Ηλεκτρονική βοήθεια ESET

Αναζήτηση English
Επιλέξτε το θέμα

Τυποποιημένες συμβατικές ρήτρες

ΤΜΗΜΑ I

Ρήτρα 1 Σκοπός και πεδίο εφαρμογής

Οι παρούσες τυποποιημένες συμβατικές ρήτρες έχουν ως σκοπό να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ηςΑπριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)(1) όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα.

β) Τα συμβαλλόμενα μέρη:

i) το/τα φυσικό/-ά ή νομικό/-ά πρόσωπο/-α, δημόσια/-ες αρχή/-ές, υπηρεσία/-ες ή άλλος/-οι φορέας/-είς (στο εξής: οντότητα/-ες) που διαβιβάζει/-ουν τα δεδομένα προσωπικού χαρακτήρα, όπως απαριθμούνται στο παράρτημα I.A (στο εξής: εξαγωγέας των δεδομένων), και

ii) η οντότητα ή οι οντότητες σε τρίτη χώρα που λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα από τον εξαγωγέα των δεδομένων, άμεσα ή έμμεσα, μέσω άλλης οντότητας που είναι επίσης συμβαλλόμενο μέρος στις παρούσες ρήτρες, όπως απαριθμούνται στο παράρτημα I.A (στο εξής έκαστη εξ αυτών: εισαγωγέας των δεδομένων)

συμφώνησαν σχετικά με τις παρούσες τυποποιημένες συμβατικές ρήτρες (στο εξής: ρήτρες).

γ) Οι παρούσες ρήτρες εφαρμόζονται σε σχέση με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, όπως καθορίζεται στο παράρτημα I.B.

δ) Το προσάρτημα των παρουσών ρητρών που περιέχει τα παραρτήματα που αναφέρονται σε αυτό αποτελεί αναπόσπαστο τμήμα των εν λόγω ρητρών.

Ρήτρα 2 Αποτέλεσμα και αμετάβλητος χαρακτήρας των ρητρών

α) Οι παρούσες ρήτρες καθορίζουν τις κατάλληλες εγγυήσεις, συμπεριλαμβανομένων των εκτελεστών δικαιωμάτων των υποκειμένων των δεδομένων και των αποτελεσματικών ένδικων μέσων, σύμφωνα με το άρθρο46 παράγραφος 1 και το άρθρο46 παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679 και, όσον αφορά τις διαβιβάσεις δεδομένων από υπευθύνους επεξεργασίας σε εκτελούντες την επεξεργασία και/ή από εκτελούντες την επεξεργασία σε εκτελούντες την επεξεργασία, τις τυποποιημένες συμβατικές ρήτρες σύμφωνα με το άρθρο28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679, υπό την προϋπόθεση ότι δεν τροποποιούνται, εκτός από την επιλογή της/των κατάλληλης/-ων ενότητας/-ήτων ή την προσθήκη ή επικαιροποίηση πληροφοριών στο προσάρτημα. Αυτό δεν εμποδίζει τα συμβαλλόμενα μέρη από το να ενσωματώνουν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις παρούσες ρήτρες σε ευρύτερη σύμβαση και/ή να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό την προϋπόθεση ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις παρούσες ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.

β) Οι παρούσες ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο εξαγωγέας των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 3 Ρήτρα τρίτου δικαιούχου

α) Τα υποκείμενα των δεδομένων μπορούν να επικαλούνται και να επιβάλλουν τις παρούσες ρήτρες, ως δικαιούχοι τρίτοι, έναντι του εξαγωγέα των δεδομένων και/ή του εισαγωγέα των δεδομένων, με τις ακόλουθες εξαιρέσεις:

i) ρήτρα 1, ρήτρα 2, ρήτρα 3, ρήτρα 6, ρήτρα 7,

ρήτρα 8 – πρώτη ενότητα: ρήτρα 8.5 παράγραφος ε) και ρήτρα 8.9 παράγραφος β)·δεύτερη ενότητα: ρήτρα 8.1 παράγραφος β), ρήτρα 8.9 παράγραφοι α), γ), δ) και ε)·τρίτη ενότητα: ρήτρα 8.1 παράγραφοι α), γ) και δ) και ρήτρα 8.9 παράγραφοι α), γ), δ), ε), στ) και ζ) τέταρτη ενότητα: ρήτρα 8.1 παράγραφος β) και ρήτρα 8.3 παράγραφος β),

iii) ρήτρα 9 – δεύτερη ενότητα: ρήτρα 9 παράγραφοι α), γ), δ) και ε)·τρίτη ενότητα: ρήτρα 9 παράγραφοι α), γ), δ) και ε),

iv) ρήτρα 12 – πρώτη ενότητα: ρήτρα 12 παράγραφοι α) και δ) δεύτερη και τρίτη ενότητα: ρήτρα 12 παράγραφοι α), δ) και στ),

v) ρήτρα 13,

vi) ρήτρα 15.1 παράγραφοι γ), δ) και ε),

vii) ρήτρα 16 παράγραφος ε),

ρήτρα 18 – πρώτη, δεύτερη και τρίτη ενότητα: ρήτρα 18 παράγραφοι α) και β)·τέταρτη ενότητα: ρήτρα 18.

β) Η παράγραφος α) δεν θίγει τα δικαιώματα των υποκειμένων των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 4 Ερμηνεία

α) Όταν στις παρούσες ρήτρες χρησιμοποιούνται όροι που ορίζονται στον κανονισμό (ΕΕ) 2016/679, οι εν λόγω όροι έχουν την ίδια έννοια με εκείνη του εν λόγω κανονισμού.

β) Η ανάγνωση και ερμηνεία των παρουσών ρητρών πραγματοποιούνται με βάση τις διατάξεις του κανονισμού (ΕΕ) 2016/679.

γ) Οι παρούσες ρήτρες δεν ερμηνεύονται κατά τρόπο που έρχεται σε σύγκρουση με τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679.

Ρήτρα 5 Ιεραρχία

Σε περίπτωση αντίφασης μεταξύ των παρουσών ρητρών και των διατάξεων συναφών συμφωνιών μεταξύ των συμβαλλόμενων μερών που ισχύουν κατά τον χρόνο που συμφωνούνται ή αρχίζουν να ισχύουν οι παρούσες ρήτρες, υπερισχύουν οι παρούσες ρήτρες.

Ρήτρα 6 Περιγραφή της/των διαβίβασης/-άσεων

Οι λεπτομέρειες της/των διαβίβασης/-άσεων, και ιδίως οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται και οι σκοποί για τους οποίους διαβιβάζονται, προσδιορίζονται στο παράρτημα I.Β.

Ρήτρα 7 – Προαιρετική Ρήτρα σύνδεσης

α) Οντότητα που δεν είναι συμβαλλόμενο μέρος των παρουσών ρητρών μπορεί, κατόπιν συμφωνίας των συμβαλλόμενων μερών, να προσχωρήσει στις παρούσες ρήτρες ανά πάσα στιγμή, είτε ως εξαγωγέας των δεδομένων είτε ως εισαγωγέας των δεδομένων, συμπληρώνοντας το προσάρτημα και υπογράφοντας το παράρτημα I.Α.

β) Μετά τη συμπλήρωση του προσαρτήματος και την υπογραφή του παραρτήματος I.Α, η προσχωρούσα οντότητα λογίζεται ως συμβαλλόμενο μέρος των παρουσών ρητρών και έχει τα δικαιώματα και τις υποχρεώσεις εξαγωγέα των δεδομένων ή εισαγωγέα των δεδομένων, σύμφωνα με τον ορισμό τους στο παράρτημα I.Α.

γ) Η προσχωρούσα οντότητα δεν έχει δικαιώματα και υποχρεώσεις που απορρέουν από τις παρούσες ρήτρες όσον αφορά την περίοδο πριν καταστεί συμβαλλόμενο μέρος.

ΤΜΗΜΑ II — ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Ρήτρα 8 Εγγυήσεις για την προστασία δεδομένων

Ο εξαγωγέας των δεδομένων εγγυάται ότι έχει καταβάλει εύλογες προσπάθειες ώστε να διαπιστώσει ότι ο εισαγωγέας των δεδομένων είναι σε θέση, μέσω της εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρων, να εκπληρώσει τις υποχρεώσεις του βάσει των παρουσών ρητρών.

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

8.1. Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον/τους συγκεκριμένο/-ους σκοπό/-ούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β. Μπορεί να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για άλλον σκοπό μόνον:

i) όταν έχει λάβει την προηγούμενη συναίνεση του υποκειμένου των δεδομένων,

ii) όταν είναι αναγκαίο για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών·ή

iii) όταν είναι αναγκαίο για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

8.2. Διαφάνεια

α) Για να μπορούν τα υποκείμενα των δεδομένων να ασκούν αποτελεσματικά τα δικαιώματά τους σύμφωνα με τη ρήτρα 10, ο εισαγωγέας των δεδομένων τα ενημερώνει, είτε απευθείας είτε μέσω του εξαγωγέα των δεδομένων σχετικά με τα εξής:

i) τα στοιχεία ταυτότητας και τα στοιχεία επικοινωνίας του εισαγωγέα των δεδομένων,

ii) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία,

iii) το δικαίωμα λήψης αντιγράφου των παρουσών ρητρών,

iv) όταν προτίθεται να διαβιβάσει περαιτέρω τα δεδομένα προσωπικού χαρακτήρα του αποδέκτη ή κατηγοριών αποδεκτών (κατά περίπτωση με σκοπό την παροχή πληροφοριών) σε τρίτον/-ους, τον σκοπό της εν λόγω περαιτέρω διαβίβασης και τον λόγο αυτής, σύμφωνα με τη ρήτρα 8.7.

β) Η παράγραφος α) δεν εφαρμόζεται όταν το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες, συμπεριλαμβανομένης της περίπτωσης που οι πληροφορίες αυτές έχουν ήδη παρασχεθεί από τον εξαγωγέα των δεδομένων, ή όταν η παροχή των πληροφοριών αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια για τον εισαγωγέα των δεδομένων. Στην τελευταία περίπτωση, ο εισαγωγέας των δεδομένων καθιστά, στο μέτρο του δυνατού, τις πληροφορίες διαθέσιμες στο κοινό.

γ) Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη θέτουν δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, τα συμβαλλόμενα μέρη μπορούν να απαλείψουν μέρος του κειμένου του προσαρτήματος πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχουν κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες.

δ) Οι παράγραφοι α) έως γ) εφαρμόζονται με την επιφύλαξη των υποχρεώσεων του εξαγωγέα των δεδομένων δυνάμει των άρθρων 13 και14 του κανονισμού (ΕΕ) 2016/679.

8.3. Ακρίβεια και ελαχιστοποίηση των δεδομένων

α) Κάθε συμβαλλόμενο μέρος διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και, εφόσον απαιτείται, επικαιροποιούνται. Ο εισαγωγέας των δεδομένων λαμβάνει κάθε εύλογο μέτρο για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, σε σχέση με τον/τους σκοπό/-ούς της επεξεργασίας, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση.

β) Αν ένα από τα συμβαλλόμενα μέρη διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει διαβιβάσει ή λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει το έτερο συμβαλλόμενο μέρος χωρίς αδικαιολόγητη καθυστέρηση.

γ) Ο εισαγωγέας των δεδομένων διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι επαρκή, συναφή και περιορίζονται σε ό,τι είναι αναγκαίο σε σχέση με τον/τους σκοπό/-ούς της επεξεργασίας.

8.4. Περιορισμός της περιόδου αποθήκευσης

Ο εισαγωγέας των δεδομένων διατηρεί τα δεδομένα προσωπικού χαρακτήρα μόνο για το διάστημα που είναι αναγκαίο για τον/τους σκοπό/-ούς για τον/τους οποίο/-ους υποβάλλονται σε επεξεργασία. Εφαρμόζει κατάλληλα τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της συμμόρφωσης με την υποχρέωση αυτή, συμπεριλαμβανομένης της διαγραφής ή της ανωνυμοποίησης (2) των δεδομένων και όλων των εφεδρικών αντιγράφων στο τέλος της περιόδου διατήρησης.

8.5. Ασφάλεια επεξεργασίας

α) Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας.

β) Τα συμβαλλόμενα μέρη συμφώνησαν σχετικά με τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίζει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

γ) Ο εισαγωγέας των δεδομένων διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

δ) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

ε) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο εισαγωγέας των δεδομένων ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τόσο τον εξαγωγέα των δεδομένων όσο και την αρμόδια εποπτική αρχή σύμφωνα με τη ρήτρα 13. Η εν λόγω γνωστοποίηση περιλαμβάνει i) περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα), ii) τις ενδεχόμενες συνέπειές της, iii) τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης και iv) τα στοιχεία ενός σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες. Στον βαθμό που ο εισαγωγέας των δεδομένων δεν είναι σε θέση να παράσχει όλες τις πληροφορίες ταυτόχρονα, μπορεί να το πράξει σταδιακά χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση.

στ) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να συνεπάγεται υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο εισαγωγέας των δεδομένων γνωστοποιεί επίσης αμελλητί στα επηρεαζόμενα υποκείμενα των δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και τη φύση της, αν απαιτείται σε συνεργασία με τον εξαγωγέα των δεδομένων, μαζί με τις πληροφορίες που αναφέρονται στην παράγραφο ε) σημεία ii) έως iv), εκτός αν ο εισαγωγέας των δεδομένων έχει εφαρμόσει μέτρα για τη σημαντική μείωση του κινδύνου για τα δικαιώματα ή τις ελευθερίες των φυσικών προσώπων, ή η γνωστοποίηση προϋποθέτει δυσανάλογες προσπάθειες. Στην τελευταία περίπτωση, ο εισαγωγέας των δεδομένων εκδίδει αντί της γνωστοποίησης δημόσια ανακοίνωση ή λαμβάνει παρόμοιο μέτρο για την ενημέρωση του κοινού σχετικά με την παραβίαση δεδομένων προσωπικού χαρακτήρα.

ζ) Ο εισαγωγέας των δεδομένων τεκμηριώνει όλα τα σχετικά πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των συνεπειών της και τυχόν ληφθέντων διορθωτικών μέτρων, και τηρεί σχετικό αρχείο.

8.6. Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες ή αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει ειδικούς περιορισμούς και/ή πρόσθετες εγγυήσεις που έχουν προσαρμοστεί στην ιδιαίτερη φύση των δεδομένων και των σχετικών κινδύνων. Αυτό μπορεί να περιλαμβάνει τον περιορισμό της πρόσβασης του προσωπικού που επιτρέπεται να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, πρόσθετα μέτρα ασφάλειας (όπως η ψευδωνυμοποίηση) και/ή πρόσθετους περιορισμούς όσον αφορά την περαιτέρω κοινολόγηση.

8.7. Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων δεν κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (3) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), εκτός αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα. Διαφορετικά, ο εισαγωγέας των δεδομένων μπορεί να πραγματοποιεί περαιτέρω διαβίβαση μόνο αν:

i) η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση,

ii) ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679 όσον αφορά την εν λόγω επεξεργασία,

iii) ο τρίτος συνάπτει δεσμευτική πράξη με τον εισαγωγέα των δεδομένων η οποία διασφαλίζει το ίδιο επίπεδο προστασίας των δεδομένων με εκείνο που προβλέπεται στις παρούσες ρήτρες, και ο εισαγωγέας των δεδομένων παρέχει αντίγραφο των εν λόγω εγγυήσεων στον εξαγωγέα των δεδομένων,

iv) είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών,

v) όταν είναι αναγκαίο για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου ή

vi) εφόσον δεν συντρέχει καμία από τις λοιπές περιπτώσεις, ο εισαγωγέας των δεδομένων έχει λάβει τη ρητή συγκατάθεση του υποκειμένου των δεδομένων για περαιτέρω διαβίβαση σε ειδική κατάσταση, αφού έχει ενημερώσει το εν λόγω υποκείμενο για τον σκοπό ή τους σκοπούς της, την ταυτότητα του αποδέκτη και τους πιθανούς κινδύνους της εν λόγω διαβίβασης για το υποκείμενο των δεδομένων λόγω έλλειψης κατάλληλων εγγυήσεων προστασίας των δεδομένων. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων ενημερώνει τον εξαγωγέα των δεδομένων και, κατόπιν αιτήματος του εξαγωγέα των δεδομένων, του διαβιβάζει αντίγραφο των πληροφοριών που παρέχονται στο υποκείμενο των δεδομένων.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.8. Επεξεργασία υπό την εποπτεία του εισαγωγέα των δεδομένων

Ο εισαγωγέας των δεδομένων διασφαλίζει ότι κάθε πρόσωπο που ενεργεί υπό την εποπτεία του, συμπεριλαμβανομένου του εκτελούντος την επεξεργασία, επεξεργάζεται τα δεδομένα μόνον κατ’ εντολή του εισαγωγέα των δεδομένων.

8.9. Τεκμηρίωση και συμμόρφωση

α) Κάθε συμβαλλόμενο μέρος είναι σε θέση να αποδεικνύει τη συμμόρφωση με τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση των δραστηριοτήτων επεξεργασίας που διεξάγονται υπό την ευθύνη του.

β) Ο εισαγωγέας των δεδομένων θέτει την εν λόγω τεκμηρίωση στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

8.1. Εντολές

α) Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Ο εξαγωγέας των δεδομένων μπορεί να παρέχει τις σχετικές εντολές καθ’ όλη τη διάρκεια ισχύος της σύμβασης.

β) Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές.

8.2. Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β, εκτός αν λάβει περαιτέρω εντολές από τον εξαγωγέα των δεδομένων.

8.3. Διαφάνεια

Κατόπιν αιτήματος, ο εξαγωγέας των δεδομένων θέτει δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των μέτρων που περιγράφονται στο παράρτημα II και των δεδομένων προσωπικού χαρακτήρα, ο εξαγωγέας των δεδομένων μπορεί να απαλείψει μέρος του κειμένου του προσαρτήματος των παρουσών ρητρών πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχει κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες. Η ρήτρα αυτή ισχύει με την επιφύλαξη των υποχρεώσεων του εξαγωγέα των δεδομένων δυνάμει των άρθρων 13 και 14 του κανονισμού (ΕΕ) 2016/679.

8.4. Ακρίβεια

Αν ο εισαγωγέας των δεδομένων διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διαγραφή ή τη διόρθωση των δεδομένων.

8.5. Διάρκεια της επεξεργασίας και διαγραφή ή επιστροφή των δεδομένων

Η επεξεργασία από τον εισαγωγέα των δεδομένων πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα I.Β. Μετά το πέρας της παροχής υπηρεσιών επεξεργασίας, ο εισαγωγέας των δεδομένων, κατ’ επιλογή του εξαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του εξαγωγέα των δεδομένων και πιστοποιεί στον εξαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εξαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14, ειδικότερα της απαίτησης για τον εισαγωγέα των δεδομένων βάσει της ρήτρας 14 παράγραφος ε) να ενημερώνει τον εξαγωγέα δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης αν έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της ρήτρας 14 παράγραφος α).

8.6. Ασφάλεια επεξεργασίας

α) Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση των λόγω δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας. Σε περίπτωση ψευδωνυμοποίησης, οι συμπληρωματικές πληροφορίες για την απόδοση των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένο υποκείμενο δεδομένων παραμένουν, στο μέτρο του δυνατού, υπό τον αποκλειστικό έλεγχο του εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων, στο πλαίσιο της συμμόρφωσης του με τις υποχρεώσεις του δυνάμει της παρούσας παραγράφου, εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίσει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

β) Ο εισαγωγέας των δεδομένων παρέχει στα μέλη του προσωπικού του πρόσβαση στα δεδομένα προσωπικού χαρακτήρα μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

γ) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Μόλις λάβει γνώση της παραβίασης, ο εισαγωγέας των δεδομένων ενημερώνει επίσης τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Η εν λόγω γνωστοποίηση περιλαμβάνει τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες, την περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα), τις ενδεχόμενες συνέπειές της και τα ληφθέντα ή τα προτεινόμενα προς λήψη για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ επιπλέον πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

δ) Ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων και τον επικουρεί ώστε να είναι σε θέση να εκπληρώνει τις υποχρεώσεις του στο πλαίσιο του κανονισμού (ΕΕ) 2016/679, ειδικότερα να ενημερώνει την αρμόδια εποπτική αρχή και τα επηρεαζόμενα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας των δεδομένων.

8.7. Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει τους ειδικούς περιορισμούς και/ή τις πρόσθετες εγγυήσεις που περιγράφονται στο παράρτημα I.Β.

8.8. Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον μόνο βάσει καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Επιπλέον, τα δεδομένα μπορούν να κοινολογηθούν σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (4) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), μόνον αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα, ή αν:

i) η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση,

ii) ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679 όσον αφορά την εν λόγω επεξεργασία,

iii) η περαιτέρω διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών ή

iv) η περαιτέρω διαβίβαση είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.9. Τεκμηρίωση και συμμόρφωση

α) Ο εισαγωγέας των δεδομένων ανταποκρίνεται άμεσα και με επάρκεια στα αιτήματα πληροφοριών του εξαγωγέα των δεδομένων που σχετίζονται με την επεξεργασία σύμφωνα με τις παρούσες ρήτρες.

β) Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση σχετικά με τις δραστηριότητες επεξεργασίας που διεξάγονται για λογαριασμό του εξαγωγέα των δεδομένων.

γ) Ο εισαγωγέας των δεδομένων θέτει στη διάθεση του εξαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που καθορίζονται στις παρούσες ρήτρες και, κατόπιν αιτήματος του εξαγωγέα των δεδομένων, επιτρέπει και διευκολύνει τη διενέργεια ελέγχων των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Όταν αποφασίζει για επανεξέταση ή έλεγχο, ο εξαγωγέας των δεδομένων μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εισαγωγέα των δεδομένων.

δ) Ο εξαγωγέας των δεδομένων μπορεί να επιλέξει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι μπορούν να περιλαμβάνουν επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εισαγωγέα των δεδομένων και, όπου κρίνεται απαραίτητο, να διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.

ε) Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στις παραγράφους β) και γ), περιλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

8.1. Εντολές

α) Ο εξαγωγέας των δεδομένων έχει ενημερώσει τον εισαγωγέα των δεδομένων ότι ενεργεί ως εκτελών την επεξεργασία κατόπιν εντολών του/των υπευθύνου/-ων επεξεργασίας, τις οποίες ο εξαγωγέας των δεδομένων θέτει στη διάθεση του εισαγωγέα των δεδομένων πριν από την επεξεργασία.

β) Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, όπως έχουν κοινοποιηθεί στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων και βάσει τυχόν συμπληρωματικών καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Οι εν λόγω συμπληρωματικές εντολές δεν έρχονται σε σύγκρουση με τις εντολές του υπευθύνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας ή ο εξαγωγέας των δεδομένων μπορεί να δώσει περαιτέρω καταγεγραμμένες εντολές σχετικά με την επεξεργασία των δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης.

γ) Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές. Όταν ο εισαγωγέας των δεδομένων δεν είναι σε θέση να τηρήσει τις εντολές του υπευθύνου επεξεργασίας, ο εξαγωγέας των δεδομένων ενημερώνει αμέσως σχετικά τον υπεύθυνο επεξεργασίας.

δ) Ο εξαγωγέας των δεδομένων εγγυάται ότι έχει επιβάλει στον εισαγωγέα των δεδομένων τις ίδιες υποχρεώσεις προστασίας δεδομένων με εκείνες που ορίζονται στη σύμβαση ή σε άλλη νομική πράξη βάσει του δικαίου της Ένωσης ή κράτους μέλους μεταξύ του υπευθύνου επεξεργασίας και του εξαγωγέα των δεδομένων(5).

8.2. Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β, εκτός αν λάβει περαιτέρω εντολές από τον υπεύθυνο επεξεργασίας, όπως κοινοποιήθηκαν στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων, ή από τον εξαγωγέα των δεδομένων.

8.3. Διαφάνεια

Κατόπιν αιτήματος, ο εξαγωγέας των δεδομένων θέτει δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, ο εξαγωγέας των δεδομένων μπορεί να απαλείψει μέρος του κειμένου του προσαρτήματος πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχει κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες.

8.4. Ακρίβεια

Αν ο εισαγωγέας των δεδομένων διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διόρθωση ή τη διαγραφή των δεδομένων.

8.5. Διάρκεια της επεξεργασίας και διαγραφή ή επιστροφή των δεδομένων

Η επεξεργασία από τον εισαγωγέα των δεδομένων πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα I.Β. Μετά τη λήξη της παροχής των υπηρεσιών επεξεργασίας, ο εισαγωγέας των δεδομένων, κατ’ επιλογή του εξαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του υπευθύνου επεξεργασίας δεδομένων και πιστοποιεί στον εξαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εξαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14, ειδικότερα της απαίτησης για τον εισαγωγέα των δεδομένων βάσει της ρήτρας 14 παράγραφος ε) να ενημερώνει τον εξαγωγέα δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης αν έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της ρήτρας 14 παράγραφος α).

8.6. Ασφάλεια επεξεργασίας

α) Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση των λόγω δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας. Σε περίπτωση ψευδωνυμοποίησης, οι πρόσθετες πληροφορίες για την απόδοση των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένο υποκείμενο δεδομένων παραμένουν, στο μέτρο του δυνατού, υπό τον αποκλειστικό έλεγχο του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας. Ο εισαγωγέας των δεδομένων, στο πλαίσιο της συμμόρφωσης του με τις υποχρεώσεις του δυνάμει της παρούσας παραγράφου, εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίσει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

β) Ο εισαγωγέας των δεδομένων παρέχει στα μέλη του προσωπικού του πρόσβαση στα δεδομένα μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

γ) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Ο εισαγωγέας των δεδομένων ενημερώνει επίσης, χωρίς αδικαιολόγητη καθυστέρηση, τον εξαγωγέα των δεδομένων και, κατά περίπτωση και εφόσον είναι εφικτό, τον υπεύθυνο επεξεργασίας αφού λάβει γνώση της παραβίασης. Η εν λόγω γνωστοποίηση περιλαμβάνει τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες, την περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού υποκειμένων των δεδομένων, και των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα), τις πιθανές συνέπειές της και τα μέτρα που ελήφθησαν ή προτείνονται για την αντιμετώπιση της παραβίασης των δεδομένων, συμπεριλαμβανομένων των μέτρων για τον μετριασμό των πιθανών δυσμενών συνεπειών της. Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ επιπλέον πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

δ) Ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων και τον επικουρεί ώστε να είναι σε θέση να εκπληρώνει τις υποχρεώσεις του στο πλαίσιο του κανονισμού (ΕΕ) 2016/679, ειδικότερα να ενημερώνει τον υπεύθυνο επεξεργασίας ώστε αυτός με τη σειρά του να μπορεί να ειδοποιεί την αρμόδια εποπτική αρχή και τα επηρεαζόμενα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας των δεδομένων.

8.7. Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει τους ειδικούς περιορισμούς και/ή τις πρόσθετες εγγυήσεις που ορίζονται στο παράρτημα I.Β.

8.8. Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, όπως κοινοποιούνται στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων. Επιπλέον, τα δεδομένα μπορούν να κοινολογηθούν σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (6) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), μόνον αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα, ή αν:

i) η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση,

ii) ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο46 ή 47 του κανονισμού (ΕΕ) 2016/679,

iii) η περαιτέρω διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών ή

iv) η περαιτέρω διαβίβαση είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.9. Τεκμηρίωση και συμμόρφωση

α) Ο εισαγωγέας των δεδομένων ανταποκρίνεται άμεσα και με επάρκεια στα αιτήματα πληροφοριών του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας που σχετίζονται με την επεξεργασία σύμφωνα με τις παρούσες ρήτρες.

β) Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση των δραστηριοτήτων επεξεργασίας που διεξάγονται για λογαριασμό του υπευθύνου επεξεργασίας.

γ) Ο εισαγωγέας των δεδομένων θέτει στη διάθεση του εξαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που ορίζονται στις παρούσες ρήτρες και ο εξαγωγέας των δεδομένων τη διαβιβάζει στον υπεύθυνο επεξεργασίας.

δ) Ο εισαγωγέας των δεδομένων επιτρέπει και διευκολύνει ελέγχους των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, οι οποίοι διενεργούνται από τον εξαγωγέα των δεδομένων, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Το ίδιο ισχύει όταν ο εξαγωγέας των δεδομένων ζητεί έλεγχο κατ’ εντολή του υπευθύνου επεξεργασίας. Όταν αποφασίζει για έλεγχο, ο εξαγωγέας των δεδομένων μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εισαγωγέα των δεδομένων.

ε) Όταν ο έλεγχος διενεργείται κατ’ εντολή του υπευθύνου επεξεργασίας, ο εξαγωγέας των δεδομένων θέτει τα αποτελέσματα στη διάθεση του υπευθύνου επεξεργασίας.

στ) Ο εξαγωγέας των δεδομένων μπορεί να επιλέξει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι μπορούν να περιλαμβάνουν επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εισαγωγέα των δεδομένων και, όπου κρίνεται απαραίτητο, να διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.

ζ) Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στις παραγράφους β) και γ), περιλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας

8.1. Εντολές

α) Ο εξαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του εισαγωγέα των δεδομένων που ενεργεί ως υπεύθυνος επεξεργασίας.

β) Ο εξαγωγέας των δεδομένων ενημερώνει αμέσως τον εισαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές, μεταξύ άλλων αν οι εντολές αυτές παραβιάζουν τον κανονισμό (ΕΕ) 2016/679 ή άλλη νομοθεσία της Ένωσης ή κράτους μέλους σχετικά με την προστασία των δεδομένων.

γ) Ο εισαγωγέας των δεδομένων απέχει από κάθε ενέργεια που θα εμπόδιζε τον εξαγωγέα των δεδομένων να εκπληρώσει τις υποχρεώσεις του βάσει του κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων στο πλαίσιο υπεργολαβίας επεξεργασίας ή όσον αφορά τη συνεργασία με τις αρμόδιες εποπτικές αρχές.

δ) Μετά το πέρας της παροχής των υπηρεσιών επεξεργασίας, ο εξαγωγέας των δεδομένων, κατ’ επιλογή του εισαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του εισαγωγέα των δεδομένων και πιστοποιεί στον εισαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εισαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα.

8.2. Ασφάλεια επεξεργασίας

α) Τα συμβαλλόμενα μέρη εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, και της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση των δεδομένων προσωπικού χαρακτήρα (7), τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων, και εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας.

β) Ο εξαγωγέας των δεδομένων συνδράμει τον εισαγωγέα των δεδομένων ώστε να εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων σύμφωνα με την παράγραφο α). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εξαγωγέα των δεδομένων σύμφωνα με τις παρούσες ρήτρες, ο εξαγωγέας των δεδομένων ενημερώνει τον εισαγωγέα των δεδομένων αμελλητί, μόλις αντιληφθεί την παραβίαση και τον συνδράμει στην αντιμετώπιση της παραβίασης αυτής.

γ) Ο εξαγωγέας των δεδομένων διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

8.3. Τεκμηρίωση και συμμόρφωση

α) Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες.

β) Ο εξαγωγέας των δεδομένων θέτει στη διάθεση του εισαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών και επιτρέπει και διευκολύνει τη διενέργεια ελέγχων.

Ρήτρα 9 Χρήση υπεργολάβων επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

α) Ο εισαγωγέας των δεδομένων έχει τη γενική άδεια του εξαγωγέα των δεδομένων για την πρόσληψη υπεργολάβου/-ων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εισαγωγέας των δεδομένων παρέχει ειδική γραπτή ενημέρωση στον εξαγωγέα των δεδομένων για τυχόν σκοπούμενες αλλαγές σε αυτόν τον κατάλογο οι οποίες αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] νωρίτερα, παρέχοντας στον εξαγωγέα των δεδομένων επαρκή χρόνο ώστε να μπορεί να αντιταχθεί στις εν λόγω αλλαγές πριν από την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας. Ο εισαγωγέας των δεδομένων παρέχει στον εξαγωγέα των δεδομένων τις πληροφορίες που είναι αναγκαίες ώστε ο εξαγωγέας των δεδομένων να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης.

β) Όταν ο εισαγωγέας των δεδομένων προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του εξαγωγέα των δεδομένων), το πράττει μέσω γραπτής σύμβασης η οποία προβλέπει, επί της ουσίας, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που δεσμεύουν τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, μεταξύ άλλων όσον αφορά τα δικαιώματα δικαιούχων τρίτων, για τα υποκείμενα των δεδομένων. (8) Τα συμβαλλόμενα μέρη συμφωνούν ότι, με τη συμμόρφωση προς την παρούσα ρήτρα, ο εισαγωγέας των δεδομένων εκπληρώνει τις υποχρεώσεις του βάσει της ρήτρας 8.8. Ο εισαγωγέας των δεδομένων διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εισαγωγέας των δεδομένων σύμφωνα με τις παρούσες ρήτρες.

γ) Ο εισαγωγέας των δεδομένων παρέχει στον εξαγωγέα των δεδομένων, κατόπιν αιτήματος του τελευταίου, αντίγραφο της συμφωνίας με τον υπεργολάβο επεξεργασίας και οποιεσδήποτε μεταγενέστερες τροποποιήσεις. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων μπορεί να απαλείψει κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

δ) Ο εισαγωγέας των δεδομένων διατηρεί την πλήρη ευθύνη έναντι του εξαγωγέα των δεδομένων όσον αφορά την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της σύμβασής του με τον εισαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων γνωστοποιεί στον εξαγωγέα των δεδομένων τυχόν μη εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της εν λόγω σύμβασης.

ε) Ο εισαγωγέας των δεδομένων συμφωνεί με τον υπεργολάβο επεξεργασίας όσον αφορά τη ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εισαγωγέας των δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο εξαγωγέας των δεδομένων έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α) Ο εισαγωγέας των δεδομένων έχει τη γενική άδεια του υπευθύνου επεξεργασίας για την πρόσληψη υπεργολάβου/-ων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εισαγωγέας των δεδομένων παρέχει ειδική γραπτή ενημέρωση στον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές σε αυτόν τον κατάλογο οι οποίες αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] νωρίτερα, παρέχοντας στον υπεύθυνο επεξεργασίας επαρκή χρόνο ώστε να μπορεί να αντιταχθεί στις εν λόγω αλλαγές πριν από την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας. Ο εισαγωγέας των δεδομένων παρέχει στον υπεύθυνο επεξεργασίας τις πληροφορίες που είναι αναγκαίες ώστε ο υπεύθυνος επεξεργασίας να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης. Ο εισαγωγέας των δεδομένων ενημερώνει τον εξαγωγέα των δεδομένων για την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας.

β) Όταν ο εισαγωγέας των δεδομένων προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας), το πράττει μέσω γραπτής σύμβασης η οποία προβλέπει, επί της ουσίας, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που δεσμεύουν τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, μεταξύ άλλων όσον αφορά τα δικαιώματα δικαιούχων τρίτων για τα υποκείμενα των δεδομένων. (9) Τα συμβαλλόμενα μέρη συμφωνούν ότι, με τη συμμόρφωση προς την παρούσα ρήτρα, ο εισαγωγέας των δεδομένων εκπληρώνει τις υποχρεώσεις του βάσει της ρήτρας 8.8. Ο εισαγωγέας των δεδομένων διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εισαγωγέας των δεδομένων σύμφωνα με τις παρούσες ρήτρες.

γ) Ο εισαγωγέας τω ν δεδομένων παρέχει, κατόπιν αιτήματος του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας, αντίγραφο της συμφωνίας με τον υπεργολάβο επεξεργασίας και οποιεσδήποτε μεταγενέστερες τροποποιήσεις. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων μπορεί να απαλείψει κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

δ) Ο εισαγωγέας των δεδομένων διατηρεί την πλήρη ευθύνη έναντι του εξαγωγέα των δεδομένων όσον αφορά την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της σύμβασής του με τον εισαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων γνωστοποιεί στον εξαγωγέα των δεδομένων τυχόν μη εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της εν λόγω σύμβασης.

ε) Ο εισαγωγέας των δεδομένων συμφωνεί με τον υπεργολάβο επεξεργασίας όσον αφορά τη ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εισαγωγέας των δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο εξαγωγέας των δεδομένων έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.

Ρήτρα 10 Δικαιώματα των υποκειμένων των δεδομένων

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

α) Ο εισαγωγέας των δεδομένων, κατά περίπτωση με τη συνδρομή του εξαγωγέα των δεδομένων, ανταποκρίνεται χωρίς αδικαιολόγητη καθυστέρηση σε κάθε αίτημα πληροφοριών και άλλο αίτημα που λαμβάνει από το υποκείμενο των δεδομένων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων βάσει των παρουσών ρητρών και το αργότερο εντός ενός μήνα από την παραλαβή του αιτήματος πληροφοριών ή άλλου αιτήματος. (10) Ο εισαγωγέας των δεδομένων λαμβάνει τα κατάλληλα μέτρα για να διευκολύνει τα εν λόγω αιτήματα πληροφοριών και άλλα αιτήματα, καθώς και την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Κάθε πληροφορία που παρέχεται στο υποκείμενο των δεδομένων πρέπει να είναι κατανοητή και εύκολα προσβάσιμη, με τη χρήση σαφούς και απλής διατύπωσης.

β) Συγκεκριμένα, κατόπιν αιτήματος του υποκειμένου των δεδομένων, ο εισαγωγέας των δεδομένων παρέχει ατελώς:

i) επιβεβαίωση στο υποκείμενο των δεδομένων ως προς το εάν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εφόσον συντρέχει τέτοια περίπτωση, αντίγραφο των δεδομένων που το αφορούν και τις πληροφορίες του παραρτήματος I· εάν τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβασθεί ή πρόκειται να διαβιβαστούν περαιτέρω, πληροφορίες σχετικά με τους αποδέκτες ή τις κατηγορίες αποδεκτών (κατά περίπτωση, με σκοπό την παροχή χρήσιμων πληροφοριών) στους οποίους διαβιβάστηκαν ή πρόκειται να διαβιβαστούν περαιτέρω τα δεδομένα προσωπικού χαρακτήρα, τον σκοπό αυτών των περαιτέρω διαβιβάσεων και την αιτιολόγησή τους σύμφωνα με τη ρήτρα 8.7· και πληροφορίες σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή σύμφωνα με τη ρήτρα 12 παράγραφος γ) στοιχείο i),

ii) διορθώνει ανακριβή ή ελλιπή δεδομένα που αφορούν το υποκείμενο των δεδομένων,

iii) διαγράφει δεδομένα προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων, αν τα εν λόγω δεδομένα υποβάλλονται ή έχουν υποβληθεί σε επεξεργασία κατά παράβαση οποιασδήποτε από τις παρούσες ρήτρες, διασφαλίζοντας τα δικαιώματα δικαιούχων τρίτων, ή αν το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία.

γ) Όταν ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για σκοπούς απευθείας εμπορικής προώθησης, παύει την επεξεργασία για τους σκοπούς αυτούς, αν το υποκείμενο των δεδομένων αντιταχθεί σε αυτήν την επεξεργασία.

δ) Ο εισαγωγέας των δεδομένων δεν λαμβάνει απόφαση που να βασίζεται αποκλειστικά στην αυτοματοποιημένη επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα (στο εξής: αυτοματοποιημένη λήψη αποφάσεων), η οποία θα παρήγε έννομα αποτελέσματα όσον αφορά το υποκείμενο των δεδομένων ή θα το επηρέαζε σημαντικά με παρόμοιο τρόπο, εκτός αν έχει δοθεί ρητή συγκατάθεση από το υποκείμενο των δεδομένων ή αν κάτι τέτοιο επιτρέπεται από τη νομοθεσία της χώρας προορισμού, υπό την προϋπόθεση ότι η εν λόγω νομοθεσία προβλέπει τα κατάλληλα μέτρα για τη διαφύλαξη των δικαιωμάτων και έννομων συμφερόντων του υποκειμένου των δεδομένων. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων, εφόσον απαιτείται σε συνεργασία με τον εξαγωγέα των δεδομένων:

i) ενημερώνει το υποκείμενο των δεδομένων σχετικά με την προβλεπόμενη αυτοματοποιημένη λήψη αποφάσεων, τις προβλεπόμενες συνέπειες και τη λογική που ακολουθείται και

ii) εφαρμόζει κατάλληλες εγγυήσεις, τουλάχιστον παρέχοντας στο υποκείμενο των δεδομένων τη δυνατότητα να αμφισβητήσει τη λήψη αποφάσεων, να εκφράσει την άποψή του και να εξασφαλίσει επανεξέταση από άνθρωπο.

ε) Όταν τα αιτήματα των υποκειμένων των δεδομένων είναι υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο εισαγωγέας των δεδομένων μπορεί είτε να επιβάλει ένα εύλογο τέλος λαμβάνοντας υπόψη τα διοικητικά έξοδα για την ικανοποίηση του αιτήματος ή να αρνηθεί να δώσει συνέχεια στο αίτημα.

στ) Ο εισαγωγέας των δεδομένων μπορεί να απορρίψει αίτημα του υποκειμένου των δεδομένων αν η απόρριψη αυτή επιτρέπεται βάσει της νομοθεσίας της χώρας προορισμού και είναι αναγκαία και αναλογική σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους σκοπούς που απαριθμούνται στο άρθρο23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.

ζ) Αν ο εισαγωγέας των δεδομένων προτίθεται να απορρίψει αίτημα του υποκειμένου των δεδομένων, ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της απόρριψης και για τη δυνατότητα υποβολής καταγγελίας στην αρμόδια εποπτική αρχή και/ή τη δυνατότητα προσφυγής στη δικαιοσύνη.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

α) Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σχετικά με οποιοδήποτε αίτημα που έλαβε από το υποκείμενο των δεδομένων. Δεν απαντά ο ίδιος στο αίτημα αυτό, εκτός αν έχει λάβει σχετική εξουσιοδότηση από τον εξαγωγέα των δεδομένων.

β) Ο εισαγωγέας των δεδομένων επικουρεί τον εξαγωγέα των δεδομένων στην εκπλήρωση της υποχρέωσής του να απαντά στα αιτήματα των υποκειμένων των δεδομένων που αφορούν την άσκηση των δικαιωμάτων τους βάσει του κανονισμού (ΕΕ) 2016/679. Στο πλαίσιο αυτό, τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα II τα κατάλληλα τεχνικά και οργανωτικά μέτρα —λαμβανομένης υπόψη της φύσης της επεξεργασίας— με τα οποία παρέχεται η συνδρομή, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης συνδρομής.

γ) Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τις παραγράφους α) και β), ο εισαγωγέας των δεδομένων συμμορφώνεται με τις εντολές του εξαγωγέα των δεδομένων.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α) Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων και, κατά περίπτωση, τον υπεύθυνο επεξεργασίας για κάθε αίτημα που έλαβε από υποκείμενο των δεδομένων, χωρίς να απαντά στο αίτημα αυτό, εκτός αν έχει λάβει σχετική άδεια από τον υπεύθυνο επεξεργασίας.

β) Ο εισαγωγέας των δεδομένων επικουρεί, κατά περίπτωση, σε συνεργασία με τον εξαγωγέα των δεδομένων, τον υπεύθυνο επεξεργασίας για την εκπλήρωση των υποχρεώσεών του να απαντά στα αιτήματα των υποκειμένων των δεδομένων για την άσκηση των δικαιωμάτων τους δυνάμει του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725, κατά περίπτωση. Στο πλαίσιο αυτό, τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα II τα κατάλληλα τεχνικά και οργανωτικά μέτρα —λαμβανομένης υπόψη της φύσης της επεξεργασίας— με τα οποία παρέχεται η συνδρομή, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης συνδρομής.

γ) Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τις παραγράφους α) και β), ο εισαγωγέας των δεδομένων συμμορφώνεται με τις εντολές του υπευθύνου επεξεργασίας, όπως τις κοινοποίησε ο εξαγωγέας των δεδομένων.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας

Τα συμβαλλόμενα μέρη παρέχουν αμοιβαία συνδρομή ώστε να απαντούν σε αιτήματα πληροφοριών και άλλα αιτήματα που υποβάλλουν τα υποκείμενα των δεδομένων σύμφωνα με το τοπικό δίκαιο στο οποίο υπόκειται ο εισαγωγέας των δεδομένων ή, για την επεξεργασία δεδομένων από τον εξαγωγέα των δεδομένων στην Ένωση, βάσει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 11 Μέσα προσφυγής

α) Ο εισαγωγέας των δεδομένων ενημερώνει τα υποκείμενα των δεδομένων σε διαφανή και εύκολα προσβάσιμη μορφή, μέσω ατομικής ειδοποίησης ή μέσω του ιστότοπου του, σχετικά με σημείο επικοινωνίας εξουσιοδοτημένο να χειρίζεται καταγγελίες. Εξετάζει αμέσως τυχόν καταγγελίες που λαμβάνει από υποκείμενο των δεδομένων.

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

β) Σε περίπτωση διαφοράς μεταξύ του υποκειμένου των δεδομένων και ενός εκ των συμβαλλόμενων μερών όσον αφορά τη συμμόρφωση με τις παρούσες ρήτρες, το εν λόγω συμβαλλόμενο μέρος καταβάλλει κάθε δυνατή προσπάθεια για την έγκαιρη φιλική επίλυση του ζητήματος. Τα συμβαλλόμενα μέρη ενημερώνουν το ένα το άλλο σχετικά με τις εν λόγω διαφορές και, κατά περίπτωση, συνεργάζονται για την επίλυσή τους.

γ) Όταν το υποκείμενο των δεδομένων επικαλείται δικαίωμα δικαιούχου τρίτου σύμφωνα με τη ρήτρα 3, ο εισαγωγέας των δεδομένων αποδέχεται την απόφαση του υποκειμένου των δεδομένων:

i) να υποβάλει καταγγελία στην εποπτική αρχή του κράτους μέλους της συνήθους διαμονής ή του τόπου εργασίας του υποκειμένου των δεδομένων ή στην αρμόδια εποπτική αρχή σύμφωνα με τη ρήτρα 13,

ii) να παραπέμψει τη διαφορά στα αρμόδια δικαστήρια κατά την έννοια της ρήτρας 18.

δ) Τα συμβαλλόμενα μέρη δέχονται ότι το υποκείμενο των δεδομένων μπορεί να εκπροσωπείται από μη κερδοσκοπικό φορέα, οργανισμό ή ένωση υπό τους όρους που καθορίζονται στο άρθρο80 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.

ε) Ο εισαγωγέας των δεδομένων συμμορφώνεται με δεσμευτική απόφαση βάσει του εφαρμοστέου δικαίου της ΕΕ ή κράτους μέλους.

στ) Ο εισαγωγέας των δεδομένων συμφωνεί ότι η επιλογή του υποκειμένου των δεδομένων δεν θίγει τα ουσιαστικού ή δικονομικού δικαίου δικαιώματά του να αναζητήσει έννομη προστασία σύμφωνα με το εφαρμοστέο δίκαιο.

Ρήτρα 12 Ευθύνη

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας

α) Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του/των άλλου/-ων συμβαλλόμενου/-ων μέρους/-ών για κάθε ζημία που του/τους προκαλεί λόγω οποιασδήποτε παράβασης των παρουσών ρητρών.

β) Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που το συμβαλλόμενο μέρος προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών. Αυτό ισχύει με την επιφύλαξη της ευθύνης του εξαγωγέα των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

γ) Σε περίπτωση που περισσότερα του ενός συμβαλλόμενα μέρη ευθύνονται για οποιαδήποτε ζημία προκληθεί στο υποκείμενο των δεδομένων ως αποτέλεσμα παράβασης των παρουσών ρητρών, όλα τα υπεύθυνα συμβαλλόμενα μέρη ευθύνονται αλληλεγγύως και εις ολόκληρον, και το υποκείμενο των δεδομένων δικαιούται να προσφύγει ενώπιον δικαστηρίου κατά οποιουδήποτε από τα εν λόγω συμβαλλόμενα μέρη.

δ) Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ένα συμβαλλόμενο μέρος θεωρηθεί υπεύθυνο δυνάμει της παραγράφου γ), δικαιούται να ζητήσει από το/τα άλλο/-α συμβαλλόμενο/-α μέρος/-η την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του/τους λόγω της ζημίας.

ε) Ο εισαγωγέας των δεδομένων δεν μπορεί να επικαλεστεί τη συμπεριφορά εκτελούντος την επεξεργασία ή υπεργολάβου επεξεργασίας για να απαλλαγεί από την ευθύνη του.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α) Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του/των άλλου/-ων συμβαλλόμενου/-ων μέρους/-ών για κάθε ζημία που του/τους προκαλεί λόγω οποιασδήποτε παράβασης των παρουσών ρητρών.

β) O εισαγωγέας των δεδομένων ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που ο εισαγωγέας των δεδομένων ή υπεργολάβος επεξεργασίας προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών.

γ) Κατά παρέκκλιση από την παράγραφο β), ο εξαγωγέας των δεδομένων ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που ο εξαγωγέας των δεδομένων ή ο εισαγωγέας των δεδομένων (ή ο υπεργολάβος επεξεργασίας) προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών. Αυτό ισχύει με την επιφύλαξη της ευθύνης του εξαγωγέα των δεδομένων και, όταν ο εξαγωγέας των δεδομένων είναι ο εκτελών την επεξεργασία που ενεργεί για λογαριασμό υπευθύνου επεξεργασίας, της ευθύνης του υπευθύνου επεξεργασίας δυνάμει του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725, κατά περίπτωση.

δ) Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ο εξαγωγέας των δεδομένων θεωρηθεί υπεύθυνος βάσει της παραγράφου γ) για ζημίες που προκλήθηκαν από τον εισαγωγέα των δεδομένων (ή τον υπεργολάβο επεξεργασίας), δικαιούται να ζητήσει από τον εισαγωγέα των δεδομένων την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του εισαγωγέα των δεδομένων λόγω της ζημίας.

ε) Σε περίπτωση που περισσότερα του ενός συμβαλλόμενα μέρη ευθύνονται για οποιαδήποτε ζημία προκληθεί στο υποκείμενο των δεδομένων ως αποτέλεσμα παράβασης των παρουσών ρητρών, όλα τα υπεύθυνα συμβαλλόμενα μέρη ευθύνονται αλληλεγγύως και εις ολόκληρον, και το υποκείμενο των δεδομένων δικαιούται να προσφύγει ενώπιον δικαστηρίου κατά οποιουδήποτε από τα εν λόγω συμβαλλόμενα μέρη.

στ) Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ένα συμβαλλόμενο μέρος θεωρηθεί υπεύθυνο δυνάμει της παραγράφου ε), δικαιούται να ζητήσει από το/τα άλλο/-α συμβαλλόμενο/-α μέρος/μέρη την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του/τους λόγω της ζημίας.

ζ) Ο εισαγωγέας των δεδομένων δεν μπορεί να επικαλείται τη συμπεριφορά υπεργολάβου επεξεργασίας για να απαλλαγεί από την ευθύνη του.

Ρήτρα 13 Εποπτεία

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α) [Όταν ο εξαγωγέας των δεδομένων είναι εγκατεστημένος σε κράτος μέλος της ΕΕ:] Η εποπτική αρχή η οποία είναι υπεύθυνη να διασφαλίζει τη συμμόρφωση του εξαγωγέα των δεδομένων με τον κανονισμό (ΕΕ) 2016/679 όσον αφορά τη διαβίβαση δεδομένων, όπως αναφέρεται στο παράρτημα I.Γ, ενεργεί ως αρμόδια εποπτική αρχή.

[Όταν ο εξαγωγέας των δεδομένων δεν είναι εγκατεστημένος σε κράτος μέλος της ΕΕ αλλά υπάγεται στο εδαφικό πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 σύμφωνα με το άρθρο 3 παράγραφος 2 του εν λόγω κανονισμού και έχει ορίσει εκπρόσωπο δυνάμει του άρθρου 27 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679:] Η εποπτική αρχή του κράτους μέλους όπου είναι εγκατεστημένος ο εκπρόσωπος κατά την έννοια του άρθρου 27 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως αναφέρεται στο παράρτημα I.Γ, ενεργεί ως αρμόδια εποπτική αρχή.

[Όταν ο εξαγωγέας των δεδομένων δεν είναι εγκατεστημένος σε κράτος μέλος της ΕΕ αλλά υπάγεται στο εδαφικό πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 σύμφωνα με το άρθρο3 παράγραφος 2 του εν λόγω κανονισμού χωρίς, ωστόσο, να χρειάζεται να ορίσει εκπρόσωπο δυνάμει του άρθρου27 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679:] Η εποπτική αρχή ενός από τα κράτη μέλη όπου είναι εγκατεστημένα τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται δυνάμει των παρουσών ρητρών σε σχέση με προσφορά αγαθών και υπηρεσιών σε αυτά ή των οποίων η συμπεριφορά παρακολουθείται, όπως αναφέρεται στο παράρτημα I.Γ., ενεργεί ως αρμόδια εποπτική αρχή.

β) Ο εισαγωγέας των δεδομένων συμφωνεί να αποδέχεται την αρμοδιότητα της αρμόδιας εποπτικής αρχής και να συνεργάζεται μαζί της σε όλες τις διαδικασίες που αποσκοπούν στη διασφάλιση της συμμόρφωσης με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων συμφωνεί να απαντά σε αιτήματα πληροφοριών, να υποβάλλεται σε ελέγχους και να συμμορφώνεται με τα μέτρα που θεσπίζει η εποπτική αρχή, συμπεριλαμβανομένων διορθωτικών και αντισταθμιστικών μέτρων. Παρέχει στην εποπτική αρχή γραπτή επιβεβαίωση ότι έχουν ληφθεί τα αναγκαία μέτρα.

ΤΜΗΜΑ III — ΤΟΠΙΚΗ ΝΟΜΟΘΕΣΙΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΡΟΣΒΑΣΗΣ ΑΠΟ ΤΙΣ ΔΗΜΟΣΙΕΣ ΑΡΧΕΣ

Ρήτρα 14 Τοπική νομοθεσία και πρακτικές που επηρεάζουν τη συμμόρφωση με τις ρήτρες

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας (όπου ο εκτελών την επεξεργασία στην ΕΕ συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από υπεύθυνο επεξεργασίας τρίτης χώρας με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην ΕΕ)

α) Τα συμβαλλόμενα μέρη εγγυώνται ότι δεν έχουν λόγο να πιστεύουν ότι η νομοθεσία και οι πρακτικές της τρίτης χώρας προορισμού που εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων, συμπεριλαμβανομένων τυχόν απαιτήσεων κοινολόγησης δεδομένων προσωπικού χαρακτήρα ή μέτρων που επιτρέπουν την πρόσβαση από δημόσιες αρχές, εμποδίζουν τον εισαγωγέα των δεδομένων να εκπληρώσει τις υποχρεώσεις του βάσει των παρουσών ρητρών. Αυτό βασίζεται στο σκεπτικό ότι η νομοθεσία και οι πρακτικές που σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και δεν υπερβαίνουν όσα είναι αναγκαία και αναλογικά σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους σκοπούς που απαριθμούνται στο άρθρο 23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 δεν έρχονται σε αντίθεση με τις παρούσες ρήτρες.

β) Τα συμβαλλόμενα μέρη δηλώνουν ότι κατά την παροχή της εγγύησης που αναφέρεται στην παράγραφο α), έλαβαν δεόντως υπόψη ιδίως τα ακόλουθα στοιχεία:

i) τις ειδικές περιστάσεις της διαβίβασης, συμπεριλαμβανομένου του μήκους της αλυσίδας επεξεργασίας, του αριθμού των εμπλεκόμενων παραγόντων και των διαύλων διαβίβασης που χρησιμοποιήθηκαν, τις σκοπούμενες περαιτέρω διαβιβάσεις, τον τύπο του αποδέκτη, τον σκοπό της επεξεργασίας, τις κατηγορίες και τον μορφότυπο των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, τον οικονομικό τομέα στον οποίο πραγματοποιείται η διαβίβαση, τη θέση αποθήκευσης των διαβιβαζόμενων δεδομένων,

ii) τη νομοθεσία και τις πρακτικές της τρίτης χώρας προορισμού —συμπεριλαμβανομένων εκείνων που απαιτούν την κοινολόγηση δεδομένων σε δημόσιες αρχές ή επιτρέπουν την πρόσβαση των εν λόγω αρχών— που είναι σχετικές δεδομένων των ειδικών περιστάσεων της διαβίβασης, και τους ισχύοντες περιορισμούς και εγγυήσεις·(12),

iii) τυχόν σχετικές συμβατικές, τεχνικές ή οργανωτικές εγγυήσεις που έχουν θεσπιστεί συμπληρωματικά προς τις εγγυήσεις δυνάμει των παρουσών ρητρών, συμπεριλαμβανομένων των μέτρων που εφαρμόζονται κατά τη διαβίβαση, και για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στη χώρα προορισμού.

γ) Ο εισαγωγέας των δεδομένων εγγυάται ότι, κατά τη διενέργεια της αξιολόγησης βάσει της παραγράφου β), κατέβαλε κάθε δυνατή προσπάθεια για να παράσχει στον εξαγωγέα των δεδομένων τις σχετικές πληροφορίες και συμφωνεί ότι θα συνεχίσει να συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διασφάλιση της συμμόρφωσης με τις παρούσες ρήτρες.

δ) Τα συμβαλλόμενα μέρη συμφωνούν να τεκμηριώνουν την αξιολόγηση βάσει της παραγράφου β) και να τη θέτουν στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ε) Ο εισαγωγέας των δεδομένων συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που, αφού συμφωνήσει με τις παρούσες ρήτρες και για τη διάρκεια ισχύος της σύμβασης, έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της παραγράφου α), μεταξύ άλλων κατόπιν αλλαγής της νομοθεσίας στην τρίτη χώρα, ή σε μέτρο (όπως αίτημα κοινολόγησης) που υποδεικνύει εφαρμογή της εν λόγω νομοθεσίας στην πράξη η οποία δεν συνάδει με τις απαιτήσεις της παραγράφου α). [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τη γνωστοποίηση στον υπεύθυνο επεξεργασίας.]

στ) Μετά τη γνωστοποίηση σύμφωνα με την παράγραφο ε) ή αν ο εξαγωγέας των δεδομένων έχει άλλως λόγους να πιστεύει ότι ο εισαγωγέας των δεδομένων δεν μπορεί πλέον να εκπληρώσει τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών, ο εξαγωγέας των δεδομένων προσδιορίζει αμέσως τα κατάλληλα μέτρα (π.χ. τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας) που πρέπει να ληφθούν από τον εξαγωγέα και/ή τον εισαγωγέα των δεδομένων για την αντιμετώπιση της κατάστασης [για την τρίτη ενότητα: κατά περίπτωση, σε διαβούλευση με τον υπεύθυνο επεξεργασίας]. Ο εξαγωγέας των δεδομένων αναστέλλει τη διαβίβαση δεδομένων, αν κρίνει ότι δεν μπορούν να διασφαλιστούν οι κατάλληλες εγγυήσεις για τη διαβίβαση αυτή ή αν λάβει σχετική εντολή από [για την τρίτη ενότητα: τον υπεύθυνο επεξεργασίας ή] την αρμόδια εποπτική αρχή. Στην περίπτωση αυτή, ο εξαγωγέας των δεδομένων δικαιούται να καταγγείλει τη σύμβαση, στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει των παρουσών ρητρών. Εάν η σύμβαση αφορά περισσότερα από δύο συμβαλλόμενα μέρη, ο εξαγωγέας των δεδομένων μπορεί να ασκήσει το εν λόγω δικαίωμα καταγγελίας μόνο σε σχέση με το οικείο συμβαλλόμενο μέρος, εκτός αν τα συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά. Σε περίπτωση καταγγελίας της σύμβασης δυνάμει της παρούσας ρήτρας, εφαρμόζεται η ρήτρα 16 παράγραφοι δ) και ε).

Ρήτρα 15 Υποχρεώσεις του εισαγωγέα των δεδομένων σε περίπτωση πρόσβασης από δημόσιες αρχές

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας (όπου ο εκτελών την επεξεργασία στην ΕΕ συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από υπεύθυνο επεξεργασίας τρίτης χώρας με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην ΕΕ)

15.1. Γνωστοποίηση

α) Ο εισαγωγέας των δεδομένων συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων και, αν είναι δυνατόν, το υποκείμενο των δεδομένων (αν είναι αναγκαίο με τη συνδρομή του εξαγωγέα των δεδομένων) σε περίπτωση που:

i) λάβει νομικά δεσμευτικό αίτημα δημόσιας αρχής, συμπεριλαμβανομένων των δικαστικών αρχών, σύμφωνα με τη νομοθεσία της χώρας προορισμού για την κοινολόγηση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται σύμφωνα με τις παρούσες ρήτρες, η εν λόγω γνωστοποίηση πρέπει να περιλαμβάνει πληροφορίες σχετικά με τα ζητούμενα δεδομένα προσωπικού χαρακτήρα, την αιτούσα αρχή, τη νομική βάση του αιτήματος και την παρασχεθείσα απάντηση·ή

ii) λάβει γνώση τυχόν άμεσης πρόσβασης των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται δυνάμει των παρουσών ρητρών σύμφωνα με τη νομοθεσία της χώρας προορισμού, η γνωστοποίηση αυτή πρέπει να περιλαμβάνει όλες τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας.

[Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τη γνωστοποίηση στον υπεύθυνο επεξεργασίας.]

β) Αν απαγορεύεται στον εισαγωγέα των δεδομένων να ενημερώσει τον εξαγωγέα των δεδομένων και/ή το υποκείμενο των δεδομένων σύμφωνα με τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων συμφωνεί να καταβάλει κάθε δυνατή προσπάθεια για να επιτύχει την άρση της απαγόρευσης, με σκοπό την κοινοποίηση όσο το δυνατόν περισσότερων πληροφοριών και το συντομότερο δυνατόν. Ο εισαγωγέας των δεδομένων συμφωνεί να τεκμηριώνει τις προσπάθειές του ώστε να είναι σε θέση να τις αποδείξει κατόπιν αιτήματος του εξαγωγέα των δεδομένων.

γ) Όταν επιτρέπεται από τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων συμφωνεί να παρέχει στον εξαγωγέα των δεδομένων, σε τακτά χρονικά διαστήματα κατά τη διάρκεια ισχύος της σύμβασης, όσο το δυνατόν περισσότερες σχετικές πληροφορίες σχετικά με τα παραληφθέντα αιτήματα (ειδικότερα, τον αριθμό των αιτημάτων, το είδος των ζητούμενων δεδομένων, την αιτούσα αρχή ή αρχές, το αν τα αιτήματα έχουν αμφισβητηθεί και την έκβαση των εν λόγω αμφισβητήσεων κ.λπ.). [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τις πληροφορίες στον υπεύθυνο επεξεργασίας.]

δ) Ο εισαγωγέας των δεδομένων συμφωνεί να διατηρεί τις πληροφορίες σύμφωνα με τις παραγράφους α) έως γ) κατά τη διάρκεια ισχύος της σύμβασης και να τις θέτει στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ε) Οι παράγραφοι α) έως γ) δεν θίγουν την υποχρέωση του εισαγωγέα των δεδομένων σύμφωνα με τη ρήτρα 14 παράγραφος ε) και τη ρήτρα 16 να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να συμμορφωθεί με τις εν λόγω ρήτρες.

15.2. Έλεγχος της νομιμότητας και ελαχιστοποίηση των δεδομένων

α) Ο εισαγωγέας των δεδομένων συμφωνεί να ελέγχει τη νομιμότητα του αιτήματος κοινολόγησης, ειδικότερα το αν παραμένει εντός των ορίων των εξουσιών της αιτούσας δημόσιας αρχή, και να αμφισβητεί το αίτημα, αν, μετά από προσεκτική αξιολόγηση, καταλήξει στο συμπέρασμα ότι υπάρχουν βάσιμοι λόγοι να θεωρηθεί ότι το αίτημα είναι παράνομο βάσει της νομοθεσίας της χώρας προορισμού, των εφαρμοστέων υποχρεώσεων βάσει του διεθνούς δικαίου και των αρχών της διεθνούς αβροφροσύνης. Ο εισαγωγέας των δεδομένων, υπό τους ίδιους όρους, αξιοποιεί τις δυνατότητες προσφυγής. Κατά την αμφισβήτηση αιτήματος, ο εισαγωγέας των δεδομένων ζητεί τη λήψη προσωρινών μέτρων με σκοπό την αναστολή των αποτελεσμάτων του αιτήματος έως ότου η αρμόδια δικαστική αρχή αποφανθεί επί της ουσίας του αιτήματος. Δεν γνωστοποιεί τα ζητούμενα δεδομένα προσωπικού χαρακτήρα έως ότου αυτό απαιτηθεί σύμφωνα με τους εφαρμοστέους διαδικαστικούς κανόνες. Οι απαιτήσεις αυτές ισχύουν με την επιφύλαξη των υποχρεώσεων του εισαγωγέα των δεδομένων δυνάμει της ρήτρας 14 παράγραφος ε).

β) Ο εισαγωγέας των δεδομένων συμφωνεί να τεκμηριώνει τη νομική του αξιολόγηση και κάθε αμφισβήτηση αιτήματος κοινολόγησης και, στον βαθμό που επιτρέπεται από τη νομοθεσία της χώρας προορισμού, να καθιστά την εν λόγω τεκμηρίωση διαθέσιμη στον εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων θέτει την εν λόγω τεκμηρίωση και στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος. [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων θέτει την αξιολόγηση στη διάθεση του υπευθύνου επεξεργασίας.]

γ) Ο εισαγωγέας των δεδομένων συμφωνεί να παρέχει τις ελάχιστες επιτρεπόμενες πληροφορίες όταν απαντά σε αίτημα κοινολόγησης, βάσει εύλογης ερμηνείας του αιτήματος.

ΤΜΗΜΑ IV - ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Ρήτρα 16 Μη συμμόρφωση με τις ρήτρες και καταγγελία

α) Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση μη συμμόρφωσής του με τις παρούσες ρήτρες, για οποιονδήποτε λόγο.

β) Αν ο εισαγωγέας των δεδομένων παραβεί τις παρούσες ρήτρες ή δεν είναι σε θέση να συμμορφωθεί με τις παρούσες ρήτρες, ο εξαγωγέας των δεδομένων αναστέλλει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων έως ότου διασφαλιστεί ξανά η συμμόρφωση ή καταγγελθεί η σύμβαση. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14 παράγραφος στ).

γ) Ο εξαγωγέας των δεδομένων δικαιούται να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες, όταν:

i) ο εξαγωγέας των δεδομένων έχει αναστείλει τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων σύμφωνα με την παράγραφο β) και η συμμόρφωση με τις παρούσες ρήτρες δεν αποκαταστάθηκε εντός εύλογου χρονικού διαστήματος και, σε κάθε περίπτωση, εντός ενός μήνα από την ημερομηνία της αναστολής,

ii) ο εισαγωγέας των δεδομένων διαπράττει σοβαρή ή διαρκή παράβαση των παρουσών ρητρών·ή

iii) ο εισαγωγέας των δεδομένων δεν συμμορφώνεται με δεσμευτική απόφαση αρμόδιου δικαστηρίου ή εποπτικής αρχής όσον αφορά τις υποχρεώσεις του βάσει των παρουσών ρητρών.

Σε αυτές τις περιπτώσεις, ενημερώνει την αρμόδια εποπτική αρχή [για την τρίτη ενότητα: και τον υπεύθυνο επεξεργασίας] σχετικά με την εν λόγω μη συμμόρφωση. Σε περίπτωση που η σύμβαση αφορά περισσότερα από δύο συμβαλλόμενα μέρη, ο εξαγωγέας των δεδομένων μπορεί να ασκήσει το εν λόγω δικαίωμα καταγγελίας μόνο σε σχέση με το οικείο συμβαλλόμενο μέρος, εκτός αν τα συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά.

δ) [Για την πρώτη, δεύτερη και τρίτη ενότητα: τα δεδομένα προσωπικού χαρακτήρα που είχαν διαβιβαστεί πριν από την καταγγελία της σύμβασης δυνάμει της παραγράφου γ) επιστρέφονται αμέσως, κατ’ επιλογή του εξαγωγέα των δεδομένων, στον εξαγωγέα των δεδομένων ή διαγράφονται στο σύνολό τους. Το ίδιο ισχύει για τυχόν αντίγραφα των δεδομένων.] [Για την τέταρτη ενότητα: τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εξαγωγέα των δεδομένων στην ΕΕ και έχουν ήδη διαβιβαστεί πριν από την καταγγελία της σύμβασης δυνάμει της παραγράφου γ) διαγράφονται αμέσως στο σύνολό τους, συμπεριλαμβανομένων τυχόν αντιγράφων αυτών.] Ο εισαγωγέας των δεδομένων πιστοποιεί τη διαγραφή των δεδομένων στον εξαγωγέα των δεδομένων. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο.

ε) Κάθε συμβαλλόμενο μέρος μπορεί να ανακαλέσει τη συμφωνία του να δεσμεύεται από τις παρούσες ρήτρες, εφόσον i) η Ευρωπαϊκή Επιτροπή εκδώσει απόφαση σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 που καλύπτει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στην οποία εφαρμόζονται οι παρούσες ρήτρες ή ii) ο κανονισμός (ΕΕ) 2016/679 καθίσταται μέρος του νομικού πλαισίου της χώρας στην οποία διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα. Αυτό ισχύει με την επιφύλαξη άλλων υποχρεώσεων που εφαρμόζονται στην εκάστοτε επεξεργασία δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 17 Ισχύον δίκαιο

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

Οι παρούσες ρήτρες διέπονται από το δίκαιο ενός από τα κράτη μέλη της ΕΕ, υπό την προϋπόθεση ότι το δίκαιο αυτό προβλέπει δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο που ορίζεται στους Όρους.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας

Οι παρούσες ρήτρες διέπονται από το δίκαιο χώρας που επιτρέπει τα δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο που ορίζεται στους Όρους.

Ρήτρα 18 Επιλογή δικαστηρίου και δικαιοδοσίας

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α) Κάθε διαφορά που προκύπτει από τις παρούσες ρήτρες επιλύεται από τα δικαστήρια κράτους μέλους της ΕΕ.

β) Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτά θα είναι τα δικαστήρια που ορίζονται στους Όρους.

γ) Το υποκείμενο των δεδομένων μπορεί να κινήσει επίσης νομικές διαδικασίες κατά του εξαγωγέα και/ή του εισαγωγέα των δεδομένων ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.

δ) Τα συμβαλλόμενα μέρη συμφωνούν να αποδέχονται την αρμοδιότητα των δικαστηρίων αυτών.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας

Οποιαδήποτε διαφορά προκύπτει από τις παρούσες Ρήτρες θα επιλύεται από τα δικαστήρια που ορίζονται στους Όρους.

ΠΡΟΣΑΡΤΗΜΑ

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ: Πρέπει να είναι δυνατόν να γίνεται σαφής διάκριση των πληροφοριών που ισχύουν για κάθε διαβίβαση ή κατηγορία διαβιβάσεων και, στο πλαίσιο αυτό, να καθορίζεται ο/οι αντίστοιχος/-οι ρόλος/-οι των συμβαλλόμενων μερών ως εξαγωγέων και/ή εισαγωγέων των δεδομένων. Προς τούτο δεν απαιτείται απαραιτήτως η συμπλήρωση και η υπογραφή χωριστών προσαρτημάτων για κάθε διαβίβαση/κατηγορία διαβιβάσεων και/ή συμβατική σχέση, όταν η διαφάνεια αυτή μπορεί να επιτευχθεί μέσω ενός προσαρτήματος. Ωστόσο, όταν είναι αναγκαίο για να διασφαλίζεται επαρκής σαφήνεια, θα πρέπει να χρησιμοποιούνται χωριστά προσαρτήματα.

ΠΑΡΑΡΤΗΜΑ I

Α. ΚΑΤΑΛΟΓΟΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας

Εξαγωγέας/-είς των δεδομένων: [Ταυτότητα και στοιχεία επικοινωνίας του/των εξαγωγέα/-ων των δεδομένων και, κατά περίπτωση, του υπευθύνου προστασίας δεδομένων και/ή του εκπροσώπου του εξαγωγέα των δεδομένων στην Ευρωπαϊκή Ένωση]

1. Ο υπεύθυνος επεξεργασίας όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων

2. Ο εκτελών την επεξεργασία όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων

(με βάση τη ροή των δεδομένων)

Εισαγωγέας/-είς των δεδομένων: [Ταυτότητα και στοιχεία επικοινωνίας του/των εισαγωγέα/-ων των δεδομένων, συμπεριλαμβανομένου κάθε υπευθύνου επικοινωνίας που είναι αρμόδιος για την προστασία των δεδομένων]

1. Ο υπεύθυνος επεξεργασίας όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων

2. Ο εκτελών την επεξεργασία όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων

(με βάση τη ροή των δεδομένων)

Β. ΠΕΡΙΓΡΑΦΗ ΔΙΑΒΙΒΑΣΗΣ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας

Κατηγορίες υποκειμένων των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται: Όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων.

Κατηγορίες διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα: Όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων και στην Πολιτική απορρήτου.

Διαβιβαζόμενα ευαίσθητα δεδομένα (κατά περίπτωση) και εφαρμοζόμενοι περιορισμοί ή εγγυήσεις που λαμβάνουν πλήρως υπόψη τη φύση των δεδομένων και τους σχετικούς κινδύνους, όπως για παράδειγμα αυστηρός περιορισμός του σκοπού, περιορισμοί πρόσβασης (συμπεριλαμβανομένης της πρόσβασης μόνο από προσωπικό που έχει λάβει εξειδικευμένη κατάρτιση), τήρηση αρχείου πρόσβασης στα δεδομένα, περιορισμοί στις περαιτέρω διαβιβάσεις ή πρόσθετα μέτρα ασφάλειας: Όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων και στην Πολιτική απορρήτου.

Συχνότητα της διαβίβασης (π.χ. εάν τα δεδομένα διαβιβάζονται εφάπαξ ή σε συνεχή βάση): Σε συνεχή βάση.

Φύση της επεξεργασίας: Αυτοματοποιημένη.

Σκοπός/-οί της διαβίβασης και της περαιτέρω επεξεργασίας των δεδομένων: Παροχή υπηρεσίας όπως ορίζεται στους Όρους, τα Παραρτήματά τους, την Πολιτική Απορρήτου και την τεκμηρίωση της υπηρεσίας.

Το χρονικό διάστημα διατήρησης των δεδομένων προσωπικού χαρακτήρα ή, αν αυτό είναι αδύνατον, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό του εν λόγω χρονικού διαστήματος: Όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων.

Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να διευκρινιστεί επίσης το αντικείμενο, η φύση και η διάρκεια της επεξεργασίας: Όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων.

Γ. ΑΡΜΟΔΙΑ ΕΠΟΠΤΙΚΗ ΑΡΧΗ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

Να προσδιοριστεί/-ούν η/οι αρμόδια/-ες εποπτική/-ές αρχή/-ές σύμφωνα με τη ρήτρα 13: Όπως ορίζεται στην Πολιτική Απορρήτου

ΠΑΡΑΡΤΗΜΑ II ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ, ΣΥΜΠΕΡΙΛΑΜΒΑΝΟΜΕΝΩΝ ΤΩΝ ΤΕΧΝΙΚΩΝ ΚΑΙ ΟΡΓΑΝΩΤΙΚΩΝ ΜΕΤΡΩΝ ΓΙΑ ΤΗ ΔΙΑΣΦΑΛΙΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ: Τα τεχνικά και οργανωτικά μέτρα πρέπει να περιγράφονται με συγκεκριμένους (και όχι με γενικούς) όρους. Βλέπε επίσης τη γενική παρατήρηση στην πρώτη σελίδα του προσαρτήματος, ιδίως όσον αφορά την ανάγκη να αναφέρονται σαφώς τα μέτρα που εφαρμόζονται σε κάθε διαβίβαση/δέσμη διαβιβάσεων.

Περιγραφή των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται από τον/τους εισαγωγέα/-είς των δεδομένων (συμπεριλαμβανομένων τυχόν σχετικών πιστοποιήσεων) για την εξασφάλιση κατάλληλου επιπέδου ασφάλειας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων: Όπως ορίζεται στην Πολιτική ασφαλείας

Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να περιγραφούν επίσης τα συγκεκριμένα τεχνικά και οργανωτικά μέτρα που πρόκειται να ληφθούν από τον εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) ώστε να είναι σε θέση να παρέχει συνδρομή στον υπεύθυνο επεξεργασίας και, για διαβιβάσεις από εκτελούντα την επεξεργασία σε υπεργολάβο επεξεργασίας, στον εξαγωγέα των δεδομένων

ΠΑΡΑΡΤΗΜΑ III ΚΑΤΑΛΟΓΟΣ ΥΠΕΡΓΟΛΑΒΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ: Το παρόν παράρτημα πρέπει να συμπληρωθεί για τη δεύτερη και τρίτη ενότητα, σε περίπτωση ειδικής άδειας για χρήση υπεργολάβων επεξεργασίας (ρήτρα 9 στοιχείο α) επιλογή 1).

Ο υπεύθυνος επεξεργασίας έχει δώσει άδεια για τη χρήση των παρακάτω υπεργολάβων επεξεργασίας: Όπως ορίζεται στη Συμφωνία επεξεργασίας δεδομένων

Παραπομπές:

(1) Όταν ο εξαγωγέας των δεδομένων είναι εκτελών την επεξεργασία ο οποίος υπόκειται στον κανονισμό (ΕΕ) 2016/679 και ενεργεί για λογαριασμό οργάνου ή οργανισμού της Ένωσης ως υπευθύνου επεξεργασίας, η επίκληση των εν λόγω ρητρών κατά την πρόσληψη άλλου εκτελούντος την επεξεργασία (υπεργολαβία επεξεργασίας) που δεν υπόκειται στον κανονισμό (ΕΕ) 2016/679 διασφαλίζει επίσης τη συμμόρφωση με το άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39), στον βαθμό που οι εν λόγω ρήτρες ευθυγραμμίζονται με τις υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή σε άλλη νομική πράξη μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725. Αυτό θα ισχύει ιδιαίτερα στην περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία βασίζονται στις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στην απόφαση 2021/915.

(2) Η διαδικασία αυτή απαιτεί να καθίστανται τα δεδομένα ανώνυμα κατά τρόπο ώστε να μην είναι πλέον δυνατή η εξακρίβωση της ταυτότητας του φυσικού προσώπου από κανέναν, σύμφωνα με την αιτιολογική σκέψη 26 του κανονισμού (ΕΕ) 2016/679, και είναι μη αναστρέψιμη.

(3) Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για το σκοπό των παρουσών ρητρών.

(4) Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για το σκοπό των παρουσών ρητρών.

(5) Βλέπε άρθρο28 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679 και, όταν ο υπεύθυνος επεξεργασίας είναι θεσμικό όργανο ή οργανισμός της ΕΕ, άρθρο29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725.

(6) Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για τους σκοπούς των παρουσών ρητρών.

(7) Περιλαμβάνεται το αν η διαβίβαση και η περαιτέρω επεξεργασία αφορούν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες ή αδικήματα.

(8) Η εν λόγω απαίτηση είναι δυνατό να πληρούται με την προσχώρηση του υπεργολάβου επεξεργασίας στις παρούσες ρήτρες υπό την αντίστοιχη ενότητα, σύμφωνα με τη ρήτρα 7.

(9) Η εν λόγω απαίτηση είναι δυνατό να πληρούται με την προσχώρηση του υπεργολάβου επεξεργασίας στις παρούσες ρήτρες υπό την αντίστοιχη ενότητα, σύμφωνα με τη ρήτρα 7.

(10) Η εν λόγω προθεσμία μπορεί να παραταθεί το πολύ κατά δύο ακόμη μήνες, στον βαθμό που είναι αναγκαίο, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο εισαγωγέας των δεδομένων ενημερώνει δεόντως και αμέσως το υποκείμενο των δεδομένων για κάθε τέτοια παράταση.

(11) Ο εισαγωγέας των δεδομένων μπορεί να προσφέρει ανεξάρτητη επίλυση διαφορών μέσω οργάνου διαιτησίας μόνον αν είναι εγκατεστημένος σε χώρα που έχει κυρώσει τη σύμβαση της Νέας Υόρκης για την εκτέλεση των διαιτητικών αποφάσεων.

(12) Όσον αφορά τον αντίκτυπο της εν λόγω νομοθεσίας και πρακτικών στη συμμόρφωση με τις παρούσες ρήτρες, μπορούν να εξεταστούν διάφορα στοιχεία στο πλαίσιο μιας συνολικής αξιολόγησης. Στα στοιχεία αυτά μπορεί να περιλαμβάνεται σχετική και τεκμηριωμένη πρακτική πείρα από προηγούμενες περιπτώσεις αιτημάτων κοινολόγησης από δημόσιες αρχές ή η απουσία τέτοιων αιτημάτων, η οποία να καλύπτει επαρκώς αντιπροσωπευτικό χρονικό πλαίσιο. Πρόκειται κυρίως για εσωτερικά αρχεία ή άλλα έγγραφα, τα οποία καταρτίζονται σε συνεχή βάση σύμφωνα με τη δέουσα επιμέλεια και πιστοποιούνται σε ανώτερη βαθμίδα διοίκησης, υπό την προϋπόθεση ότι οι πληροφορίες αυτές μπορούν να κοινοποιούνται νομίμως σε τρίτους. Η εν λόγω πρακτική πείρα, όταν γίνεται επίκλησή της ώστε να συναχθεί το συμπέρασμα ότι δεν θα εμποδιστεί η συμμόρφωση του εισαγωγέα των δεδομένων προς τις παρούσες ρήτρες, πρέπει να υποστηρίζεται από άλλα σχετικά, αντικειμενικά στοιχεία, και εναπόκειται στα συμβαλλόμενα μέρη να εξετάζουν προσεκτικά το αν τα στοιχεία αυτά από κοινού έχουν επαρκή βαρύτητα, ως προς την αξιοπιστία και την αντιπροσωπευτικότητά τους, ώστε να υποστηρίξουν αυτό το συμπέρασμα. Ειδικότερα, τα συμβαλλόμενα μέρη πρέπει να λαμβάνουν υπόψη το αν η πρακτική πείρα τους επιβεβαιώνεται και δεν αντικρούεται από δημοσίως διαθέσιμες ή με άλλον τρόπο προσβάσιμες, αξιόπιστες πληροφορίες σχετικά με την ύπαρξη ή την απουσία αιτημάτων στον ίδιο τομέα και/ή την εφαρμογή της νομοθεσίας στην πράξη, όπως η νομολογία και οι εκθέσεις ανεξάρτητων εποπτικών φορέων.