Συμφωνία επεξεργασίας δεδομένων
Σύμφωνα με τις απαιτήσεις του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ο Πάροχος (εφεξής θα αναφέρεται ως ο «Εκτελών την επεξεργασία») και ο Χρήστης (εφεξής θα αναφέρεται ως ο «Υπεύθυνος επεξεργασίας») συνάπτουν μια συμβατική σχέση επεξεργασίας δεδομένων προκειμένου να καθοριστούν οι όροι και οι προϋποθέσεις για την επεξεργασία των προσωπικών δεδομένων, τον τρόπο προστασίας τους, καθώς και για να καθοριστούν άλλα δικαιώματα και των δύο συμβαλλόμενων στην επεξεργασία προσωπικών δεδομένων των υποκειμένων των δεδομένων για λογαριασμό του Υπεύθυνου επεξεργασίας κατά τη διάρκεια εκτέλεσης του αντικειμένου των παρόντων Όρων ως βασική σύμβαση.
1. Δεδομένα προσωπικού χαρακτήρα επεξεργασία. Οι υπηρεσίες που παρέχονται σε συμμόρφωση με τους παρόντες Όρους περιλαμβάνουν την επεξεργασία πληροφοριών που σχετίζονται με ένα ταυτοποιημένο ή δυνάμενο να ταυτοποιηθεί φυσικό πρόσωπο που αναγράφεται στην Πολιτική απορρήτου (εφεξής θα αναφέρεται ως τα «Δεδομένα προσωπικού χαρακτήρα»).
2. Εξουσιοδότηση. Ο Υπεύθυνος επεξεργασίας εξουσιοδοτεί τον Εκτελούντα την επεξεργασία να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα, που συμπεριλαμβάνουν τις ακόλουθες οδηγίες:
(i) «Σκοπός της επεξεργασίας» σημαίνει την παροχή υπηρεσιών σε συμμόρφωση με τους παρόντες Όρους. Ο Εκτελών την επεξεργασία επιτρέπεται να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου επεξεργασίας μόνο σε σχέση με την παροχή των υπηρεσιών που ζητούνται από τον Υπεύθυνο επεξεργασίας. Όλες οι πληροφορίες που συλλέγονται για πρόσθετους σκοπούς υποβάλλονται σε επεξεργασία εκτός της συμβατικής σχέσης του Υπεύθυνου επεξεργασίας-Εκτελούντα την επεξεργασία.
(ii) περίοδος επεξεργασίας σημαίνει την περίοδο από τη συνομολόγηση της αμοιβαίας συνεργασίας σύμφωνα με τους παρόντες Όρους έως τον τερματισμό της παροχής υπηρεσιών,
(iii) το αντικείμενο και οι κατηγορίες Προσωπικών δεδομένων θα περιλαμβάνουν γενικά προσωπικά δεδομένα, εκτός από οποιεσδήποτε και όλες τις ειδικές κατηγορίες προσωπικών δεδομένων,
(iv) «Υποκείμενο των δεδομένων» σημαίνει το φυσικό πρόσωπο που είναι εξουσιοδοτημένος χρήστης των συσκευών του Υπεύθυνου επεξεργασίας,
(v) λειτουργίες επεξεργασίας σημαίνει κάθε λειτουργία και όλες τις λειτουργίες που απαιτούνται για το σκοπό της επεξεργασίας,
(vi) «Τεκμηριωμένες οδηγίες» σημαίνει τις οδηγίες που περιγράφονται στους παρόντες Όρους, στα παραρτήματά τους, στην Πολιτική απορρήτου και στα έγγραφα της παροχής υπηρεσιών. Ο Υπεύθυνος επεξεργασίας ευθύνεται για την αντικειμενική νομιμότητα της επεξεργασίας των Δεδομένων προσωπικού χαρακτήρα από τον Εκτελούντα την επεξεργασία αναφορικά με τις αντίστοιχες ισχύουσες διατάξεις του νόμου περί προστασίας δεδομένων.
3. Υποχρεώσεις του Εκτελών την επεξεργασία. Ο Εκτελών την επεξεργασία οφείλει:
(i) να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα μόνο για τους λόγους που αναγράφονται στις Τεκμηριωμένες οδηγίες και για τον σκοπό που ορίζεται στους Όρους, στα Παραρτήματά τους, στην Πολιτική απορρήτου και στην τεκμηρίωση των υπηρεσιών,
(ii) να διασφαλίζει ότι τα άτομα που εξουσιοδοτούνται να επεξεργάζονται τα Δεδομένα προσωπικού χαρακτήρα έχουν δεσμευτεί για την εμπιστευτικότητα και ότι ακολουθούν τις Τεκμηριωμένες οδηγίες,
(iii) να εφαρμόζει και να ακολουθεί τα μέτρα που περιγράφονται στους Όρους, στα Παραρτήματά τους, στην Πολιτική απορρήτου και στην τεκμηρίωση των υπηρεσιών,
(iv) να επικουρεί τον Υπεύθυνο επεξεργασίας στην ανταπόκριση σε αιτήματα των Υποκειμένων των δεδομένων που σχετίζονται με τα δικαιώματά τους. Ο Εκτελών την επεξεργασία οφείλει να μην διορθώνει, καταργεί ή περιορίζει την επεξεργασία Δεδομένων προσωπικού χαρακτήρα χωρίς την εντολή του Υπεύθυνου επεξεργασίας. Όλα τα αιτήματα του Υποκειμένου των δεδομένων που σχετίζονται με Δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό του Υπεύθυνου επεξεργασίας θα διαβιβάζονται στον Υπεύθυνο επεξεργασίας χωρίς καθυστέρηση.
(v) να επικουρεί τον Υπεύθυνο επεξεργασίας στην ειδοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή και στο Υποκείμενο των δεδομένων,
(vi) να καταργεί ή να επιστρέφει όλα τα Δεδομένα προσωπικού χαρακτήρα στον Υπεύθυνο επεξεργασίας μετά τη λήξη της Περιόδου επεξεργασίας,
(vii) να διατηρεί ενημερωμένο μητρώο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που έχει διενεργήσει για λογαριασμό του Υπεύθυνου επεξεργασίας,
(viii) να θέτει στη διάθεση του Υπεύθυνου επεξεργασίας όλες τις πληροφορίες που απαιτούνται για την απόδειξη της συμμόρφωσης ως μέρος των Όρων, των Παραρτημάτων τους, της Πολιτικής απορρήτου και της τεκμηρίωσης των υπηρεσιών.
4. Απασχόληση άλλου Εκτελών την επεξεργασία. Ο Εκτελών την επεξεργασία δικαιούται να απασχολήσει και άλλον εκτελούντα την επεξεργασία για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας, όπως η παροχή χώρου αποθήκευσης σε cloud και η υποδομή για την παροχή υπηρεσιών σε συμμόρφωση με τους παρόντες Όρους, τα Παραρτήματά τους, την Πολιτική απορρήτου και την τεκμηρίωση των υπηρεσιών. Προς το παρόν, η Microsoft παρέχει χώρο αποθήκευσης σε cloud και υποδομή ως μέρος της Υπηρεσίας cloud Azure. Ακόμα και σε αυτή την περίπτωση, ο Εκτελών την επεξεργασία θα παραμένει το μόνο σημείο επικοινωνίας και ο συμβαλλόμενος που ευθύνεται για τη συμμόρφωση.
5. Επικράτεια επεξεργασίας. Ο Εκτελών την επεξεργασία διασφαλίζει ότι η επεξεργασία θα λαμβάνει χώρα στον Ευρωπαϊκό Οικονομικό Χώρο ή σε μια χώρα που καθορίζεται ως ασφαλής με απόφαση της Ευρωπαϊκής Επιτροπής, με βάση την απόφαση του Υπεύθυνου επεξεργασίας. Σε περίπτωση μεταβιβάσεων και επεξεργασίας εκτός του Ευρωπαϊκού Οικονομικού Χώρου ή μιας χώρας που καθορίζεται ως ασφαλής με απόφαση της Ευρωπαϊκής Επιτροπής, θα ισχύουν οι Τυποποιημένες συμβατικές ρήτρες εφόσον ζητηθεί από τον Υπεύθυνο επεξεργασίας.
6. Ασφάλεια. Ο Εκτελών την επεξεργασία έχει πιστοποιηθεί κατά ISO 27001:2013 και χρησιμοποιεί το πλαίσιο του προτύπου ISO 27001 για την υλοποίηση μιας στρατηγικής ασφάλειας άμυνας επιπέδων κατά την εφαρμογή ελέγχων ασφαλείας στο επίπεδο διεργασιών δικτύου, λειτουργικών συστημάτων, βάσεων δεδομένων, εφαρμογών, προσωπικού και λειτουργίας. Η συμμόρφωση με τις κανονιστικές και συμβατικές απαιτήσεις αξιολογείται τακτικά και αναθεωρείται με παρόμοιο τρόπο με άλλη υποδομή και άλλες λειτουργίες του Εκτελούντα την επεξεργασία, και λαμβάνονται τα απαραίτητα μέτρα ώστε να υπάρχει συμμόρφωση σε συνεχή βάση. Ο Εκτελών την επεξεργασία έχει οργανώσει την ασφάλεια δεδομένων χρησιμοποιώντας ISMS με βάση το ISO 27001. Η τεκμηρίωση ασφάλειας περιλαμβάνει κυρίως έγγραφα πολιτικών για την ασφάλεια πληροφοριών, τη φυσική ασφάλεια και την ασφάλεια του εξοπλισμού, τη διαχείριση συμβάντων, το χειρισμό διαρροών δεδομένων και συμβάντων ασφαλείας, κ.λπ.
7. Πληροφορίες επικοινωνίας του Εκτελών την επεξεργασία. Όλες οι ειδοποιήσεις, τα αιτήματα, οι απαιτήσεις και άλλη επικοινωνία που αφορά την προστασία προσωπικών δεδομένων θα απευθύνεται στην ESET, spol. s.r.o., υπόψη: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.