Συμφωνία επεξεργασίας δεδομένων
Ισχύει από 29 Σεπτεμβρίου 2023 | Ανατρέξτε σε μια προηγούμενη έκδοση της Συμφωνίας επεξεργασίας δεδομένων | Σύγκριση αλλαγών
Σύμφωνα με τις απαιτήσεις του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ο Πάροχος (εφεξής θα αναφέρεται ως ο «Εκτελών την επεξεργασία») και ο Χρήστης (εφεξής θα αναφέρεται ως ο «Υπεύθυνος επεξεργασίας») συνάπτουν μια συμβατική σχέση επεξεργασίας δεδομένων προκειμένου να καθοριστούν οι όροι και οι προϋποθέσεις για την επεξεργασία των προσωπικών δεδομένων, τον τρόπο προστασίας τους, καθώς και για να καθοριστούν άλλα δικαιώματα και των δύο συμβαλλόμενων στην επεξεργασία προσωπικών δεδομένων των υποκειμένων των δεδομένων για λογαριασμό του Υπεύθυνου επεξεργασίας κατά τη διάρκεια εκτέλεσης του αντικειμένου των παρόντων Όρων ως βασική σύμβαση.
1. Δεδομένα προσωπικού χαρακτήρα επεξεργασία. Οι υπηρεσίες που παρέχονται σε συμμόρφωση με τους παρόντες Όρους περιλαμβάνουν την επεξεργασία πληροφοριών που σχετίζονται με ένα ταυτοποιημένο ή δυνάμενο να ταυτοποιηθεί φυσικό πρόσωπο που αναγράφεται στην Πολιτική απορρήτου (εφεξής θα αναφέρεται ως τα «Δεδομένα προσωπικού χαρακτήρα»).
2. Εξουσιοδότηση. Ο Υπεύθυνος επεξεργασίας εξουσιοδοτεί τον Εκτελούντα την επεξεργασία να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα, που συμπεριλαμβάνουν τις ακόλουθες οδηγίες:
(i) «Σκοπός της επεξεργασίας» σημαίνει την παροχή υπηρεσιών σε συμμόρφωση με τους παρόντες Όρους. Ο Εκτελών την επεξεργασία επιτρέπεται να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου επεξεργασίας μόνο σε σχέση με την παροχή των υπηρεσιών που ζητούνται από τον Υπεύθυνο επεξεργασίας. Όλες οι πληροφορίες που συλλέγονται για πρόσθετους σκοπούς υποβάλλονται σε επεξεργασία εκτός της συμβατικής σχέσης του Υπεύθυνου επεξεργασίας-Εκτελούντα την επεξεργασία.
(ii) περίοδος επεξεργασίας σημαίνει την περίοδο από τη συνομολόγηση της αμοιβαίας συνεργασίας σύμφωνα με τους παρόντες Όρους έως τον τερματισμό της παροχής υπηρεσιών,
(iii) Πεδίο εφαρμογής και κατηγορίες Δεδομένων προσωπικού χαρακτήρα. Οι Υπηρεσίες προορίζονται μόνο για την επεξεργασία γενικών δεδομένων προσωπικού χαρακτήρα. Ωστόσο, ο Υπεύθυνος επεξεργασίας είναι αποκλειστικά υπεύθυνος για τον καθορισμό του πεδίου εφαρμογής των δεδομένων προσωπικού χαρακτήρα.
(iv) «Υποκείμενο των δεδομένων» σημαίνει το φυσικό πρόσωπο που είναι εξουσιοδοτημένος χρήστης των συσκευών του Υπεύθυνου επεξεργασίας,
(v) Οι δραστηριότητες επεξεργασίας είναι κάθε λειτουργία και όλες οι λειτουργίες μαζί που απαιτούνται για το σκοπό της επεξεργασίας,
(vi) «Τεκμηριωμένες οδηγίες» σημαίνει τις οδηγίες που περιγράφονται στους παρόντες Όρους, στα παραρτήματά τους, στην Πολιτική απορρήτου και στα έγγραφα της παροχής υπηρεσιών. Ο Υπεύθυνος επεξεργασίας ευθύνεται για την αντικειμενική νομιμότητα της επεξεργασίας των Δεδομένων προσωπικού χαρακτήρα από τον Εκτελούντα την επεξεργασία αναφορικά με τις αντίστοιχες ισχύουσες διατάξεις του νόμου περί προστασίας δεδομένων.
3. Υποχρεώσεις του Εκτελών την επεξεργασία. Ο Εκτελών την επεξεργασία οφείλει:
(i) να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα μόνο για τους λόγους που αναγράφονται στις Τεκμηριωμένες οδηγίες και για τον σκοπό που ορίζεται στους Όρους, στα Παραρτήματά τους, στην Πολιτική απορρήτου και στην τεκμηρίωση των υπηρεσιών,
(ii) να καθοδηγεί τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα Δεδομένα προσωπικού χαρακτήρα (εφεξής τα «Εξουσιοδοτημένα Πρόσωπα») σχετικά με τα δικαιώματα και τις υποχρεώσεις τους σύμφωνα με τον ΓΚΠΔ, σχετικά με την ευθύνη τους σε περίπτωση παραβίασης και να διασφαλίσει ότι τα Εξουσιοδοτημένα Πρόσωπα έχουν δεσμευτεί για εμπιστευτικότητα και ακολουθούν τις καταγεγραμμένες οδηγίες,
(iii) να εφαρμόζει και να ακολουθεί τα μέτρα που περιγράφονται στους Όρους, στα Παραρτήματά τους, στην Πολιτική απορρήτου και στην τεκμηρίωση των υπηρεσιών,
(iv) να επικουρεί τον Υπεύθυνο επεξεργασίας στην ανταπόκριση σε αιτήματα των Υποκειμένων των δεδομένων που σχετίζονται με τα δικαιώματά τους. Ο Εκτελών την επεξεργασία οφείλει να μην διορθώνει, καταργεί ή περιορίζει την επεξεργασία Δεδομένων προσωπικού χαρακτήρα χωρίς την εντολή του Υπεύθυνου επεξεργασίας. Όλα τα αιτήματα του Υποκειμένου των δεδομένων που σχετίζονται με Δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό του Υπεύθυνου επεξεργασίας θα διαβιβάζονται στον Υπεύθυνο επεξεργασίας χωρίς καθυστέρηση.
(v) να επικουρεί τον Υπεύθυνο επεξεργασίας στην ειδοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή και στο Υποκείμενο των δεδομένων, Ο Εκτελών την επεξεργασία ενημερώνει τον Υπεύθυνο επεξεργασίας για οποιαδήποτε παραβίαση της επεξεργασίας Δεδομένων προσωπικού χαρακτήρα ή της ασφάλειας των δεδομένων προσωπικού χαρακτήρα αμέσως μετά την ανακάλυψη. Ο Εκτελών την επεξεργασία συνεργάζεται σε εύλογο βαθμό στη διερεύνηση και αποκατάσταση της εν λόγω παραβίασης και λαμβάνει εύλογα μέτρα για τον περιορισμό περαιτέρω αρνητικών επιπτώσεων.
(vi) κατ' επιλογή του Υπεύθυνου επεξεργασίας, να καταργεί ή να επιστρέφει όλα τα Δεδομένα προσωπικού χαρακτήρα στον Υπεύθυνο επεξεργασίας μετά τη λήξη της Περιόδου επεξεργασίας. Ο Υπεύθυνος επεξεργασίας αναλαμβάνει να ενημερώσει τον Εκτελούντα την επεξεργασία σχετικά με την απόφασή του εντός δέκα (10) ημερών από τη λήξη της Περιόδου επεξεργασίας. Η παρούσα διάταξη δεν θίγει το δικαίωμα του Εκτελούντος την επεξεργασία να διατηρεί τα Δεδομένα προσωπικού χαρακτήρα στον αναγκαίο βαθμό για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής έρευνας, στατιστικούς σκοπούς ή για σκοπούς θεμελίωσης, άσκησης ή υπεράσπισης νομικών αξιώσεων.
(vii) να διατηρεί ενημερωμένο μητρώο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που έχει διενεργήσει για λογαριασμό του Υπεύθυνου επεξεργασίας,
(viii) να θέτει στη διάθεση του Υπεύθυνου επεξεργασίας όλες τις πληροφορίες που απαιτούνται για την απόδειξη της συμμόρφωσης ως μέρος των Όρων, των Παραρτημάτων τους, της Πολιτικής απορρήτου και της τεκμηρίωσης των υπηρεσιών. Σε περίπτωση ελέγχου ή ελέγχου της επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα από την πλευρά του Υπευθύνου επεξεργασίας, ο Υπεύθυνος επεξεργασίας υποχρεούται να ενημερώσει εγγράφως τον Εκτελούντα την επεξεργασία τουλάχιστον τριάντα (30) ημέρες πριν από τον προγραμματισμένο έλεγχο.
4. Απασχόληση άλλου Εκτελών την επεξεργασία. Ο Εκτελών την επεξεργασία δικαιούται να απασχολήσει και άλλον εκτελούντα την επεξεργασία για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας, όπως η παροχή χώρου αποθήκευσης σε cloud και η υποδομή για την παροχή υπηρεσιών σε συμμόρφωση με τους παρόντες Όρους, τα Παραρτήματά τους, την Πολιτική απορρήτου και την τεκμηρίωση των υπηρεσιών. Προς το παρόν, η παρέχει χώρο αποθήκευσης σε cloud και υποδομή ως μέρος της Υπηρεσίας cloud . Επί του παρόντος, η Microsoft παρέχει υποδομή και αποθήκευση σε cloud ως μέρος της υπηρεσίας cloud Azure. Ακόμα και σε αυτή την περίπτωση, ο Εκτελών την επεξεργασία θα παραμένει το μόνο σημείο επικοινωνίας και ο συμβαλλόμενος που ευθύνεται για τη συμμόρφωση. Ο Εκτελών την επεξεργασία αναλαμβάνει δια του παρόντος να ενημερώνει τον Υπεύθυνο επεξεργασίας σχετικά με οποιαδήποτε προσθήκη ή αντικατάσταση άλλου εκτελούντος την επεξεργασία για σκοπούς δυνατότητας εναντίωσης στην εν λόγω αλλαγή.
5. Επικράτεια επεξεργασίας. Ο Εκτελών την επεξεργασία διασφαλίζει ότι η επεξεργασία θα λαμβάνει χώρα στον Ευρωπαϊκό Οικονομικό Χώρο ή σε μια χώρα που καθορίζεται ως ασφαλής με απόφαση της Ευρωπαϊκής Επιτροπής, με βάση την απόφαση του Υπεύθυνου επεξεργασίας. Σε περίπτωση μεταβιβάσεων και επεξεργασίας εκτός του Ευρωπαϊκού Οικονομικού Χώρου ή μιας χώρας που καθορίζεται ως ασφαλής με απόφαση της Ευρωπαϊκής Επιτροπής, θα ισχύουν οι Τυποποιημένες συμβατικές ρήτρες εφόσον ζητηθεί από τον Υπεύθυνο επεξεργασίας.
6. Ασφάλεια. Ο Εκτελών την επεξεργασία έχει πιστοποιηθεί κατά ISO 27001:2013 και χρησιμοποιεί το πλαίσιο του προτύπου ISO 27001 για την υλοποίηση μιας στρατηγικής ασφάλειας άμυνας επιπέδων κατά την εφαρμογή ελέγχων ασφαλείας στο επίπεδο διεργασιών δικτύου, λειτουργικών συστημάτων, βάσεων δεδομένων, εφαρμογών, προσωπικού και λειτουργίας. Η συμμόρφωση με τις κανονιστικές και συμβατικές απαιτήσεις αξιολογείται τακτικά και αναθεωρείται με παρόμοιο τρόπο με άλλη υποδομή και άλλες λειτουργίες του Εκτελούντα την επεξεργασία, και λαμβάνονται τα απαραίτητα μέτρα ώστε να υπάρχει συμμόρφωση σε συνεχή βάση. Ο Εκτελών την επεξεργασία έχει οργανώσει την ασφάλεια δεδομένων χρησιμοποιώντας ISMS με βάση το ISO 27001. Η τεκμηρίωση ασφάλειας περιλαμβάνει κυρίως έγγραφα πολιτικών για την ασφάλεια πληροφοριών, τη φυσική ασφάλεια και την ασφάλεια του εξοπλισμού, τη διαχείριση συμβάντων, το χειρισμό διαρροών δεδομένων και συμβάντων ασφαλείας, κ.λπ.
7. Τεχνικά και οργανωτικά μέτρα. Ο Εκτελών την επεξεργασία προστατεύει τα Δεδομένα προσωπικού χαρακτήρα από περιστασιακή και παράνομη ζημία και καταστροφή, περιστασιακή απώλεια, αλλαγή, μη εξουσιοδοτημένη πρόσβαση και αποκάλυψη. Για τον σκοπό αυτό, ο Εκτελών την επεξεργασία λαμβάνει επαρκή τεχνικά και οργανωτικά μέτρα που αντιστοιχούν στον τρόπο επεξεργασίας και στον κίνδυνο που παρουσιάζει η επεξεργασία για τα δικαιώματα των Υποκειμένων των Δεδομένων σύμφωνα με τις απαιτήσεις του ΓΚΠΔ. Στην Πολιτική Ασφαλείας αναφέρεται λεπτομερής περιγραφή των τεχνικών και οργανωτικών μέτρων.
8. Πληροφορίες επικοινωνίας του Εκτελών την επεξεργασία. Όλες οι ειδοποιήσεις, τα αιτήματα, οι απαιτήσεις και άλλη επικοινωνία που αφορά την προστασία προσωπικών δεδομένων θα απευθύνεται στην ESET, spol. s.r.o., υπόψη: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.