αρχή·

β) να προσφύγει στη διαφορά στα δικαστήρια του κράτους μέλους όπου εδρεύει ο εξαγωγέας δεδομένων.

2. Τα μέρη συμφωνούν ότι η επιλογή του υποκειμένου των δεδομένων δεν επηρεάζει το διαδικαστικό ή ουσιαστικό δικαίωμα του υποκειμένου των δεδομένων να αποζημιωθεί σύμφωνα με άλλες διατάξεις του εθνικού ή διεθνούς δικαίου.

Ρήτρα 8

Συνεργασία με εποπτικές αρχές

1. Ο Εξαγωγέας Δεδομένων συμφωνεί να καταθέσει αντίγραφο της παρούσας σύμβασης στην εποπτική αρχή εάν το απαιτεί η τελευταία ή εάν η εν λόγω κατάθεση προβλέπεται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων.

2. Τα μέρη συμφωνούν ότι η εποπτική αρχή μπορεί να διενεργεί ελέγχους στον Εισαγωγέα Δεδομένων και σε οποιονδήποτε εκτελούντα την επεξεργασία δεδομένων στον ίδιο βαθμό και υπό τους ίδιους όρους όπως και με τους ελέγχους που διενεργούνται στον εξαγωγέα δεδομένων σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας δεδομένων.

3. Ο Εισαγωγέας Δεδομένων ενημερώνει τον Εξαγωγέα Δεδομένων το συντομότερο δυνατό για την ύπαρξη νομοθεσίας σχετικά με τον Εισαγωγέα Δεδομένων ή οποιονδήποτε επεξεργαστή δεδομένων που εμποδίζει την επαλήθευση στον Εισαγωγέα Δεδομένων ή σε οποιονδήποτε επεξεργαστή δεδομένων σύμφωνα με την παράγραφο 2. Σε αυτή την περίπτωση, Ο εξαγωγέας δεδομένων μπορεί να λάβει τα μέτρα που προβλέπονται στην ρήτρα 5 στοιχείο β).

Ρήτρα 9

Εφαρμόσιμος νόμος

Οι ρήτρες ισχύουν και διέπονται από το δίκαιο του κράτους μέλους όπου εδρεύει ο Εξαγωγέας Δεδομένων.

Ρήτρα 10

Τροποποίηση της σύμβασης

Τα μέρη δεσμεύονται να μην τροποποιήσουν τις παρούσες ρήτρες. Τα μέρη παραμένουν ελεύθερα να συμπεριλάβουν άλλες εμπορικές ρήτρες που κρίνουν αναγκαίες, υπό την προϋπόθεση ότι δεν έρχονται σε αντίθεση με τις παρούσες ρήτρες.

Ρήτρα 11

Μεταγενέστερη υπεργολαβία

1. Ο Εισαγωγέας Δεδομένων δεν αναθέτει σε υπεργολαβία καμία από τις δραστηριότητές του επεξεργασίας που εκτελούνται για λογαριασμό του Εξαγωγέα Δεδομένων σύμφωνα με αυτές τις ρήτρες χωρίς την προηγούμενη γραπτή συγκατάθεση του Εξαγωγέα Δεδομένων. Ο Εισαγωγέας Δεδομένων αναθέτει υπεργολαβικά τις υποχρεώσεις του βάσει αυτών των Ρήτρων, με τη συγκατάθεση του Εξαγωγέα Δεδομένων, μέσω γραπτής συμφωνίας με τον εκτελούντα την επεξεργασία δεδομένων που επιβάλλει στον επεξεργαστή Δεδομένων τις ίδιες υποχρεώσεις με εκείνες που επιβάλλονται στον Εισαγωγέα Δεδομένων βάσει αυτών των Ρήτρων. Εάν ο εκτελών την επεξεργασία δεδομένων δεν μπορεί να συμμορφωθεί με τις υποχρεώσεις του για την προστασία των δεδομένων βάσει αυτής της γραπτής συμφωνίας, ο Εισαγωγέας Δεδομένων παραμένει πλήρως υπεύθυνος έναντι του Εξαγωγέα Δεδομένων για την εκπλήρωση αυτών των υποχρεώσεων.

2. Η προηγούμενη γραπτή συμφωνία μεταξύ του Εισαγωγέα Δεδομένων και του εκτελούντος την επεξεργασία δεδομένων περιλαμβάνει επίσης ρήτρα δικαιούχου τρίτου μέρους, όπως ορίζεται στην ρήτρα 3, για περιπτώσεις όπου το υποκείμενο των δεδομένων δεν μπορεί να υποβάλει αξίωση αποζημίωσης που αναφέρεται στην ρήτρα 6 (1 ), κατά του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων επειδή ο εξαγωγέας δεδομένων ή ο εισαγωγέας δεδομένων εξαφανίστηκε φυσικά, έπαψε να υφίσταται νομικά ή έχει καταστεί αφερέγγυος και όλες οι νομικές υποχρεώσεις του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων δεν έχουν μεταφερθεί, με σύμβαση ή πράξη νόμου, σε άλλο διάδοχο φορέα. Η ευθύνη του εκτελούντος την επεξεργασία δεδομένων πρέπει να περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με αυτές τις ρήτρες.

3. Οι διατάξεις που αφορούν τις πτυχές προστασίας δεδομένων της υπεργολαβίας για την επεξεργασία δεδομένων της σύμβασης που αναφέρεται στην παράγραφο 1 διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.

4. Ο Εξαγωγέας Δεδομένων τηρεί κατάλογο των συμβάσεων υπεργολαβίας για την επεξεργασία δεδομένων που έχουν συναφθεί δυνάμει των παρόντων ρητρών και κοινοποιούνται από τον εισαγωγέα δεδομένων σύμφωνα με το άρθρο 5 στοιχείο ι), ο οποίος ενημερώνεται τουλάχιστον μία φορά το χρόνο. Ο κατάλογος αυτός τίθεται στη διάθεση της εποπτικής αρχής προστασίας δεδομένων του εξαγωγέα δεδομένων.

Ρήτρα 12

Υποχρέωση μετά τον τερματισμό των υπηρεσιών επεξεργασίας προσωπικών δεδομένων

1. Τα μέρη συμφωνούν ότι με την ολοκλήρωση των υπηρεσιών επεξεργασίας δεδομένων, ο Εισαγωγέας Δεδομένων και ο Επεξεργαστής Δεδομένων θα επιστρέψουν όλα τα προσωπικά δεδομένα που μεταφέρθηκαν και τα αντίγραφά τους στον Εξαγωγέα Δεδομένων ή θα καταστρέψουν όλα αυτά τα δεδομένα και θα παράσχουν αποδεικτικά στοιχεία. την καταστροφή στον Εξαγωγέα Δεδομένων, εκτός εάν η νομοθεσία που επιβάλλεται στον Εισαγωγέα Δεδομένων τον εμποδίζει να επιστρέψει ή να καταστρέψει το σύνολο ή μέρος των προσωπικών δεδομένων που διαβιβάστηκαν. Σε αυτήν την περίπτωση, ο Εισαγωγέας Δεδομένων εγγυάται ότι θα διασφαλίσει την εμπιστευτικότητα των προσωπικών δεδομένων που διαβιβάζονται και ότι δεν θα επεξεργάζεται πλέον ενεργά τα δεδομένα.

2. Ο Εισαγωγέας Δεδομένων και ο Εκτελών την Επεξεργασία Δεδομένων διασφαλίζουν ότι, εάν ζητηθεί από τον Εξαγωγέα Δεδομένων ή/και την εποπτική αρχή, θα υποβάλουν τα μέσα επεξεργασίας δεδομένων τους στην επαλήθευση των μέτρων που αναφέρονται στην παράγραφο 1.

 

 

 

 

Παράρτημα 1.1 στο Μέρος 2

Λεπτομέρειες για τη μεταγραφή

 

 

Εξαγωγέας δεδομένων

Ο Εξαγωγέας Δεδομένων είναι ο Πελάτης που ορίζεται στη Συμβατική συμφωνία.

 

Εισαγωγέας δεδομένων

Ο Εισαγωγέας Δεδομένων είναι POSTCODEZIP και του έχει ανατεθεί η επεξεργασία των δεδομένων, παρέχοντας υπηρεσίες στον εξαγωγέα δεδομένων.

 

Υποκείμενα των δεδομένων

Τα προσωπικά δεδομένα που διαβιβάζονται αφορούν τις ακόλουθες κατηγορίες υποκειμένων δεδομένων:

ένα?? συνδρομητές τηλεφώνου που αναφέρονται στον καθολικό κατάλογο

â˜' Άλλα, συμπεριλαμβανομένων:

 

Κατηγορίες δεδομένων

Τα προσωπικά δεδομένα που διαβιβάζονται αφορούν τις ακόλουθες κατηγορίες δεδομένων:

 

Κατηγορίες προσωπικών δεδομένων των υποκειμένων δεδομένων του Εξαγωγέα Δεδομένων,

ένα?? Πλήρες όνομα

â˜' Ταχυδρομική διεύθυνση

ένα?? Στοιχεία επικοινωνίας (e-mail, τηλέφωνο, διεύθυνση IP κ.λπ.)

ένα?? Λεπτομέρειες για τις δραστηριότητες μάρκετινγκ που αφορούν τον τηλεφωνικό συνδρομητή

â~» Άλλοι, συμπεριλαμβανομένου του τύπου της στέγασης, το εισόδημα, και η μέση ηλικία από την πόλη γίνεται ανώνυμα

 

Ειδικές κατηγορίες δεδομένων (αν υπάρχουν)

Τα προσωπικά δεδομένα που διαβιβάζονται αφορούν τις ακόλουθες ειδικές κατηγορίες δεδομένων:

â˜' Δεν προβλέπεται η μεταφορά ειδικών κατηγοριών δεδομένων

ένα?? Φυλή ή εθνική καταγωγή

ένα?? Θρησκευτικές ή φιλοσοφικές πεποιθήσεις

ένα?? Συνδικαλιστική ένταξη

ένα?? Πολιτικές απόψεις

ένα?? Γενετική πληροφορία

ένα?? Βιομετρικές πληροφορίες

ένα?? Πληροφορίες για τον σεξουαλικό προσανατολισμό ή τη σεξουαλική ζωή

ένα?? Δεδομένα υγείας

 

Δραστηριότητες επεξεργασίας

Τα προσωπικά δεδομένα που μεταφέρονται θα υπόκεινται στις ακόλουθες βασικές δραστηριότητες επεξεργασίας:

 

  •  
    • •  Σκοπός της επεξεργασίας

Η επεξεργασία που πραγματοποιείται για λογαριασμό του Εξαγωγέα Δεδομένων βασίζεται στα ακόλουθα θέματα, ιδίως:

â˜' Ανάληψη των προϊόντων ή των υπηρεσιών που προσφέρονται από τον Εξαγωγέα Δεδομένων

â˜' Η προσφορά ενός προϊόντος ή μιας υπηρεσίας που μπορεί να ζητήσει ο καλούμενος

â˜' Παραγγελίες που λαμβάνονται από τα άτομα που καλούνται και περαιτέρω επεξεργασία αυτών των παραγγελιών

â˜' Ερωτηματολόγια και αναλύσεις μελέτης

â~» Telemarketing

ένα?? Άλλα, συμπεριλαμβανομένων:

 

  •  
    • •  Φύση και σκοπός της επεξεργασίας

Ο Εισαγωγέας Δεδομένων επεξεργάζεται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων για λογαριασμό του Εξαγωγέα Δεδομένων, προκειμένου να παρέχει τις ακόλουθες υπηρεσίες, και κυρίως:

  • â˜' Αυτόματη συμπλήρωση φόρμας
  • â˜' Έντυπο επικύρωσης διευθύνσεων

â˜' Πωλήσεις και Μάρκετινγκ

â˜' Άλλα, συμπεριλαμβανομένης της ενημέρωσης βάσεων δεδομένων των δημαρχείων και των πολιτικών κομμάτων

 

  •  
    • •  Παροχή υπηρεσιών και απασχόληση παρόχων υπηρεσιών

 

Το POSTCODEZIP συνδυάζει, συγκεντρώνει και παρέχει υπηρεσίες στον Εξαγωγέα Δεδομένων. Οι υπηρεσίες που παρέχονται από τον κατονομαζόμενο πάροχο υπηρεσιών μπορούν να δομηθούν (μεταξύ άλλων, ανάλογα με την περίπτωση) γύρω από τις ακόλουθες βοηθητικές υπηρεσίες: (i) παροχή εφαρμογών, εργαλείων, συστημάτων και υποδομής πληροφορικής σε σχέση με τα κέντρα επεξεργασίας δεδομένων που χρησιμοποιούνται, για την παροχή και υποστηρίζει τις υπηρεσίες, συμπεριλαμβανομένης της επεξεργασίας των προσωπικών δεδομένων των υποκειμένων των δεδομένων όπως περιγράφεται παραπάνω, μέσω τέτοιων εφαρμογών, εργαλείων και συστημάτων, (ii) την παροχή υποστήριξης, συντήρησης και άλλων υπηρεσιών πληροφορικής που σχετίζονται με τέτοιες εφαρμογές, εργαλεία, συστήματα και την υποδομή πληροφορικής, συμπεριλαμβανομένης της πιθανής πρόσβασης σε προσωπικά δεδομένα που είναι αποθηκευμένα σε τέτοιες εφαρμογές, εργαλεία και συστήματα, και (iii) την παροχή υπηρεσιών προστασίας δεδομένων, παρακολούθησης προστασίας και υπηρεσιών απόκρισης συμβάντων,συμπεριλαμβανομένης της πιθανής πρόσβασης σε προσωπικά δεδομένα κατά την παροχή τέτοιων υπηρεσιών προστασίας. Η POSTCODEZIP μπορεί να δεσμεύσει τους επεξεργαστές δεδομένων όπως ορίζεται παρακάτω για την παροχή των υπηρεσιών, συμπεριλαμβανομένων των βοηθητικών υπηρεσιών.

 

  •  
    • • Εξωτερικοί τρίτοι πάροχοι υπηρεσιών ως επιμέρους οντότητες που έχουν ανατεθεί στην επεξεργασία δεδομένων

 

Η POSTCODEZIP δεσμεύει εξωτερικούς και τρίτους παρόχους υπηρεσιών, οι οποίοι δεν είναι θυγατρικές της POSTCODEZIP, για την υποστήριξη της παροχής υπηρεσιών στον Εξαγωγέα Δεδομένων. Ο εξαγωγέας δεδομένων εγκρίνει τέτοιους εξωτερικούς τρίτους παρόχους υπηρεσιών ως επιμέρους οντότητες που έχουν ανατεθεί στην επεξεργασία δεδομένων.

 

Εάν μια επιμέρους οντότητα που εμπλέκεται στην επεξεργασία δεδομένων βρίσκεται εκτός ΕΕ/ΕΟΧ, σε χώρα που θεωρείται ότι δεν διαθέτει επαρκές επίπεδο προστασίας δεδομένων βάσει απόφασης της Ευρωπαϊκής Επιτροπής, ο Εισαγωγέας Δεδομένων θα λάβει μέτρα για την απόκτηση επαρκούς επιπέδου προστασία δεδομένων σύμφωνα με τον GDPR και την ενότητα 3.4 (iv) του Μέρους 1.

 

 

Παράρτημα 2, Μέρος 2

Τεχνικά και οργανωτικά προστατευτικά μέτρα

 

Ο Εισαγωγέας Δεδομένων λαμβάνει τα ακόλουθα τεχνικά και οργανωτικά μέτρα προστασίας που επιβεβαιώνονται από τον Εξαγωγέα Δεδομένων, προκειμένου να εγγυηθεί κατάλληλο επίπεδο ασφάλειας για τα δικαιώματα και τις ελευθερίες των ατόμων, ανάλογα με τους κινδύνους. Κατά την αξιολόγηση του σχετικού επιπέδου προστασίας, ο Εξαγωγέας Δεδομένων έλαβε υπόψη, ειδικότερα, τους κινδύνους που ενέχει η επεξεργασία, συμπεριλαμβανομένης της τυχαίας ή παράνομης καταστροφής, αλλοίωσης, μη εξουσιοδοτημένης αποκάλυψης ή πρόσβασης σε προσωπικά δεδομένα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν σε επεξεργασία με άλλο τρόπο. Διευκρινίζοντας: Αυτά τα τεχνικά και οργανωτικά μέτρα προστασίας δεν ισχύουν για τις εφαρμογές, τα εργαλεία, τα συστήματα ή/και την υποδομή πληροφορικής που παρέχονται από τον Εξαγωγέα Δεδομένων.

1 Γενικά τεχνικά και οργανωτικά μέτρα προστασίας

1.1 Γενικές πληροφορίες και στρατηγικές προστασίας δεδομένων

Θα πρέπει να ληφθούν τα ακόλουθα βήματα για να ακολουθηθούν οι γενικές στρατηγικές προστασίας δεδομένων και πληροφοριών:

  • α) λαμβάνει μέτρα για την αξιολόγηση εκείνων που έχουν ληφθεί όσον αφορά την τεχνική και οργανωτική προστασία·
  • β) παρέχει εκπαίδευση για την ευαισθητοποίηση των εργαζομένων·
  • γ) να έχει περιγραφή των σχετικών συστημάτων και να παρέχει πρόσβαση στους υπαλλήλους·
  • δ) καθιερώνει μια επίσημη διαδικασία τεκμηρίωσης κάθε φορά που εφαρμόζονται ή τροποποιούνται συστήματα·
  • ε) τεκμηρίωση της οργανωτικής δομής, των διαδικασιών, των ευθυνών και των αντίστοιχων αξιολογήσεων.

1.2 Οργάνωση προστασίας πληροφοριών

Θα πρέπει να ληφθούν τα ακόλουθα μέτρα για τον συντονισμό των δραστηριοτήτων προστασίας δεδομένων και πληροφοριών:

  • α) καθορισμένες αρμοδιότητες για την προστασία πληροφοριών και δεδομένων (π.χ. μέσω της πολιτικής διαχείρισης προστασίας δεδομένων).
  • β) την απαραίτητη εμπειρογνωμοσύνη για την προστασία των πληροφοριών και των δεδομένων που παραμένουν διαθέσιμα·
  • γ) όλοι οι εργαζόμενοι δεσμεύονται να διασφαλίζουν ότι τα προσωπικά δεδομένα τηρούνται εμπιστευτικά και έχουν ενημερωθεί για τις πιθανές συνέπειες της παραβίασης αυτής της δέσμευσης.

1.3 Έλεγχος πρόσβασης στις περιοχές επεξεργασίας

Πρέπει να λαμβάνονται τα ακόλουθα μέτρα για να αποτραπεί η πρόσβαση μη εξουσιοδοτημένων προσώπων σε συστήματα επεξεργασίας δεδομένων (ιδίως λογισμικό και υλικό) κατά την επεξεργασία, αποθήκευση ή διαβίβαση προσωπικών δεδομένων:

  • α) δημιουργία ασφαλών περιοχών·
  • β) να προστατεύει και να περιορίζει την πρόσβαση σε συστήματα επεξεργασίας δεδομένων·
  • γ) να θεσπίσει εξουσιοδοτήσεις πρόσβασης για υπαλλήλους και τρίτα μέρη, συμπεριλαμβανομένων των αντίστοιχων εγγράφων·
  • δ) οποιαδήποτε πρόσβαση σε κέντρα επεξεργασίας δεδομένων στα οποία αποθηκεύονται προσωπικά δεδομένα θα καταγράφεται.

1.4 Έλεγχος πρόσβασης σε συστήματα επεξεργασίας δεδομένων

Πρέπει να ληφθούν τα ακόλουθα μέτρα προκειμένου να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση σε συστήματα επεξεργασίας δεδομένων:

  • α) πολιτικές και διαδικασίες ελέγχου ταυτότητας χρήστη·
  • β) τη χρήση κωδικών πρόσβασης σε όλα τα συστήματα υπολογιστών.
  • γ) η απομακρυσμένη πρόσβαση στο δίκτυο απαιτεί έλεγχο ταυτότητας πολλαπλών παραγόντων και χορηγείται στον ενδιαφερόμενο σύμφωνα με τις αρμοδιότητές του και κατόπιν εξουσιοδότησης·
  • δ) η πρόσβαση σε συγκεκριμένες λειτουργίες βασίζεται σε λειτουργίες εργασίας ή/και χαρακτηριστικά που έχουν εκχωρηθεί μεμονωμένα στο λογαριασμό ενός χρήστη.
  • ε) τα δικαιώματα πρόσβασης που σχετίζονται με προσωπικά δεδομένα ελέγχονται τακτικά·
  • στ) τα αρχεία των αλλαγών στα δικαιώματα πρόσβασης διατηρούνται ενημερωμένα.

1.5 Έλεγχος της πρόσβασης σε συγκεκριμένους τομείς χρήσης συστημάτων επεξεργασίας δεδομένων

Πρέπει να ληφθούν τα ακόλουθα μέτρα για να διασφαλιστεί ότι τα εξουσιοδοτημένα άτομα με δικαίωμα χρήσης του συστήματος επεξεργασίας δεδομένων μπορούν να έχουν πρόσβαση σε δεδομένα μόνο στο πλαίσιο των αντίστοιχων αρμοδιοτήτων και εξουσιοδοτήσεων πρόσβασης και ότι τα προσωπικά δεδομένα δεν μπορούν να διαβαστούν, να αντιγραφούν, να τροποποιηθούν ή να διαγραφούν χωρίς εξουσιοδότηση:

  1. 1. 
    1. α) πολιτικές, οδηγίες και εκπαίδευση των εργαζομένων, σχετικά με τις υποχρεώσεις καθενός από αυτούς σχετικά με την εμπιστευτικότητα, τα δικαιώματα πρόσβασης στα προσωπικά δεδομένα και το εύρος της επεξεργασίας των προσωπικών δεδομένων·
  • β) πειθαρχικά μέτρα κατά προσώπων που έχουν πρόσβαση σε προσωπικά δεδομένα χωρίς εξουσιοδότηση·
  • γ) η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα παρέχεται μόνο σε εξουσιοδοτημένα πρόσωπα, βάσει της ανάγκης γνώσης·
  • δ) τηρεί κατάλογο διαχειριστών συστημάτων και λαμβάνει τα κατάλληλα μέτρα για την παρακολούθηση των διαχειριστών συστημάτων.
  • ε) να μην αντιγράφει ή να αναπαράγει προσωπικά δεδομένα σε οποιοδήποτε σύστημα αποθήκευσης για να επιτρέψει σε μη εξουσιοδοτημένα άτομα να αφαιρέσουν τις πληροφορίες του δημιουργού·
  • στ) ελεγχόμενη και τεκμηριωμένη διαγραφή ή καταστροφή δεδομένων.
  • ζ) να αποθηκεύει με ασφάλεια όλα τα προσωπικά δεδομένα που πρέπει να διατηρούνται για νομικούς ή ρυθμιστικούς λόγους (π.χ. υποχρεώσεις διατήρησης δεδομένων), και μόνο για όσο διάστημα απαιτείται από τη νομοθεσία.

1.6 Έλεγχος μετάδοσης

Πρέπει να ληφθούν τα ακόλουθα μέτρα προκειμένου να αποτραπεί η ανάγνωση, η αντιγραφή, η τροποποίηση ή η διαγραφή προσωπικών δεδομένων από μη εξουσιοδοτημένα τρίτα μέρη κατά τη μετάδοση ή τη μεταφορά συσκευών αποθήκευσης δεδομένων (ανάλογα με την επεξεργασία των προσωπικών δεδομένων που πραγματοποιείται):

  1. 1. 
    1. α) χρήση τείχους προστασίας·
  • β) αποφυγή αποθήκευσης προσωπικών δεδομένων σε φορητές συσκευές αποθήκευσης για σκοπούς μεταφοράς ή κρυπτογράφηση των συσκευών·
  • γ) χρήση σε φορητούς υπολογιστές και άλλες φορητές συσκευές μόνο αφού έχει ενεργοποιηθεί η προστασία κρυπτογράφησης.
  • δ) καταγραφή διαβιβάσεων προσωπικών δεδομένων.

1.7 Έλεγχος εισαγωγής δεδομένων

Πρέπει να ληφθούν τα ακόλουθα μέτρα για να διασφαλιστεί ότι είναι δυνατή η επαλήθευση και ο προσδιορισμός του κατά πόσον προσωπικά δεδομένα έχουν εισαχθεί ή διαγραφεί από συστήματα επεξεργασίας δεδομένων και από ποιον:

  1. 1. 
    1. α) μια πολιτική εξουσιοδότησης για την ανάγνωση, την τροποποίηση και τη διαγραφή αποθηκευμένων δεδομένων·
  • β) μέτρα προστασίας που αφορούν την ανάγνωση, την τροποποίηση και τη διαγραφή των αποθηκευμένων δεδομένων.

1.8 Έλεγχος εργασίας

Σε περίπτωση κατ' εξουσιοδότηση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, πρέπει να λαμβάνονται τα ακόλουθα μέτρα για να διασφαλιστεί ότι η επεξεργασία αυτών των δεδομένων γίνεται σύμφωνα με τις οδηγίες του Επόπτη:

  1. 1. 
    1. α) οντότητες ή επιμέρους οντότητες που έχουν ανατεθεί στην επεξεργασία δεδομένων, επιλεγμένες με προσοχή (πάροχοι υπηρεσιών που επεξεργάζονται προσωπικά δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας)·
  • β) οδηγίες σχετικά με το εύρος οποιασδήποτε επεξεργασίας δεδομένων προσωπικού χαρακτήρα προς τους υπαλλήλους, τις οντότητες ή τις επιμέρους οντότητες που έχουν ανατεθεί στην επεξεργασία δεδομένων·
  • γ) δικαιώματα ελέγχου που έχουν συμφωνηθεί με τις οντότητες ή τις επιμέρους οντότητες που έχουν ανατεθεί στην επεξεργασία δεδομένων·
  • δ) συμφωνίες που έχουν συναφθεί με τις οντότητες ή τις επιμέρους οντότητες στις οποίες έχει ανατεθεί η επεξεργασία των δεδομένων.

1.9 Διαχωρισμός από την επεξεργασία για άλλους σκοπούς

Πρέπει να ληφθούν τα ακόλουθα μέτρα για να διασφαλιστεί ότι τα δεδομένα που συλλέγονται για άλλους σκοπούς μπορούν να υποβληθούν σε χωριστή επεξεργασία:

  1. 1. 
    1. α) χωριστή πρόσβαση σε προσωπικά δεδομένα σύμφωνα με τα υφιστάμενα δικαιώματα των χρηστών·
  • β) οι διεπαφές, η επεξεργασία παρτίδων και η αναφορά προορίζονται για άλλους σκοπούς και λειτουργίες, έτσι ώστε τα δεδομένα που συλλέγονται για άλλους σκοπούς να μπορούν να υποβληθούν σε χωριστή επεξεργασία.

1.10 Ψευδωνυμοποίηση

Πρέπει να ληφθούν τα ακόλουθα μέτρα σχετικά με την ψευδωνυμοποίηση των προσωπικών δεδομένων:

  1. 1. 
    1. α) Εάν ο Εξαγωγέας Δεδομένων διατάξει μια συγκεκριμένη πράξη επεξεργασίας ή εάν αυτό κριθεί σκόπιμο από τον Εισαγωγέα Δεδομένων σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας δεδομένων σχετικά με ορισμένες δραστηριότητες επεξεργασίας, η επεξεργασία των προσωπικών δεδομένων θα πραγματοποιείται με τέτοιο τρόπο ώστε η δεδομένα δεν μπορούν πλέον να αποδοθούν σε ένα συγκεκριμένο άτομο χωρίς τη χρήση πρόσθετων πληροφοριών. Αυτές οι πρόσθετες πληροφορίες θα διατηρηθούν χωριστά.
  • β) χρήση τεχνικών ψευδωνυμοποίησης, συμπεριλαμβανομένης της τυχαιοποίησης της λίστας κατανομής· δημιουργία αξιών με τη μορφή αιχμηρών.

1.11 Κρυπτογράφηση

Θα πρέπει να ληφθούν τα ακόλουθα βήματα για την κρυπτογράφηση προσωπικών δεδομένων σε εφαρμογές και μεταδόσεις που υποστηρίζουν κρυπτογράφηση:

  1.  
    1. α) χρήση τεχνικών κρυπτογράφησης·
  • β) καθιέρωση διαχείρισης κρυπτογράφησης για την υποστήριξη των τεχνικών κρυπτογράφησης που επιτρέπεται να χρησιμοποιούνται·
  • γ) υποστήριξη της χρήσης κρυπτογραφίας μέσω διαδικασιών και πρωτοκόλλων για τη δημιουργία, τροποποίηση, ανάκληση, καταστροφή, διανομή, πιστοποίηση, αποθήκευση, σύλληψη, χρήση και αρχειοθέτηση κρυπτογραφικών κλειδιών για προστασία από μη εξουσιοδοτημένη τροποποίηση και αποκάλυψη.

1.12 Πληρότητα συστημάτων και υπηρεσιών επεξεργασίας δεδομένων

Τα ακόλουθα μέτρα πρέπει να ληφθούν προκειμένου να διασφαλιστεί η πληρότητα των συστημάτων και υπηρεσιών επεξεργασίας δεδομένων:

  1. 1. α) προστασία των συστημάτων επεξεργασίας δεδομένων από χειραγώγηση ή καταστροφή με κατάλληλα μέσα (π.χ. λογισμικό προστασίας από ιούς, λογισμικό πρόληψης απώλειας δεδομένων και λογισμικό από κακόβουλο λογισμικό, ενημερώσεις κώδικα λογισμικού, τείχη προστασίας και διαχειριζόμενη προστασία επιφάνειας εργασίας).
  • β) να απαγορεύσει την εγκατάσταση οποιασδήποτε υπηρεσίας ή λογισμικού που είναι επιβλαβές για τα συστήματα, τις υπηρεσίες επεξεργασίας δεδομένων ή τη χειραγώγηση προσωπικών δεδομένων·
  • γ) χρήση συστήματος ανίχνευσης και πρόληψης εισβολών δικτύου στη δομή του ίδιου του δικτύου.

1.13 Διαθεσιμότητα συστημάτων και υπηρεσιών επεξεργασίας δεδομένων και δυνατότητα αποκατάστασης της πρόσβασης και χρήσης προσωπικών δεδομένων σε περίπτωση υλικού ή τεχνικού συμβάντος

Πρέπει να ληφθούν τα ακόλουθα μέτρα προκειμένου να διασφαλιστεί η διαθεσιμότητα συστημάτων επεξεργασίας δεδομένων, καθώς και να είναι δυνατή η ταχεία αποκατάσταση της διαθεσιμότητας και πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, σε περίπτωση υλικού ή τεχνικού συμβάντος (ιδίως διασφαλίζοντας ότι τα προσωπικά δεδομένα προστατεύονται από τυχαία καταστροφή ή απώλεια):

  • α) διαθέτουν μέσα ελέγχου για τη διατήρηση αντιγράφων ασφαλείας και την αποκατάσταση χαμένων ή διαγραμμένων δεδομένων·
  • β) πλεονασμός υποδομής και δοκιμές απόδοσης.
  • γ) φυσική προστασία των πόρων του υπολογιστή.
  • δ) χρήση εργαλείων για την παρακολούθηση της κατάστασης και της διαθεσιμότητας του εσωτερικού δικτύου.
  • ε) Πολιτικές αναφοράς και αντιμετώπισης συμβάντων που διέπουν τη διαδικασία διαχείρισης συμβάντων και επανάληψη της τήρησης αυτών των πολιτικών ως μέρος της τακτικής εκπαίδευσης·
  • στ) δημιουργία αντιγράφων ασφαλείας (μερικές φορές εκτός τοποθεσίας) για την επαναφορά του συστήματος για να μπορέσει να εκτελέσει ξανά τις λειτουργίες του.
  • ζ) σχέδια επιχειρηματικής συνέχειας/ανάκαμψης από καταστροφές

1.14 Ανθεκτικότητα συστημάτων και υπηρεσιών επεξεργασίας δεδομένων

Τα ακόλουθα μέτρα πρέπει να ληφθούν για να διασφαλιστεί η ανθεκτικότητα των συστημάτων και υπηρεσιών επεξεργασίας δεδομένων:

  • α) συστήματα και διαμορφωμένα αρμονικά, χρησιμοποιώντας εγκεκριμένες παραμέτρους ασφαλείας·
  • β) πλεονασμός δικτύου.
  • γ) προστασία συγκράτησης κρίσιμων συστημάτων.

1.15 Διαδικασία για τακτική δοκιμή, αξιολόγηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας δεδομένων

Διαδικασία για τακτική δοκιμή, αξιολόγηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για την προστασία της επεξεργασίας δεδομένων.

  • α) να λάβει τα απαραίτητα μέτρα για την αξιολόγηση των κινδύνων και τις στρατηγικές μετριασμού·
  • β) συναντήσεις ανάλυσης υπηρεσιών του τμήματος πληροφορικής για την αντιμετώπιση τρεχόντων ζητημάτων.
  • γ) Τα σχέδια επιχειρησιακής συνέχειας/ανάκαμψης από καταστροφές ενημερώνονται τακτικά.

 

Μέρος 3

Υπογραφές των μερών και κατάλογος Εισαγωγέων Δεδομένων

 

Όταν συμπληρώνετε την ηλεκτρονική φόρμα παραγγελίας και την επικυρώνετε σημειώνοντας το τετραγωνίδιο αποδεχόμενοι τους γενικούς όρους και προϋποθέσεις χρήσης, καθιερώνεται η σύμβαση που διέπει τη σχέση μεταξύ του Πελάτη και του ταχυδρομικού κώδικα.

Η αποστολή της πληρωμής στο POSTCODEZIP θα θεωρήσει ότι η σύμβαση έχει συμφωνηθεί και καταρτιστεί.

Σημείωση: Αυτό το κείμενο έχει μεταφραστεί από τα γαλλικά. Η αρχική γαλλική έκδοση, η οποία είναι έγκυρη και νομικά περιοριστική, είναι διαθέσιμη  εδώ .