Συμπληρωματική Σύμβαση για την Επεξεργασία Προσωπικών Δεδομένων στο πλαίσιο Παροχής Συνδρομητικών Υπηρεσιών

 

  1. Αντικείμενο της Σύμβασης

Η παρούσα Σύμβαση διέπει την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα εκ μέρους της Παρόχου ατομικής εταιρείας με την επωνυμία ΚΑΡΑΓΙΑΝΝΗΣ Β. ΝΙΚΟΛΑΟΣ και τον διακριτικό τίτλο CDS Computer Applications επ’ ονόματι και για λογαριασμό του Πελάτη (Υπεύθυνου Επεξεργασίας), σχετικά με την παροχή συνδρομητικών υπηρεσιών online Backup, που βασίζονται στη χρήση του λογισμικού CDS Cloud Backup.

 

Ορισμοί

Για τους σκοπούς της παρούσας Σύμβασης θα ισχύουν οι ακόλουθοι ορισμοί:

(α) Ως «Εκτελών την Επεξεργασία» ορίζεται το φυσικό ή νομικό πρόσωπο, αρχή, οργανισμός ή άλλη υπηρεσία που επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για λογαριασμό του Υπεύθυνου της Επεξεργασίας. Ως «Εκτελών» ορίζεται ο αντισυμβαλλόμενος που επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για λογαριασμό του Υπεύθυνου.

(β) Ως «Τρίτος» ορίζεται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το Υποκείμενο των Δεδομένων, τον Υπεύθυνο, τον Εκτελούντα και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του Υπευθύνου ή του Εκτελούντος, είναι εξουσιοδοτημένα να επεξεργάζονται τα Δεδομένα Προσωπικού Χαρακτήρα.

(γ) Ως «Υπεύθυνος της Επεξεργασίας» ορίζεται το φυσικό ή νομικό πρόσωπο, η αρχή, η υπηρεσία ή άλλος φορέας που, μεμονωμένα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα.

Ως «Υπεύθυνος» ορίζεται το Συμβαλλόμενο Μέρος που αναφέρεται ανωτέρω ως ο «Υπεύθυνος» και υπέχει αποκλειστική ευθύνη βάσει της παρούσας Σύμβασης για τη λήψη αποφάσεων αναφορικά με τους σκοπούς και τον τρόπο Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα.

(δ) Ως «Επεξεργασία» ορίζεται κάθε διαδικασία που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων ή σειρά διαδικασιών που σχετίζεται με Δεδομένα Προσωπικού Χαρακτήρα, όπως η απόκτηση, η καταχώριση, η οργάνωση, η κατάθεση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάγνωση, η υποβολή ερωτημάτων, η χρήση, η κοινολόγηση με επικοινωνία, η διάδοση ή κάθε άλλη μορφή παροχής, ο συνδυασμός ή η συσχέτιση, ο περιορισμός, η διαγραφή ή η καταστροφή.

(ε) Ως «Δεδομένα Προσωπικού Χαρακτήρα» ορίζεται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (εφεξής καλούμενο ως το «Υποκείμενο των Δεδομένων») το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

(στ) Ως «Επιπρόσθετος Εκτελών ή Υπεργολάβος» ορίζεται ο αντισυμβαλλόμενος του Εκτελούντος, ο οποίος αναλαμβάνει την εκτέλεση συγκεκριμένων δραστηριοτήτων Επεξεργασίας για λογαριασμό του Υπεύθυνου.

(ζ) Ως «Υπεργολάβος του Υπεργολάβου» ορίζεται ο αντισυμβαλλόμενος του Επιπρόσθετου Εκτελούντος ή Υπεργολάβου, στον οποίο ανατέθηκε από αυτούς η εκτέλεση συγκεκριμένων δραστηριοτήτων Επεξεργασίας εντός του ρυθμιστικού πλαισίου της παρούσας Σύμβασης.

 

  1. Εφαρμοστέο Δίκαιο

Η παρούσα Σύμβαση υπάγεται στις διατάξεις του ελληνικού Δικαίου αναφορικά με την προστασία των δεδομένων προσωπικού χαρακτήρα

 

  1. Δικαιώματα και υποχρεώσεις του Υπεύθυνου

Νομιμότητα της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα

Ο Υπεύθυνος έχει αποκλειστική ευθύνη να εκτιμήσει το κατά πόσον τα δεδομένα μπορούν να υποβληθούν νομίμως σε επεξεργασία και να διαφυλάξει τα δικαιώματα των Υποκειμένων των Δεδομένων.

 Ο Υπεύθυνος οφείλει να διασφαλίζει την πλήρωση των απαιτούμενων νόμιμων προϋποθέσεων στον τομέα της αρμοδιότητάς του (π.χ. συλλογή δηλώσεων συγκατάθεσης, εάν και εφόσον αυτό απαιτείται από την κείμενη νομοθεσία), έτσι ώστε ο Εκτελών να παρέχει τις συμφωνημένες υπηρεσίες με τρόπο που να μην παραβιάζονται οι διατάξεις του νόμου.

Οδηγίες

Ο Εκτελών επεξεργάζεται τα Δεδομένα Προσωπικού Χαρακτήρα μόνο βάσει των καταγεγραμμένων οδηγιών του Υπεύθυνου –το ίδιο ισχύει για τη διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα σε χώρα εκτός ΕΕ ή σε διεθνή οργανισμό– εκτός εάν ο Εκτελών υποχρεούται να πράξει αντιθέτως δυνάμει της νομοθεσίας της Ευρωπαϊκής Ένωσης ή των Κρατών Μελών, στα οποία υπάγεται ο Εκτελών. Στην περίπτωση αυτή, ο Εκτελών γνωστοποιεί στον Υπεύθυνο τις εν λόγω νόμιμες προϋποθέσεις πριν από την Επεξεργασία, στον βαθμό που οι συναφείς νομοθετικές διατάξεις δεν απαγορεύουν τη γνωστοποίηση αυτή λόγω σημαντικού δημόσιου συμφέροντος.

Όλες οι οδηγίες παρέχονται εγγράφως ή με ηλεκτρονικό ταχυδρομείο. Ο Εκτελών ενημερώνει πάραυτα τον Υπεύθυνο εάν θεωρεί ότι μια οδηγία παραβιάζει εφαρμοστέες νόμιμες διατάξεις. Ο Εκτελών έχει δικαίωμα να αναστείλει την εκτέλεση της εν λόγω οδηγίας έως ότου επιβεβαιωθεί ή τροποποιηθεί από τον Πελάτη.

Έλεγχοι, επιθεωρήσεις

Ο Υπεύθυνος έχει τη δυνατότητα να ελέγχει με δικές του δαπάνες τη συμμόρφωση με τους κανονισμούς για την προστασία των δεδομένων και με τις υποχρεώσεις που ορίζονται στην παρούσα Σύμβαση με τη λήψη πληροφοριών και τεκμηρίωσης από τον Εκτελούντα σχετικά με την Επεξεργασία στην οποία εμπλέκεται. Ο Υπεύθυνος ελέγχει πρωτίστως κατά πόσον είναι επαρκής η δυνατότητα ελέγχου που παρέχεται με το εδάφιο 1 της παρούσας παραγράφου. Επιπλέον, ο Υπεύθυνος δύναται να επιθεωρεί με δικές του δαπάνες επί τόπου τη συμμόρφωση με τους κανονισμούς περί προστασίας των δεδομένων. Ο Υπεύθυνος έχει την ευχέρεια να διεξάγει τους ελέγχους ο ίδιος ή να τους αναθέτει σε Τρίτο με δικές του δαπάνες. Τα Πρόσωπα ή οι Τρίτοι που είναι επιφορτισμένοι με τέτοιου είδους ελέγχους από τον Υπεύθυνο, έχουν υποχρέωση να σέβονται την αρχή της εμπιστευτικότητας, με τρόπο που θα ορισθεί εγγράφως κατά τη στιγμή της ανάθεσης. Τα Πρόσωπα ή οι Τρίτοι που είναι επιφορτισμένοι με τέτοιου είδους ελέγχους από τον Υπεύθυνο, ανακοινώνονται στον Εκτελούντα με την κατάλληλη μέθοδο και δικαιούνται να αποδείξουν τη νομιμοποίησή τους για τη διενέργεια των ελέγχων. Οι Τρίτοι με την έννοια της παρούσας παραγράφου δεν επιτρέπεται να είναι εκπρόσωποι των ανταγωνιστών του Εκτελούντος. Ο         Υπεύθυνος ανακοινώνει τους ελέγχους εντός εύλογου χρονικού διαστήματος και μεριμνά ώστε κατά τη διενέργειά τους να μην διαταράσσονται οι επιχειρηματικές δραστηριότητες.

Υποστήριξη από τον Υπεύθυνο

Για κάθε ζήτημα Επεξεργασίας που αφορά τον Υπεύθυνο, ο Υπεύθυνος θα ενημερώνει τον Εκτελούντα πάραυτα και πλήρως σχετικά με κάθε υποψία για παραβιάσεις αναφορικά με την προστασία δεδομένων ή/και άλλες παρατυπίες σε σχέση με την Επεξεργασία  των Δεδομένων Προσωπικού Χαρακτήρα. Για κάθε ζήτημα Επεξεργασίας που αφορά στον Υπεύθυνο, ο Υπεύθυνος θα υποστηρίζει τον Εκτελούντα αμελλητί και πλήρως κατά την εξέταση πιθανών παραβιάσεων και κατά την υπεράσπισή του έναντι αξιώσεων από θιγόμενα μέρη ή Τρίτους και κατά την υπεράσπισή του έναντι διαδικασίας, σύμφωνα με την οποία ενδέχεται ρυθμιστική αρχή να επιβάλει διοικητικές κυρώσεις.

 

  1. Δικαιώματα και υποχρεώσεις της Παρόχου

Επεξεργασία Δεδομένων

Ο Εκτελών επεξεργάζεται τα Δεδομένα Προσωπικού Χαρακτήρα αποκλειστικά στο πλαίσιο της συναφθείσας Σύμβασης και κατόπιν των οδηγιών του Υπεύθυνου σύμφωνα με τις διατάξεις της § 4(2). Ο Εκτελών δεν θα χρησιμοποιεί τα Δεδομένα Προσωπικού Χαρακτήρα για άλλους σκοπούς και δεν θα διαβιβάζει τα Δεδομένα Προσωπικού   Χαρακτήρα που του υποβλήθηκαν σε μη εξουσιοδοτημένους  Τρίτους. Αντίγραφα και διπλότυπα δεν επιτρέπεται να παραχθούν χωρίς την προηγούμενη συγκατάθεση του Υπεύθυνου. Από την ανωτέρω απαγόρευση εξαιρείται η δημιουργία εφεδρικών αντιγράφων ασφαλείας για να διασφαλιστεί η κατάλληλη Επεξεργασία των Δεδομένων.

Ο Εκτελών εγγυάται ότι οι υπάλληλοι που εμπλέκονται στην Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του Υπεύθυνου και κάθε άλλο πρόσωπο που δρα για λογαριασμό του Εκτελούντα, θα επεξεργάζεται τα εν λόγω Δεδομένα Προσωπικού Χαρακτήρα μόνο κατόπιν των οδηγιών του Υπεύθυνου, εκτός εάν υποχρεούνται να επεξεργάζονται τα δεδομένα σύμφωνα με τη νομοθεσία της Ευρωπαϊκής Ένωσης ή των κρατών μελών.

Υπεύθυνος  Προστασίας Δεδομένων

Ο Εκτελών οφείλει να διορίσει ανεξάρτητο, εξειδικευμένο και αξιόπιστο Υπεύθυνο Προστασίας Δεδομένων, στον βαθμό που αυτό απαιτείται από το εφαρμοστέο δίκαιο της Ευρωπαϊκής Ένωσης ή του κράτους μέλους στο οποίο υπάγεται ο Εκτελών.

Εδαφικοί περιορισμοί πληρεξουσιότητα

Τα Συμβαλλόμενα Μέρη διευκρινίζουν τον τόπο Επεξεργασίας Δεδομένων στο Παράρτημα πριν από την Επεξεργασία Δεδομένων. Τα Συμβαλλόμενα Μέρη μπορούν να αποφασίσουν να αλλάξουν τον τόπο Επεξεργασίας Δεδομένων, εάν απαιτείται, με τη μέθοδο που ορίζεται στην παρούσα Σύμβαση.

Η Επεξεργασία Δεδομένων στις επονομαζόμενες ως χώρες εκτός ΕΕ (ήτοι χώρες που δεν είναι κράτη μέλη της Ευρωπαϊκής Ένωσης και δεν διαθέτουν κατάλληλο επίπεδο προστασίας δεδομένων) θα διεξάγεται λαµβάνοντας δεόντως υπόψη τις συναφείς εφαρμοστέες νόμιμες διατάξεις της Ευρωπαϊκής Ένωσης.

Τυχόν περιορισμοί στην επιλογή των δυνατοτήτων ρύθμισης και σχεδιασμού της διαβίβασης δεδομένων σύμφωνα με τις συναφείς εφαρμοστέες νόμιμες διατάξεις διευκρινίζονται από τα Συμβαλλόμενα Μέρη στο Παράρτημα. Ο Υπεύθυνος δεν θα περιορίζει καταχρηστικά τις δυνατότητες ρύθμισης της διαβίβασης δεδομένων από τον Εκτελούντα και θα τον συνδράμει όσο χρειαστεί.

Σε περίπτωση εφαρμογής των τυποποιημένων συμβατικών ρητρών της ΕΕ που εγκρίνονται στο Παράρτημα, ο Εκτελών συνάπτει τις ρήτρες αυτές για λογαριασμό και κατόπιν ανάθεσης του Υπεύθυνου. Η πληρεξουσιότητα για τον σκοπό αυτό χορηγείται με την παρούσα από τον Υπεύθυνο.

Υποστήριξη των    υποχρεώσεων του Υπεύθυνου

Ο Εκτελών θα υποστηρίζει τον Υπεύθυνο –στον βαθμό που αυτό συμφωνήθηκε     συμβατικά     και λαμβάνοντας υπόψη τη φύση της Επεξεργασίας και των στοιχείων που διατίθενται στον Εκτελούντα– κατά την εκπλήρωση των υποχρεώσεων που έχουν επιβληθεί στον Υπεύθυνο δυνάμει των εφαρμοστέων νόμιμων διατάξεων.

Υποστήριξη ελέγχων και αιτήσεων παροχής πληροφοριών

Εάν ο Υπεύθυνος υποχρεωθεί να παρέχει σε δημόσιες υπηρεσίες ή πρόσωπα, πληροφορίες σχετικά με την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα, ο Εκτελών θα συνδράμει τον Υπεύθυνο στην παροχή των εν λόγω πληροφοριών, στο μέτρο που οι πληροφορίες αυτές αφορούν την Επεξεργασία Δεδομένων δυνάμει της παρούσας Σύμβασης.

Ο Εκτελών οφείλει να ενημερώνει τον Υπεύθυνο –στον βαθμό που αυτό επιτρέπεται εκ του νόμου– και για κάθε επικοινωνία από τις εποπτικές αρχές (π.χ. ερωτήματα, κοινοποίηση μέτρων ή απαιτήσεων) προς τον Εκτελούντα σε σχέση με την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα δυνάμει της παρούσας Σύμβασης. Στον βαθμό που τούτο επιτρέπεται εκ του νόμου, ο Εκτελών θα παρέχει πληροφορίες σε τρίτους, μεταξύ άλλων σε εποπτικές αρχές, μόνο κατόπιν της έγγραφης συγκατάθεσης του Υπεύθυνου και σε συνεννόηση με αυτόν.

  • συμβάντων

Ο Εκτελών οφείλει να ενημερώνει τον Υπεύθυνο αμελλητί για κάθε σοβαρή διακοπή της λειτουργίας, υποψία για παραβιάσεις αναφορικά με την προστασία δεδομένων ή/και άλλες παρατυπίες σε σχέση με την επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα.

  • και τεκμηρίωση

Τα Συμβαλλόμενα Μέρη θα στηρίζουν αλλήλους κατά την παροχή αποδείξεων και τεκμηρίωσης σε σχέση με την δέουσα λογοδοσία τους αναφορικά με τις αρχές της ορθής Επεξεργασίας Δεδομένων.

Κατάλογος των δραστηριοτήτων Επεξεργασίας που διενεργούνται κατόπιν ανάθεσης

Βάσει των συναφών εφαρμοστέων νόμιμων διατάξεων, στις οποίες υπόκειται ο Εκτελών, ο Εκτελών θα τηρεί κατάλογο με όλες τις κατηγορίες δραστηριοτήτων που εκτελούνται κατόπιν ανάθεσης του Υπεύθυνου. Ο Εκτελών θα συνδράμει τον Υπεύθυνο κατόπιν αιτήματος και θα παρέχει στον Υπεύθυνο όλες τις λεπτομέρειες που απαιτούνται για την τήρηση του καταλόγου με τις δραστηριότητες Επεξεργασίας, στον βαθμό που οι εν λόγω πληροφορίες εμπίπτουν στο συμβατικά ορισμένο πεδίο ευθύνης και υπηρεσιών του Εκτελούντος και στον βαθμό που ο Υπεύθυνος δεν έχει άλλη δυνατότητα πρόσβασης σε αυτές τις πληροφορίες.

Εκτίμηση του αντίκτυπου στην ιδιωτική ζωή

Εάν ο Υπεύθυνος προβεί σε εκτίμηση του αντίκτυπου στην ιδιωτική ζωή ή/και κατόπιν διαβούλευσης με την εποπτική αρχή υπάρχει προοπτική εκτίμηση του αντίκτυπου στην ιδιωτική ζωή, τα Συμβαλλόμενα Μέρη συντονίζουν το περιεχόμενο και το πεδίο των υπηρεσιών υποστήριξης που δύναται να παρέχει ο Εκτελών, εάν θεωρηθεί αναγκαίο.

Άσκηση των δικαιωμάτων των Υποκειμένων των Δεδομένων

Ανάλογα με τον τύπο της Επεξεργασίας, ο Εκτελών συνδράμει τον Υπεύθυνο κατά την υποχρέωσή του να απαντά σε αιτήματα για την άσκηση δικαιωμάτων εκ μέρους των Υποκειμένων των Δεδομένων, εάν είναι δυνατόν με τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Εάν θεωρηθεί αναγκαίο, τα Συμβαλλόμενα Μέρη συντονίζουν το περιεχόμενο και το πεδίο των υπηρεσιών υποστήριξης που δύναται να παρέχει ο Εκτελών.

Στον βαθμό που ένα Υποκείμενο των Δεδομένων ασκήσει τα δικαιώματά του απευθείας στον Εκτελούντα, ο Εκτελών διαβιβάζει πάραυτα τα αιτήματα του Υποκειμένου των Δεδομένων στον Υπεύθυνο.

Μεταφορά μέσων  αποθήκευσης

Σε περίπτωση που τα μέσα αποθήκευσης βρίσκονται στην κατοχή του Υπεύθυνου, ο Υπεύθυνος θα διαγράψει όλα τα Δεδομένα Προσωπικού Χαρακτήρα –εκτός εάν άλλως συμφωνηθεί– πριν από οποιαδήποτε προγραμματισμένη μεταφορά (π.χ. για ελέγχους ή διαδικασίες στη βάση έγερσης αξιώσεων λόγω εγγύησης) στον Εκτελούντα ή τους Υπεργολάβους του.

Ολοκλήρωση των συμβατικών εργασιών

Τα έγγραφα που περιέχουν Δεδομένα Προσωπικού Χαρακτήρα και κάθε άλλο αρχείο που δεν απαιτείται πλέον, με εξαίρεση τα Δεδομένα Προσωπικού Χαρακτήρα που πρέπει να τηρηθούν λόγω νομίμων υποχρεώσεων του Εκτελούντος, θα επιστραφούν στον Υπεύθυνο ή θα καταστραφούν ή θα διαγραφούν με δαπάνες του Υπεύθυνου με την ολοκλήρωση των συμβατικών εργασιών, εκτός εάν έχει συμφωνηθεί διαφορετικά. Το ίδιο ισχύει και για κάθε υλικό από δοκιμές και άχρηστο υλικό.

Επιστροφή ή διαγραφή Δεδομένων    Προσωπικού Χαρακτήρα

Εάν τα Συμβαλλόμενα Μέρη έχουν συνάψει ρητή συμφωνία για την επιστροφή και τη διαγραφή των Δεδομένων Προσωπικού Χαρακτήρα ή/και των φορέων δεδομένων, η συμφωνία αυτή υπερισχύει των διατάξεων της παρούσας παραγράφου. Εάν τα Συμβαλλόμενα Μέρη δεν έχουν συνάψει ρητή συμφωνία για την επιστροφή των Δεδομένων Προσωπικού Χαρακτήρα ή/και των φορέων δεδομένων του Υπεύθυνου, ο Εκτελών δύναται να επιστρέψει τα Δεδομένα Προσωπικού Χαρακτήρα ή/και τα μέσα δεδομένων του Υπεύθυνου με δαπάνες του Υπεύθυνου. Εάν ο Υπεύθυνος δεν τηρεί την υποχρέωσή του να αποδεχθεί την επιστροφή των ανωτέρω, ο Εκτελών δικαιούται να διαγράψει/καταστρέψει τα Δεδομένα Προσωπικού Χαρακτήρα ή/και τους φορείς δεδομένων με δαπάνες του Υπεύθυνου.

Κατά τη διάρκεια της συμβατικής σχέσης ή κατά τη λήξη της, ο Υπεύθυνος δύναται να ζητήσει εγγράφως όλα τα Δεδομένα   Προσωπικού   Χαρακτήρα που δεν καταστράφηκαν ή διαγράφηκαν σύμφωνα με την § 5.12 με δικές του δαπάνες, ενώ δύναται να ορίσει στον Εκτελούντα μια ημερομηνία για την εν λόγω διαβίβαση. Κατόπιν του αιτήματος περί επιστροφής, τα Συμβαλλόμενα Μέρη θα συμφωνήσουν τις περαιτέρω λεπτομέρειες της διαβίβασης (όπως τη μορφή των αρχείων). Το αίτημα επιστροφής πρέπει να παραληφθεί από τον Εκτελούντα έναν μήνα πριν από την ημερομηνία επιστροφής που ορίστηκε από τον Υπεύθυνο.

 

  1. Τεχνικά και οργανωτικά μέτρα ασφάλειας

 

Τεχνικά και οργανωτικά μέτρα

Ο Υπεύθυνος και ο Εκτελών λαμβάνουν κάθε προσήκον τεχνικό και οργανωτικό μέτρο για να εγγυηθούν το κατάλληλο επίπεδο προστασίας έναντι παντός κινδύνου.

Τα μέτρα επεξεργασίας του Εκτελούντα που θεωρούνται επί του παρόντος κατάλληλα περιγράφονται στο Παράρτημα. Ο Υπεύθυνος αξιολόγησε τα τεχνικά και οργανωτικά μέτρα σε σχέση με άλλα πιθανά μέτρα, αποσκοπώντας στο προσήκον επίπεδο προστασίας. Τα εν λόγω μέτρα, όπως περιγράφονται στο Παράρτημα , έχουν συμφωνηθεί ως τα κατάλληλα μέτρα. Κάθε άλλη εξελιγμένη μορφή τους θα συμφωνηθεί σύμφωνα με την § 6.2.

Περαιτέρω εξέλιξη

Τα τεχνικά και οργανωτικά μέτρα δύνανται να προσαρμόζονται ανάλογα με τις περαιτέρω τεχνικές και οργανωτικές εξελίξεις κατά τη διάρκεια της συμβατικής σχέσης. Ο Υπεύθυνος ελέγχει ανά τακτά διαστήματα την ασφάλεια της Επεξεργασίας και την καταλληλότητα του επιπέδου προστασίας και θα ενημερώνει αμέσως τον Εκτελούντα εάν υπάρχει ανάγκη να γίνουν προσαρμογές. Ο Υπεύθυνος παρέχει στον Εκτελούντα όλες τις συναφείς και απαραίτητες πληροφορίες. Από την πλευρά του, ο Εκτελών ελέγχει ανά τακτά διαστήματα τις εσωτερικές διαδικασίες και τα τεχνικά και οργανωτικά μέτρα, προκειμένου να εγγυάται ότι η Επεξεργασία εντός του πεδίου ευθύνης του λαμβάνει χώρα σύμφωνα με τις απαιτήσεις του ΓΚΠΔ της ΕΕ. Ο Υπεύθυνος αποζημιώνει τον Εκτελούντα, εκτός εάν άλλως συμφωνηθεί ρητά, για κάθε πρόσθετη δαπάνη που προέκυψε κατά την προσαρμογή των μέτρων προστασίας σε συνάρτηση με τις τεχνικές προόδους. Οι ειδικότεροι όροι υλοποίησης των νέων αυτών μέτρων προστασίας, καθώς και της τυχόν συμφωνηθείσας επιπρόσθετης αμοιβής του Εκτελούντος την Επεξεργασία θα συμφωνούνται με τροποποίηση τυχόν υφιστάμενης σύμβασης μεταξύ των μερών ή με σύναψη νέας συμφωνίας.

 

  1. Εμπιστευτικότητα

Ο Εκτελών οφείλει να χειρίζεται ως εμπιστευτικά τα Δεδομένα Προσωπικού Χαρακτήρα που σχετίζονται με τις δραστηριότητες Επεξεργασίας που συμφωνήθηκαν βάσει της παρούσας. Διασφαλίζει περαιτέρω ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα Δεδομένα Προσωπικού Χαρακτήρα δεσμεύονται από υποχρέωση εμπιστευτικότητας, εφόσον δεν υπόκεινται ήδη σε αντίστοιχη νόμιμη υποχρέωση  τήρησης της εμπιστευτικότητας.

Αμφότερα τα Συμβαλλόμενα Μέρη θα χειρίζονται ως εμπιστευτικές όλες τις πληροφορίες που αφορούν τον αντισυμβαλλόμενο, οι οποίες τους κοινοποιήθηκαν κατά τη διάρκεια της επιχειρηματικής σχέσης και δεν είναι ήδη γνωστές στο κοινό, ενώ δεν τους επιτρέπεται να χρησιμοποιούν τις εν λόγω πληροφορίες για δικούς τους σκοπούς που δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας Σύμβασης ή για σκοπούς Τρίτων.

Υποχρεώσεις των εμπλεκόμενων προσώπων

Ο Εκτελών οφείλει να εφιστά την προσοχή των προσώπων που έχουν πρόσβαση στα Δεδομένα Προσωπικού Χαρακτήρα στους κανονισμούς περί προστασίας δεδομένων και στις συναφείς διατάξεις της παρούσας Σύμβασης.

 

  1. Υπεργολάβοι

Εξουσιοδότηση

Ο Εκτελών δικαιούται να απασχολεί περαιτέρω Εκτελούντες (Υπεργολάβoυς και Υπεργολάβoυς των Υπεργολάβων) για την εκτέλεση των καθηκόντων που περιγράφονται στην παρούσα Σύμβαση.

Τυχόν αναθέσεις του Εκτελούντος σε Τρίτους για επικουρικές υπηρεσίες προς υποστήριξη της εκτέλεσης των εργασιών που του ανατέθηκαν, οι οποίες δεν αφορούν ανατεθειμένες δραστηριότητες Επεξεργασίας για τον Υπεύθυνο, δεν θα θεωρούνται ως σχέση υπεργολαβίας με την έννοια της παρούσας διάταξης.

Ειδική εξουσιοδότηση

Η συναίνεση του Υπεύθυνου θεωρείται ότι έχει ήδη χορηγηθεί για τους Υπεργολάβους, τους Υπεργολάβους των Υπεργολάβων και τους τόπους ανάθεσης που τυχόν παρατίθενται στο Παράρτημα.

Γενική έγγραφη εξουσιοδότηση

Η συναίνεση του Υπεύθυνου θεωρείται ότι έχει ήδη χορηγηθεί για τη συμμετοχή περαιτέρω Εκτελούντων (Υπεργολάβων και Υπεργολάβων των Υπεργολάβων) στην εκτέλεση των υπηρεσιών του.

Ενημέρωση για προβλεπόμενες αλλαγές

Ο Εκτελών ενημερώνει τον Υπεύθυνο εγγράφως ή με ηλεκτρονικό ταχυδρομείο σχετικά με κάθε προβλεπόμενη αλλαγή σχετικά με την προσθήκη ή την αντικατάσταση άλλων Εκτελούντων (Υπεργολάβων και Υπεργολάβων των Υπεργολάβων). Κατόπιν της ειδοποίησης αυτής, ο Υπεύθυνος δικαιούται να προβάλει ενστάσεις για τις εν λόγω αλλαγές εντός προθεσμίας 14 ημερών από την παραλαβή της εκ μέρους του Υπεύθυνου. Εάν είναι αναγκαίο, τα Συμβαλλόμενα Μέρη θα αποφασίσουν τον τρόπο και τις πρόσθετες ή εναλλακτικές δυνατότητες παροχής πληροφοριών σχετικά με τη μελλοντική χρήση ή τις αλλαγές στη χρήση άλλων Υπεργολάβων και Υπεργολάβων των Υπεργολάβων. Στις δυνατότητες περιλαμβάνεται π.χ. η κατάρτιση και χρήση ενός καταλόγου Υπεργολάβων και των Υπεργολάβων τους. Ο Υπεύθυνος δεν επιτρέπεται να αρνηθεί την έγκρισή του για τη συμμετοχή άλλων Υπεργολάβων και των Υπεργολάβων τους χωρίς σπουδαίο λόγο.

Επιλογή, συνακόλουθη σύμβαση

Ο Εκτελών επιλέγει τους Υπεργολάβους που παρέχουν επαρκείς εγγυήσεις ότι θα εφαρμοστούν τα κατάλληλα τεχνικά και οργανωτικά μέτρα ούτως ώστε η Επεξεργασία να διεξάγεται σύμφωνα με τις συναφείς εφαρμοστέες νόμιμες διατάξεις. Ο Εκτελών οφείλει να συνάπτει συμβατικές συμφωνίες με τους Υπεργολάβους, οι οποίες αντιστοιχούν    στις     συμβατικές ρυθμίσεις της παρούσας Σύμβασης (συμβάσεις back-to-back). Ο Εκτελών ορίζει τα τεχνικά και οργανωτικά μέτρα μαζί με τον Υπεργολάβο και εποπτεύει τη συμμόρφωση με τα συμφωνημένα τεχνικά και οργανωτικά μέτρα πριν από την έναρξη της Επεξεργασίας των Δεδομένων, αλλά και στη συνέχεια, ανά τακτά διαστήματα.

Υπεργολάβοι των Υπεργολάβων

Η ανάθεση Υπεργολάβων των Υπεργολάβων από τον Εκτελούντα επιτρέπεται σύμφωνα με την §8.1 έως §8.6.

 

  1. Διάρκεια και καταγγελία της Σύμβασης

Η παρούσα Σύμβαση ισχύει καθ’ όλη τη διάρκεια της πραγματικής παροχής υπηρεσιών από τον Εκτελούντα. Τούτο ισχύει ανεξαρτήτως της διάρκειας άλλης σύμβασης, που τυχόν συνήψαν τα Συμβαλλόμενα Μέρη αναφορικά με την παροχή των συμφωνημένων υπηρεσιών.

 

  1. Ευθύνη και Αποζημίωση
    • ευθύνης του Υπεύθυνου

Εντός του εύρους ευθύνης του, ο Υπεύθυνος εγγυάται την εφαρμογή των υποχρεώσεων που απορρέουν από τις συναφείς εφαρμοστέες νομοθετικές διατάξεις όσον αφορά την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα.

Ευθύνη

Ο Εκτελών ευθύνεται για την αποκατάσταση κάθε θετικής ζημίας που τυχόν προκληθεί στον Υπεύθυνο κατά την εκτέλεση του Αντικειμένου της παρούσας, εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις της ισχύουσας νομοθεσίας αναφορικά με την επεξεργασία των προσωπικών δεδομένων ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του Υπεύθυνου, όπως αυτές περιγράφονται εντός της παρούσας.

 

  1. Διάφορα

Εγκυρότητα της Σύμβασης

Η ακυρότητα διάταξης της παρούσας Σύμβασης δεν θίγει την ισχύ των λοιπών διατάξεων. Εάν μια διάταξη καταστεί άκυρη, τα Συμβαλλόμενα Μέρη οφείλουν να την αντικαταστήσουν με μια νέα διάταξη που θα προσεγγίζει τους σκοπούς των Συμβαλλομένων Μερών όσο το δυνατόν καλύτερα.

Αλλαγές στη Σύμβαση

Τυχόν αλλαγές στην παρούσα Σύμβαση CDP και σε λοιπές παρεπόμενες συμβάσεις πρέπει να περιβληθούν τον έγγραφο τύπο (συμπεριλαμβανομένης της ηλεκτρονικής αλληλογραφίας). Το ίδιο ισχύει και για την παραίτηση από την παρούσα ρήτρα περί έγγραφου τύπου.

[Κατά τόπον αρμοδιότητα]

Η αποκλειστική δωσιδικία για διαφορές που προκύπτουν από την παρούσα Σύμβαση CDP ή σε σχέση με αυτή, ορίζεται στο Παράρτημα. Τούτο ισχύει με την επιφύλαξη τυχόν νόμιμης αποκλειστικής δωσιδικίας.

[Εφαρμοστέο Δίκαιο]

Εφαρμόζονται οι διατάξεις της §3.

Προτεραιότητα

Σε περίπτωση αντιφάσεων μεταξύ των διατάξεων της παρούσας Σύμβασης και των διατάξεων άλλων συμβάσεων, υπερισχύουν οι διατάξεις της παρούσας Σύμβασης.

Παράρτημα της Συμπληρωματικής Σύμβασης για την Επεξεργασία Προσωπικών Δεδομένων στο πλαίσιο Παροχής Συνδρομητικών Υπηρεσιών

 

  1. Λεπτομέρειες σχετικά με την Επεξεργασία Δεδομένων

 

α.    Λεπτομέρειες σχετικά με τις «Κατηγορίες Επεξεργασίας»

Σύμβαση παροχής συνδρομητικών υπηρεσιών online Backup, που βασίζονται στη χρήση του λογισμικού CDS Cloud Backup  

 

β.    Κατηγορίες των Υποκειμένων των Δεδομένων:

Πελάτες – Συναλλασσόμενοι ιδιώτες

Υπάλληλοι

 

γ.  Δεδομένα Προσωπικού Χαρακτήρα που επηρεάζονται:

       Επάγγελμα, κλάδος ή επωνυμία

       Στοιχεία επικοινωνίας που περιλαμβάνονται στον κατάλογο του τηλεφωνικού κέντρου (π.χ. τηλέφωνο, ηλεκτρονικό ταχυδρομείο).

       Δεδομένα επικοινωνίας (εισερχόμενες, εξερχόμενες κλήσεις, ημερομηνία και ώρα επικοινωνίας κτλ.)

       Δεδομένα που μπορούν να αναχθούν σε φυσικά πρόσωπα ή σε προσωπικά δεδομένα εγγραφής (όνομα χρήστη, διεύθυνση IP)

δ.    Πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα

Η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα πραγματοποιείται απομακρυσμένα μέσω εξειδικευμένου λογισμικού διαχείρισης συστήματος του κατασκευαστή ή επιτόπου. Η πρόσβαση πραγματοποιείται με τον τρόπο που έχει συμφωνηθεί με τον Υπεύθυνο Επεξεργασίας.

Στην περίπτωση που η απομακρυσμένη πρόσβαση παρέχεται από τον Υπεύθυνο είναι ο ίδιος αρμόδιος να ορίσει το είδος της πρόσβασης σε από κοινού συμφωνία με τον Εκτελούντα.

 

  1. Υπηρεσίες, σκοπός της Επεξεργασίας:

Η επεξεργασία Προσωπικών Δεδομένων αφορά στην παροχή συνδρομητικών υπηρεσιών online Backup, που βασίζονται στη χρήση του λογισμικού CDS Cloud Backup, όπως περιγράφεται στο άρθρο 1 της παρούσας.

 

  1. Τόπος επεξεργασίας:

Έδρα της Παρόχου και συγκεκριμένα:

Ελευθερίου Βενιζέλου 4, Ελευσίνα, ΤΚ 19200, καθώς και οι εγκαταστάσεις του Υπεύθυνου Επεξεργασίας (Πελάτη).

 

  1. Δικαιοδοσία:

Αρμόδια κατά τόπον δικαστήρια για την εκδίκαση οποιασδήποτε διαφοράς ήθελε προκύψει από το παρόν, είναι τα δικαστήρια των Αθηνών ανεξάρτητα από τον τόπο υπογραφής ή εκτέλεσης της παρούσας σύμβασης.  

 

  1. Τεχνικά και οργανωτικά μέτρα ασφάλειας

 

Για την παροχή των υπηρεσιών, η επεξεργασία δεδομένων πραγματοποιείται στα συστήματα του Υπευθύνου και τηρούνται τα τεχνικά και οργανωτικά μέτρα ασφάλειας που ορίζονται από τον Υπεύθυνο.

Σε περίπτωση που απαιτηθεί η συλλογή και και/ή Επεξεργασία Δεδομένων Προσωπικού         Χαρακτήρα,         σε συστήματα του ΟΤΕ συμφωνούνται τα ακόλουθα μέτρα:

 

  1. Εμπιστευτικότητα (Άρθρο 32 παρ. 1 β) του Γενικού Κανονισμού για την Προστασία των Δεδομένων - EU GDPR)
  • Έλεγχος άδειας εισόδου

Δεν επιτρέπεται η μη εξουσιοδοτημένη φυσική πρόσβαση, π.χ. κάρτες με μαγνητική ταινία, κλειδιά, συστήματα συναγερμού, συστήματα καταγραφής εικόνας.

  • Έλεγχος λογικής πρόσβασης

Δεν επιτρέπεται η μη εξουσιοδοτημένη πρόσβαση σε συστήματα του Υπευθύνου, π.χ.: (ασφαλείς) κωδικοί πρόσβασης, μηχανισμοί αυτόματου κλειδώματος.

  1. Ακεραιότητα (Άρθρο 32 παρ. 1 β) του EU GDPR)
  • Έλεγχος αποκάλυψης

 Δεν επιτρέπεται η μη εξουσιοδοτημένη ανάγνωση, αντιγραφή, τροποποίηση ή αφαίρεση δεδομένων κατά τη διάρκεια ηλεκτρονικής διαβίβασης ή μεταφοράς τους, π.χ. κρυπτογράφηση, εικονικά ιδιωτικά δίκτυα (VPN).

 

  1. Διαθεσιμότητα και αποκατάσταση (Άρθρο 32 παρ. 1 α) του EU GDPR)
  • Έλεγχος διαθεσιμότητας

 Προστασία έναντι κινδύνων που απορρέουν από τυχαία ή σκόπιμη καταστροφή ή/και απώλεια, π.χ. στρατηγική εφεδρείας (backup), (διαδικτυακά και μη, εντός και εκτός χώρου εργασίας), τροφοδοτικά αδιάλειπτης παροχής ισχύος (UPS), προστασία από τους ιούς (antivirus), τείχη προστασίας (firewall) και σχέδια έκτακτης ανάγκης.

  1. Διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση (Άρθρο 32 παρ. 1 δ) του EU GDPR, Άρθρο 25, παρ. 1, του EU GDPR)
  • Διαχείριση προστασίας δεδομένων
  • Διαχείριση ανταπόκρισης σε περίπτωση περιστατικών
  • Έλεγχος ανάθεσης. Δεν επιτρέπεται η επεξεργασία δεδομένων άνευ σύμβασης κατά την έννοια του Άρθρου 28 του EU GDPR χωρίς τις αντίστοιχες εντολές από τον πελάτη, π.χ.: σύνταξη δεσμευτικής συμφωνίας.
  1. Εγκεκριμένοι Υπεργολάβοι

Ο Εκτελών την Επεξεργασία δεν θα προβεί σε ανάθεση σε Υπεργολάβους για τους σκοπούς της παρούσας Σύμβασης.

  1. Εγκεκριμένοι Υπεργολάβοι Υπεργολάβων

Δεν θα πραγματοποιηθεί ανάθεση σε Υπεργολάβους Υπεργολάβων για τους σκοπούς της παρούσας Σύμβασης.