μεταξύ
Πελάτης σύμφωνα με τους ΓΟΣ ως Υπεύθυνος Επεξεργασίας (εφεξής "Υπεύθυνος Επεξεργασίας"),
και
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland ως εκτελών την επεξεργασία δεδομένων (εφεξής "Εκτελών την επεξεργασία δεδομένων", ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία δεδομένων από κοινού τα "Μέρη")
Ο Υπεύθυνος Επεξεργασίας ανέθεσε στον Εκτελούντα την Επεξεργασία Δεδομένων στη ΓΟΣ (εφεξής "Κύρια Συμφωνία") τις υπηρεσίες που ορίζονται σε αυτήν. Μέρος της εκτέλεσης της σύμβασης είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ειδικότερα, το άρθρο 1 του ν. 28 ΓΚΠΔ επιβάλλει ειδικές απαιτήσεις για την εν λόγω ανατεθείσα επεξεργασία. Για να συμμορφωθούν με τις απαιτήσεις αυτές, τα μέρη συνάπτουν την ακόλουθη συμφωνία επεξεργασίας δεδομένων (εφεξής η "συμφωνία"), η εκτέλεση της οποίας δεν αμείβεται χωριστά, εκτός εάν συμφωνηθεί ρητά.
(1) Σύμφωνα με το άρθρο 1 του κανονισμού (ΕΚ) αριθ. 4 (7) ΓΚΠΔ, ο υπεύθυνος επεξεργασίας είναι η οντότητα που καθορίζει μόνη της ή από κοινού με άλλους υπεύθυνους επεξεργασίας τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
(2) Σύμφωνα με το άρθρο 2 του κανονισμού (ΕΚ) αριθ. 4 (8) του ΓΚΠΔ, εκτελών την επεξεργασία δεδομένων είναι ένα φυσικό ή νομικό πρόσωπο, μια αρχή, ένα ίδρυμα ή ένας άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας.
(3) Σύμφωνα με το άρθρο 3 του κανονισμού (ΕΚ) αριθ. 4 (1) ΓΚΠΔ, δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (εφεξής "Υποκείμενο των δεδομένων")- ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο που μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως με αναφορά σε αναγνωριστικό στοιχείο, όπως όνομα, αριθμό ταυτότητας, δεδομένα θέσης, επιγραμμικό αναγνωριστικό ή σε έναν ή περισσότερους παράγοντες που σχετίζονται με τη φυσική, φυσιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
(4) Τα δεδομένα προσωπικού χαρακτήρα που απαιτούν ειδική προστασία είναι δεδομένα προσωπικού χαρακτήρα σύμφωνα με το άρθρο 1 του κανονισμού (ΕΚ) αριθ. 9 ΓΚΠΔ που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση των Υποκειμένων των Δεδομένων, δεδομένα προσωπικού χαρακτήρα σύμφωνα με το άρθρο 9 ΓΚΠΔ. 10 ΓΚΠΔ σχετικά με ποινικές καταδίκες και ποινικά αδικήματα ή σχετικά μέτρα ασφαλείας, καθώς και γενετικά δεδομένα σύμφωνα με το άρθρο 10 ΓΚΠΔ. 4 (13) ΓΚΠΔ, βιομετρικά δεδομένα σύμφωνα με το άρθρο 4 του ΓΚΠΔ, βιομετρικά δεδομένα σύμφωνα με το άρθρο 4 του ΓΚΠΔ. 4 (14) ΓΚΠΔ, δεδομένα υγείας σύμφωνα με το άρθρο 4 (14) ΓΚΠΔ, δεδομένα υγείας σύμφωνα με το άρθρο 4 (14) ΓΚΠΔ. 4 (15) ΓΚΠΔ, καθώς και δεδομένα σχετικά με τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός φυσικού προσώπου.
(5) Σύμφωνα με το άρθρο 4 παράγραφος 2 του ΓΚΠΔ, η επεξεργασία είναι κάθε πράξη ή σύνολο πράξεων που εκτελείται σε δεδομένα προσωπικού χαρακτήρα, είτε με αυτόματο μέσο είτε όχι, όπως η συλλογή, η καταχώριση, η οργάνωση, η αρχειοθέτηση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση, η διαβούλευση, η χρήση, η γνωστοποίηση με διαβίβαση, η διάδοση ή η με άλλο τρόπο διάθεση, η ευθυγράμμιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
(6) Σύμφωνα με το άρθρο 4 παράγραφος 21 του ΓΚΠΔ, η εποπτική αρχή είναι ανεξάρτητη κρατική αρχή που έχει συσταθεί από κράτος μέλος σύμφωνα με το άρθρο 51 του ΓΚΠΔ.
(1) Ο Εκτελών την επεξεργασία δεδομένων παρέχει τις υπηρεσίες που καθορίζονται στην Κύρια Σύμβαση για τον Υπεύθυνο Επεξεργασίας. Με τον τρόπο αυτό, ο Εκτελών την Επεξεργασία αποκτά πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, τα οποία ο Εκτελών την Επεξεργασία επεξεργάζεται για τον Υπεύθυνο Επεξεργασίας αποκλειστικά για λογαριασμό και σύμφωνα με τις οδηγίες του Υπεύθυνου Επεξεργασίας. Το πεδίο εφαρμογής και ο σκοπός της επεξεργασίας δεδομένων από τον εκτελούντα την επεξεργασία δεδομένων καθορίζονται στην Κύρια Σύμβαση και σε τυχόν σχετικές περιγραφές υπηρεσιών. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την αξιολόγηση του παραδεκτού της επεξεργασίας δεδομένων.
(2) Τα μέρη συνάπτουν την παρούσα συμφωνία για να προσδιορίσουν τα αμοιβαία δικαιώματα και τις υποχρεώσεις βάσει της νομοθεσίας για την προστασία των δεδομένων. Σε περίπτωση αμφιβολίας, οι διατάξεις της παρούσας συμφωνίας υπερισχύουν των διατάξεων της Κύριας Σύμβασης.
(3) Οι διατάξεις της παρούσας σύμβασης εφαρμόζονται σε όλες τις δραστηριότητες που σχετίζονται με την Κύρια Σύμβαση κατά τις οποίες ο Εκτελών την Επεξεργασία Δεδομένων και οι υπάλληλοί του ή τα εξουσιοδοτημένα από τον Εκτελούντα την Επεξεργασία Δεδομένων πρόσωπα έρχονται σε επαφή με δεδομένα προσωπικού χαρακτήρα που προέρχονται από τον Υπεύθυνο Επεξεργασίας ή συλλέγονται για λογαριασμό του Υπεύθυνου Επεξεργασίας.
(4) Η διάρκεια της παρούσας συμφωνίας διέπεται από τη διάρκεια της Κύριας Σύμβασης, εκτός εάν οι ακόλουθες διατάξεις δημιουργούν περαιτέρω υποχρεώσεις ή δικαιώματα καταγγελίας.
(1) Ο εκτελών την επεξεργασία δεδομένων μπορεί να συλλέγει, να επεξεργάζεται ή να χρησιμοποιεί δεδομένα μόνο στο πλαίσιο της Κύριας Σύμβασης και σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας. Εάν ο Εκτελών την επεξεργασία δεδομένων υποχρεούται να προβεί σε περαιτέρω επεξεργασία βάσει του δικαίου της Ευρωπαϊκής Ένωσης ή των κρατών μελών στα οποία υπόκειται, ενημερώνει τον υπεύθυνο επεξεργασίας για τις εν λόγω νομικές απαιτήσεις πριν από την επεξεργασία.
(2) Οι οδηγίες του ελεγκτή καθορίζονται αρχικά από την παρούσα συμφωνία. Στη συνέχεια, μπορούν να τροποποιηθούν, να συμπληρωθούν ή να αντικατασταθούν από τον υπεύθυνο επεξεργασίας εγγράφως ή σε μορφή κειμένου με ατομικές οδηγίες (ατομικές οδηγίες). Ο υπεύθυνος επεξεργασίας δικαιούται να εκδίδει τέτοιες οδηγίες ανά πάσα στιγμή. Αυτό περιλαμβάνει οδηγίες σχετικά με τη διόρθωση, τη διαγραφή και τη δέσμευση δεδομένων.
(3) Όλες οι οδηγίες που εκδίδονται τεκμηριώνονται από τον ελεγκτή. Οι οδηγίες που υπερβαίνουν την υπηρεσία που συμφωνείται στην Κύρια Σύμβαση θα αντιμετωπίζονται ως αίτημα για αλλαγή της υπηρεσίας.
(4) Εάν ο εκτελών την επεξεργασία δεδομένων είναι της γνώμης ότι μια εντολή του υπεύθυνου επεξεργασίας παραβιάζει τις διατάξεις περί προστασίας δεδομένων, ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση. Ο Εκτελών την επεξεργασία δεδομένων δικαιούται να αναστείλει την εφαρμογή της σχετικής εντολής έως ότου αυτή επιβεβαιωθεί ή τροποποιηθεί από τον υπεύθυνο επεξεργασίας. Ο εκτελών την επεξεργασία δεδομένων μπορεί να αρνηθεί την εκτέλεση μιας προφανώς παράνομης εντολής.
(1) Στο πλαίσιο της υλοποίησης της Κύριας Σύμβασης, ο Εκτελών την Επεξεργασία Δεδομένων έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που προσδιορίζονται λεπτομερέστερα στο Παράρτημα 1..
(2) Η ομάδα των υποκειμένων δεδομένων που επηρεάζονται από την επεξεργασία δεδομένων παρατίθεται στο Παράρτημα 1..
(3) Η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορεί να πραγματοποιηθεί υπό τους όρους του άρθρου 1 του κανονισμού (ΕΚ) αριθ. 44 επ. GDPR.
(1) Ο εκτελών την επεξεργασία δεδομένων υποχρεούται να τηρεί τις νομοθετικές διατάξεις περί προστασίας δεδομένων και να μην αποκαλύπτει πληροφορίες που έχει λάβει από τον τομέα του υπεύθυνου επεξεργασίας σε τρίτους ή να μην τις εκθέτει στην πρόσβασή τους. Τα έγγραφα και τα δεδομένα πρέπει να διασφαλίζονται από την αποκάλυψη σε μη εξουσιοδοτημένα πρόσωπα, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας.
(2) Ο εκτελών την επεξεργασία δεδομένων οργανώνει την εσωτερική οργάνωση στον τομέα ευθύνης του κατά τρόπο που να πληροί τις ειδικές απαιτήσεις προστασίας των δεδομένων. Πρέπει να έχει λάβει τα τεχνικά και οργανωτικά μέτρα που ορίζονται στο Παράρτημα 2 για την επαρκή προστασία των δεδομένων του υπεύθυνου επεξεργασίας σύμφωνα με το άρθρο 2 του παρόντος. 32 ΓΚΠΔ, τα οποία ο υπεύθυνος επεξεργασίας αναγνωρίζει ως επαρκή. Ο Εκτελών την Επεξεργασία διατηρεί το δικαίωμα να αλλάξει τα μέτρα ασφαλείας που λαμβάνει, διασφαλίζοντας παράλληλα ότι δεν υπολείπεται το συμβατικά συμφωνημένο επίπεδο προστασίας.
(3) Τα πρόσωπα που απασχολούνται στην επεξεργασία δεδομένων από τον εκτελούντα την επεξεργασία δεδομένων απαγορεύεται να συλλέγουν, να επεξεργάζονται ή να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα χωρίς άδεια. Ο Εκτελών την Επεξεργασία Δεδομένων υποχρεώνει όλα τα πρόσωπα στα οποία έχει αναθέσει την επεξεργασία και την εκτέλεση της παρούσας σύμβασης (εφεξής "εργαζόμενοι") αναλόγως (υποχρέωση εχεμύθειας, άρθρο 2, παρ. 28 (3) lit. b ΓΚΠΔ) και διασφαλίζει την τήρηση της υποχρέωσης αυτής με τη δέουσα επιμέλεια.
(4) Ο εκτελών την επεξεργασία δεδομένων έχει διορίσει υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων του εκτελούντος την επεξεργασία είναι η heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
(1) Σε περίπτωση διαταραχών, ύποπτων παραβιάσεων της προστασίας δεδομένων ή παραβιάσεων των συμβατικών υποχρεώσεων του εκτελούντος την επεξεργασία δεδομένων, ύποπτων περιστατικών που σχετίζονται με την ασφάλεια ή άλλων παρατυπιών κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εκτελούντα την επεξεργασία δεδομένων, από πρόσωπα που απασχολούνται από αυτόν στο πλαίσιο της σύμβασης ή από τρίτους, ο εκτελών την επεξεργασία δεδομένων ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση. Το ίδιο ισχύει και για τους ελέγχους του εκτελούντος την επεξεργασία δεδομένων από την εποπτική αρχή προστασίας δεδομένων. Η κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα περιλαμβάνει τουλάχιστον τις ακόλουθες πληροφορίες:
(α) περιγραφή της φύσης της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, στο μέτρο του δυνατού, των κατηγοριών και του αριθμού των υποκειμένων δεδομένων που επηρεάζονται, των κατηγοριών που επηρεάζονται και του αριθμού των αρχείων δεδομένων προσωπικού χαρακτήρα που επηρεάζονται,
(β) περιγραφή των μέτρων που έλαβε ή πρότεινε ο εκτελών την επεξεργασία δεδομένων για την αντιμετώπιση της παραβίασης και, κατά περίπτωση, μέτρα για τον μετριασμό των πιθανών αρνητικών συνεπειών της,
(γ) περιγραφή των πιθανών συνεπειών της παραβίασης δεδομένων προσωπικού χαρακτήρα.
(2) Ο Εκτελών την επεξεργασία δεδομένων λαμβάνει αμέσως τα αναγκαία μέτρα για την ασφάλεια των δεδομένων και τον μετριασμό τυχόν δυσμενών συνεπειών για τα υποκείμενα των δεδομένων, ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας και ζητά περαιτέρω οδηγίες.
(3) Επιπλέον, ο εκτελών την επεξεργασία δεδομένων υποχρεούται να ενημερώνει τον υπεύθυνο επεξεργασίας ανά πάσα στιγμή στο μέτρο που τα δεδομένα του υπευθύνου επεξεργασίας επηρεάζονται από παραβίαση σύμφωνα με την παράγραφο 1.
(4) Ο εκτελών την επεξεργασία δεδομένων ενημερώνει τον υπεύθυνο επεξεργασίας για κάθε σημαντική αλλαγή στα μέτρα ασφαλείας σύμφωνα με το τμήμα 5 παράγραφος 2.
(1) Ο υπεύθυνος επεξεργασίας μπορεί να βεβαιωθεί για τα τεχνικά και οργανωτικά μέτρα του εκτελούντος την επεξεργασία δεδομένων πριν από την έναρξη της επεξεργασίας δεδομένων και στη συνέχεια τακτικά σε ετήσια βάση. Για τον σκοπό αυτό, ο υπεύθυνος επεξεργασίας μπορεί, για παράδειγμα, να λάβει πληροφορίες από τον εκτελούντα την επεξεργασία δεδομένων, να λάβει υφιστάμενα πιστοποιητικά από εμπειρογνώμονες, πιστοποιήσεις ή εσωτερικούς ελέγχους ή, μετά από έγκαιρο συντονισμό, να επιθεωρήσει προσωπικά τα τεχνικά και οργανωτικά μέτρα του εκτελούντος την επεξεργασία δεδομένων κατά τις συνήθεις εργάσιμες ώρες ή να τα επιθεωρήσει από αρμόδιο τρίτο μέρος, υπό την προϋπόθεση ότι το τρίτο μέρος δεν βρίσκεται σε ανταγωνιστική σχέση με τον εκτελούντα την επεξεργασία δεδομένων. Ο Υπεύθυνος Επεξεργασίας διενεργεί ελέγχους μόνο στον αναγκαίο βαθμό και δεν διαταράσσει δυσανάλογα τις λειτουργίες του Εκτελούντος την Επεξεργασία Δεδομένων κατά τη διαδικασία αυτή.
(2) Ο εκτελών την επεξεργασία δεδομένων αναλαμβάνει την υποχρέωση να παρέχει στον υπεύθυνο επεξεργασίας, κατόπιν προφορικού ή γραπτού αιτήματος του τελευταίου και εντός εύλογου χρονικού διαστήματος, όλες τις πληροφορίες και τα αποδεικτικά στοιχεία που απαιτούνται για τη διενέργεια ελέγχου των τεχνικών και οργανωτικών μέτρων του εκτελούντος την επεξεργασία δεδομένων.
(3) Ο υπεύθυνος επεξεργασίας τεκμηριώνει τα αποτελέσματα της επιθεώρησης και ενημερώνει σχετικά τον εκτελούντα την επεξεργασία δεδομένων. Σε περίπτωση σφαλμάτων ή παρατυπιών που ο υπεύθυνος επεξεργασίας διαπιστώνει, ιδίως κατά την επιθεώρηση των αποτελεσμάτων της επιθεώρησης, ο υπεύθυνος επεξεργασίας ενημερώνει τον εκτελούντα την επεξεργασία δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Εάν κατά τη διάρκεια του ελέγχου διαπιστωθούν γεγονότα, η μελλοντική αποφυγή των οποίων απαιτεί αλλαγές στη διαταχθείσα διαδικασία, ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς καθυστέρηση τον εκτελούντα την επεξεργασία δεδομένων για τις αναγκαίες διαδικαστικές αλλαγές.
(1) Οι συμβατικά συμφωνημένες υπηρεσίες εκτελούνται με τη συμμετοχή των παρόχων υπηρεσιών που αναφέρονται στο Παράρτημα 3 (εφεξής "υποεπεξεργαστές"). Ο υπεύθυνος επεξεργασίας παρέχει στον εκτελούντα την επεξεργασία δεδομένων τη γενική εξουσιοδότησή του κατά την έννοια του άρθρου 28 παράγραφος 2 εδάφιο 1 του ΓΚΠΔ να προσλάβει πρόσθετους υποεπεξεργαστές στο πλαίσιο των συμβατικών του υποχρεώσεων ή να αντικαταστήσει τους ήδη προσληφθέντες υποεπεξεργαστές.
(2) Ο εκτελών την επεξεργασία δεδομένων ενημερώνει τον υπεύθυνο επεξεργασίας πριν από κάθε προβλεπόμενη αλλαγή σε σχέση με τη συμμετοχή ή την αντικατάσταση ενός υπεργολάβου. Ο υπεύθυνος επεξεργασίας μπορεί να αντιταχθεί στην προβλεπόμενη συμμετοχή ή αντικατάσταση ενός υπεργολάβου επεξεργασίας για σημαντικό λόγο σύμφωνα με το δίκαιο προστασίας δεδομένων.
(3) Η αντίρρηση για την προβλεπόμενη συμμετοχή ή αντικατάσταση ενός υπεργολάβου επεξεργασίας πρέπει να υποβληθεί εντός 2 εβδομάδων από την παραλαβή της ενημέρωσης σχετικά με την αλλαγή. Εάν δεν διατυπωθεί αντίρρηση, η συμμετοχή ή η αντικατάσταση θεωρείται εγκεκριμένη. Εάν υπάρχει σημαντικός λόγος βάσει της νομοθεσίας περί προστασίας δεδομένων και δεν είναι δυνατή η εξεύρεση φιλικής λύσης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, ο υπεύθυνος επεξεργασίας έχει ειδικό δικαίωμα καταγγελίας στο τέλος του μήνα που έπεται της ένστασης.
(4) Κατά την πρόσληψη υπεργολάβων επεξεργασίας, ο εκτελών την επεξεργασία δεδομένων τους υποχρεώνει σύμφωνα με τις διατάξεις της παρούσας συμφωνίας.
(5) Δεν υφίσταται σχέση υποεπεξεργαστή κατά την έννοια των παρόντων διατάξεων εάν ο εκτελών την επεξεργασία δεδομένων αναθέτει σε τρίτους υπηρεσίες που θεωρούνται καθαρά βοηθητικές υπηρεσίες. Σε αυτές περιλαμβάνονται, για παράδειγμα, οι ταχυδρομικές, μεταφορικές και ναυτιλιακές υπηρεσίες, οι υπηρεσίες καθαρισμού, οι τηλεπικοινωνιακές υπηρεσίες χωρίς ειδική αναφορά σε υπηρεσίες που παρέχει ο εκτελών την επεξεργασία δεδομένων στον υπεύθυνο επεξεργασίας και οι υπηρεσίες φύλαξης. Οι υπηρεσίες συντήρησης και δοκιμών συνιστούν σχέσεις υποεπεξεργαστή που απαιτούν συγκατάθεση, εφόσον παρέχονται για συστήματα ΤΠ που χρησιμοποιούνται επίσης σε σχέση με την παροχή υπηρεσιών προς τον υπεύθυνο επεξεργασίας.
(1) Ο εκτελών την επεξεργασία δεδομένων υποστηρίζει τον υπεύθυνο επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα κατά την εκπλήρωση των υποχρεώσεων του υπευθύνου επεξεργασίας σύμφωνα με τα άρθρα 12-22 και 32 έως 36 ΓΚΠΔ.
(2) Εάν ένα Υποκείμενο Δεδομένων διεκδικεί δικαιώματα, όπως το δικαίωμα πρόσβασης, διόρθωσης ή διαγραφής όσον αφορά τα δεδομένα του, απευθείας έναντι του εκτελούντος την επεξεργασία δεδομένων, ο τελευταίος δεν αντιδρά αυτοτελώς, αλλά παραπέμπει το Υποκείμενο Δεδομένων στον υπεύθυνο επεξεργασίας και αναμένει τις οδηγίες του υπεύθυνου επεξεργασίας.
(1) Στην εσωτερική σχέση με τον εκτελούντα την επεξεργασία δεδομένων, ο υπεύθυνος επεξεργασίας ευθύνεται μόνος του έναντι του υποκειμένου των δεδομένων για την αποκατάσταση της ζημίας που υπέστη ένα υποκείμενο των δεδομένων λόγω μη επιτρεπτής ή εσφαλμένης επεξεργασίας δεδομένων σύμφωνα με τους νόμους περί προστασίας δεδομένων ή χρήσης στο πλαίσιο της ανατεθείσας επεξεργασίας.
(2) Ο εκτελών την επεξεργασία δεδομένων έχει απεριόριστη ευθύνη για ζημία, εφόσον η αιτία της ζημίας βασίζεται σε εκ προθέσεως ή βαριάς αμέλειας παράβαση καθήκοντος από τον εκτελούντα την επεξεργασία δεδομένων, τον νόμιμο εκπρόσωπο ή τον πληρεξούσιο αντιπρόσωπό του.
(3) Ο εκτελών την επεξεργασία δεδομένων ευθύνεται για αμελή συμπεριφορά μόνο σε περίπτωση παραβίασης υποχρέωσης, η εκπλήρωση της οποίας αποτελεί προϋπόθεση για την καλή εκτέλεση της σύμβασης και στην τήρηση της οποίας ο υπεύθυνος επεξεργασίας βασίζεται τακτικά και μπορεί να βασιστεί, αλλά περιορίζεται στη μέση ζημία που είναι τυπική για τη σύμβαση. Κατά τα λοιπά, η ευθύνη του εκτελούντος την επεξεργασία -συμπεριλαμβανομένων των πληρεξουσίων του- αποκλείεται.
(4) Ο περιορισμός της ευθύνης σύμφωνα με το άρθρο 10.3 δεν ισχύει για αξιώσεις αποζημίωσης που απορρέουν από βλάβη της ζωής, του σώματος, της υγείας ή από την ανάληψη εγγύησης.
(1) Μετά τη λήξη της Κύριας Σύμβασης, ο Εκτελών την Επεξεργασία επιστρέφει στον Υπεύθυνο Επεξεργασίας όλα τα έγγραφα, τα δεδομένα και τους φορείς δεδομένων που του έχουν παρασχεθεί ή - κατόπιν αιτήματος του Υπεύθυνου Επεξεργασίας, εκτός εάν υπάρχει υποχρέωση αποθήκευσης των δεδομένων προσωπικού χαρακτήρα βάσει του δικαίου της Ένωσης ή του δικαίου της Ομοσπονδιακής Δημοκρατίας της Γερμανίας - τα διαγράφει. Αυτό ισχύει επίσης για τυχόν αντίγραφα ασφαλείας δεδομένων στον εκτελούντα την επεξεργασία δεδομένων. Ο εκτελών την επεξεργασία δεδομένων παρέχει, κατόπιν αιτήματος, τεκμηριωμένη απόδειξη της ορθής διαγραφής οποιωνδήποτε δεδομένων.
(2) Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να ελέγχει την πλήρη και συμβατική επιστροφή ή διαγραφή των δεδομένων στον εκτελούντα την επεξεργασία δεδομένων με τον κατάλληλο τρόπο.
(3) Ο Εκτελών την επεξεργασία δεδομένων υποχρεούται να τηρεί εμπιστευτικά τα δεδομένα των οποίων έλαβε γνώση σε σχέση με την Κύρια Σύμβαση ακόμη και μετά τη λήξη της Κύριας Σύμβασης. Η παρούσα σύμβαση παραμένει σε ισχύ και μετά τη λήξη της Κύριας Σύμβασης, εφόσον ο Εκτελών την Επεξεργασία Δεδομένων έχει στη διάθεσή του δεδομένα προσωπικού χαρακτήρα τα οποία του έχει διαβιβάσει ο Υπεύθυνος Επεξεργασίας ή τα οποία έχει συλλέξει για λογαριασμό του Υπεύθυνου Επεξεργασίας.
(1) Στο βαθμό που ο εκτελών την επεξεργασία δεδομένων δεν εκτελεί ρητά δωρεάν ενέργειες υποστήριξης βάσει της παρούσας συμφωνίας, μπορεί να χρεώνει τον υπεύθυνο επεξεργασίας με εύλογη αμοιβή για τον λόγο αυτό, εκτός εάν οι ενέργειες ή παραλείψεις του ίδιου του εκτελούντος την επεξεργασία δεδομένων κατέστησαν άμεσα αναγκαία την εν λόγω υποστήριξη.
(2) Οι τροποποιήσεις και οι συμπληρώσεις της παρούσας συμφωνίας πρέπει να γίνονται εγγράφως. Αυτό ισχύει επίσης για κάθε παραίτηση από την παρούσα τυπική απαίτηση. Η προτεραιότητα των επιμέρους συμβατικών συμφωνιών δεν θίγεται.
(3) Εάν μεμονωμένες διατάξεις της παρούσας συμφωνίας είναι ή καθίστανται εν όλω ή εν μέρει άκυρες ή μη εκτελεστές, αυτό δεν επηρεάζει την εγκυρότητα των υπόλοιπων διατάξεων.
(4) Η παρούσα συμφωνία υπόκειται στο γερμανικό δίκαιο.
Τύπος πελάτη | Κατηγορίες υποκειμένων των δεδομένων | Κατηγορίες δεδομένων |
---|---|---|
Λογαριασμοί της εταιρείας | Εργαζόμενοι | Όνομα, στοιχεία επικοινωνίας, θέση, τμήμα, φωτογραφία, στοιχεία εταιρείας, σύνδεσμοι στα μέσα κοινωνικής δικτύωσης |
Εταιρικοί λογαριασμοί & μεμονωμένοι χρήστες | Ενδιαφερόμενα μέρη | Διεύθυνση IP (πόλη, χώρα), στοιχεία επικοινωνίας, όνομα, εταιρεία, μήνυμα (προαιρετικό) |
Το παρόν έγγραφο συνοψίζει τα τεχνικά και οργανωτικά μέτρα που λαμβάνει ο Εκτελών την Επεξεργασία κατά την έννοια του Άρθρου. 32 παρ. 1 ΓΚΠΔ. Πρόκειται για μέτρα που λαμβάνει ο Εκτελών την επεξεργασία για την προστασία των προσωπικών δεδομένων. Σκοπός του εγγράφου είναι να υποστηρίξει τον Υπεύθυνο Επεξεργασίας στην εκπλήρωση των υποχρεώσεων λογοδοσίας που υπέχει βάσει του άρθρου 3 του ν. 5 παρ. 2 ΓΚΠΔ.
Τα ακόλουθα μέτρα που εφαρμόζονται αποτρέπουν την πρόσβαση μη εξουσιοδοτημένων προσώπων στα συστήματα επεξεργασίας δεδομένων:
Εργασία από το σπίτι: μη εξουσιοδοτημένα άτομα δεν έχουν πρόσβαση στα σπίτια των εργαζομένων
Εργασία στο γραφείο στο σπίτι: οδηγία προς τους εργαζόμενους να εργάζονται σε ξεχωριστό γραφείο από το σαλόνι τους, αν είναι δυνατόν
Τα ακόλουθα μέτρα που εφαρμόζονται αποτρέπουν την πρόσβαση μη εξουσιοδοτημένων προσώπων στα συστήματα επεξεργασίας δεδομένων:
Αυθεντικοποίηση με χρήστη και κωδικό πρόσβασης
Χρήση τειχών προστασίας
Χρήση της διαχείρισης κινητών συσκευών
Κρυπτογράφηση φορέων δεδομένων
Αυτόματο κλείδωμα επιφάνειας εργασίας
Διαχείριση εξουσιοδοτήσεων χρηστών
Δημιουργία προφίλ χρήστη
Κεντρικοί κανόνες κωδικού πρόσβασης
Χρήση ελέγχου ταυτότητας 2 παραγόντων
Πολιτική της εταιρείας για ασφαλείς κωδικούς πρόσβασης
Γενικές οδηγίες για το χειροκίνητο κλείδωμα της επιφάνειας εργασίας κατά την αποχώρηση από το σταθμό εργασίας
Τα ακόλουθα μέτρα που εφαρμόζονται διασφαλίζουν ότι μη εξουσιοδοτημένα άτομα δεν έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα:
Καταγραφή της πρόσβασης σε εφαρμογές (ιδίως κατά την εισαγωγή, αλλαγή και διαγραφή δεδομένων)
Ο αριθμός των διαχειριστών διατηρείται όσο το δυνατόν μικρότερος
Διαχείριση των δικαιωμάτων των χρηστών από τους διαχειριστές του συστήματος
Οδηγία προς τους εργαζομένους ότι τα δεδομένα θα διαγράφονται μόνο μετά από διαβούλευση
Τα ακόλουθα μέτρα διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για διαφορετικούς σκοπούς υποβάλλονται σε χωριστή επεξεργασία:
Φυσικά χωριστή αποθήκευση σε χωριστά συστήματα ή φορείς δεδομένων
Διαχωρισμός του συστήματος παραγωγής και δοκιμής
Λογικός διαχωρισμός πελατών (από την πλευρά του λογισμικού)
Ορισμός των δικαιωμάτων βάσης δεδομένων
Εσωτερική οδηγία για την ανωνυμοποίηση/ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα σε περίπτωση αποκάλυψης ή μετά τη λήξη της νόμιμης περιόδου διαγραφής, εφόσον είναι δυνατόν.
Διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να διαβαστούν, να αντιγραφούν, να τροποποιηθούν ή να αφαιρεθούν χωρίς άδεια κατά τη διάρκεια της διαβίβασης ή της αποθήκευσης σε φορείς δεδομένων και ότι είναι δυνατόν να ελεγχθεί ποια πρόσωπα ή φορείς έχουν λάβει δεδομένα προσωπικού χαρακτήρα. Για να διασφαλιστεί αυτό, έχουν εφαρμοστεί τα ακόλουθα μέτρα:
Κρυπτογράφηση WLAN (WPA2 με ισχυρό κωδικό πρόσβασης)
Καταγραφή των προσβάσεων και των ανακτήσεων
Παροχή δεδομένων μέσω κρυπτογραφημένων συνδέσεων όπως SFTP ή HTTPS
Απαγόρευση μεταφόρτωσης εταιρικών δεδομένων σε εξωτερικούς διακομιστές
Τα ακόλουθα μέτρα διασφαλίζουν ότι είναι δυνατόν να ελέγχεται ποιος έχει επεξεργαστεί προσωπικά δεδομένα σε συστήματα επεξεργασίας δεδομένων και σε ποια χρονική στιγμή:
Καταγραφή της καταχώρησης, τροποποίησης και διαγραφής δεδομένων
Χειροκίνητος ή αυτόματος έλεγχος των αρχείων καταγραφής
Ιχνηλασιμότητα της καταχώρησης, τροποποίησης και διαγραφής δεδομένων μέσω μεμονωμένων ονομάτων χρηστών (όχι ομάδων χρηστών)
Σαφείς ευθύνες για διαγραφές
legal.dpa.latest.annexes.2.3.2.text.6
Τα ακόλουθα μέτρα διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται από τυχαία καταστροφή ή απώλεια και είναι πάντα διαθέσιμα στον πελάτη:
Πυροσβεστήρες σε χώρους διακομιστών
Συσκευές για την παρακολούθηση της θερμοκρασίας και της υγρασίας σε χώρους διακομιστών
Κλιματισμός στους χώρους των διακομιστών
Προστατευτικές λωρίδες υποδοχών σε χώρους διακομιστών
Αδιάλειπτη παροχή ρεύματος (UPS)
Βιντεοεπιτήρηση σε αίθουσες διακομιστών
Μήνυμα συναγερμού για μη εξουσιοδοτημένη πρόσβαση σε αίθουσες διακομιστών
Τακτικά αντίγραφα ασφαλείας
Έλεγχος της διαδικασίας δημιουργίας αντιγράφων ασφαλείας
Αποθήκευση αντιγράφων ασφαλείας δεδομένων σε ασφαλή, εκτός τόπου εγκατάστασης τοποθεσία
Τακτικές δοκιμές ανάκτησης δεδομένων και καταγραφή των αποτελεσμάτων
Δεν υπάρχουν εγκαταστάσεις υγιεινής μέσα ή πάνω από την αίθουσα διακομιστών
Φιλοξενία (τουλάχιστον των πιο σημαντικών δεδομένων) σε επαγγελματία οικοδεσπότη
Τα ακόλουθα μέτρα έχουν ως στόχο να διασφαλίσουν ότι ο οργανισμός πληροί τις βασικές απαιτήσεις της νομοθεσίας περί προστασίας δεδομένων:
Χρήση της πλατφόρμας heyData για τη διαχείριση της προστασίας δεδομένων
Διορισμός του υπεύθυνου προστασίας δεδομένων heyData
Υποχρέωση των εργαζομένων να τηρούν το απόρρητο των δεδομένων
Τακτική εκπαίδευση των εργαζομένων στην προστασία των δεδομένων
Διατήρηση επισκόπησης των δραστηριοτήτων επεξεργασίας (άρθρο 30 ΓΚΠΔ)
Τα ακόλουθα μέτρα έχουν ως στόχο να διασφαλίσουν ότι ενεργοποιούνται διαδικασίες αναφοράς σε περίπτωση παραβίασης της προστασίας δεδομένων:
Διαδικασία αναφοράς για παραβιάσεις της προστασίας δεδομένων σύμφωνα με το άρθρο. 4 αριθ. 12 ΓΚΠΔ στις εποπτικές αρχές (άρθρο 33 ΓΚΠΔ)
Διαδικασία κοινοποίησης για παραβιάσεις δεδομένων σύμφωνα με το άρθρο. 4 αριθ. 12 ΓΚΠΔ στα υποκείμενα των δεδομένων (άρθρο 34 ΓΚΠΔ)
Συμμετοχή του υπευθύνου προστασίας δεδομένων σε περιστατικά ασφάλειας και παραβιάσεις δεδομένων
Χρήση τειχών προστασίας
Τα ακόλουθα μέτρα έχουν ως στόχο να διασφαλίσουν ότι ενεργοποιούνται διαδικασίες αναφοράς σε περίπτωση παραβίασης της προστασίας δεδομένων:
Διαδικασία αναφοράς για παραβιάσεις της προστασίας δεδομένων σύμφωνα με το άρθρο. 4 αριθ. 12 ΓΚΠΔ στις εποπτικές αρχές (άρθρο 33 ΓΚΠΔ)
Διαδικασία κοινοποίησης για παραβιάσεις δεδομένων σύμφωνα με το άρθρο. 4 αριθ. 12 ΓΚΠΔ στα υποκείμενα των δεδομένων (άρθρο 34 ΓΚΠΔ)
Τα ακόλουθα μέτρα διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν σε επεξεργασία μόνο σύμφωνα με τις οδηγίες:
Γραπτές οδηγίες προς τον ανάδοχο ή οδηγίες σε μορφή κειμένου (π.χ. μέσω συμφωνίας επεξεργασίας δεδομένων)
Διασφάλιση της καταστροφής των δεδομένων μετά την ολοκλήρωση της παραγγελίας, π.χ. ζητώντας αντίστοιχες επιβεβαιώσεις.
Επιβεβαίωση από τους εργολάβους ότι δεσμεύουν τους υπαλλήλους τους να τηρούν το απόρρητο των δεδομένων (συνήθως στη συμφωνία επεξεργασίας δεδομένων)
Προσεκτική επιλογή των αναδόχων (ιδίως όσον αφορά την ασφάλεια των δεδομένων)
Συνεχής επανεξέταση των εργολάβων και των δραστηριοτήτων τους
Διασφάλιση της καταστροφής των δεδομένων μετά την ολοκλήρωση της παραγγελίας, π.χ. ζητώντας αντίστοιχες επιβεβαιώσεις.
Όλοι οι υποεπεξεργαστές των ΗΠΑ είναι πιστοποιημένοι σύμφωνα με το Πλαίσιο προστασίας δεδομένων.
Όνομα | Διεύθυνση | Λειτουργία | Τοποθεσία διακομιστή |
---|---|---|---|
Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Φιλοξενία & Υποδομή | ΕΕ |
Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Δίκτυο παράδοσης περιεχομένου & ασφάλεια | Παγκόσμια, ανάλογα με την τοποθεσία του χρήστη |
ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Παράδοση μέσω email | ΗΠΑ |
Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Αναφορά και παρακολούθηση σφαλμάτων | ΕΕ |
Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Εξυπηρέτηση πελατών & επικοινωνία | ΕΕ |
HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Εξυπηρέτηση πελατών & επικοινωνία | ΕΕ |
Apideck BV | Kammenstraat 43 bus 301, 2000 Antwerp, Belgium | Ενοποιημένο API (CRM & HR) | ΕΕ |
Έκδοση 1.4, με ισχύ από 17 Δεκεμβρίου 2024
Όνομα: | |
Θέση: | |
Ηλεκτρονικό ταχυδρομείο: | |
Ημερομηνία: | |
Υπογραφή: |
Όνομα: | Florian Theimer |
Θέση: | Founder & CEO |
Ηλεκτρονικό ταχυδρομείο: | privacy@spreadly.app |
Ημερομηνία: | |
Υπογραφή: |
Εκτυπώστε την παρούσα Συμφωνία Επεξεργασίας Δεδομένων και στείλτε την υπογεγραμμένη έκδοση στο privacy@spreadly.app με συνημμένο τον αριθμό πελάτη σας. Θα λάβετε μια υπογεγραμμένη έκδοση από εμάς εντός των επόμενων εργάσιμων ημερών.
Θέλετε να έχετε ένα υπογεγραμμένο αντίγραφο της Συμφωνίας Επεξεργασίας Δεδομένων μας;
Εκτυπώστε την παρούσα Συμφωνία Επεξεργασίας Δεδομένων και στείλτε την υπογεγραμμένη έκδοση στο privacy@spreadly.app με συνημμένο τον αριθμό πελάτη σας.
Θα λάβετε μια υπογεγραμμένη έκδοση από εμάς εντός των επόμενων εργάσιμων ημερών.