Παράρτημα επεξεργασίας δεδομένων

Παράρτημα επεξεργασίας δεδομένων

 

Αυτό το Παράρτημα αποτελεί αναπόσπαστο μέρος της Σύμβασης και υπογράφεται από:

 

  1. (i) Τον Πελάτη ("Εξαγωγέας Δεδομένων")
  2. (ii) IQUALIF ("Εισαγωγέας Δεδομένων")

 

Κάθε ένας που ονομάζεται "Μέρος" και κοινώς "Μέρη".

 

Προοίμιο

ΟΠΟΥ ο Εισαγωγέας Δεδομένων παρέχει επαγγελματικές υπηρεσίες λογισμικού, υπολογιστές και συναφείς υπηρεσίες (όπως προγράμματα περιήγησης με προηγμένες λειτουργίες αναζήτησης);

ΟΠΟΥ σύμφωνα με τη Σύμβαση, ο Εισαγωγέας Δεδομένων έχει συμφωνήσει να παρέχει στον Εξαγωγέα Δεδομένων τις υπηρεσίες που ορίζονται στη Σύμβαση (τα "Υπηρεσίες");

ΟΠΟΥ, παρέχοντας τις Υπηρεσίες, ο Εισαγωγέας Δεδομένων λαμβάνει ή ωφελείται από την πρόσβαση στις πληροφορίες του Εξαγωγέα Δεδομένων ή των άλλων προσώπων που έχουν (ενδεχομένως) σχέση με τον Εξαγωγέα Δεδομένων, και αυτές οι πληροφορίες μπορούν να χαρακτηριστούν ως προσωπικά δεδομένα σύμφωνα με τον ορισμό του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 σχετικά με την προστασία ατόμων όσον αφορά την επεξεργασία προσωπικών δεδομένων και την ελεύθερη κυκλοφορία τέτοιων δεδομένων ("GDPR") και άλλους ισχύοντες νόμους προστασίας δεδομένων.

ΟΠΟΥ αυτό το Παράρτημα περιέχει τους όρους και τις προϋποθέσεις που αφορούν τη συλλογή, την επεξεργασία και τη χρήση τέτοιων προσωπικών δεδομένων από τον Εισαγωγέα Δεδομένων ως τον εξουσιοδοτημένο πράκτορα επεξεργασίας δεδομένων του Εξαγωγέα Δεδομένων, διασφαλίζοντας ότι τα Μέρη συμμορφώνονται με την ισχύουσα νομοθεσία προστασίας δεδομένων.

 

ΕΠΟΜΕΝΩΣ, και προκειμένου να συνεχίσουν τα Μέρη τη σχέση τους νόμιμα, έχουν καταλήξει σε αυτό το Παράρτημα ως εξής:

Μέρος 1

 

1. Δομή του εγγράφου και ορισμοί

1.1 Δομή

Αυτό το Παράρτημα αποτελείται από διαφορετικά μέρη ως εξής:

 

Μέρος 1: 

περιέχει γενικές διατάξεις, π.χ. σχετικά με τους ορισμούς που χρησιμοποιούνται σε αυτό το Παράρτημα, συμμόρφωση με τοπικούς νόμους, χρονισμό και τερματισμό

 
Μέρος 2:

περιέχει το σώμα του μη τροποποιημένου εγγράφου των Βασικών Συμβατικών Όρων

 
Παράρτημα 1.1 του Μέρους 2:

περιέχει τις λεπτομέρειες των λειτουργιών επεξεργασίας που παρέχει ο Εισαγωγέας Δεδομένων στον Εξαγωγέα Δεδομένων ως τον εξουσιοδοτημένο πράκτορα επεξεργασίας δεδομένων (συμπεριλαμβανομένης της φύσης, του σκοπού της επεξεργασίας, του τύπου προσωπικών δεδομένων και των κατηγοριών υποκειμένων των δεδομένων) βάσει αυτού του Παραρτήματος

 
Παράρτημα 2 του Μέρους 2:

περιγράφει τα τεχνικά και οργανωτικά μέτρα ασφαλείας του Εισαγωγέα Δεδομένων, που εφαρμόζονται σε όλες τις δραστηριότητες επεξεργασίας που περιγράφονται στο Παράρτημα 1.1 του Μέρους 2

 
Μέρος 3:

περιέχει τις υπογραφές των Μερών που δεσμεύονται από αυτό το Παράρτημα και προσδιορίζει κάθε Εισαγωγέα Δεδομένων

 

 

1.2 Ορολογία και ορισμοί

Για τους σκοπούς αυτού του Παραρτήματος, ισχύουν οι ορολογίες και οι ορισμοί που χρησιμοποιούνται από τον GDPR (στο σώμα του εγγράφου των Βασικών Συμβατικών Όρων στο Μέρος 2, όπου οι ορισμοί δεν είναι κεφαλαιοποιημένοι). 

 

"Κράτος Μέλος"

σημαίνει χώρα που ανήκει στην Ευρωπαϊκή Ένωση ή στην Ευρωπαϊκή Οικονομική Ζώνη

 
"Ειδικές κατηγορίες (προσωπικών) δεδομένων"

αναφέρεται σε προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή μέλη συνδικαλιστικών οργανώσεων, και γενετικά δεδομένα, βιομετρικά δεδομένα, εάν επεξεργάζονται για τον μοναδικό προσδιορισμό ενός ατόμου, δεδομένα σχετικά με την υγεία, δεδομένα σχετικά με τη σεξουαλική ζωή ή σεξουαλική προτίμηση

 
"Βασικοί Συμβατικοί Όροι"

σημαίνουν τους Βασικούς Συμβατικούς Όρους για τη μεταφορά προσωπικών δεδομένων από επεξεργαστές που έχουν εγκατασταθεί σε τρίτες χώρες, σύμφωνα με την Απόφαση της Επιτροπής 2010/87/ΕΕ της 5ης Φεβρουαρίου 2010, η οποία τροποποιήθηκε από την Εκτελεστική Απόφαση (ΕΕ) 2016/2297 της Επιτροπής της 16ης Δεκεμβρίου 2016

 
"Επεξεργαστής δεδομένων"

σημαίνει οποιονδήποτε πράκτορα επεξεργασίας, εντός ή εκτός της ΕΕ/ΕΟΧ, που συμφωνεί να λαμβάνει από τον Εισαγωγέα Δεδομένων ή άλλον επεξεργαστή του Εισαγωγέα Δεδομένων προσωπικά δεδομένα αποκλειστικά για τις δραστηριότητες επεξεργασίας που θα πραγματοποιηθούν από τον Εξαγωγέα Δεδομένων μετά τη μεταφορά, σύμφωνα με τις οδηγίες του τελευταίου, τους όρους αυτών των όρων και τη Σύμβαση με τον Εισαγωγέα Δεδομένων

 

 

 

2. Υποχρεώσεις του Εξαγωγέα Δεδομένων

2.1 Ο Εξαγωγέας Δεδομένων έχει υποχρέωση να διασφαλίζει τη συμμόρφωση με όλες τις εφαρμοστέες υποχρεώσεις βάσει του GDPR και κάθε άλλης ισχύουσας νομοθεσίας προστασίας δεδομένων που αφορά τον ίδιο και να αποδεικνύει τέτοια συμμόρφωση, όπως απαιτείται από το Άρθρο 5 (2) του GDPR. Ο Εξαγωγέας Δεδομένων εγγυάται ότι ο Εισαγωγέας Δεδομένων έχει λάβει την προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων σύμφωνα με το Άρθρο 6 (α) του GDPR και έχει συμμορφωθεί με την υποχρέωσή του να ενημερώνει τα υποκείμενα των δεδομένων σύμφωνα με τα Άρθρα 13 και 14 του GDPR.

2.2 Ο Εξαγωγέας Δεδομένων πρέπει να παρέχει στον Εισαγωγέα Δεδομένων τα σχετικά αρχεία των δραστηριοτήτων επεξεργασίας σύμφωνα με το Άρθρο 30 (1) του GDPR σχετικά με τις Υπηρεσίες βάσει αυτού του Παραρτήματος, στο βαθμό που είναι αναγκαίο για να συμμορφωθεί ο Εισαγωγέας Δεδομένων με την υποχρέωση του Άρθρου 30 (2) του GDPR.

2.3 Ο Εξαγωγέας Δεδομένων πρέπει να διορίσει υπεύθυνο προστασίας δεδομένων ή εκπρόσωπο, στο βαθμό που απαιτείται από την ισχύουσα νομοθεσία προστασίας δεδομένων. Ο Εξαγωγέας Δεδομένων οφείλει να παράσχει τα στοιχεία επικοινωνίας του εκπροσώπου ή του υπευθύνου προστασίας δεδομένων, αν υπάρχουν, στον Εισαγωγέα Δεδομένων.

2.4 Ο Εξαγωγέας Δεδομένων επιβεβαιώνει, πριν από την ολοκλήρωση της επεξεργασίας, με την αποδοχή αυτού του Παραρτήματος, ότι τα τεχνικά και οργανωτικά μέτρα ασφαλείας του Εισαγωγέα Δεδομένων, όπως ορίζονται στο Παράρτημα 2 του Μέρους 2, είναι κατάλληλα και επαρκή για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων και επιβεβαιώνει ότι ο Εισαγωγέας Δεδομένων παρέχει επαρκείς εγγυήσεις σε αυτό το θέμα.

 

3. Συμμόρφωση με την τοπική νομοθεσία

Για την εκπλήρωση των απαιτήσεων εφαρμογής των πράκτορων επεξεργασίας σύμφωνα με το Άρθρο 28 του GDPR, ισχύουν οι ακόλουθες τροποποιήσεις:

 

3.1 Οδηγίες

  1. (i) Ο Εξαγωγέας Δεδομένων instructs τον Εισαγωγέα Δεδομένων να επεξεργάζεται προσωπικά δεδομένα μόνο για λογαριασμό του. Οι οδηγίες του Εξαγωγέα Δεδομένων παρέχονται σε αυτό το Παράρτημα και στη Σύμβαση. Ο Εξαγωγέας Δεδομένων έχει την υποχρέωση να διασφαλίζει ότι όλες οι οδηγίες που δίνονται στον Εισαγωγέα Δεδομένων συμμορφώνονται με την ισχύουσα νομοθεσία προστασίας δεδομένων. Ο Εισαγωγέας Δεδομένων πρέπει να επεξεργάζεται προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες που παρέχει ο Εξαγωγέας Δεδομένων, εκτός αν διαφορετικά απαιτεί η Ευρωπαϊκή Ένωση ή ο νόμος του Κράτους Μέλους (στην τελευταία περίπτωση, εφαρμόζεται η Παράγραφος 3.2 (iv) (c) του Μέρους 1).
  2. (ii) Όλες οι άλλες οδηγίες που υπερβαίνουν τις οδηγίες αυτού του Παραρτήματος ή της Σύμβασης πρέπει να περιλαμβάνονται στο αντικείμενο αυτού του Παραρτήματος και της Σύμβασης. Αν η υλοποίηση αυτής της πρόσθετης οδηγίας συνεπάγεται κόστος για τον Εισαγωγέα Δεδομένων, ο Εισαγωγέας Δεδομένων θα ενημερώσει τον Εξαγωγέα Δεδομένων για τέτοια κόστη και θα παράσχει εξήγηση πριν από την υλοποίηση της οδηγίας. Μόνο μετά την επιβεβαίωση από τον Εξαγωγέα Δεδομένων ότι αποδέχεται αυτά τα κόστη, ο Εισαγωγέας Δεδομένων θα υλοποιήσει την πρόσθετη οδηγία. Ο Εξαγωγέας Δεδομένων πρέπει να δίνει πρόσθετες οδηγίες γραπτώς, εκτός αν η επείγουσα ανάγκη ή άλλες συγκεκριμένες περιστάσεις απαιτούν άλλη μορφή (π.χ. προφορικά, ηλεκτρονικά). Οι οδηγίες σε άλλη μορφή από γραπτές πρέπει να επιβεβαιώνονται γραπτώς και χωρίς καθυστέρηση από τον Εξαγωγέα Δεδομένων.
  3. 1. Εκτός αν ο Εξαγωγέας Δεδομένων δεν μπορεί να πραγματοποιήσει ο ίδιος την διόρθωση, διαγραφή ή περιορισμό προσωπικών δεδομένων, οι οδηγίες μπορούν επίσης να αφορούν τη διόρθωση, διαγραφή και/ή τον περιορισμό προσωπικών δεδομένων όπως ορίζεται στην Παράγραφο 3.3 του Μέρους 1.
  4. 2. Ο Εισαγωγέας Δεδομένων πρέπει να ενημερώνει άμεσα τον Εξαγωγέα Δεδομένων αν, κατά την άποψή του, μια Οδηγία παραβιάζει τον GDPR ή άλλες ισχύουσες διατάξεις προστασίας δεδομένων της Ευρωπαϊκής Ένωσης ή Κράτους Μέλους ("Αμφισβητούμενη Οδηγία"). Αν ο Εισαγωγέας Δεδομένων πιστεύει ότι μια Οδηγία παραβιάζει τον GDPR ή άλλες διατάξεις προστασίας δεδομένων, δεν υποχρεούται να ακολουθήσει την Αμφισβητούμενη Οδηγία. Αν ο Εξαγωγέας Δεδομένων επιβεβαιώσει την Αμφισβητούμενη Οδηγία upon receipt of information from τον Εισαγωγέα Δεδομένων και αναγνωρίσει την ευθύνη του για την Αμφισβητούμενη Οδηγία, ο Εισαγωγέας Δεδομένων θα υλοποιήσει την Αμφισβητούμενη Οδηγία, εκτός αν η Οδηγία αφορά (i) την υλοποίηση τεχνικών και οργανωτικών μέτρων ασφαλείας, (ii) τα δικαιώματα των υποκειμένων των δεδομένων ή (iii) την εμπλοκή επεξεργαστών δεδομένων. Σε περιπτώσεις (i) έως (iii), ο Εισαγωγέας Δεδομένων μπορεί να επικοινωνήσει με αρμόδια εποπτική αρχή για να αξιολογήσει νομικά την Αμφισβητούμενη Οδηγία. Αν η εποπτική αρχή δηλώσει ότι η Αμφισβητούμενη Οδηγία είναι νόμιμη, ο Εισαγωγέας Δεδομένων θα υλοποιήσει την Οδηγία. Η Παράγραφος 3.1 (ii) του Μέρους 1 παραμένει σε ισχύ.

 

3.2 Υποχρεώσεις του Εισαγωγέα Δεδομένων

  1. (i) Ο Εισαγωγέας Δεδομένων πρέπει να διασφαλίζει ότι τα πρόσωπα που εξουσιοδοτούνται από αυτόν να επεξεργάζονται προσωπικά δεδομένα εκ μέρους του Εξαγωγέα Δεδομένων, ειδικά υπάλληλοι του Εισαγωγέα Δεδομένων και υπάλληλοι οποιουδήποτε Υποκατασκευαστή, έχουν δεσμευτεί να τηρούν εμπιστευτικότητα ή υπόκεινται σε κατάλληλο νομικό καθήκον εμπιστευτικότητας, και ότι αυτά τα πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδομένα τα επεξεργάζονται σύμφωνα με τις οδηγίες του Εξαγωγέα Δεδομένων.
  2. (ii) Ο Εισαγωγέας Δεδομένων πρέπει να εφαρμόσει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που ορίζονται στο Παράρτημα 2 του Μέρους 2 πριν από την επεξεργασία των προσωπικών δεδομένων εκ μέρους του Εξαγωγέα Δεδομένων. Ο Εισαγωγέας Δεδομένων μπορεί να αλλάξει τα τεχνικά και οργανωτικά μέτρα ασφαλείας ανά διαστήματα, εφόσον δεν παρέχουν λιγότερη προστασία από αυτά που ορίζονται στο Παράρτημα 2 του Μέρους 2.
  3. (iii) Ο Εισαγωγέας Δεδομένων θα παράσχει στον Εξαγωγέα Δεδομένων, κατόπιν αιτήματος, πληροφορίες που αποδεικνύουν τη συμμόρφωση με τις υποχρεώσεις του βάσει αυτού του Παραρτήματος. Η υποχρέωση αυτή καλύπτεται από την παροχή στον Εξαγωγέα Δεδομένων αναφοράς ελέγχου ("Έκθεση Ελέγχου"). Αν απαιτούνται επιπλέον ελεγκτικές δραστηριότητες, ο Εξαγωγέας Δεδομένων μπορεί να ζητήσει επιθεωρήσεις από τον ίδιο ή από άλλο ελεγκτή που ορίζεται από αυτόν, με την υπογραφή εμπιστευτικότητας από τον ελεγκτή ("Έλεγχος"). Ο έλεγχος υπόκειται στους όρους: (i) προηγούμενη γραπτή αποδοχή από τον Εισαγωγέα Δεδομένων και (ii) ο Εξαγωγέας Δεδομένων καλύπτει όλα τα έξοδα. Ο Εξαγωγέας Δεδομένων θα δημιουργήσει αναφορά που συνοψίζει τα αποτελέσματα ("Αναφορά Ελέγχου").
  4. (iv) Ο Εισαγωγέας Δεδομένων οφείλει να ενημερώνει άμεσα τον Εξαγωγέα Δεδομένων για:
    1. a. οποιοδήποτε νομικά δεσμευτικό αίτημα για αποκάλυψη προσωπικών δεδομένων από αρχή επιβολής του νόμου, εκτός αν απαγορεύεται, π.χ. από ποινικό νόμο για την προστασία της εμπιστευτικότητας έρευνας;
    2. b. οποιαδήποτε καταγγελία ή αίτημα που λαμβάνει απευθείας από το υποκείμενο των δεδομένων (π.χ. πρόσβαση, διόρθωση, διαγραφή, περιορισμός επεξεργασίας, μεταφορά δεδομένων, αντίρρηση στην επεξεργασία, αυτοματοποιημένη λήψη αποφάσεων) χωρίς να απαντήσει σε αυτό, εκτός αν έχει εξουσιοδότηση να το κάνει;
    3. c. αν ο Εισαγωγέας Δεδομένων ή επεξεργαστής δεδομένων υποχρεούται, βάσει του νόμου της Ευρωπαϊκής Ένωσης ή του Κράτους Μέλους, να επεξεργάζεται προσωπικά δεδομένα πέραν των οδηγιών του Εξαγωγέα Δεδομένων, προτού προβεί σε τέτοια επεξεργασία, εκτός αν οι νόμοι απαγορεύουν τέτοια επεξεργασία για ζωτικά δημόσια συμφέροντα, οπότε η ενημέρωση στον Εξαγωγέα Δεδομένων θα πρέπει να περιγράφει το νομικό αίτημα.
    4. d. αν ο Εισαγωγέας Δεδομένων διαπιστώσει παραβίαση προσωπικών δεδομένων, μόνος ή μέσω υποκατασκευαστή, που θα επηρεάσει τα προσωπικά δεδομένα του Εξαγωγέα Δεδομένων, ο Εισαγωγέας θα βοηθήσει τον Εξαγωγέα να ενημερώσει τα υποκείμενα και τις εποπτικές αρχές σύμφωνα με το Άρθρο 33 (3) του GDPR.
    5. (v) Κατόπιν αιτήματος του Εξαγωγέα Δεδομένων, ο Εισαγωγέας θα βοηθήσει στην εκτίμηση επιπτώσεων προστασίας δεδομένων και στη προγενέστερη διαβούλευση σύμφωνα με τα Άρθρα 35 και 36 του GDPR, παρέχοντας τις απαραίτητες πληροφορίες. Η βοήθεια αυτή παρέχεται μόνο αν ο Εξαγωγέας Δεδομένων δεν μπορεί να την καλύψει με άλλους τρόπους. Ο Εισαγωγέας θα ενημερώσει για το κόστος και, μόλις ο Εξαγωγέας το επιβεβαιώσει, θα παράσχει την βοήθεια.
    6. (vi) Μετά την παροχή των υπηρεσιών, ο Εξαγωγέας Δεδομένων μπορεί να ζητήσει την επιστροφή ή διαγραφή των προσωπικών δεδομένων εντός ενός μήνα. Εκτός αν ο νόμος απαιτεί διαφορετικά, ο Εισαγωγέας θα διαγράψει όλα τα δεδομένα μετά το μήνα, είτε έχουν επιστραφεί είτε όχι.

 

3.3 Δικαιώματα των υποκειμένων των δεδομένων

  1.  
    1. (i) Ο Εξαγωγέας Δεδομένων διαχειρίζεται και απαντά σε αιτήματα υποκειμένων. Ο Εισαγωγέας Δεδομένων δεν υποχρεούται να απαντά άμεσα στα υποκείμενα.
    2. (ii) Αν ο Εξαγωγέας Δεδομένων χρειάζεται βοήθεια από τον Εισαγωγέα Δεδομένων για την επεξεργασία και απάντηση σε αιτήματα, θα δώσει περαιτέρω οδηγία σύμφωνα με την Παράγραφο 3.1 (ii) του Μέρους 1. Ο Εισαγωγέας Δεδομένων θα βοηθήσει με τις κατάλληλες τεχνικές και οργανωτικές ενέργειες, όπως:
    3. a. Για αιτήματα πληροφόρησης, θα παρέχει μόνο τις πληροφορίες που απαιτούνται από τα Άρθρα 13 και 14 του GDPR, αν ο Εξαγωγέας Δεδομένων δεν τις βρει μόνος του.
    4. b. Για αιτήματα πρόσβασης (Άρθρο 15), θα παρέχει μόνο τις πληροφορίες που πρέπει να δοθούν στον υποκείμενο, αν ο ίδιος δεν τις βρει μόνος του.
    5. c. Για αιτήματα διόρθωσης (Άρθρο 16), διαγραφής (Άρθρο 17), περιορισμού (Άρθρο 18) ή μεταφοράς (Άρθρο 20), θα βοηθήσει τον Εξαγωγέα να διορθώσει, διαγράψει, περιορίσει ή μεταφέρει τα δεδομένα, ή θα βοηθήσει στην υλοποίηση αν ο ίδιος δεν μπορεί.
    6. d. Για ειδοποιήσεις σχετικά με διόρθωση, διαγραφή ή περιορισμό, θα ενημερώσει όλους τους παραλήπτες, αν ζητηθεί και αν ο ίδιος δεν μπορεί να διορθώσει μόνος του.
    7. e. Για το δικαίωμα αντίρρησης, θα καθορίσει αν η αντίρρηση είναι έγκυρη και πώς θα αντιμετωπιστεί.
    8. (iii) Οι υποχρεώσεις βοήθειας του Εισαγωγέα περιορίζονται σε προσωπικά δεδομένα που επεξεργάζεται εντός της υποδομής του.
    9. (iv) Ο Εξαγωγέας θα καθορίσει αν ο υποκείμενος των δεδομένων μπορεί να ασκήσει τα δικαιώματα και θα ενημερώσει τον Εισαγωγέα σχετικά.
    10. (v) Αν ζητηθούν επιπλέον ή τροποποιημένα τεχνικά και οργανωτικά μέτρα, ο Εισαγωγέας θα ενημερώσει για το κόστος και, μόλις το επιβεβαιώσει ο Εξαγωγέας, θα τα υλοποιήσει.
    11. (vi) Ο Εξαγωγέας θα αποζημιώσει τον Εισαγωγέα για τα εύλογα έξοδα που προκύπτουν από τις αιτήσεις των υποκειμένων.

 

3.4 Υπο-επεξεργασία

  1.  
    1. (i) Ο Εξαγωγέας Δεδομένων εξουσιοδοτεί τον Εισαγωγέα Δεδομένων να χρησιμοποιεί υπο-επεξεργαστές για τις υπηρεσίες βάσει αυτού του Παραρτήματος. Ο Εισαγωγέας θα επιλέγει προσεκτικά τους υπο-επεξεργαστές και θα τους εγκρίνει. Οι υπο-επεξεργαστές που αναφέρονται στο Παράρτημα 1.1 του Μέρους 2 είναι εγκεκριμένοι.
    2. (ii) Ο Εισαγωγέας θα μεταβιβάζει τις υποχρεώσεις του στους υπο-επεξεργαστές, όπου εφαρμόζεται.
    3. (iii) Ο Εισαγωγέας μπορεί να αντικαταστήσει ή να προσλάβει άλλους αξιόπιστους υπο-επεξεργαστές. Αν ζητηθεί γραπτώς από τον Εξαγωγέα, θα ακολουθήσει την παρακάτω διαδικασία:
  2.  
    1. a. Ο Εισαγωγέας θα ενημερώνει τον Εξαγωγέα πριν από οποιεσδήποτε αλλαγές στη λίστα υπο-επεξεργαστών. Αν ο Εξαγωγέας δεν αντιταχθεί εντός 30 ημερών, οι νέοι υπο-επεξεργαστές θεωρούνται αποδεκτοί.
    2. b. Αν ο Εξαγωγέας έχει σοβαρό λόγο να αντιταχθεί, θα το γνωστοποιεί γραπτώς εντός 30 ημερών και πριν την ενεργοποίηση. Αν αντιταχθεί, ο Εισαγωγέας μπορεί να ακυρώσει ή να τροποποιήσει τη χρήση του υπο-επεξεργαστή, ή να σταματήσει την υπηρεσία που θα τον χρησιμοποιεί.
  3.  
    1. (iv) Αν ο υπο-επεξεργαστής βρίσκεται εκτός ΕΕ/ΕΟΧ και δεν παρέχει επαρκές επίπεδο προστασίας, ο Εισαγωγέας θα λάβει μέτρα συμμόρφωσης σύμφωνα με τον GDPR.

 

3.5 Λήξη

Η λήξη αυτού του Παραρτήματος συμπίπτει με την ημερομηνία λήξης της αντίστοιχης Σύμβασης. Οι δικαιωμοι και υποχρεώσεις σχετικά με τον τερματισμό παραμένουν ίδιες με αυτές της Σύμβασης.

 

4. Περιορισμός ευθύνης

4.1 Κάθε μέρος διαχειρίζεται τις υποχρεώσεις του βάσει αυτού του Παραρτήματος και της ισχύουσας νομοθεσίας προστασίας δεδομένων.

4.2 Οποιαδήποτε ευθύνη από παραβίαση των υποχρεώσεων βάσει αυτού του Παραρτήματος ή της νομοθεσίας προστασίας δεδομένων υπόκειται και διέπεται από τις διατάξεις ευθύνης της Σύμβασης, εκτός αν ορίζεται διαφορετικά. Αν η ευθύνη διέπεται από τη Σύμβαση, η ευθύνη που προκύπτει βάσει αυτού του Παραρτήματος θεωρείται ότι προέρχεται από τη Σύμβαση.

 

5. Γενικές διατάξεις

5.1 Σε περίπτωση ασυμφωνίας μεταξύ των Μερών 1 και 2, υπερισχύει το Μέρος 2. Ακόμα και σε τέτοια περίπτωση, το Μέρος 1 που υπερβαίνει το Μέρος 2 (π.χ. οι όροι των Βασικών Συμβατικών Όρων) παραμένει έγκυρο.

5.2 Σε περίπτωση διαφοράς μεταξύ των διατάξεων αυτού του Παραρτήματος και άλλων συμβάσεων, υπερισχύει το Παράρτημα σχετικά με τις υποχρεώσεις προστασίας δεδομένων. Αν υπάρχει αμφιβολία, το Παράρτημα υπερισχύει.

5.3 Αν κάποια διάταξη είναι άκυρη ή μη εφαρμόσιμη, το υπόλοιπο παραμένει σε ισχύ. Η άκυρη διάταξη τροποποιείται ώστε να είναι έγκυρη ή ερμηνεύεται ως να μην περιλαμβανόταν ποτέ. Το ίδιο ισχύει και αν υπάρχει παράλειψη.

5.5 Τα Μέρη μπορούν να ζητήσουν τροποποιήσεις σε συγκεκριμένα μέρη του Παραρτήματος, ώστε να συμμορφωθούν με αποφάσεις ή οδηγίες αρμόδιων αρχών, υπό την προϋπόθεση ότι η Ευρωπαϊκή Επιτροπή το εγκρίνει ρητά.

5.6 Οποιαδήποτε αναφορά στους "Όρους" νοείται ότι αναφέρεται σε όλες τις διατάξεις αυτού του Παραρτήματος, εκτός αν ορίζεται διαφορετικά.

5.7 Η επιλογή δικαίου στο Άρθρο 9 του Μέρους 2 ισχύει για ολόκληρη τη Σύμβαση.

 

6. Προσωπικά δεδομένα που μεταφέρονται και επεξεργάζονται από τα μέρη για προσωπικούς σκοπούς (μεταφορά από τον ελεγκτή στον ελεγκτή)

6.1 Τα Μέρη γνωρίζουν ότι θα μεταφερθούν προσωπικά δεδομένα από τον Εξαγωγέα στον Εισαγωγέα και το αντίστροφο, και ότι τέτοια δεδομένα επεξεργάζονται για δικούς τους σκοπούς. Αυτό δεν επηρεάζει άλλες διατάξεις αυτού του Παραρτήματος (εκτός από αυτή την παράγραφο 6).

6.2 Ο Εξαγωγέας μπορεί να μεταφέρει προσωπικά δεδομένα σχετικά με το προσωπικό του στον Εισαγωγέα, συμπεριλαμβανομένων πληροφοριών για περιστατικά ασφαλείας ή άλλα έγγραφα που δημιουργούνται από τον Εξαγωγέα σχετικά με τις υπηρεσίες που παρέχονται από το προσωπικό του Εισαγωγέα. Ο Εισαγωγέας μπορεί να επεξεργάζεται τέτοια δεδομένα για δικούς του σκοπούς, π.χ. σε επαγγελματικές σχέσεις, ποιοτικό έλεγχο ή εκπαίδευση.

6.3 Ο Εισαγωγέας μπορεί να μεταφέρει προσωπικά δεδομένα στον Εξαγωγέα, συμπεριλαμβανομένων ονομάτων και στοιχείων επικοινωνίας του προσωπικού του. Ο Εξαγωγέας μπορεί να επεξεργάζεται τέτοια δεδομένα για δικούς του σκοπούς.

6.4 Τα Μέρη θα συμμορφώνονται με την ισχύουσα νομοθεσία προστασίας δεδομένων, συμπεριλαμβανομένου του GDPR, και θα διασφαλίζουν ότι η συλλογή, επεξεργασία και χρήση τέτοιων δεδομένων γίνεται σύμφωνα με τις οδηγίες και τα μέτρα ασφαλείας που ορίζονται στο Παράρτημα 2 του Μέρους 2. Η πρόσβαση στα δεδομένα θα περιορίζεται μόνο σε όσους χρειάζεται.

6.5 Τα Μέρη θα διαγράψουν τα δεδομένα μόλις επιτευχθούν οι σκοποί.

Μέρος 2

 

ΑΠΟΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ

για τις 5 Φεβρουαρίου 2010

για τους βασικούς συμβατικούς όρους για τη μεταφορά προσωπικών δεδομένων σε επεξεργαστές δεδομένων που έχουν εγκατασταθεί σε τρίτες χώρες σύμφωνα με την Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

 

 

 

Άρθρο 1

Ορισμοί

Στα πλαίσια των όρων:

a) 'προσωπικά δεδομένα', 'ειδικές κατηγορίες δεδομένων', 'επεξεργασία', 'ελεγκτής', 'επεξεργαστής', 'υποκείμενο δεδομένων' και 'εποπτική αρχή' έχουν την ίδια σημασία με την Οδηγία 95/46/ΕΚ της 24ης Οκτωβρίου 1995.

b) ο 'Εξαγωγέας Δεδομένων' είναι ο ελεγκτής που μεταφέρει τα προσωπικά δεδομένα.

c) ο 'Εισαγωγέας Δεδομένων' είναι ο επεξεργαστής που συμφωνεί να λαμβάνει προσωπικά δεδομένα από τον Εξαγωγέα Δεδομένων, για επεξεργασία σύμφωνα με τις οδηγίες και τους όρους αυτών των όρων, και δεν υπόκειται σε μηχανισμό τρίτης χώρας που διασφαλίζει επαρκή προστασία σύμφωνα με το Άρθρο 25(1) της Οδηγίας 95/46/ΕΚ.

d) 'Επεξεργαστής δεδομένων' σημαίνει τον επεξεργαστή που αναλαμβάνει την επεξεργασία από τον Εισαγωγέα Δεδομένων ή άλλον επεξεργαστή του, αποκλειστικά για τις δραστηριότητες που θα πραγματοποιηθούν για λογαριασμό του Εξαγωγέα Δεδομένων μετά τη μεταφορά, σύμφωνα με τις οδηγίες του, τους όρους αυτών των όρων και τη γραπτή σύμβαση επεξεργασίας δεδομένων.

e) "ισχύουσα νομοθεσία προστασίας δεδομένων" σημαίνει τη νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, συμπεριλαμβανομένου του δικαιώματος στην ιδιωτικότητα, που εφαρμόζεται σε ελεγκτή στην Κράτος Μέλος όπου είναι εγκατεστημένος ο Εξαγωγέας Δεδομένων.

f) "τεχνικά και οργανωτικά μέτρα ασφαλείας" σημαίνει μέτρα που αποσκοπούν στην προστασία προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση, ειδικά όταν η επεξεργασία περιλαμβάνει μετάδοση δεδομένων μέσω δικτύων, και από όλες τις άλλες παράνομες μορφές επεξεργασίας.

Άρθρο 2

Λεπτομέρειες μεταφοράς

Οι λεπτομέρειες της μεταφοράς, συμπεριλαμβανομένων, όπου απαιτείται, των ειδικών κατηγοριών προσωπικών δεδομένων, ορίζονται στο Παράρτημα 1, που αποτελεί αναπόσπαστο μέρος αυτών των όρων.

Άρθρο 3

Ρήτρα τρίτου δικαιούχου

1. Το υποκείμενο των δεδομένων μπορεί να επιδιώξει την εφαρμογή αυτής της Ρήτρα, της Ρήτρας 4(β) έως (ι), της Ρήτρας 5(α) έως (ε) και (γ) έως (ι), της Ρήτρας 6(1) και (2), της Ρήτρας 7, της Ρήτρας 8(2) και των Ρητρών 9 έως 12, ως τρίτος δικαιούχος.

2. Το υποκείμενο των δεδομένων μπορεί να επιδιώξει την εφαρμογή αυτής της Ρήτρας, της Ρήτρας 5(α) έως (ε) και (γ), της Ρήτρας 6, της Ρήτρας 7, της Ρήτρας 8(2) και των Ρητρών 9 έως 12, όταν ο Εξαγωγέας έχει εξαφανιστεί ή έχει παύσει να υπάρχει νομικά, εκτός αν όλες οι νομικές υποχρεώσεις του έχουν μεταφερθεί σε διάδοχο φορέα, και το υποκείμενο των δεδομένων μπορεί να επιδιώξει τα δικαιώματά του εναντίον αυτού.

Ο υποκείμενος των δεδομένων μπορεί να επιδιώξει την εφαρμογή αυτής της Ρήτρας, της Ρήτρας 5(α) έως (ε) και (γ), της Ρήτρας 6, της Ρήτρας 7, της Ρήτρας 8(2) και των Ρητρών 9 έως 12, εναντίον του επεξεργαστή δεδομένων, μόνο σε περιπτώσεις όπου ο Εξαγωγέας και ο Εισαγωγέας έχουν εξαφανιστεί ή έχουν παύσει να υπάρχουν νομικά ή έχουν καταστεί αφερέγγυοι, εκτός αν όλες οι νομικές υποχρεώσεις τους έχουν μεταφερθεί σε διάδοχο φορέα, και το υποκείμενο των δεδομένων μπορεί να επιδιώξει τα δικαιώματά του εναντίον αυτού.

Τέλος, το υποκείμενο των δεδομένων μπορεί να επιδιώξει την εφαρμογή αυτής της Ρήτρας, της Ρήτρας 5(α) έως (ε) και (γ), της Ρήτρας 6, της Ρήτρας 7, της Ρήτρας 8(2) και των Ρητρών 9 έως 12, εναντίον του επεξεργαστή δεδομένων, αλλά μόνο σε περιπτώσεις όπου ο Εξαγωγέας και ο Εισαγωγέας έχουν εξαφανιστεί ή έχουν παύσει να υπάρχουν νομικά ή έχουν καταστεί αφερέγγυοι, και οι νομικές υποχρεώσεις τους έχουν μεταφερθεί σε διάδοχο φορέα.

Οι ευθύνες του επεξεργαστή δεδομένων περιορίζονται στις δικές του δραστηριότητες επεξεργασίας βάσει αυτών των όρων.

4. Οι συμβαλλόμενοι δεν αντιτίθενται στην εκπροσώπηση από ένωση ή άλλο φορέα, αν το επιθυμεί το υποκείμενο και αν το επιτρέπει ο εθνικός νόμος.

Άρθρο 4

Υποχρεώσεις του Εξαγωγέα Δεδομένων

Ο Εξαγωγέας Δεδομένων αποδέχεται και εγγυάται τα εξής:

a) η επεξεργασία και η μεταφορά προσωπικών δεδομένων γίνεται σύμφωνα με τις διατάξεις του GDPR και δεν παραβιάζει τον νόμο ή τις διατάξεις της χώρας του.

b) έχει δώσει οδηγίες στον Εισαγωγέα Δεδομένων να επεξεργάζεται τα δεδομένα μόνο σύμφωνα με τις οδηγίες και τους όρους αυτών των όρων.

c) ο Εισαγωγέας Δεδομένων παρέχει επαρκή μέτρα ασφαλείας σύμφωνα με το Παράρτημα 2.

d) τα μέτρα ασφαλείας είναι επαρκή και κατάλληλα για την προστασία των δεδομένων από τυχαία ή παράνομη καταστροφή, αλλοίωση, αποκάλυψη ή πρόσβαση.

e) θα διασφαλίζει την τήρηση των μέτρων ασφαλείας.

f) αν η μεταφορά αφορά ειδικές κατηγορίες δεδομένων, το υποκείμενο έχει ενημερωθεί ή θα ενημερωθεί πριν από τη μεταφορά.

g) θα προωθεί τυχόν ειδοποιήσεις από τον Εισαγωγέα Δεδομένων ή επεξεργαστή δεδομένων σχετικά με τις οδηγίες και θα τις διαβιβάζει στις αρμόδιες αρχές, αν αποφασίσει να συνεχίσει τη μεταφορά.

h) θα παρέχει αντίγραφα των όρων και των συμβάσεων, εκτός αν περιέχουν εμπορικά μυστικά.

i) αν γίνεται υπο-επεξεργασία, η δραστηριότητα θα γίνεται σύμφωνα με τον Άρθρο 11 και με επεξεργαστή που παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας.

j) θα συμμορφώνεται με τους όρους αυτών των όρων.

Άρθρο 5

Υποχρεώσεις του Εισαγωγέα Δεδομένων

Ο Εισαγωγέας Δεδομένων αποδέχεται και εγγυάται τα εξής:

a) θα επεξεργάζεται τα δεδομένα μόνο για λογαριασμό του και σύμφωνα με τις οδηγίες του, και θα ενημερώνει αν δεν μπορεί να συμμορφωθεί.

b) δεν θα εμποδίζεται από το νόμο να εκπληρώσει τις οδηγίες και τις υποχρεώσεις του.

c) θα εφαρμόζει τα μέτρα ασφαλείας που ορίζονται στο Παράρτημα 2.

d) θα ενημερώνει άμεσα για:

  1. a. αιτήματα αποκάλυψης από αρχές επιβολής του νόμου, εκτός αν απαγορεύεται.
  2. b. πρόσβαση ή μη εξουσιοδοτημένη πρόσβαση.
  3. c. αιτήματα από υποκείμενα, αν έχει εξουσιοδότηση.

e) θα διαχειρίζεται σωστά τις αιτήσεις και θα ενεργεί σύμφωνα με τις οδηγίες και τις αρχές εποπτείας.

f) θα επιτρέπει ελέγχους και θα παρέχει πληροφορίες για τη συμμόρφωση.

g) θα παρέχει αντίγραφα των όρων και των συμβάσεων, εκτός αν περιέχουν εμπορικά μυστικά.

h) αν γίνεται υπο-επεξεργασία, η δραστηριότητα θα γίνεται σύμφωνα με τον Άρθρο 11 και με επεξεργαστή που παρέχει το ίδιο επίπεδο προστασίας.

i) θα αποστέλλει αντίγραφα των συμβάσεων στον Εξαγωγέα Δεδομένων.

Άρθρο 6

Ευθύνη

1. Τα Μέρη συμφωνούν ότι όποιο υποκείμενο υποστεί ζημιά λόγω παραβίασης των υποχρεώσεων, μπορεί να ζητήσει αποζημίωση από τον Εξαγωγέα Δεδομένων.

2. Αν το υποκείμενο δεν μπορεί να κάνει αγωγή εναντίον του Εξαγωγέα Δεδομένων λόγω εξαφάνισης ή αφερεγγυότητας, ο Εισαγωγέας συμφωνεί ότι το υποκείμενο μπορεί να καταθέσει καταγγελία εναντίον του, ως εάν ήταν ο Εξαγωγέας.

3. Αν το υποκείμενο δεν μπορεί να κάνει αγωγή λόγω εξαφάνισης ή αφερεγγυότητας, η ευθύνη του επεξεργαστή περιορίζεται στις δραστηριότητές του.

 

Άρθρο 7

Μεσολάβηση και δικαιοδοσία

1. Ο Εισαγωγέας συμφωνεί ότι αν το υποκείμενο ενεργεί εναντίον του, θα αποδέχεται την απόφαση και θα υποβάλλει διαφορά σε διαμεσολάβηση ή δικαστήρια του Κράτους Μέλους όπου είναι ο Εξαγωγέας.

2. Οι συμβαλλόμενοι συμφωνούν ότι η επιλογή του υποκειμένου δεν επηρεάζει το δικαίωμά του να ζητήσει αποζημίωση σύμφωνα με το εθνικό ή διεθνές δίκαιο.

Άρθρο 8

Συνεργασία με τις εποπτικές αρχές

1. Ο Εξαγωγέας θα καταθέσει αντίγραφο της σύμβασης στην αρμόδια αρχή, αν απαιτείται.

2. Οι αρχές μπορούν να ελέγχουν τον Εισαγωγέα και τους υπο-επεξεργαστές υπό τις ίδιες συνθήκες.

3. Ο Εισαγωγέας θα ενημερώνει άμεσα αν υπάρχουν νομικές διατάξεις που εμποδίζουν ελέγχους.

Άρθρο 9

Εφαρμοστέο δίκαιο

Οι όροι εφαρμόζονται και διέπονται από το δίκαιο του Κράτους Μέλους όπου είναι ο Εξαγωγέας.

Άρθρο 10

Τροποποίηση της σύμβασης

Οι συμβαλλόμενοι δεν τροποποιούν τους όρους, εκτός αν συμφωνούν ρητά και αν η Ευρωπαϊκή Επιτροπή το εγκρίνει.

Άρθρο 11

Υπο-επεξεργασία

1. Ο Εισαγωγέας δεν θα υπο-επεξεργάζεται χωρίς γραπτή έγκριση του Εξαγωγέα. Θα διασφαλίζει ότι οι υπο-επεξεργαστές έχουν δεσμευτεί με συμβάσεις που επιβάλλουν τους ίδιους όρους.

2. Οι συμβάσεις θα περιλαμβάνουν ρήτρα τρίτου δικαιούχου, αν το υποκείμενο δεν μπορεί να ασκήσει τα δικαιώματά του λόγω εξαφάνισης ή αφερεγγυότητας.

3. Οι διατάξεις προστασίας δεδομένων θα διέπονται από το δίκαιο του Κράτους όπου είναι ο Εξαγωγέας.

4. Ο Εξαγωγέας θα διατηρεί λίστα με τις συμβάσεις υπο-επεξεργασίας και θα την ενημερώνει τουλάχιστον ετησίως. Θα την παρέχει στην εποπτική αρχή.

Άρθρο 12

Υποχρέωση μετά το τέλος της επεξεργασίας

1. Μετά το τέλος, ο Εισαγωγέας θα επιστρέφει ή θα διαγράφει τα δεδομένα, εκτός αν ο νόμος απαγορεύει την επιστροφή ή διαγραφή. Θα διασφαλίζει την εμπιστευτικότητα και ότι δεν θα επεξεργάζεται ενεργά τα δεδομένα.

2. Θα επιτρέπει ελέγχους και επιβεβαιώσεις από τον Εξαγωγέα ή την αρχή.

 

 

 

 

Παράρτημα 1.1 του Μέρους 2

Λεπτομέρειες μεταφοράς

 

 

Εξαγωγέας Δεδομένων

Ο Εξαγωγέας Δεδομένων είναι ο Πελάτης που ορίζεται στη Σύμβαση.

 

Εισαγωγέας Δεδομένων

Ο Εισαγωγέας Δεδομένων είναι η IQUALIF και αναλαμβάνει την επεξεργασία των δεδομένων, παρέχοντας υπηρεσίες στον Εξαγωγέα.

 

Υποκείμενα των δεδομένων

Τα προσωπικά δεδομένα αφορούν τις ακόλουθες κατηγορίες υποκειμένων:

☒ Συνδρομητές τηλεφώνου που αναφέρονται στον καθολικό κατάλογο

☐ Άλλοι, συμπεριλαμβανομένων:

 

Κατηγορίες δεδομένων

Τα προσωπικά δεδομένα αφορούν τις ακόλουθες κατηγορίες:

 

Κατηγορίες προσωπικών δεδομένων των υποκειμένων του Εξαγωγέα, ιδίως:

☒ Ονοματεπώνυμο

☒ Διεύθυνση

☒ Στοιχεία επικοινωνίας (email, τηλέφωνο, IP)

☒ Λεπτομέρειες διαφημιστικών δραστηριοτήτων σχετικά με τον συνδρομητή

☒ Άλλες, όπως τύπος κατοικίας, εισόδημα, μέσοι όροι ηλικίας ανά πόλη, ανώνυμα

 

Ειδικές κατηγορίες δεδομένων (αν ισχύει)

Τα προσωπικά δεδομένα αφορούν τις ακόλουθες ειδικές κατηγορίες:

☒ Δεν προβλέπεται μεταφορά ειδικών κατηγοριών δεδομένων

☐ Φυλετική ή εθνοτική καταγωγή

☐ Θρησκευτικές ή φιλοσοφικές πεποιθήσεις

☐ Μέλη συνδικαλιστικών οργανώσεων

☐ Πολιτικές απόψεις

☐ Γενετικά δεδομένα

☐ Βιομετρικά δεδομένα

☐ Πληροφορίες σεξουαλικής προτίμησης ή ζωής

☐ Δεδομένα υγείας

 

Δραστηριότητες επεξεργασίας

Τα προσωπικά δεδομένα που μεταφέρονται θα υπόκεινται στις ακόλουθες βασικές δραστηριότητες επεξεργασίας:

 

  •  
    •  Σκοπός της επεξεργασίας

Η επεξεργασία που γίνεται για λογαριασμό του Εξαγωγέα Δεδομένων βασίζεται στις ακόλουθες δραστηριότητες, ιδίως:

☒ Διαχείριση προϊόντων ή υπηρεσιών του Εξαγωγέα

☒ Προσφορά προϊόντος ή υπηρεσίας που μπορεί να ζητήσει ο καλούμενος

☒ Παραγγελίες και περαιτέρω επεξεργασία

☒ Ερωτηματολόγια και αναλύσεις

☒ Τηλεμάρκετινγκ

☐ Άλλες, συμπεριλαμβανομένων:

 

  •  
    •  Φύση και σκοπός της επεξεργασίας

Ο Εισαγωγέας Δεδομένων επεξεργάζεται τα δεδομένα των υποκειμένων για λογαριασμό του Εξαγωγέα, κυρίως για:

☒ Πωλήσεις και Μάρκετινγκ

☒ Άλλες, όπως ενημέρωση βάσεων δεδομένων δήμων και πολιτικών κομμάτων

 

  •  
    •  Παροχή υπηρεσιών και απασχόληση παρόχων υπηρεσιών

Η IQUALIF συνδυάζει, κεντρικοποιεί και παρέχει υπηρεσίες στον Εξαγωγέα. Οι υπηρεσίες μπορεί να περιλαμβάνουν:

• παροχή εφαρμογών, εργαλείων, συστημάτων και υποδομών IT για τις εγκαταστάσεις επεξεργασίας, υποστήριξη και συντήρηση, και πρόσβαση σε προσωπικά δεδομένα.

• υπηρεσίες προστασίας δεδομένων, παρακολούθηση και ανταπόκριση σε περιστατικά.

• ενδεχόμενη εμπλοκή επεξεργαστών δεδομένων, όπως αναφέρεται παρακάτω.

 

  •  
    • • Εξωτερικοί πάροχοι υπηρεσιών ως υπο-οργανώσεις επεξεργασίας δεδομένων.

Η IQUALIF συνεργάζεται με εξωτερικούς και τρίτους παρόχους, που δεν είναι θυγατρικές της, και τους εγκρίνει ως υπο-επεξεργαστές. Αν ένας υπο-επεξεργαστής βρίσκεται εκτός ΕΕ/ΕΟΧ και δεν παρέχει επαρκές επίπεδο προστασίας, θα λαμβάνει μέτρα σύμφωνα με τον GDPR.

 

Παράρτημα 2, Μέρος 2

Τεχνικά και οργανωτικά μέτρα προστασίας

Ο Εισαγωγέας θα λαμβάνει τα ακόλουθα μέτρα, που έχουν εγκριθεί από τον Εξαγωγέα, για την διασφάλιση επαρκούς επιπέδου ασφαλείας:

Οι γενικές στρατηγικές και μέτρα περιλαμβάνουν:

- αξιολόγηση και εκπαίδευση προσωπικού

- διαχείριση πρόσβασης και ελέγχους

- προστασία δικτύων και συστημάτων

- διαχείριση κλειδιών και κρυπτογράφησης

- διατήρηση αρχείων και ελέγχων ασφαλείας

- διασφάλιση διαθεσιμότητας και ανθεκτικότητας συστημάτων

- δοκιμές και επανεξέταση μέτρων ασφαλείας σε τακτά χρονικά διαστήματα.

Οι λεπτομέρειες περιγράφονται αναλυτικά στο πίνακα που ακολουθεί, με τις απαιτήσεις και τις διαδικασίες για κάθε τομέα ασφαλείας.