Συμφωνία επεξεργαστή

Εισαγωγή

Η Autosoft BV επεξεργάζεται, μεταξύ άλλων, προσωπικά δεδομένα για και για λογαριασμό του πελάτη. Η Autosoft BV και ο πελάτης είναι επομένως υποχρεωμένοι βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) να συνάψουν Συμφωνία Επεξεργαστή. Σύμφωνα με τον GDPR, η Autosoft BV είναι «επεξεργαστής» και ο πελάτης είναι «ελεγκτής». Αυτή η Συμφωνία Επεξεργαστή περιγράφει επίσης πώς η Autosoft BV χειρίζεται την υποχρέωση ειδοποίησης παραβίασης δεδομένων.

Συμφωνία επεξεργαστή

Αποτελείται από:
Μέρος 1: Δήλωση Data Pro
Μέρος 2: Τυπικές ρήτρες επεξεργασίας

Μέρος 1: Δήλωση Data Pro

Γενικές Πληροφορίες

1). Αυτή η Δήλωση Data Pro έχει συνταχθεί από τον ακόλουθο υπεύθυνο επεξεργασίας δεδομένων (υπεύθυνος επεξεργασίας):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Για ερωτήσεις σχετικά με αυτήν τη δήλωση Data Pro ή την προστασία δεδομένων, επικοινωνήστε με:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Αυτή η Δήλωση Data Pro ισχύει από την 1η Αυγούστου 2021
Προσαρμόζουμε τακτικά αυτήν τη Δήλωση Data Pro και τα μέτρα ασφαλείας που περιγράφονται σε αυτήν για να διασφαλίσουμε ότι είμαστε πάντα προετοιμασμένοι και ενημερωμένοι όσον αφορά την προστασία δεδομένων. Θα σας κρατάμε ενήμερους για τις νέες εκδόσεις μέσω των κανονικών μας καναλιών.

3). Αυτή η Δήλωση Data Pro ισχύει για τα ακόλουθα προϊόντα και υπηρεσίες επεξεργασίας δεδομένων

• Αυτόματος Ιστότοπος
• AutoCommerce

4). Περιγραφή Ιστοσελίδα αυτοκινήτου
Οι εταιρείες αυτοκινήτων χρησιμοποιούν την ιστοσελίδα Auto. Με την Autowebsite, οι εταιρείες αυτοκινήτων μπορούν να παρουσιάζονται στο διαδίκτυο.

5). Ιστότοπος για προβλεπόμενη χρήση αυτοκινήτου
Η αυτόματη ιστοσελίδα έχει σχεδιαστεί και εξοπλιστεί για να επεξεργάζεται τους ακόλουθους τύπους δεδομένων:
Οι επισκέπτες των ιστοσελίδων που αναπτύχθηκαν από την Autosoft με την Autowebsite έχουν τη δυνατότητα να αφήσουν εκεί τα στοιχεία επικοινωνίας τους, ώστε η εταιρεία αυτοκινήτων να έχει την ευκαιρία να προσεγγίσει τον επισκέπτη για περαιτέρω υπηρεσίες. Αυτά τα στοιχεία επικοινωνίας δεν αποθηκεύονται στην Autosoft, αλλά προωθούνται απευθείας μέσω e-mail στη διεύθυνση e-mail της εταιρείας αυτοκινήτων.

• Αυτή η υπηρεσία δεν λαμβάνει υπόψη την επεξεργασία ειδικών προσωπικών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα ή προσωπικούς αριθμούς που εκδίδονται από την κυβέρνηση.

6). Περιγραφή Autocommerce
Οι εταιρείες αυτοκινήτων χρησιμοποιούν το Autocommerce. Με το Autocommerce, οι εταιρείες αυτοκινήτων μπορούν να διαχειρίζονται και να παρουσιάζουν τα οχήματά τους στη δική τους ιστοσελίδα και διαδικτυακές πύλες αναζήτησης τρίτων.

7). Προβλεπόμενη χρήση Autocommerce
Το Autocommerce είναι σχεδιασμένο και εξοπλισμένο για την επεξεργασία των ακόλουθων τύπων δεδομένων:
Οι εταιρείες αυτοκινήτων μπορούν να τοποθετήσουν τα εγγεγραμμένα οχήματά τους μέσω του Autocommerce στον δικό τους ιστότοπο αυτοκινήτου. Αυτά τα εγγεγραμμένα οχήματα δεν περιέχουν δεδομένα που μπορούν να αναχθούν σε προσωπικά δεδομένα σε οποιαδήποτε μορφή. Οι επισκέπτες της ιστοσελίδας Car έχουν τη δυνατότητα να αφήσουν εκεί τα στοιχεία επικοινωνίας τους, ώστε η εταιρεία αυτοκινήτων να έχει τη δυνατότητα να προσεγγίσει τον επισκέπτη για περαιτέρω υπηρεσίες. Τα στοιχεία επικοινωνίας που αφήνει ο επισκέπτης στον δικό του ιστότοπο Auto αποθηκεύονται στο Autocommerce.

• Αυτή η υπηρεσία δεν λαμβάνει υπόψη την επεξεργασία ειδικών προσωπικών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα ή προσωπικούς αριθμούς που εκδίδονται από την κυβέρνηση.

8). Ο υπεύθυνος επεξεργασίας δεδομένων χρησιμοποιεί τις Τυπικές ρήτρες για επεξεργασία για τον ιστότοπο Autowebsite και Autocommerce, οι οποίες βρίσκονται ως παράρτημα της Συμφωνίας.

9). Ο υπεύθυνος επεξεργασίας δεδομένων επεξεργάζεται τα προσωπικά δεδομένα των πελατών του εντός της ΕΕ/ΕΟΧ για το Autowebsite και το Autocommerce.

10). Ο επεξεργαστής δεδομένων χρησιμοποιεί τους ακόλουθους υπο-επεξεργαστές για το Autocommerce:
Σε ορισμένες περιπτώσεις, η Autosoft στέλνει τα εγγεγραμμένα οχήματά της μέσω Autocommerce στις διαδικτυακές πύλες αναζήτησης τρίτων ή υπο-επεξεργαστών για λογαριασμό της Εταιρείας Αυτοκινήτων. Ένας κατάλογος υπο-επεξεργαστών διατίθεται κατόπιν αιτήματος στη διεύθυνση support@autosoft.eu.

11). Μετά τη λήξη της Συμφωνίας με έναν πελάτη, ο εκτελών την επεξεργασία δεδομένων θα αφαιρέσει κατ' αρχήν τα προσωπικά δεδομένα που επεξεργάζεται για τον πελάτη εντός 3 μηνών με τέτοιο τρόπο ώστε να μην μπορούν πλέον να χρησιμοποιηθούν και να μην είναι πλέον προσβάσιμα (καθίστανται μη προσβάσιμα).

Πολιτική ασφάλειας

Συνοψίστε τα ακόλουθα μέτρα ασφαλείας που έχει λάβει ο επεξεργαστής δεδομένων για την προστασία του προϊόντος ή της υπηρεσίας του:

Πολιτική διαχείρισης και αντιμετώπισης συμβάντων
Οι πολιτικές διαχείρισης και αντιμετώπισης συμβάντων στον τομέα της ασφάλειας πληροφοριών περιλαμβάνουν την παρακολούθηση και ανίχνευση συμβάντων ασφαλείας σε υπολογιστή ή υποδομή πληροφορικής, αλλά και την παρατήρηση ύποπτων δραστηριοτήτων από το προσωπικό και την εφαρμογή των σωστών απαντήσεων σε αυτά τα συμβάντα.

Ο πρωταρχικός στόχος αυτής της πολιτικής είναι να αναπτύξει μια καλά κατανοητή και προβλέψιμη απάντηση σε κακόβουλα συμβάντα και εισβολές υπολογιστή με την ευρεία έννοια της λέξης.

Η πολιτική διαχείρισης και αντιμετώπισης συμβάντων είναι η διαδικασία διαχείρισης και προστασίας υπολογιστών, δικτύων και συστημάτων πληροφοριών και των πληροφοριών που αποθηκεύονται σε αυτά. Η Autosoft έχει επίγνωση των ευθυνών της όσον αφορά την προστασία αυτών των πληροφοριών προς όφελος των πελατών και των συνεργατών της στην αλυσίδα εφοδιασμού. Αυτή η ευθύνη επεκτείνεται στην ύπαρξη διαδικασίας Συμβάντος. Η διαχείριση συμβάντων είναι ένα σύνολο δραστηριοτήτων που ορίζουν και εφαρμόζουν μια διαδικασία που μπορεί να χρησιμοποιήσει ένας οργανισμός για να προωθήσει τη δική του ευημερία και την ασφάλεια του κοινού.

IT και ασφάλεια
Η δομή ICT του Autosoft BV είναι επαρκώς ασφαλισμένη με τείχος προστασίας και το λογισμικό σάρωσης ιών διατηρείται ενημερωμένο. Κάθε υπάλληλος έχει ένα προφίλ σύνδεσης. Κατά την εκκίνηση ενός υπολογιστή, οι υπάλληλοι πρέπει να εισάγουν ένα όνομα σύνδεσης και έναν κωδικό πρόσβασης και, όπου είναι δυνατόν, με έλεγχο ταυτότητας 2 βημάτων.

Ορισμένο λογισμικό ζητά επίσης όνομα σύνδεσης και κωδικό πρόσβασης και, όπου είναι δυνατόν, με έλεγχο ταυτότητας 2 βημάτων. Ενισχύεται η ευαισθητοποίηση των εργαζομένων σχετικά με την ασφαλή εργασία, όπως να εφιστάται η προσοχή στο να μην ανοίγουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, να μην κάνουν κλικ σε ύποπτους συνδέσμους, να αποσυνδέονται όταν φεύγουν από τον χώρο εργασίας για μεγάλο χρονικό διάστημα κ.λπ.

Τα αρχεία δημιουργούνται αντίγραφα ασφαλείας κατά τη διάρκεια των ημερών και κάθε νύχτα. Για λόγους ασφαλείας, η περαιτέρω διαδικασία αποθήκευσης που περιβάλλει το αντίγραφο ασφαλείας είναι εμπιστευτική. Η Autosoft BV έχει συνάψει συμβάσεις παροχής υπηρεσιών για αυτό με προμηθευτές υπολογιστών και παρόχους φιλοξενίας Διαδικτύου.

Πολιτική προστασίας δεδομένων
Η Autosoft BV λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων του πελάτη από απώλεια ή οποιαδήποτε μορφή παράνομης επεξεργασίας. Αυτά τα τεχνικά και οργανωτικά μέτρα θεωρούνται ως κατάλληλο επίπεδο ασφάλειας κατά την έννοια του άρθρου 1 του GDPR και αποθηκεύονται ως έγγραφα στο κεντρικό Basecamp (Έργο: Οργανισμός / Πολιτική Προστασίας Δεδομένων) της Autosoft BV

Τεχνικά και οργανωτικά

1. Μέτρα για να διασφαλιστεί ότι μόνο εξουσιοδοτημένο προσωπικό έχει πρόσβαση στα Προσωπικά Δεδομένα που υποβάλλονται σε επεξεργασία στο πλαίσιο της Συμφωνίας Επεξεργαστή·
2. Μέτρα για την προστασία των Προσωπικών Δεδομένων, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, τυχαία αλλαγή, μη εξουσιοδοτημένη ή παράνομη αποθήκευση, πρόσβαση ή αποκάλυψη·
3. Μέτρα για την προστασία των Προσωπικών Δεδομένων από, ιδίως, τυχαία ή παράνομη καταστροφή, απώλεια, τυχαία τροποποίηση, μη εξουσιοδοτημένη ή παράνομη αποθήκευση, πρόσβαση ή αποκάλυψη κατά την ανταλλαγή/μεταφορά δεδομένων·
4. Μέτρα για τη διασφάλιση της ικανότητας διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας σε συνεχή βάση·
5. Μέτρα για την έγκαιρη αποκατάσταση της διαθεσιμότητας και της πρόσβασης στα Προσωπικά Δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος.
6. Μέτρα για τον εντοπισμό τρωτών σημείων όσον αφορά την επεξεργασία Προσωπικών Δεδομένων στα συστήματα που χρησιμοποιούνται για την παροχή των υπηρεσιών στο πλαίσιο της σύμβασης·

Οργανωτικά όπως:

• Περιορισμός του κύκλου των υπαλλήλων που έχουν πρόσβαση σε ορισμένα προσωπικά δεδομένα στα άτομα που χρειάζονται τα δεδομένα για την εκτέλεση των καθηκόντων τους·
• την παροχή πρόσβασης σε αυτά τα άτομα μόνο σε προσωπικά δεδομένα που χρειάζονται για την εκτέλεση των καθηκόντων τους·
• συμφωνώντας μια ρήτρα εμπιστευτικότητας με μια ποινική ρήτρα με όλα τα πρόσωπα στα οποία θα παραχωρηθεί πρόσβαση στα προσωπικά δεδομένα·
• αποθήκευση προσωπικών δεδομένων σε διακομιστές σε κλειστό χώρο·
• διατήρηση των χάρτινων αρχείων σε ντουλάπια που κλειδώνουν.
• δημιουργία ευαισθητοποίησης για την ασφάλεια των πληροφοριών μεταξύ των εργαζομένων·
• τη θέσπιση σαφών πρωτοκόλλων και διαδικασιών για τον χειρισμό συμβάντων ασφάλειας πληροφοριών και τρωτών σημείων ασφαλείας έγκαιρα και αποτελεσματικά·

Ο υπεύθυνος επεξεργασίας δεδομένων χρησιμοποιεί τις δικές του μεθοδολογίες και διαδικασίες για τη διαχείριση που ταιριάζουν στη μέθοδο εργασίας του οργανισμού:

• Τα σχετικά έγγραφα διαχειρίζονται και αξιολογούνται περιοδικά στο Basecamp.

Πρωτόκολλο παραβίασης δεδομένων

Σε περίπτωση που κάτι πάει στραβά, ο επεξεργαστής δεδομένων χρησιμοποιεί το ακόλουθο πρωτόκολλο διαρροής δεδομένων για να διασφαλίσει ότι ο πελάτης είναι ενήμερος για περιστατικά:

Autosoft BV – Διαδικασία παραβίασης δεδομένων

Τι είναι η παραβίαση δεδομένων και πότε πρέπει να την αναφέρω στο AP;
Η παραβίαση δεδομένων είναι ένα περιστατικό ασφάλειας πληροφοριών που περιλαμβάνει παραβίαση της ασφάλειας των προσωπικών δεδομένων μέσω έκθεσης σε απώλεια ή παράνομη επεξεργασία όπως (αλλά όχι εξαντλητικά):

• Προσαρμογή ή/και αλλαγή προσωπικών δεδομένων και μη εξουσιοδοτημένη πρόσβαση σε αυτά τα προσωπικά δεδομένα.
• Σε περίπτωση διάρρηξης από χάκερ.
• Απώλεια USB stick, κλοπή φορητού υπολογιστή.
• Αποστολή ευαίσθητων δεδομένων σε λανθασμένη διεύθυνση email.

Σύμφωνα με το νόμο, μια «σοβαρή» παραβίαση δεδομένων πρέπει να αναφέρεται στην Ολλανδική Αρχή Προστασίας Δεδομένων χωρίς αδικαιολόγητη καθυστέρηση και, εάν είναι δυνατόν, το αργότερο 72 ώρες μετά την ανακάλυψη.

Η Autosoft BV δεν χρειάζεται να αναφέρει στην ολλανδική Αρχή Προστασίας Δεδομένων εάν αποκλείεται εύλογα η πραγματική ταυτότητα μεμονωμένων φυσικών προσώπων.
Όλες οι υποψίες για περιστατικό ασφάλειας πληροφοριών αντιμετωπίζονται σε πρώτο βαθμό support@autosoft.eu αναφέρθηκε και καταχωρήθηκε. Η Υποστήριξη αναφέρει το περιστατικό στην Ομάδα Διαχείρισης και καθορίζει τις επακόλουθες ενέργειες που πρέπει να γίνουν.

Διαδικασία παρακολούθησης

Πότε πρέπει να ειδοποιήσω τα υποκείμενα των δεδομένων;
Μια παραβίαση δεδομένων πρέπει να αναφέρεται στο υποκείμενο των δεδομένων εάν, σε περίπτωση παραβίασης, υπάρχει υψηλός κίνδυνος η παραβίαση να έχει αρνητικές συνέπειες για την ιδιωτική του ζωή. Οι δυσμενείς συνέπειες για το υποκείμενο των δεδομένων είναι: βλάβη στη φήμη και τη φήμη του, απάτη ταυτότητας ή διάκριση. Εάν η Autosoft BV έχει λάβει τα κατάλληλα τεχνικά μέτρα προστασίας, ως αποτέλεσμα των οποίων τα σχετικά προσωπικά δεδομένα έχουν γίνει ακατανόητα ή απρόσιτα, η κοινοποίηση στο υποκείμενο των δεδομένων δεν είναι απαραίτητη. Η κοινοποίηση προς το υποκείμενο των δεδομένων περιλαμβάνει περιγραφή, σε σαφή και απλή γλώσσα, της φύσης της παραβίασης δεδομένων προσωπικού χαρακτήρα και τουλάχιστον:

• το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλο σημείο επαφής όπου μπορούν να ληφθούν περισσότερες πληροφορίες·
• τις πιθανές συνέπειες της παραβίασης προσωπικών δεδομένων·
• τα μέτρα που προτείνονται ή λαμβάνονται από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης προσωπικών δεδομένων, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για τον μετριασμό τυχόν δυσμενών συνεπειών αυτής. Η αξιολόγηση για το εάν μια παραβίαση δεδομένων πρέπει να αναφερθεί στην Αρχή Προστασίας Δεδομένων των Κάτω Χωρών ή/και στα θιγόμενα άτομα εξαρτάται πάντα από την Autosoft BV. Προκειμένου να καθοριστεί εάν ένα περιστατικό πρέπει να αναφερθεί, η ολλανδική Αρχή Προστασίας Δεδομένων έχει καταρτίσει κανόνες πολιτικής (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) και η ομάδα εργασίας 29 των κατευθυντήριων γραμμών των ευρωπαϊκών εποπτικών αρχών που δημοσιεύθηκαν σχετικά με την υποχρέωση υποβολής εκθέσεων στον GDPR. Εάν η Autosoft BV δεν έχει αναφέρει την παραβίαση δεδομένων, η Ολλανδική Αρχή Προστασίας Δεδομένων ενδέχεται να απαιτήσει από την Autosoft BV να υποβάλει ακόμη αναφορά. Η παράλειψη αναφοράς μπορεί να τιμωρηθεί με διοικητικό πρόστιμο.

Πώς μπορώ να αναφέρω μια παραβίαση δεδομένων;
Η Ολλανδική Αρχή Προστασίας Δεδομένων διαθέτει μια φόρμα ιστού που πρέπει να χρησιμοποιείται για την αναφορά παραβιάσεων δεδομένων (https://dataleks.autoriteitpersoonsgegevens.nl/). Η Ολλανδική Αρχή Προστασίας Δεδομένων τηρεί μητρώο των ειδοποιήσεων παραβίασης δεδομένων που λαμβάνονται. Αυτό το μητρώο δεν είναι δημόσιο. Εάν επιβληθεί πρόστιμο από την Ολλανδική Αρχή Προστασίας Δεδομένων ως αποτέλεσμα της παραβίασης δεδομένων, αυτή η απόφαση θα δημοσιοποιηθεί. Μια παραβίαση δεδομένων δημοσιοποιείται επίσης όταν τα υποκείμενα των δεδομένων πρέπει να ενημερωθούν για την παραβίαση δεδομένων. Η κοινοποίηση προς το υποκείμενο των δεδομένων πρέπει σε κάθε περίπτωση να αναφέρει τη φύση της παράβασης και τις αρχές όπου το υποκείμενο των δεδομένων μπορεί να λάβει περισσότερες πληροφορίες σχετικά με την παράβαση. Πρέπει επίσης να αναφέρεται τι μπορεί να κάνει το ίδιο το υποκείμενο των δεδομένων για να περιορίσει τις αρνητικές συνέπειες της παραβίασης δεδομένων. Για παράδειγμα, αλλαγή ονομάτων χρήστη και κωδικών πρόσβασης όταν μπορεί να έχουν παραβιαστεί από την παραβίαση.

Τι πρέπει να αναφέρω;
Μια κοινοποίηση προς την ολλανδική αρχή προστασίας δεδομένων περιλαμβάνει:

• Ο δημοσιογράφος της παραβίασης δεδομένων.
• Το πρόσωπο με το οποίο η Ολλανδική Αρχή Προστασίας Δεδομένων μπορεί να επικοινωνήσει για περισσότερες πληροφορίες σχετικά με την αναφορά.
• Σύνοψη του περιστατικού όπου σημειώθηκε η παραβίαση της ασφάλειας των προσωπικών δεδομένων.
• Ο χρόνος της παράβασης.
• Η φύση της παράβασης.
• Το είδος των σχετικών προσωπικών δεδομένων.
• Τις συνέπειες που μπορεί να έχει η παράβαση για την ιδιωτική ζωή των εμπλεκομένων.
• Τα τεχνικά και οργανωτικά μέτρα που έχει λάβει η Autosoft BV για την αντιμετώπιση της παράβασης και την αποτροπή περαιτέρω παραβάσεων.
• Εάν η Autosoft BV έχει αναφέρει την παραβίαση δεδομένων στα υποκείμενα των δεδομένων και εάν όχι, εάν η Autosoft BV σκοπεύει να το κάνει αυτό:
• Εάν ναι, το περιεχόμενο της κοινοποίησης προς τα υποκείμενα των δεδομένων.
• Εάν όχι, ο λόγος για τον οποίο η Autosoft BV απέχει από την αναφορά της παραβίασης δεδομένων στα υποκείμενα των δεδομένων.
• Τα προσωπικά δεδομένα έχουν κρυπτογραφηθεί, κατακερματιστεί ή καταστούν με άλλο τρόπο ακατανόητα ή απρόσιτα σε μη εξουσιοδοτημένα άτομα;

Μέρος 2: Τυπικές ρήτρες επεξεργασίας

Έκδοση: Σεπτέμβριος 2019
Μαζί με τη Δήλωση Data Pro, αποτελεί τη συμφωνία επεξεργασίας και αποτελεί παράρτημα της Συμφωνίας και των συνοδευτικών παραρτημάτων, όπως οι ισχύοντες γενικοί όροι και προϋποθέσεις.

Άρθρο 1. Ορισμοί

Οι παρακάτω όροι έχουν τις ακόλουθες έννοιες σε αυτές τις Τυπικές ρήτρες για επεξεργασία, στη Δήλωση Data Pro και στη συμφωνία:

• 1.1 Ολλανδική Αρχή Προστασίας Δεδομένων (AP): εποπτική αρχή, όπως περιγράφεται στο άρθρο 4, εδάφιο 21 του Μ.Σ.
• 1.2 AVG: του Γενικού Κανονισμού Προστασίας Δεδομένων.
• 1.3 Επεξεργαστής δεδομένων: μέρος που, ως προμηθευτής ΤΠΕ, επεξεργάζεται Προσωπικά Δεδομένα προς όφελος του Πελάτη του στο πλαίσιο της εκτέλεσης της Σύμβασης.
• 1.4 Δήλωση Data Pro: δήλωση του Υπεύθυνου Επεξεργασίας Δεδομένων στην οποία παρέχει πληροφορίες σχετικά με την προβλεπόμενη χρήση του προϊόντος ή της υπηρεσίας του, τα μέτρα ασφαλείας που ελήφθησαν, τους υπο-επεξεργαστές, τις διαρροές δεδομένων, τις πιστοποιήσεις και τον χειρισμό των δικαιωμάτων των Υποκειμένων των Δεδομένων.
• 1.5 Υποκείμενο δεδομένων (υποκείμενο δεδομένων): ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
• 1.6 Πελάτης: μέρος για λογαριασμό του οποίου ο Επεξεργαστής Δεδομένων επεξεργάζεται προσωπικά δεδομένα. Ο Πελάτης μπορεί να είναι είτε ελεγκτής ("ελεγκτής") ή άλλος επεξεργαστής.
• 1.7 Συμφωνία: η συμφωνία μεταξύ του Πελάτη και του Υπεύθυνου Επεξεργασίας Δεδομένων, βάσει της οποίας ο προμηθευτής ΤΠΕ παρέχει υπηρεσίες ή/και προϊόντα στον Πελάτη, μέρος της οποίας αποτελεί η συμφωνία εκτελούντος την επεξεργασία.
• 1.8 Προσωπικά δεδομένα: όλες οι πληροφορίες σχετικά με ένα αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο, όπως περιγράφεται στο Άρθρο 4, υπο 1 AVG, τις οποίες επεξεργάζεται ο Επεξεργαστής Δεδομένων στο πλαίσιο της εκπλήρωσης των υποχρεώσεών του που απορρέουν από τη Συμφωνία.
• 1.9 Συμφωνία επεξεργασίας: αυτές οι Πρότυπες ρήτρες επεξεργασίας, οι οποίες μαζί με τη Δήλωση Data Pro (ή συγκρίσιμες πληροφορίες) από τον Υπεύθυνο Επεξεργασίας αποτελούν τη συμφωνία επεξεργασίας όπως αναφέρεται στο άρθρο 28, παράγραφος 3 του GDPR.

Άρθρο 2. Γενικά

• 2.1 Αυτές οι Τυπικές Ρήτρες Επεξεργασίας ισχύουν για κάθε επεξεργασία Προσωπικών Δεδομένων που κάνει ο Επεξεργαστής Δεδομένων στο πλαίσιο της παράδοσης των προϊόντων και των υπηρεσιών του και σε όλες τις Συμφωνίες και προσφορές. Η δυνατότητα εφαρμογής των συμφωνιών επεξεργασίας του Πελάτη απορρίπτεται ρητά.
• 2.2 Η Δήλωση Data Pro, και ιδίως τα μέτρα ασφαλείας που περιέχονται σε αυτήν, ενδέχεται να τροποποιούνται από τον Υπεύθυνο Επεξεργασίας Δεδομένων κατά καιρούς ώστε να αντικατοπτρίζει τις μεταβαλλόμενες συνθήκες. Ο Επεξεργαστής Δεδομένων θα ενημερώσει τον Πελάτη για σημαντικές αλλαγές. Εάν ο Πελάτης δεν μπορεί εύλογα να συμφωνήσει με τις προσαρμογές, ο Πελάτης δικαιούται να καταγγείλει τη συμφωνία επεξεργασίας εγγράφως εντός 30 ημερών από την κοινοποίηση των προσαρμογών.
• 2.3 Ο Επεξεργαστής Δεδομένων επεξεργάζεται τα Προσωπικά Δεδομένα για λογαριασμό και για λογαριασμό του Πελάτη σύμφωνα με τις γραπτές οδηγίες του Πελάτη που έχουν συμφωνηθεί με τον Επεξεργαστή Δεδομένων.
• 2.4 Ο Πελάτης, ή ο πελάτης του, είναι ο υπεύθυνος επεξεργασίας κατά την έννοια του GDPR, έχει τον έλεγχο της επεξεργασίας των Προσωπικών Δεδομένων και έχει καθορίσει τον σκοπό και τον τρόπο επεξεργασίας των Προσωπικών Δεδομένων.
• 2.5 Ο Υπεύθυνος Επεξεργασίας Δεδομένων είναι εκτελών την επεξεργασία κατά την έννοια του GDPR και ως εκ τούτου δεν έχει κανέναν έλεγχο στον σκοπό και τα μέσα επεξεργασίας των Προσωπικών Δεδομένων και ως εκ τούτου δεν λαμβάνει αποφάσεις σχετικά με, μεταξύ άλλων, τη χρήση των Προσωπικών Δεδομένων.
• 2.6 Ο Υπεύθυνος Επεξεργασίας Δεδομένων εφαρμόζει τον GDPR όπως ορίζεται σε αυτές τις Τυπικές ρήτρες για την επεξεργασία, τη Δήλωση Data Pro και τη Συμφωνία. Εναπόκειται στον Πελάτη να αξιολογήσει με βάση αυτές τις πληροφορίες εάν ο Επεξεργαστής Δεδομένων προσφέρει επαρκείς εγγυήσεις σχετικά με την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων, ώστε η επεξεργασία να πληροί τις απαιτήσεις του GDPR και την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων είναι επαρκής, εγγυημένη.
• 2.7 Ο Πελάτης εγγυάται στον Υπεύθυνο Επεξεργασίας Δεδομένων ότι ενεργεί σύμφωνα με τον GDPR, ότι προστατεύει επαρκώς τα συστήματα και την υποδομή του ανά πάσα στιγμή και ότι το περιεχόμενο, η χρήση ή/και η επεξεργασία των Προσωπικών Δεδομένων δεν είναι παράνομο και δεν παραβιάζει κανένα δικαίωμα τρίτου μέρους.
• 2.8 Ένα διοικητικό πρόστιμο που επιβλήθηκε στον Πελάτη από το AP δεν μπορεί να ανακτηθεί από τον Επεξεργαστή Δεδομένων.

Άρθρο 3. Ασφάλεια

• 3.1 Ο Επεξεργαστής Δεδομένων λαμβάνει τα τεχνικά και οργανωτικά μέτρα ασφαλείας, όπως περιγράφεται στη Δήλωση Data Pro. Κατά τη λήψη των τεχνικών και οργανωτικών μέτρων ασφαλείας, ο Επεξεργαστής Δεδομένων έχει λάβει υπόψη την τελευταία λέξη της τεχνολογίας, το κόστος εφαρμογής των μέτρων ασφαλείας, τη φύση, το εύρος και το πλαίσιο της επεξεργασίας, τους σκοπούς και την προβλεπόμενη χρήση των προϊόντων και των υπηρεσιών του , τους κινδύνους επεξεργασίας και τους κινδύνους που διαφέρουν ως προς την πιθανότητα και τη σοβαρότητα για τα δικαιώματα και τις ελευθερίες των Υποκειμένων των Δεδομένων που θα μπορούσε να αναμένει εν όψει της προβλεπόμενης χρήσης των προϊόντων και των υπηρεσιών του.
• 3.2 Εκτός εάν ορίζεται ρητά διαφορετικά στη δήλωση Data Pro, το προϊόν ή η υπηρεσία της Επεξεργαστής Δεδομένων δεν έχει σχεδιαστεί για την επεξεργασία ειδικών κατηγοριών Προσωπικών Δεδομένων ή δεδομένων σχετικά με ποινικές καταδίκες ή αδικήματα ή προσωπικούς αριθμούς που έχουν εκδοθεί από την κυβέρνηση.
• 3.3 Ο Επεξεργαστής Δεδομένων προσπαθεί να διασφαλίσει ότι τα μέτρα ασφαλείας που πρέπει να λάβει είναι κατάλληλα για την προβλεπόμενη χρήση του προϊόντος ή της υπηρεσίας από τον Υπεύθυνο Επεξεργασίας Δεδομένων.
• 3.4 Κατά τη γνώμη του Πελάτη, τα περιγραφόμενα μέτρα ασφαλείας προσφέρουν ένα επίπεδο ασφάλειας προσαρμοσμένο στον κίνδυνο της επεξεργασίας των Προσωπικών Δεδομένων που χρησιμοποιούνται ή παρέχονται από τον Πελάτη, λαμβάνοντας υπόψη τους παράγοντες που αναφέρονται στο Άρθρο 3.1.
• 3.5 Ο Υπεύθυνος Επεξεργασίας Δεδομένων μπορεί να κάνει αλλαγές στα μέτρα ασφαλείας που έλαβε, εάν το κρίνει απαραίτητο για να συνεχίσει να παρέχει κατάλληλο επίπεδο ασφάλειας. Ο Υπεύθυνος Επεξεργασίας Δεδομένων θα καταγράψει σημαντικές αλλαγές, για παράδειγμα σε μια τροποποιημένη Δήλωση Data Pro, και θα ενημερώσει τον Πελάτη για αυτές τις αλλαγές όπου χρειάζεται.
• 3.6 Ο Πελάτης μπορεί να ζητήσει από τον Επεξεργαστή Δεδομένων να λάβει περαιτέρω μέτρα ασφαλείας. Ο Επεξεργαστής Δεδομένων δεν υποχρεούται να κάνει αλλαγές στα μέτρα ασφαλείας του κατόπιν τέτοιου αιτήματος. Ο Επεξεργαστής Δεδομένων μπορεί να χρεώσει στον Πελάτη το κόστος που σχετίζεται με τις αλλαγές που έγιναν κατόπιν αιτήματος του Πελάτη. Μόνο αφού τα τροποποιημένα μέτρα ασφαλείας που επιθυμεί ο Πελάτης συμφωνηθούν εγγράφως και υπογραφούν από τα Μέρη, ο Επεξεργαστής Δεδομένων υποχρεούται να εφαρμόσει πραγματικά αυτά τα μέτρα ασφαλείας.

Άρθρο 4. Παραβίαση Προσωπικών Δεδομένων

• 4.1 Ο Επεξεργαστής Δεδομένων δεν εγγυάται ότι τα μέτρα ασφαλείας είναι αποτελεσματικά υπό οποιεσδήποτε συνθήκες. Εάν ο Επεξεργαστής Δεδομένων ανακαλύψει παραβίαση σε σχέση με Προσωπικά Δεδομένα (όπως αναφέρεται στο Άρθρο 4 υπο 12 Μέσος όρος), θα ενημερώσει τον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση. Η δήλωση Data Pro (σύμφωνα με το πρωτόκολλο διαρροής δεδομένων) καθορίζει τον τρόπο με τον οποίο ο Υπεύθυνος Επεξεργασίας Δεδομένων ενημερώνει τον Πελάτη για παραβιάσεις σε σχέση με Προσωπικά Δεδομένα.
• 4.2 Εναπόκειται στον υπεύθυνο επεξεργασίας (Πελάτης ή πελάτη του) να αξιολογήσει εάν η παραβίαση Προσωπικών Δεδομένων για την οποία έχει ενημερώσει ο Επεξεργαστής Δεδομένων πρέπει να αναφερθεί στο AP ή στο υποκείμενο των Δεδομένων. Η αναφορά παραβιάσεων σε σχέση με Προσωπικά Δεδομένα, τα οποία πρέπει να αναφέρονται στο AP ή/και στα Υποκείμενα των Δεδομένων σύμφωνα με τα άρθρα 33 και 34 του ΓΚΠΔ, παραμένει ανά πάσα στιγμή ευθύνη του υπεύθυνου επεξεργασίας (Πελάτης ή πελάτης του). Ο Επεξεργαστής Δεδομένων δεν υποχρεούται να αναφέρει παραβιάσεις προσωπικών δεδομένων στο AP ή/και στο Υποκείμενο των Δεδομένων.
• 4.3 Ο Επεξεργαστής Δεδομένων θα παράσχει, εάν είναι απαραίτητο, περαιτέρω πληροφορίες σχετικά με την παραβίαση σε σχέση με τα Προσωπικά Δεδομένα και θα συνεργαστεί με την παροχή των απαραίτητων πληροφοριών στον Πελάτη για τον σκοπό μιας ειδοποίησης όπως αναφέρεται στα Άρθρα 33 και 34 Μέσος όρος.
• 4.4 Ο Επεξεργαστής Δεδομένων μπορεί να χρεώσει το εύλογο κόστος που επιβαρύνει σε αυτό το πλαίσιο στον Πελάτη με τις τότε ισχύουσες τιμές του.

Άρθρο 5. Εμπιστευτικότητα

• 5.1 Ο Επεξεργαστής Δεδομένων εγγυάται ότι τα πρόσωπα που επεξεργάζονται Προσωπικά Δεδομένα υπό την ευθύνη του έχουν υποχρέωση εμπιστευτικότητας.
• 5.2 Ο Επεξεργαστής Δεδομένων δικαιούται να παρέχει τα Προσωπικά Δεδομένα σε τρίτους, εάν και εφόσον απαιτείται βάσει δικαστικής απόφασης, νομικής ρύθμισης ή βάσει εξουσιοδοτημένης εντολής κυβερνητικής αρχής.
• 5.3 Όλοι οι κωδικοί πρόσβασης ή/και αναγνώρισης, τα πιστοποιητικά, οι πληροφορίες σχετικά με την πολιτική πρόσβασης και/ή κωδικού πρόσβασης που παρέχονται από τον Επεξεργαστή Δεδομένων στον Πελάτη και όλες οι πληροφορίες που παρέχονται από τον Επεξεργαστή Δεδομένων στον Πελάτη που εφαρμόζει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που περιλαμβάνονται στη Δήλωση Data Pro είναι εμπιστευτικά. και θα αντιμετωπίζονται ως τέτοια από τον Πελάτη και θα γνωστοποιούνται μόνο σε εξουσιοδοτημένους υπαλλήλους του Πελάτη. Ο Πελάτης διασφαλίζει ότι οι υπάλληλοί του συμμορφώνονται με τις υποχρεώσεις που απορρέουν από το παρόν άρθρο.

Άρθρο 6. Διάρκεια και λήξη

• 6.1 Αυτή η συμφωνία επεξεργασίας αποτελεί μέρος της Συμφωνίας και κάθε νέα ή περαιτέρω συμφωνία που προκύπτει από αυτήν, τίθεται σε ισχύ κατά τη σύναψη της Συμφωνίας και συνάπτεται για αόριστο χρονικό διάστημα.
• 6.2 Αυτή η συμφωνία επεξεργασίας λήγει βάσει νόμου με τη λήξη της Συμφωνίας ή οποιαδήποτε νέα ή περαιτέρω συμφωνία μεταξύ των μερών.
• 6.3 Σε περίπτωση λήξης της συμφωνίας επεξεργασίας, ο Επεξεργαστής Δεδομένων θα διαγράψει όλα τα Προσωπικά Δεδομένα που έχει στην κατοχή του και έλαβε από τον Πελάτη εντός της προθεσμίας που περιλαμβάνεται στη Δήλωση Data Pro με τέτοιο τρόπο ώστε να μην μπορούν πλέον να χρησιμοποιηθούν και να μην είναι πλέον προσβάσιμο (καθιστά μη προσβάσιμο). , ή, εάν συμφωνηθεί, επιστρέψτε το στον Πελάτη σε μορφή αναγνώσιμη από μηχανή.
• 6.4 Ο Υπεύθυνος Επεξεργασίας Δεδομένων μπορεί να χρεώσει στον Πελάτη οποιοδήποτε κόστος προκύψει στο πλαίσιο των διατάξεων του Άρθρου 6.3. Περαιτέρω συμφωνίες σχετικά με αυτό μπορούν να καθοριστούν στη δήλωση Data Pro.
• 6.5 Οι διατάξεις του Άρθρου 6.3 δεν ισχύουν εάν ένας νομικός κανονισμός εμποδίζει τον Επεξεργαστή Δεδομένων να αφαιρέσει ή να επιστρέψει πλήρως ή εν μέρει τα Προσωπικά Δεδομένα. Σε μια τέτοια περίπτωση, ο Υπεύθυνος Επεξεργασίας Δεδομένων θα συνεχίσει να επεξεργάζεται τα Προσωπικά Δεδομένα μόνο στο βαθμό που απαιτείται βάσει των νομικών του υποχρεώσεων. Οι διατάξεις του άρθρου 6.3 δεν ισχύουν επίσης εάν ο Υπεύθυνος Επεξεργασίας Δεδομένων είναι ο υπεύθυνος επεξεργασίας κατά την έννοια του GDPR όσον αφορά τα Προσωπικά Δεδομένα.

Άρθρο 7. Δικαιώματα των υποκειμένων δεδομένων, εκτίμηση επιπτώσεων στην προστασία δεδομένων (DPIA) και δικαιώματα ελέγχου

• 7.1 Ο Επεξεργαστής Δεδομένων, όπου είναι δυνατόν, θα συνεργάζεται με εύλογα αιτήματα του Πελάτη που σχετίζονται με τα δικαιώματα των Υποκειμένων των Δεδομένων που επικαλούνται από τον Πελάτη τα Υποκείμενα των Δεδομένων. Εάν ο Επεξεργαστής Δεδομένων προσεγγιστεί απευθείας από ένα υποκείμενο των Δεδομένων, θα παραπέμψει αυτό το άτομο στον Πελάτη όπου είναι δυνατόν.
• 7.2 Εάν ο Πελάτης είναι υποχρεωμένος να το πράξει, ο Υπεύθυνος Επεξεργασίας Δεδομένων θα συνεργαστεί με μια εκτίμηση επιπτώσεων στην προστασία δεδομένων (DPIA) ή μια επακόλουθη προηγούμενη διαβούλευση, όπως αναφέρεται στα άρθρα 35 και 36 Μέσος όρος.
• 7.3 Ο Επεξεργαστής Δεδομένων θα συνεργαστεί με αιτήματα του Πελάτη για αφαίρεση προσωπικών δεδομένων στο βαθμό που ο Πελάτης δεν μπορεί να το εκτελέσει ο ίδιος.
• 7.4 Κατόπιν αιτήματος του Πελάτη, ο Υπεύθυνος Επεξεργασίας Δεδομένων θα καταστήσει επίσης διαθέσιμες όλες τις περαιτέρω πληροφορίες που είναι ευλόγως απαραίτητες για να αποδειχθεί η συμμόρφωση με τις συμφωνίες που συνάπτονται στην παρούσα συμφωνία επεξεργασίας. Εάν ωστόσο ο Πελάτης έχει λόγους να πιστεύει ότι η επεξεργασία των Προσωπικών Δεδομένων δεν πραγματοποιείται σύμφωνα με τη συμφωνία επεξεργασίας, μπορεί να συμβουλεύεται το πολύ μία φορά το χρόνο από ανεξάρτητο, πιστοποιημένο, εξωτερικό εμπειρογνώμονα που έχει αποδεδειγμένη εμπειρία με τον τύπο επεξεργασία που πραγματοποιείται βάσει της Σύμβασης. , διενεργείται έλεγχος με έξοδα του Πελάτη. Ο έλεγχος θα περιοριστεί στον έλεγχο της συμμόρφωσης με τις συμφωνίες σχετικά με την επεξεργασία Προσωπικών Δεδομένων, όπως ορίζεται στην παρούσα Συμφωνία Υπεύθυνου Επεξεργασίας. Ο εμπειρογνώμονας θα έχει καθήκον να τηρεί το απόρρητο σε σχέση με αυτά που βρίσκει και θα αναφέρει στον Πελάτη μόνο ό,τι έχει ως αποτέλεσμα την αδυναμία εκπλήρωσης των υποχρεώσεων που έχει ο Επεξεργαστής Δεδομένων βάσει αυτής της συμφωνίας εκτελούντος την επεξεργασία. Ο εμπειρογνώμονας θα παράσχει αντίγραφο της έκθεσής του στον Υπεύθυνο Επεξεργασίας Δεδομένων. Ο Υπεύθυνος Επεξεργασίας Δεδομένων μπορεί να αρνηθεί έλεγχο ή οδηγία από τον εμπειρογνώμονα εάν, κατά τη γνώμη του, αυτό παραβιάζει τον GDPR ή άλλη νομοθεσία ή συνιστά ανεπίτρεπτη παραβίαση των μέτρων ασφαλείας που έχει λάβει.
• 7.5 Τα μέρη θα διαβουλεύονται το συντομότερο δυνατό σχετικά με τα αποτελέσματα της έκθεσης. Τα μέρη θα ακολουθήσουν τα προτεινόμενα βελτιωτικά μέτρα που ορίζονται στην έκθεση στο βαθμό που αυτό μπορεί ευλόγως να αναμένεται από αυτά. Ο Υπεύθυνος Επεξεργασίας Δεδομένων θα εφαρμόσει τα προτεινόμενα μέτρα βελτίωσης στο βαθμό που είναι κατάλληλα κατά τη γνώμη του, λαμβάνοντας υπόψη τους κινδύνους επεξεργασίας που συνδέονται με το προϊόν ή την υπηρεσία του, την στάθμη της τεχνολογίας, το κόστος υλοποίησης, την αγορά στην οποία δραστηριοποιείται και την προβλεπόμενη χρήση του προϊόντος ή της υπηρεσίας.
• 7.6 Ο Επεξεργαστής Δεδομένων έχει το δικαίωμα να χρεώσει στον Πελάτη το κόστος που επιβαρύνει στο πλαίσιο των διατάξεων του παρόντος άρθρου.

Άρθρο 8. Υπευθύνες επεξεργασίας

• 8.1 Ο Υπεύθυνος Επεξεργασίας Δεδομένων έχει δηλώσει στη Δήλωση Data Pro εάν, και εάν ναι, ποιοι τρίτοι (υπεργάτες ή υπο-επεξεργαστές) εμπλέκονται στην επεξεργασία των Προσωπικών Δεδομένων.
• 8.2 Ο Πελάτης δίνει την άδεια στον Επεξεργαστή Δεδομένων να δεσμεύσει άλλους υπο-επεξεργαστές να εκπληρώσουν τις υποχρεώσεις του που απορρέουν από τη Συμφωνία.
• 8.3 Ο Υπεύθυνος Επεξεργασίας Δεδομένων θα ενημερώσει τον Πελάτη σχετικά με μια αλλαγή στα τρίτα μέρη που δεσμεύονται από τον Υπεύθυνο Επεξεργασίας Δεδομένων, για παράδειγμα μέσω μιας τροποποιημένης Δήλωσης Data Pro. Ο Πελάτης έχει το δικαίωμα να αντιταχθεί στην προαναφερόμενη αλλαγή από τον Υπεύθυνο Επεξεργασίας Δεδομένων. Ο Επεξεργαστής Δεδομένων διασφαλίζει ότι τα τρίτα μέρη που δεσμεύονται από αυτόν δεσμεύονται στο ίδιο επίπεδο ασφάλειας όσον αφορά την προστασία των Προσωπικών Δεδομένων με το επίπεδο ασφάλειας στο οποίο δεσμεύεται ο Επεξεργαστής Δεδομένων έναντι του Πελάτη βάσει της Δήλωσης Data Pro.

Άρθρο 9. Άλλο

Αυτές οι Τυπικές Ρήτρες Επεξεργασίας, μαζί με τη Δήλωση Data Pro, αποτελούν αναπόσπαστο μέρος της Συμφωνίας. Όλα τα δικαιώματα και οι υποχρεώσεις βάσει της Συμφωνίας, συμπεριλαμβανομένων των ισχυόντων γενικών όρων και προϋποθέσεων ή/και των περιορισμών ευθύνης, ισχύουν επομένως και για τη συμφωνία επεξεργασίας.