Προσθήκη σχετικά με

τη διεκπεραίωση

παραγγελιών

Οι παρόντες κανονισμοί για τη διεκπεραίωση παραγγελιών συμπληρώνουν τους Γενικούς Όρους και Προϋποθέσεις της Jungherz GmbH ως διαχειριστή της μάρκας AppConfector (εφεξής «Ανάδοχος»). Ως αναπόσπαστο μέρος αυτών, εσείς ως πελάτης (εφεξής «Πελάτης») αποδέχεστε αυτόματα την παρούσα προσθήκη στο πλαίσιο της επιχειρηματικής σχέσης. Σε περίπτωση αντίφασης μεταξύ των παρόντων κανονισμών και των γενικών όρων και προϋποθέσεων, οι παρόντες κανονισμοί υπερισχύουν για την επεξεργασία παραγγελιών.

Ο Ανάδοχος και ο Πελάτης αναφέρονται εφεξής με τον κοινό όρο «Τα Μέρη».

Τα Μέρη συμφωνούν ότι, με την έναρξη της παρούσας Συμφωνίας για την επεξεργασία δεδομένων κατόπιν ανάθεσης, η υφιστάμενη Συμφωνία για την επεξεργασία δεδομένων κατόπιν ανάθεσης μεταξύ των Μερών σύμφωνα με το άρθρο 11 του Ομοσπονδιακού Νόμου περί Προστασίας Δεδομένων της Γερμανίας και οποιεσδήποτε άλλες συμφωνίες για την επεξεργασία δεδομένων κατόπιν ανάθεσης θα καταγγελθούν κατόπιν αμοιβαίας συναίνεσης και θα αντικατασταθούν από την παρούσα νέα Συμφωνία για την επεξεργασία κατόπιν ανάθεσης.

1. Γενικά

(1) Ο Εκτελών την Επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Πελάτη κατά την έννοια του άρθρου 4 αριθ. 8 και του άρθρου 28 του Κανονισμού (ΕΕ) 2016/679 – Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR). Η παρούσα σύμβαση ρυθμίζει τα δικαιώματα και τις υποχρεώσεις των μερών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(2) Στο βαθμό που ο όρος «επεξεργασία δεδομένων» ή «επεξεργασία» (δεδομένων) χρησιμοποιείται στην παρούσα σύμβαση, ισχύει ο ορισμός της «επεξεργασίας» κατά την έννοια του άρθρου 4 αριθ. 2 του ΓΚΠΔ.

(3) Όλες οι αναφορές στην παρούσα Συμφωνία στον ΓΚΠΔ (Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Βασικός Κανονισμός για την Προστασία Δεδομένων)) ισχύουν για τον ΓΚΠΔ στην τρέχουσα έκδοσή του.

2. Αντικείμενο της ανάθεσης

Το αντικείμενο της επεξεργασίας, ο τύπος και ο σκοπός της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων καθορίζονται στο Παράρτημα 1 της παρούσας σύμβασης.

3. Δικαιώματα και υποχρεώσεις του πελάτη

(1) Ο πελάτης είναι ο υπεύθυνος κατά την έννοια του άρθρου 4 αριθ. 7 του ΓΚΠΔ για την επεξεργασία δεδομένων για λογαριασμό των εκτελεστών. Σύμφωνα με το άρθρο 4 παράγραφος 5 της παρούσας σύμβασης, ο τελευταίος δικαιούται να ενημερώσει τον πελάτη εάν η επεξεργασία δεδομένων που κατά τη γνώμη του είναι νομικά απαράδεκτη αποτελεί αντικείμενο της εντολής και/ή μιας οδηγίας.

(2) Ο πελάτης είναι υπεύθυνος για την προστασία των δικαιωμάτων των ενδιαφερομένων προσώπων. Ο εκτελών την επεξεργασία θα ενημερώνει τον πελάτη χωρίς καθυστέρηση εάν τα υποκείμενα των δεδομένων ασκήσουν τα δικαιώματά τους έναντι του εκτελούντος

την επεξεργασία. (3) Ο πελάτης έχει το δικαίωμα να δώσει ανά πάσα στιγμή πρόσθετες οδηγίες στον εκτελούντα την επεξεργασία σχετικά με τον τύπο, το εύρος και τη διαδικασία της επεξεργασίας δεδομένων. Οι οδηγίες μπορούν να δοθούν σε μορφή κειμένου (π.χ. μέσω ηλεκτρονικού ταχυδρομείου).

(4) Οι ρυθμίσεις σχετικά με την ενδεχόμενη αποζημίωση για πρόσθετα έξοδα που επιβαρύνουν τον εκτελούντα την εντολή ως αποτέλεσμα συμπληρωματικών οδηγιών που δόθηκαν από τον πελάτη παραμένουν ανεπηρέαστες.

5. Ο ανάδοχος υποχρεούται να ενημερώνει τον εκτελούντα την εντολή χωρίς καθυστέρηση εάν διαπιστώσει σφάλματα ή παρατυπίες σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εκτελούντα την εντολή.

(6) Σε περίπτωση που υφίσταται υποχρέωση ενημέρωσης τρίτων σύμφωνα με τα άρθρα 33, 34 του ΓΚΠΔ ή οποιαδήποτε άλλη νομική υποχρέωση γνωστοποίησης που ισχύει για τον πελάτη, ο πελάτης είναι υπεύθυνος για την τήρηση της εν λόγω υποχρέωσης.

4. Γενικές υποχρεώσεις του εκτελούντος την επεξεργασία

(1) Ο εκτελών την επεξεργασία επεξεργάζεται τα προσωπικά δεδομένα αποκλειστικά στο πλαίσιο των συμφωνιών που έχουν συναφθεί και/ή σύμφωνα με τυχόν συμπληρωματικές οδηγίες που εκδίδονται από τον πελάτη. Εξαιρούνται από αυτό οι νομικές διατάξεις που ενδέχεται να υποχρεώνουν τον εκτελούντα την επεξεργασία να επεξεργαστεί τα δεδομένα με άλλο τρόπο. Σε μια τέτοια περίπτωση, ο εκτελών την επεξεργασία θα ενημερώσει τον εντολέα για αυτές τις νομικές απαιτήσεις πριν από την επεξεργασία, εκτός εάν ο εν λόγω νόμος απαγορεύει τέτοια ενημέρωση για σημαντικό δημόσιο συμφέρον. Ο σκοπός, η φύση και το πεδίο εφαρμογής της επεξεργασίας δεδομένων διέπονται κατά τα λοιπά αποκλειστικά από την παρούσα Συμφωνία και/ή τις οδηγίες του εντολέα. Απαγορεύεται στον εκτελούντα την επεξεργασία οποιαδήποτε επεξεργασία δεδομένων που αποκλίνει από τα ανωτέρω,

εκτός

εάν ο εκτελών

την

επεξεργασία έχει δώσει τη γραπτή συγκατάθεσή του.

(2) Ο εκτελών την επεξεργασία αναλαμβάνει να εκτελεί την επεξεργασία δεδομένων για λογαριασμό του Πελάτη μόνο εντός του Ευρωπαϊκού Οικονομικού Χώρου, εκτός εάν απαιτείται διαφορετικά για τεχνικούς λόγους.

(3) Στον τομέα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με την εντολή, ο εκτελών την επεξεργασία εγγυάται τη συμβατική εκτέλεση όλων των συμφωνηθέντων μέτρων.

(4) Ο εκτελών την επεξεργασία υποχρεούται να οργανώσει την επιχείρησή του και τις διαδικασίες λειτουργίας του κατά τρόπον ώστε τα δεδομένα που επεξεργάζεται για λογαριασμό του πελάτη να είναι ασφαλισμένα στο βαθμό που απαιτείται σε κάθε περίπτωση και να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση τρίτων. Ο τελευταίος θα συμφωνεί εκ των προτέρων με τον πελάτη τις αλλαγές στην οργάνωση της επεξεργασίας δεδομένων για λογαριασμό του πελάτη, οι οποίες είναι σημαντικές για την ασφάλεια των δεδομένων.

(5) Ο εκτελών την εντολή θα ενημερώνει τον πελάτη χωρίς καθυστέρηση εάν, κατά τη γνώμη του, μια οδηγία που εκδόθηκε από τον πελάτη παραβιάζει τις νομοθετικές διατάξεις. Ο εκτελών την επεξεργασία έχει το δικαίωμα να αναστείλει την εκτέλεση της εν λόγω οδηγίας έως ότου επιβεβαιωθεί ή τροποποιηθεί από τον εντολέα. Εάν ο εκτελών την επεξεργασία είναι σε θέση να αποδείξει ότι η επεξεργασία σύμφωνα με τις οδηγίες του πελάτη μπορεί να οδηγήσει σε ευθύνη του εκτελούντος την επεξεργασία σύμφωνα με το άρθρο 82 του ΓΚΠΔ, ο εκτελών την επεξεργασία έχει το δικαίωμα να αναστείλει την περαιτέρω επεξεργασία ως προς αυτό έως ότου διευκρινιστεί η ευθύνη μεταξύ των μερών.

(6) Η επεξεργασία δεδομένων

για λογαριασμό του

Πελάτη εκτός των εγκαταστάσεων του

εκτελούντος

την επεξεργασία ή του υπεργολάβου επιτρέπεται μόνο με τη συγκατάθεση του Πελάτη σε γραπτή ή ηλεκτρονική μορφή. Η επεξεργασία δεδομένων για

λογαριασμό του

Πελάτη σε ιδιωτικές κατοικίες επιτρέπεται μόνο με τη συγκατάθεση του Πελάτη σε γραπτή ή ηλεκτρονική μορφή σε μεμονωμένες περιπτώσεις.

(7) Ο εκτελών

την

επεξεργασία θα επεξεργάζεται τα δεδομένα που επεξεργάζεται για λογαριασμό του πελάτη χωριστά από άλλα δεδομένα. Ο φυσικός διαχωρισμός δεν είναι υποχρεωτικός.

5. Υπεύθυνος προστασίας δεδομένων του εκτελούντος την εντολή

(1) Ο εκτελών την

εντολή

επιβεβαιώνει ότι έχει ορίσει υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 37 του ΓΚΠΔ. Ο εκτελών την εντολή θα διασφαλίσει ότι ο υπεύθυνος προστασίας δεδομένων διαθέτει τα απαραίτητα προσόντα και την απαιτούμενη εμπειρογνωμοσύνη. Ο εκτελών την εντολή θα ενημερώσει τον Πελάτη ξεχωριστά, σε μορφή κειμένου, σχετικά με το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων του.

(2) Η υποχρέωση διορισμού υπεύθυνου προστασίας δεδομένων σύμφωνα με την παράγραφο 1 μπορεί να παρακαμφθεί κατά την κρίση του εντολέα, εάν ο εκτελών

την επεξεργασία

μπορεί να αποδείξει ότι δεν είναι νομικά υποχρεωμένος να διορίσει υπεύθυνο προστασίας δεδομένων και ότι υπάρχουν λειτουργικές ρυθμίσεις που διασφαλίζουν ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία σύμφωνα με τις νομικές διατάξεις, τις διατάξεις της παρούσας συμφωνίας και τυχόν περαιτέρω οδηγίες του εντολέα.

6. Υποχρεώσεις αναφοράς του εκτελούντος την επεξεργασία

(1) Ο εκτελών την επεξεργασία υποχρεούται να ενημερώνει χωρίς καθυστέρηση τον πελάτη για οποιαδήποτε παραβίαση των κανονισμών περί προστασίας δεδομένων ή των συμβατικών συμφωνιών που έχουν συναφθεί και/ή των οδηγιών που έχουν δοθεί από τον πελάτη, η οποία έχει συμβεί κατά τη διάρκεια της επεξεργασίας δεδομένων από τον ίδιο ή από άλλα πρόσωπα που εμπλέκονται στην επεξεργασία. Το ίδιο ισχύει για οποιαδήποτε παραβίαση της προστασίας των προσωπικών δεδομένων που επεξεργάζεται ο εκτελών την επεξεργασία για λογαριασμό του πελάτη.

(2) Επιπλέον, ο εκτελών την επεξεργασία υποχρεούται να ενημερώνει χωρίς καθυστέρηση τον πελάτη εάν μια εποπτική αρχή σύμφωνα με το άρθρο 58 του ΓΚΠΔ λάβει μέτρα κατά του εκτελούντος την επεξεργασία και αυτό μπορεί επίσης να αφορά έλεγχο της επεξεργασίας που ο εκτελών την επεξεργασία πραγματοποιεί για λογαριασμό του πελάτη.

(3) Ο Εκτελών την Επεξεργασία γνωρίζει ότι ο Πελάτης ενδέχεται να υπόκειται σε υποχρέωση γνωστοποίησης σύμφωνα με τα άρθρα 33 και 34 του ΓΚΠΔ, τα οποία προβλέπουν γνωστοποίηση στην εποπτική αρχή εντός 72 ωρών από την ανακάλυψή της. Ο εκτελών την επεξεργασία υποστηρίζει τον πελάτη στην εκπλήρωση των υποχρεώσεων γνωστοποίησης. Ειδικότερα, ο εκτελών την επεξεργασία γνωστοποιεί στον πελάτη κάθε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό του πελάτη χωρίς καθυστέρηση, το αργότερο όμως εντός 48 ωρών από τη στιγμή που έλαβε γνώση της εν λόγω πρόσβασης. Η γνωστοποίηση του εκτελούντος την επεξεργασία προς τον πελάτη πρέπει να περιλαμβάνει ιδίως τις ακόλουθες πληροφορίες:

περιγραφή της φύσης της παραβίασης της προστασίας των δεδομένων προσωπικού χαρακτήρα, εάν είναι δυνατόν με ένδειξη των κατηγοριών και του κατά προσέγγιση αριθμού των ενδιαφερομένων προσώπων, των κατηγοριών που αφορούν και του κατά προσέγγιση αριθμού των αρχείων δεδομένων προσωπικού χαρακτήρα που αφορούν·
περιγραφή των μέτρων που έλαβε ή προτείνει ο εκτελών την επεξεργασία για την αποκατάσταση της παραβίασης της προστασίας των δεδομένων προσωπικού χαρακτήρα και, κατά περίπτωση, των μέτρων για τον μετριασμό των πιθανών αρνητικών επιπτώσεών της.

7. Υποχρεώσεις συνεργασίας του εκτελούντος την επεξεργασία

(1) Ο εκτελών την επεξεργασία υποχρεούται να υποστηρίζει τον Πελάτη στην εκπλήρωση της υποχρέωσής του να ανταποκρίνεται σε αιτήματα άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12-23 του ΓΚΠΔ. Ισχύουν οι διατάξεις του άρθρου 11 της παρούσας Σύμβασης.

(2) Ο εκτελών την επεξεργασία συμμετέχει στην κατάρτιση των καταλόγων δραστηριοτήτων επεξεργασίας από τον αναθέτοντα. Ο εκτελών την επεξεργασία παρέχει στον πελάτη τις απαραίτητες πληροφορίες με κατάλληλο τρόπο.

(3) Λαμβάνοντας υπόψη το είδος της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του, ο εκτελών την επεξεργασία βοηθά τον πελάτη στην τήρηση των υποχρεώσεων που ορίζονται στα άρθρα 32-36 του ΓΚΠΔ.

(4) Ο εκτελών την επεξεργασία έχει το δικαίωμα να απαιτήσει από τον πελάτη κατάλληλη αμοιβή ανάλογη με τα έξοδα για τις υπηρεσίες αυτές.

8. Εξουσίες ελέγχου

(1) Ο πελάτης έχει το δικαίωμα να ελέγχει ανά πάσα στιγμή, στο βαθμό που είναι απαραίτητο, εάν ο εκτελών την επεξεργασία συμμορφώνεται με τις νομοθετικές διατάξεις περί προστασίας δεδομένων και/ή εάν συμμορφώνεται με τις συμβατικές διατάξεις που έχουν συμφωνηθεί μεταξύ των μερών και/ή εάν ο εκτελών την επεξεργασία συμμορφώνεται με τις οδηγίες του πελάτη.

Η απόδειξη της συμμόρφωσης με τις υποχρεώσεις που επιβάλλονται σε έναν εκτελούντα την επεξεργασία σύμφωνα με τον ΓΚΠΔ θα πρέπει να παρέχεται κατά κύριο λόγο μέσω ανεξάρτητων εκθέσεων δοκιμών και πιστοποιήσεων.

Εάν ο πελάτης, βάσει πραγματικών στοιχείων, έχει εύλογες αμφιβολίες ότι οι εκθέσεις δοκιμών ή οι πιστοποιήσεις είναι ανεπαρκείς ή εσφαλμένες, ή εάν αυτό δικαιολογείται από ειδικά περιστατικά κατά την έννοια του άρθρου 33 παράγραφος 1 του ΓΚΠΔ σε σχέση με την εκτέλεση της επεξεργασίας της παραγγελίας του πελάτη, ο πελάτης μπορεί να διενεργεί επιθεωρήσεις σύμφωνα με την παράγραφο 8. (2).

(2) Προκειμένου να καταστεί δυνατή στον Πελάτη η διενέργεια επιθεώρησης της εντολής και ιδίως ο έλεγχος των τεχνικών και οργανωτικών μέτρων που έχουν ληφθεί στον εκτελούντα την επεξεργασία πριν από την έναρξη και τακτικά κατά τη διάρκεια της επεξεργασίας δεδομένων, ο εκτελών την επεξεργασία επιτρέπει την επιθεώρηση από ουδέτερο τρίτο (ορκωτό ελεγκτή) που έχει οριστεί από τον Πελάτη. Ο εκτελών την επεξεργασία έχει το δικαίωμα να ορίσει ημερομηνίες για επιθεώρηση ανάλογα με τις επιχειρησιακές δυνατότητες. Η επιθεώρηση πρέπει να καταστεί δυνατή εντός εύλογου χρονικού διαστήματος μετά το αίτημα. Εναλλακτικά,

ο εκτελών την επεξεργασία

μπορεί επίσης

να

συμμορφωθεί με το δικαίωμα επιθεώρησης του

πελάτη

παρέχοντας έκθεση επιθεώρησης που έχει συνταχθεί

από

ανεξάρτητο, ορκωτό ελεγκτή για λογαριασμό του εκτελούντος την επεξεργασία. Η άσκηση του δικαιώματος επιθεώρησης δεν πρέπει να διαταράσσει αδικαιολόγητα τις επιχειρηματικές δραστηριότητες του εκτελούντος την επεξεργασία ούτε να αποτελεί κατάχρηση.

(3) Ο εκτελών την επεξεργασία έχει το δικαίωμα να απαιτήσει εύλογη αμοιβή από τον πελάτη για επιθεωρήσεις κατά την έννοια του σημείου 8. (2).

9. Ποσοστά υπεργολαβίας

(1) Η ανάθεση σε υπεργολάβους από τον εκτελούντα την παραγγελία επιτρέπεται μόνο με τη συγκατάθεση του πελάτη σε γραπτή μορφή. Ο εκτελών την παραγγελία πρέπει να προσδιορίσει όλες τις σχέσεις υπεργολαβίας που υφίστανται ήδη κατά τη σύναψη της σύμβασης στο Παράρτημα 2 της παρούσας σύμβασης.

(2) Ο εκτελών την εντολή οφείλει να επιλέξει προσεκτικά τον υπεργολάβο και να ελέγξει, πριν από την ανάθεση της εντολής, ότι ο υπεργολάβος είναι σε θέση να συμμορφωθεί με τις συμφωνίες που έχουν συναφθεί μεταξύ του πελάτη και του εκτελούντος την εντολή. Ειδικότερα, ο εκτελών την εντολή οφείλει να ελέγχει εκ των προτέρων και τακτικά κατά τη διάρκεια της σύμβασης ότι ο υπεργολάβος έχει λάβει τα τεχνικά και οργανωτικά μέτρα που απαιτούνται σύμφωνα με το άρθρο 32 του ΓΚΠΔ για την προστασία των δεδομένων προσωπικού χαρακτήρα. Το αποτέλεσμα του ελέγχου πρέπει να τεκμηριώνεται από τον υπεργολάβο και να διατίθεται στον πελάτη κατόπιν αιτήματος.

(3) Ο εκτελών την επεξεργασία υποχρεούται να λάβει επιβεβαίωση από τον υπεργολάβο ότι ο τελευταίος έχει ορίσει υπεύθυνο προστασίας δεδομένων της εταιρείας σύμφωνα με το άρθρο 37 του ΓΚΠΔ. Σε περίπτωση που δεν έχει οριστεί υπεύθυνος προστασίας δεδομένων από τον υπεργολάβο, ο εκτελών την επεξεργασία θα ενημερώσει τον πελάτη για το γεγονός αυτό και θα παράσχει πληροφορίες που να αποδεικνύουν ότι ο υπεργολάβος δεν είναι νομικά υποχρεωμένος να ορίσει υπεύθυνο προστασίας δεδομένων.

(4)

εκτελών την επεξεργασία

θα

διασφαλίσει ότι οι διατάξεις που συμφωνήθηκαν στην παρούσα σύμβαση και τυχόν συμπληρωματικές οδηγίες του πελάτη, εάν υπάρχουν, ισχύουν επίσης για τον

υπεργολάβο

(5) Ο εκτελών την επεξεργασία θα συνάψει σύμβαση με τον υπεργολάβο η οποία θα συμμορφώνεται με τις απαιτήσεις του άρθρου 28 του ΓΚΠΔ. Επιπλέον, ο εκτελών την επεξεργασία θα επιβάλει στον υπεργολάβο τις ίδιες υποχρεώσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα με αυτές που έχουν καθοριστεί μεταξύ του εντολέα και του εκτελούντος την επεξεργασία.

(6) Ειδικότερα, ο εκτελών την εντολή υποχρεούται να διασφαλίσει μέσω συμβατικών διατάξεων ότι οι εξουσίες ελέγχου (άρθρο 8 της παρούσας σύμβασης) του πελάτη και των εποπτικών αρχών ισχύουν και για τον υπεργολάβο και ότι τα αντίστοιχα δικαιώματα ελέγχου έχουν συμφωνηθεί από τον πελάτη και τις εποπτικές αρχές. Επιπλέον, θα συμφωνηθεί συμβατικά ότι ο υπεργολάβος θα ανέχεται αυτά τα μέτρα ελέγχου και τυχόν επιτόπιες επιθεωρήσεις.

(7) Οι σχέσεις υπεργολαβίας κατά την έννοια των παραγράφων 1 έως 6 δεν θεωρούνται υπηρεσίες που ο εκτελών την επεξεργασία λαμβάνει από τρίτους ως καθαρά βοηθητική υπηρεσία για την άσκηση της επιχειρηματικής δραστηριότητας. Τέτοιες υπηρεσίες περιλαμβάνουν, για παράδειγμα, υπηρεσίες καθαρισμού, καθαρά τηλεπικοινωνιακές υπηρεσίες χωρίς συγκεκριμένη αναφορά σε υπηρεσίες που ο εκτελών την επεξεργασία παρέχει στον εντολέα, ταχυδρομικές και υπηρεσίες ταχυμεταφορών, υπηρεσίες μεταφοράς, υπηρεσίες ασφαλείας. Ο εκτελών την επεξεργασία υποχρεούται, ωστόσο, να διασφαλίζει, ακόμη και στην περίπτωση βοηθητικών υπηρεσιών που παρέχονται από τρίτους, ότι έχουν ληφθεί τα κατάλληλα προληπτικά μέτρα καθώς και τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα. Η συντήρηση και η επισκευή συστημάτων ή εφαρμογών πληροφορικής συνιστούν σχέση υπεργολαβίας και επεξεργασία κατόπιν εντολής κατά την έννοια του άρθρου 28 του ΓΚΠΔ, η οποία απαιτεί έγκριση εάν η συντήρηση και ο έλεγχος αφορούν συστήματα πληροφορικής που χρησιμοποιούνται επίσης σε σχέση με την παροχή υπηρεσιών για τον εντολέα και εάν κατά τη συντήρηση είναι δυνατή η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα

που

υποβάλλονται σε επεξεργασία

για λογαριασμό του

εντολέα.

10. Υποχρέωση εμπιστευτικότητας

(1) Κατά την επεξεργασία δεδομένων για λογαριασμό του εντολέα, ο εκτελών την επεξεργασία υποχρεούται να τηρεί την εμπιστευτικότητα των δεδομένων που λαμβάνει ή των οποίων λαμβάνει γνώση σε σχέση με την εντολή.

Ο εκτελών

την επεξεργασία αναλαμβάνει την υποχρέωση να τηρεί τους ίδιους κανόνες

προστασίας

του απορρήτου με εκείνους που

ισχύουν

για τον εντολέα. Ο εντολέας υποχρεούται να ενημερώνει τον

εκτελούντα

την επεξεργασία για τυχόν ειδικούς κανόνες

προστασίας

του απορρήτου.

(2) Ο εκτελών την επεξεργασία βεβαιώνει ότι έχει γνώση των ισχυόντων κανονισμών περί προστασίας δεδομένων και ότι είναι εξοικειωμένος με την εφαρμογή τους. Ο εκτελών την επεξεργασία εγγυάται περαιτέρω ότι έχει εξοικειώσει τους υπαλλήλους του με τις διατάξεις περί προστασίας δεδομένων που ισχύουν για αυτούς και τους έχει υποχρεώσει να τηρούν το απόρρητο. Ο Εκτελών εγγυάται περαιτέρω ότι έχει υποχρεώσει ειδικότερα τους υπαλλήλους του που εμπλέκονται στην εκτέλεση του έργου να τηρούν εμπιστευτικότητα και τους έχει ενημερώσει για τις οδηγίες του Πελάτη.

(3) Η υποχρέωση των υπαλλήλων σύμφωνα με την παράγραφο 2 πρέπει να αποδεικνύεται στον πελάτη κατόπιν αιτήματος.

11. Προστασία των δικαιωμάτων των ενδιαφερομένων

(1) Ο πελάτης είναι αποκλειστικά υπεύθυνος για τη διασφάλιση των δικαιωμάτων των ενδιαφερομένων. Ο εκτελών την επεξεργασία υποχρεούται να υποστηρίζει τον πελάτη στην υποχρέωσή του να επεξεργάζεται αιτήματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12-23 του ΓΚΠΔ. Ειδικότερα, ο εκτελών την επεξεργασία δεδομένων πρέπει να διασφαλίζει ότι οι απαιτούμενες πληροφορίες παρέχονται χωρίς καθυστέρηση στον εντολέα, ώστε ο εντολέας να μπορεί να εκπληρώσει τις υποχρεώσεις του σύμφωνα με το άρθρο 12 παράγραφος 3 του ΓΚΠΔ.

(2) Στο βαθμό που η συνεργασία του εκτελούντος την επεξεργασία είναι απαραίτητη για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων – ιδίως του δικαιώματος ενημέρωσης, διόρθωσης, παύσης επεξεργασίας ή διαγραφής – από τον εντολέα, ο εκτελών την επεξεργασία λαμβάνει τα αντίστοιχα αναγκαία μέτρα σύμφωνα με τις οδηγίες του εντολέα. Εάν είναι δυνατόν, ο εκτελών την επεξεργασία υποστηρίζει τον εντολέα με κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να εκπληρώσει την υποχρέωσή του να ανταποκρίνεται στα αιτήματα άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων. Ο εκτελών την επεξεργασία δικαιούται να απαιτήσει εύλογη αμοιβή από τον πελάτη για τις υπηρεσίες αυτές.

(3) Αυτό δεν θίγει τυχόν διατάξεις σχετικά με την πιθανή αποζημίωση για πρόσθετα έξοδα που επιβαρύνουν τον εκτελούντα την επεξεργασία ως αποτέλεσμα υπηρεσιών συνεργασίας σε σχέση με την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων έναντι του πελάτη.

12. Υποχρεώσεις εμπιστευτικότητας

(1) Και τα δύο μέρη αναλαμβάνουν την υποχρέωση να αντιμετωπίζουν όλες τις πληροφορίες που λαμβάνουν σε σχέση με την εκτέλεση της παρούσας σύμβασης ως εμπιστευτικές για απεριόριστο χρονικό διάστημα και να τις χρησιμοποιούν μόνο για την εκτέλεση της σύμβασης. Κανένα από τα μέρη δεν δικαιούται να χρησιμοποιήσει αυτές τις πληροφορίες, εν όλω ή εν μέρει, για σκοπούς άλλους από αυτούς που μόλις αναφέρθηκαν ή να τις διαθέσει σε τρίτους.

(2) Η ανωτέρω υποχρέωση δεν ισχύει για πληροφορίες τις οποίες ένα από τα μέρη έχει αποδεδειγμένα λάβει από τρίτους χωρίς να είναι υποχρεωμένο να τηρήσει εμπιστευτικότητα ή οι οποίες είναι δημόσια γνωστές.

13. Επίστρωση

Ο εκτελών την επεξεργασία δεν θα λάβει ξεχωριστή αμοιβή για την παρούσα σύμβαση.

14. Τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων

(1) Ο εκτελών την επεξεργασία αναλαμβάνει έναντι του πελάτη την υποχρέωση να τηρεί τα τεχνικά και οργανωτικά μέτρα που απαιτούνται για τη συμμόρφωση με τους ισχύοντες κανονισμούς περί προστασίας δεδομένων. Αυτό περιλαμβάνει ιδίως τις απαιτήσεις του άρθρου 32 του ΓΚΠΔ.

(2) Η κατάσταση των τεχνικών και οργανωτικών μέτρων που ισχύουν κατά τη στιγμή της σύναψης της σύμβασης επισυνάπτεται στην παρούσα σύμβαση ως Παράρτημα 3. Τα μέρη συμφωνούν ότι ενδέχεται να απαιτηθούν αλλαγές στα τεχνικά και οργανωτικά μέτρα για την προσαρμογή στις τεχνικές και νομικές συνθήκες. Σημαντικές αλλαγές που ενδέχεται να επηρεάσουν την ακεραιότητα, την εμπιστευτικότητα ή τη διαθεσιμότητα των προσωπικών δεδομένων θα συμφωνούνται εκ των προτέρων από τον εκτελούντα την επεξεργασία με τον πελάτη. Μέτρα που συνεπάγονται μόνο ήσσονος σημασίας τεχνικές ή οργανωτικές αλλαγές και δεν επηρεάζουν αρνητικά την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των προσωπικών δεδομένων μπορούν να εφαρμοστούν από τον

εκτελούντα

την επεξεργασία χωρίς να ζητηθεί η γνώμη του πελάτη. Ο πελάτης μπορεί να ζητήσει

ανά

πάσα στιγμή μια ενημερωμένη έκδοση των τεχνικών και οργανωτικών μέτρων

που έχει λάβει ο

εκτελών την επεξεργασία.

(3) Ο εκτελών την επεξεργασία θα ελέγχει τα τεχνικά και οργανωτικά μέτρα που έχει λάβει ως προς την αποτελεσματικότητά τους σε τακτική βάση και επίσης όποτε απαιτείται. Σε περίπτωση που υπάρχει ανάγκη βελτιστοποίησης και/ή τροποποίησης, ο εκτελών την επεξεργασία θα ενημερώνει τον πελάτη.

15. Διάρκεια της εντολής

(1) Η σύμβαση αρχίζει με την ανάθεση και συνάπτεται για αόριστο χρονικό διάστημα.

(2) Η σύμβαση λήγει με την καταγγελία της κύριας σύμβασης (ένα πακέτο εφαρμογών ή οποιαδήποτε υπηρεσία) χωρίς να απαιτείται ξεχωριστή καταγγελία.

Οποιεσδήποτε υποχρεώσεις διαγραφής και επιστροφής μετά τη λήξη της παρούσας Σύμβασης διέπονται από το Άρθρο 16.

(3) Ο εντολέας μπορεί να καταγγείλει τη σύμβαση ανά πάσα στιγμή χωρίς προειδοποίηση, εάν υπάρχει σοβαρή παραβίαση των διατάξεων περί προστασίας δεδομένων που ισχύουν για τον εκτελούντα ή των υποχρεώσεων που απορρέουν από την παρούσα σύμβαση, εάν ο εκτελών δεν είναι σε θέση ή δεν επιθυμεί να εκτελέσει μια εντολή που δόθηκε από τον εντολέα ή εάν ο εκτελών αρνείται την πρόσβαση στον εντολέα ή στην αρμόδια εποπτική αρχή κατά παράβαση της σύμβασης.

16. Καταγγελία

(1) Μετά την καταγγελία της σύμβασης, ο εκτελών την επεξεργασία κατόπιν εντολής υποχρεούται να επιστρέψει στον πελάτη ή να διαγράψει όλα τα έγγραφα, τα δεδομένα και τα αποτελέσματα επεξεργασίας ή χρήσης που έχουν δημιουργηθεί και έχουν περιέλθει στην κατοχή του στο πλαίσιο της συμβατικής σχέσης, κατά την επιλογή του πελάτη. Η διαγραφή πρέπει να τεκμηριώνεται με κατάλληλο τρόπο. Τυχόν νόμιμες υποχρεώσεις διατήρησης ή άλλες υποχρεώσεις αποθήκευσης των δεδομένων παραμένουν ανεπηρέαστες. Στην περίπτωση φορέων δεδομένων, αυτοί πρέπει να καταστρέφονται σε περίπτωση διαγραφής που ζητείται από τον πελάτη, οπότε πρέπει να τηρείται τουλάχιστον το επίπεδο ασφάλειας 3 του προτύπου DIN 66399· ο πελάτης πρέπει να προσκομίσει αποδεικτικά στοιχεία της καταστροφής με αναφορά στο επίπεδο ασφάλειας σύμφωνα με το πρότυπο DIN 66399.

(2) Ο πελάτης έχει το δικαίωμα να ελέγχει την πλήρη και συμβατική επιστροφή και διαγραφή των δεδομένων στον εκτελούντα την επεξεργασία. Αυτό μπορεί επίσης να γίνει με επιθεώρηση του εξοπλισμού επεξεργασίας δεδομένων στις εγκαταστάσεις του επεξεργαστή. Η επιτόπια επιθεώρηση πρέπει να ανακοινώνεται από τον πελάτη με εύλογη προθεσμία.

17. Δικαίωμα παρακράτησης

Τα μέρη συμφωνούν ότι αποκλείεται η άσκηση του δικαιώματος παρακράτησης από τον επεξεργαστή σύμφωνα με το § 273 BGB (Γερμανικός Αστικός Κώδικας) όσον αφορά τα επεξεργασμένα δεδομένα και τους σχετικούς φορείς δεδομένων.

18. Τελικές διατάξεις

(1) Εάν η περιουσία του πελάτη κινδυνεύει στις εγκαταστάσεις του επεξεργαστή από μέτρα τρίτων (όπως κατάσχεση ή δήμευση), από διαδικασίες αφερεγγυότητας ή από άλλα γεγονότα, ο επεξεργαστής οφείλει να ενημερώσει τον πελάτη χωρίς καθυστέρηση. Ο επεξεργαστής οφείλει να ενημερώσει χωρίς καθυστέρηση τους πιστωτές για το γεγονός ότι τα δεδομένα υποβάλλονται σε επεξεργασία στο πλαίσιο της εντολής.

(2) Για τις παράπλευρες συμφωνίες απαιτείται η γραπτή μορφή.

(3) Σε περίπτωση που μεμονωμένα μέρη της παρούσας σύμβασης είναι άκυρα, αυτό δεν επηρεάζει την ισχύ των υπόλοιπων διατάξεων της σύμβασης.

Παράρτημα 1 - Αντικείμενο της εντολής

1. Αντικείμενο και σκοπός της επεξεργασίας

Η εντολή του πελάτη προς τον επεξεργαστή περιλαμβάνει τις ακόλουθες εργασίες και/ή υπηρεσίες: Παροχή εφαρμογών για κινητά (που περιγράφονται λεπτομερέστερα στην αντίστοιχη ισχύουσα περιγραφή υπηρεσιών), καθώς και ιστοσελίδων με παρόμοιο περιεχόμενο. Αυτό περιλαμβάνει τη συλλογή, την επεξεργασία και τη διαβίβαση των καταγεγραμμένων δεδομένων.

2. Είδη προσωπικών δεδομένων

Τα ακόλουθα είδη δεδομένων υποβάλλονται σε τακτική επεξεργασία: Δεδομένα κίνησης, δεδομένα περιεχομένου, δεδομένα επικοινωνίας, βασικά προσωπικά δεδομένα και δεδομένα επικοινωνίας (όνομα, διεύθυνση, αριθμός τηλεφώνου, αριθμός φαξ, διεύθυνση ηλεκτρονικού ταχυδρομείου).

3. Κύκλος των ενδιαφερομένων προσώπων

Κύκλος των προσώπων που αφορά η επεξεργασία δεδομένων: Χρήστες του λογαριασμού σας, καλούντες και καλούμενοι συμμετέχοντες ή αποστολείς/παραλήπτες SMS/φαξ, υπάλληλοι, πελάτες, επιχειρηματικοί εταίροι, ενδιαφερόμενα μέρη και πάροχοι υπηρεσιών του πελάτη.

Εάν ο πελάτης είναι συνεργάτης του επεξεργαστή: Δεδομένα επικοινωνίας, βασικά προσωπικά δεδομένα και δεδομένα επικοινωνίας (όνομα, διεύθυνση, αριθμός τηλεφώνου, αριθμός φαξ, διεύθυνση ηλεκτρονικού ταχυδρομείου) των εργολάβων/εταιρειών που παραπέμπονται από τον Συνεργάτη ο οποίος έχει υποβάλει την παραγγελία.

Ο πελάτης υποχρεούται να ενημερώσει τους χρήστες του λογαριασμού και - εάν είναι απαραίτητο - το συμβούλιο εργαζομένων ή αντίστοιχους εκπροσώπους σχετικά με την επεξεργασία των δεδομένων που αναφέρονται στο σημείο 2.

4. Τόπος επεξεργασίας δεδομένων:

Όλα τα δεδομένα υποβάλλονται σε επεξεργασία σε διακομιστές εντός του Ευρωπαϊκού Οικονομικού Χώρου.

Παράρτημα 2 - Υπεργολάβος

Για την επεξεργασία δεδομένων για λογαριασμό του Εντολέα, ο Εκτελών χρησιμοποιεί τις υπηρεσίες τρίτων που επεξεργάζονται δεδομένα για λογαριασμό του («υπεργολάβοι»).

Ο Εκτελών χρησιμοποιεί διάφορους υπεργολάβους για την παροχή των υπηρεσιών του.

Αυτοί οι υπεργολάβοι είναι αρχικά οι ακόλουθες εταιρείες του Εκτελούντος και παρέχουν προπαρασκευαστικές εργασίες για την υλοποίηση των υπηρεσιών του Εκτελούντος. Οι απαραίτητες συμβατικές συμφωνίες για την επεξεργασία αυτών των δεδομένων έχουν συναφθεί μεταξύ των εταιρειών.

Πρόκειται για τις ακόλουθες εταιρείες:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Βερολίνο,

netcup GmbH, Daimlerstraße 25, D-76185 Καρλσρούη

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Γαλλία

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Βερολίνο

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Δουβλίνο, D02 H210, Ιρλανδία

Παράρτημα 3 - Τεχνικά και οργανωτικά μέτρα του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία θα λάβει τα ακόλουθα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων κατά την έννοια του άρθρου 32 του ΓΚΠΔ.

1. Εμπιστευτικότητα

Έλεγχος πρόσβασης

Προκειμένου να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση στα συστήματα επεξεργασίας δεδομένων με τα οποία επεξεργάζονται ή χρησιμοποιούνται τα δεδομένα, ο εκτελών την επεξεργασία και οι υπεργολάβοι του, όπως η Netcup και το τμήμα Google Cloud, έχουν εφαρμόσει εκτεταμένες διαδικασίες επίσημου ελέγχου πρόσβασης.

Οι χρησιμοποιούμενοι χώροι φιλοξενούν αίθουσες διακομιστών και έναν χώρο τεχνολογίας διακομιστών. Για την πρόσβαση, εκδίδονται ηλεκτρονικά κλειδιά σε επιλεγμένους υπαλλήλους του υπεργολάβου. Τα κλειδιά εξουσιοδοτούν μόνο τον αντίστοιχο υπάλληλο του υπεργολάβου να ανοίγει/κλείνει μεμονωμένες πόρτες που έχουν εγκριθεί για το σκοπό αυτό. Όλες οι λειτουργίες ανοίγματος και κλεισίματος ενός κλειδιού καταγράφονται ηλεκτρονικά μαζί με το μοναδικό αναγνωριστικό του κλειδιού. Μόνο οι υπάλληλοι του υπεργολάβου που έχουν εξουσιοδοτηθεί άμεσα από τη διοίκηση είναι υπεύθυνοι για τη διαχείριση των κλειδιών.

Η αίθουσα διακομιστών είναι κλειδωμένη ανά πάσα στιγμή και η πρόσβαση σε αυτήν επιτρέπεται μόνο σε επιλεγμένους υπαλλήλους του

υπεργολάβου

Εντός του κτιρίου της εκάστοτε εγκατάστασης, τα δικαιώματα πρόσβασης των υπαλλήλων του υπεργολάβου – ακόμη και εκείνων που διαθέτουν κλειδί – περιορίζονται στο βαθμό που είναι απαραίτητο για την εκτέλεση της συγκεκριμένης εργασίας.

Κατά τις ώρες εργασίας, πραγματοποιείται έλεγχος των ατόμων που εισέρχονται στο κτίριο στο μόνιμα επανδρωμένο γραφείο υποδοχής. Εκτός των ωρών εργασίας, όλες οι είσοδοι του κτιρίου είναι κλειδωμένες και ασφαλισμένες με συναγερμό. Το κτίριο ασφαλίζεται επιπλέον από υπηρεσία ασφαλείας. Όλοι οι συναγερμοί του συστήματος συναγερμού αναφέρονται απευθείας σε υπηρεσία ασφαλείας.

Σε όλα τα κέντρα δεδομένων εφαρμόζονται τυπικά μέτρα ασφαλείας. Αυτά ανταποκρίνονται στην τελευταία λέξη της τεχνολογίας και στις (βέλτιστες πρακτικές) του κλάδου της πληροφορικής. Σε αυτά περιλαμβάνονται ηλεκτρονικά συστήματα ελέγχου πρόσβασης με καταγραφή, σύμφωνα με τα οποία μόνο εξουσιοδοτημένα άτομα επιτρέπεται να εισέρχονται στο κτίριο, συστήματα συναγερμού, βιντεοεπιτήρηση εσωτερικά/εξωτερικά, προσωπικό ασφαλείας 24/7, συστήματα συναγερμού, ασφάλιση του κτιρίου με συρματοπλέγματα, προστασία από εξωτερικές υπηρεσίες ασφαλείας οι οποίες ενημερώνονται αυτόματα μέσω ειδικής γραμμής συναγερμού σε περίπτωση συναγερμού.

Τα κλειδιά για τα μεμονωμένα δωμάτια και κλουβιά στο κέντρο δεδομένων πρέπει πάντα να παραλαμβάνονται από το προσωπικό ασφαλείας.

Έλεγχος πρόσβασης

Προκειμένου να διασφαλιστεί ότι τα εξουσιοδοτημένα άτομα που χρησιμοποιούν ένα σύστημα επεξεργασίας δεδομένων έχουν πρόσβαση μόνο στα δεδομένα που καλύπτονται από την εξουσιοδότηση πρόσβασής τους και ότι τα αποθηκευμένα ή τα υπό επεξεργασία δεδομένα δεν μπορούν να διαβαστούν, να αντιγραφούν, να τροποποιηθούν ή να αφαιρεθούν από μη εξουσιοδοτημένα άτομα, ο εκτελών την επεξεργασία χρησιμοποιεί ένα κεντρικό σύστημα για τη διαχείριση των εξουσιοδοτήσεων πρόσβασης. Όλες οι προσβάσεις αποθηκεύονται τοπικά και στον κεντρικό διακομιστή καταγραφής. Τα δικαιώματα διαχείρισης μπορούν να ασκηθούν μόνο μέσω ενός κεντρικού προγράμματος διαχείρισης.

Η πρόσβαση σε όλα τα δεδομένα περιορίζεται στο βαθμό που είναι απαραίτητο για την εκπλήρωση των συγκεκριμένων καθηκόντων όλων των εξουσιοδοτημένων προσώπων. Τηρούνται οι νομικές απαιτήσεις προστασίας δεδομένων, ιδίως εκείνες του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) και του TKG.

Διαχωρισμός

Ο υπεύθυνος επεξεργασίας επεξεργάζεται τα δεδομένα σε συστήματα διακομιστών που διαχωρίζονται λογικά μέσω ενός συστήματος λογικών και φυσικών ελέγχων πρόσβασης στο δίκτυο.

2. Ακεραιότητα

Έλεγχος εισαγωγής

Προκειμένου να διασφαλιστεί ότι ο υπεύθυνος επεξεργασίας παραγγελιών μπορεί εκ των υστέρων να ελέγξει και να προσδιορίσει εάν και από ποιον έχουν εισαχθεί, τροποποιηθεί ή διαγραφεί δεδομένα στα συστήματα επεξεργασίας δεδομένων, όλες οι προσβάσεις στα αποθηκευμένα δεδομένα του πελάτη καταγράφονται τοπικά και στον κεντρικό διακομιστή καταγραφής.

Έλεγχος διαβίβασης

Προκειμένου να διασφαλιστεί ότι τα δεδομένα δεν μπορούν να διαβαστούν, αντιγραφούν, τροποποιηθούν ή διαγραφούν από μη εξουσιοδοτημένα πρόσωπα κατά τη διάρκεια της ηλεκτρονικής μετάδοσης, μεταφοράς ή αποθήκευσης, και ότι είναι δυνατό να επαληθευτεί πού προορίζονται να μεταφερθούν τα δεδομένα από τα συστήματα μεταφοράς δεδομένων, η πρόσβαση σε όλα τα συστήματα που επεξεργάζονται δεδομένα πελατών υπόκειται σε αποτελεσματικούς ελέγχους πρόσβασης. Αυτοί οι μηχανισμοί ελέγχου πρόσβασης περιγράφονται ήδη λεπτομερέστερα παραπάνω στο σημείο 3.

3. Διαθεσιμότητα και ανθεκτικότητα
Ο Εκτελών την Επεξεργασία χρησιμοποιεί ένα συνδυασμό εφεδρικών συστημάτων και λύσεων δημιουργίας αντιγράφων ασφαλείας σε όλα τα συστήματα, προκειμένου να προστατεύσει τα αποθηκευμένα δεδομένα και να είναι σε θέση να τα αποκαταστήσει, εάν χρειαστεί. Τα συστήματα αυτά λειτουργούν αποκλειστικά σε εγκαταστάσεις που είναι ασφαλισμένες και εξοπλισμένες σύμφωνα με την τρέχουσα κατάσταση της τεχνολογίας, οι οποίες διαθέτουν τα απαραίτητα συστήματα κλιματισμού, πυρασφάλειας και ανίχνευσης καπνού και για τις οποίες υπάρχουν λεπτομερή σχέδια έκτακτης ανάγκης.

4. Διαδικασίες τακτικής επανεξέτασης, εκτίμησης και αξιολόγησης

Όλοι οι δικοί μας υπάλληλοι και εκείνοι του υπεργολάβου εκπαιδεύονται τακτικά σε θέματα προστασίας δεδομένων. Αυτές οι εκπαιδεύσεις πραγματοποιούνται εξ ολοκλήρου εσωτερικά, έτσι ώστε να είναι δυνατή η ακριβής προσαρμογή στα ζητήματα που σχετίζονται με τον υπεργολάβο επεξεργασίας. Κατά τη διάρκεια αυτών των εκπαιδευτικών συνεδριών εξετάζονται επίσης λεπτομερώς μεμονωμένα ζητήματα.

Όλοι οι υπάλληλοι του εκτελούντος την επεξεργασία που έρχονται σε επαφή με την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την άσκηση των καθηκόντων τους υποχρεούνται να χειρίζονται τα δεδομένα προσωπικού χαρακτήρα με εμπιστευτικότητα. Αυτό γίνεται τακτικά κατά την πρόσληψη νέων υπαλλήλων μέσω συμβατικής δήλωσης δέσμευσης, την οποία πρέπει να υπογράφει κάθε υπάλληλος.

Ο εκτελών την επεξεργασία έχει ορίσει υπεύθυνο προστασίας δεδομένων. Μαζί με τους αναπληρωτές του, ο υπεύθυνος προστασίας δεδομένων διασφαλίζει την έγκαιρη απάντηση σε ερωτήματα των υποκειμένων των δεδομένων.

Ο εκτελών την επεξεργασία τηρεί μητρώο δραστηριοτήτων επεξεργασίας κατά την έννοια του άρθρου 30 παράγραφοι 1 και 2 του ΓΚΠΔ. Ο κατάλογος των δραστηριοτήτων επεξεργασίας δεν είναι δημόσιος.

(από τις 16 Φεβρουαρίου 2022)