Το παρόν προσάρτημα αποτελεί αναπόσπαστο μέρος της Σύμβασης και συνάπτεται από:
Το καθένα είναι «Κόμμα » και κοινώς «Κόμματα ».
Προοίμιο
ΟΠΟΥ ο Εισαγωγέας Δεδομένων παρέχει επαγγελματικές υπηρεσίες λογισμικού, υπολογιστές και σχετικές υπηρεσίες (όπως προγράμματα περιήγησης με προηγμένες λειτουργίες αναζήτησης),
ΟΠΟΥ, σύμφωνα με τη Σύμβαση, ο Εισαγωγέας Δεδομένων έχει συμφωνήσει να παρέχει στον Εξαγωγέα Δεδομένων τις υπηρεσίες που καθορίζονται στη Σύμβαση (οι «Υπηρεσίες »).
ΟΠΟΥ, παρέχοντας τις Υπηρεσίες, ο Εισαγωγέας Δεδομένων λαμβάνει ή επωφελείται από την πρόσβαση στις πληροφορίες του Εξαγωγέα Δεδομένων ή στις πληροφορίες άλλων προσώπων που έχουν (δυνητική) σχέση με τον Εξαγωγέα Δεδομένων, οι πληροφορίες αυτές μπορεί να χαρακτηριστούν ως προσωπικά δεδομένα κατά την έννοια του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, σχετικά με την προστασία των ατόμων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών («GDPR ») και άλλους ισχύοντες νόμους περί προστασίας δεδομένων.
ΟΠΟΥ το παρόν προσάρτημα περιέχει τους όρους και τις προϋποθέσεις που ισχύουν για τη συλλογή, επεξεργασία και χρήση τέτοιων προσωπικών δεδομένων από τον Εισαγωγέα Δεδομένων υπό την ιδιότητά του ως εξουσιοδοτημένος αντιπρόσωπος επεξεργασίας δεδομένων του εξαγωγέα δεδομένων, ώστε να διασφαλίζεται ότι τα μέρη συμμορφώνονται με την ισχύουσα νομοθεσία περί προστασίας δεδομένων .
Ως εκ τούτου, και για να μπορέσουν τα Μέρη να συνεχίσουν νόμιμα τη σχέση τους, τα Μέρη συνήψαν το παρόν Προσάρτημα ως εξής:
Μέρος 1
1. Δομή του εγγράφου και ορισμοί
1.1 Δομή
Το παρόν προσάρτημα περιλαμβάνει διάφορα μέρη ως εξής:
Μέρος 1: | περιέχει γενικές διατάξεις, π.χ. σχετικά με τους ορισμούς που χρησιμοποιούνται στο παρόν Παράρτημα, τη συμμόρφωση με τους τοπικούς νόμους, το χρονοδιάγραμμα και τον τερματισμό
|
Μέρος 2ο: | περιέχει το κύριο μέρος του εγγράφου Τυπικών Συμβατικών Ρήτρων που δεν έχει τροποποιηθεί
|
Παράρτημα 1.1 του Μέρους 2: | περιέχει τις λεπτομέρειες των εργασιών επεξεργασίας που παρέχονται από τον Εισαγωγέα Δεδομένων στον Εξαγωγέα Δεδομένων ως εξουσιοδοτημένο φορέα επεξεργασίας δεδομένων (συμπεριλαμβανομένης της επεξεργασίας, της φύσης και του σκοπού της επεξεργασίας, του τύπου των προσωπικών δεδομένων και των κατηγοριών υποκειμένων των δεδομένων) σύμφωνα με το παρόν παράρτημα
|
Παράρτημα 2 του Μέρους 2: | περιέχει μια περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του Εισαγωγέα Δεδομένων, τα οποία εφαρμόζονται σε σχέση με όλες τις δραστηριότητες επεξεργασίας που περιγράφονται στο Παράρτημα 1.1 του Μέρους 2
|
Μέρος 3: | περιέχει τις υπογραφές των μερών που δεσμεύονται από το παρόν προσάρτημα και προσδιορίζει κάθε εισαγωγέα δεδομένων
|
1.2 Ορολογία και ορισμοί
Για τους σκοπούς του παρόντος Παραρτήματος, ισχύουν η ορολογία και οι ορισμοί που χρησιμοποιούνται από τον GDPR (Στο κύριο μέρος του εγγράφου Standard Contractual Clause στο Μέρος 2, όπου οι καθορισμένοι όροι δεν γράφονται με κεφαλαία).
"Κράτος μέλος" | σημαίνει χώρα που ανήκει στην Ευρωπαϊκή Ένωση ή στον Ευρωπαϊκό Οικονομικό Χώρο
|
«Ειδικές κατηγορίες (προσωπικών) δεδομένων» | αναφέρεται σε δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γενετικά δεδομένα, βιομετρικά δεδομένα, εάν υποβάλλονται σε επεξεργασία με σκοπό τη μοναδική ταυτοποίηση ενός ατόμου, δεδομένα σχετικά με την υγεία, δεδομένα σχετικά με το φύλο ενός ατόμου ζωή ή σεξουαλικό προσανατολισμό
|
«Τυπικές συμβατικές ρήτρες» | σημαίνει τις Τυπικές συμβατικές ρήτρες για τη μεταφορά δεδομένων προσωπικού χαρακτήρα των φορέων επεξεργασίας που είναι εγκατεστημένοι σε τρίτες χώρες, βάσει της απόφασης 2010/87/ΕΕ της Επιτροπής στις 5 Φεβρουαρίου 2010, η οποία τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής στις 16 Δεκέμβριος 2016
|
«Επεξεργαστής δεδομένων». | σημαίνει οποιονδήποτε φορέα επεξεργασίας, που βρίσκεται εντός ή εκτός της ΕΕ/ΕΟΧ, ο οποίος συμφωνεί να λαμβάνει από τον Εισαγωγέα Δεδομένων ή οποιονδήποτε άλλο επεξεργαστή του Εισαγωγέα Δεδομένων, προσωπικά δεδομένα για αποκλειστικό σκοπό των δραστηριοτήτων επεξεργασίας που θα διεξαχθούν από τον Εξαγωγέα Δεδομένων μετά την μεταφορά σύμφωνα με τις οδηγίες του εξαγωγέα δεδομένων, τους όρους του παρόντος προσαρτήματος και τη σύμβαση με τον εισαγωγέα δεδομένων
|
2. Υποχρεώσεις του Εξαγωγέα Δεδομένων
2.1 Ο Εξαγωγέας Δεδομένων έχει υποχρέωση να διασφαλίζει τη συμμόρφωση με όλες τις ισχύουσες υποχρεώσεις βάσει του GDPR και οποιουδήποτε άλλου ισχύοντος νόμου περί προστασίας δεδομένων που ισχύει για τον εξαγωγέα δεδομένων και να επιδεικνύει τη συμμόρφωση που απαιτείται από το άρθρο 5 παράγραφος 2 του GDPR. Ο Εξαγωγέας Δεδομένων εγγυάται ότι ο Εισαγωγέας Δεδομένων έχει λάβει την προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 6 (α) του GDPR και έχει συμμορφωθεί με την υποχρέωσή του να ενημερώσει τα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 του GDPR.
2.2 Ο Εξαγωγέας Δεδομένων πρέπει να παρέχει στον Εισαγωγέα Δεδομένων τα αντίστοιχα αρχεία των δραστηριοτήτων επεξεργασίας σύμφωνα με το άρθρο 30 παράγραφος 1 του GDPR που σχετίζονται με τις Υπηρεσίες βάσει του παρόντος Παραρτήματος, στον βαθμό που απαιτείται για να συμμορφωθεί ο Εισαγωγέας Δεδομένων με την υποχρέωση Άρθρο 30 παράγραφος 2 του GDPR.
2.3 Ο Εξαγωγέας Δεδομένων πρέπει να διορίσει έναν υπεύθυνο ή εκπρόσωπο προστασίας δεδομένων στο βαθμό που απαιτείται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων. Ο Εξαγωγέας Δεδομένων υποχρεούται να παρέχει τα στοιχεία επικοινωνίας του αντιπροσώπου ή του αντιπροσώπου προστασίας δεδομένων, εάν υπάρχουν, στον Εισαγωγέα Δεδομένων.
2.4. Ο Εξαγωγέας Δεδομένων επιβεβαιώνει πριν από την ολοκλήρωση της επεξεργασίας, με την αποδοχή του παρόντος Παραρτήματος, ότι τα τεχνικά και οργανωτικά μέτρα ασφαλείας του Εισαγωγέα Δεδομένων, όπως ορίζονται στο Παράρτημα 2 του Μέρους 2, είναι κατάλληλα και επαρκή για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων και επιβεβαιώνει ότι ο Εισαγωγέας Δεδομένων παρέχει επαρκείς διασφαλίσεις ως προς αυτό.
3. Συμμόρφωση με την τοπική νομοθεσία
Προκειμένου να ικανοποιηθούν οι απαιτήσεις της εφαρμογής των πρακτόρων επεξεργασίας σύμφωνα με το άρθρο 28 του ΓΚΠΔ, εφαρμόζονται οι ακόλουθες τροποποιήσεις:
3.1 Οδηγίες
3.2 Υποχρεώσεις του Εισαγωγέα Δεδομένων
3.3 Δικαιώματα των ενδιαφερομένων
3.4 Υποεπεξεργασία
3.5 Λήξη
Η λήξη του παρόντος Παραρτήματος είναι ταυτόσημη με την ημερομηνία λήξης της αντίστοιχης Σύμβασης. Εκτός εάν ορίζεται διαφορετικά στο παρόν προσάρτημα, τα δικαιώματα και οι υποχρεώσεις που σχετίζονται με την καταγγελία είναι τα ίδια με αυτά που περιέχονται στη Σύμβαση.
4. Περιορισμός Ευθύνης
4.1 Κάθε συμβαλλόμενο μέρος χειρίζεται τις υποχρεώσεις του βάσει του παρόντος Παραρτήματος και της ισχύουσας νομοθεσίας περί προστασίας δεδομένων.
4.2 Οποιαδήποτε ευθύνη που σχετίζεται με παραβίαση των υποχρεώσεων βάσει του παρόντος Προσαρτήματος ή της ισχύουσας νομοθεσίας περί προστασίας δεδομένων υπόκειται και διέπεται από τις διατάξεις περί ευθύνης που ορίζονται ή εφαρμόζονται στη Σύμβαση, εκτός εάν προβλέπεται διαφορετικά στο παρόν Προσάρτημα. Εάν η ευθύνη διέπεται από τις διατάξεις περί ευθύνης που ορίζονται ή εφαρμόζονται στη Σύμβαση, για τον υπολογισμό των ορίων ευθύνης ή τον καθορισμό της εφαρμογής άλλων περιορισμών ευθύνης, οποιαδήποτε ευθύνη που προκύπτει από το παρόν Προσάρτημα θα θεωρείται ότι προκύπτει από τη Σύμβαση.
5. Γενικές διατάξεις
5.1 Εάν υπάρχουν οποιεσδήποτε ασυνέπειες ή ασυμφωνίες μεταξύ των μερών 1 και 2 του παρόντος προσαρτήματος, υπερισχύει το Μέρος 2. Συγκεκριμένα, ακόμη και σε μια τέτοια περίπτωση, το Μέρος 1 το οποίο απλώς υπερβαίνει το Μέρος 2 (δηλαδή τους όρους των Τυποποιημένων ρητρών) χωρίς να έρχεται σε αντίθεση με αυτό, θα παραμείνει σε ισχύ.
5.2 Εάν προκύψει οποιαδήποτε ασυμφωνία μεταξύ των διατάξεων του παρόντος Παραρτήματος και εκείνων άλλων συμβάσεων που δεσμεύουν τα μέρη, το παρόν Προσάρτημα υπερισχύει όσον αφορά τις υποχρεώσεις των μερών για την προστασία δεδομένων. Σε περίπτωση αμφιβολίας ως προς το εάν οι ρήτρες σε άλλες συμβάσεις αφορούν τις υποχρεώσεις των μερών για την προστασία δεδομένων, υπερισχύει το παρόν προσάρτημα.
5.3 Εάν οποιαδήποτε διάταξη του παρόντος Παραρτήματος είναι άκυρη ή ανεφάρμοστη, το υπόλοιπο αυτού του Προσαρτήματος θα παραμείνει σε πλήρη ισχύ και ισχύ. Η άκυρη ή μη εκτελεστή διάταξη (i) θα τροποποιηθεί για να διασφαλιστεί η εγκυρότητα και η εκτελεστότητά της, διατηρώντας στο μέτρο του δυνατού την πρόθεση των μερών, ή - εάν αυτό δεν είναι δυνατό - (ii) ερμηνεύεται ως εάν το άκυρο ή μη εκτελεστό μέρος είχε δεν ήταν ποτέ μέρος της σύμβασης. Τα ανωτέρω ισχύουν επίσης εάν υπάρχει παράλειψη στο παρόν Προσάρτημα.
5.5 Στο βαθμό που είναι απαραίτητο, τα Μέρη μπορούν να ζητήσουν τροποποιήσεις στο Μέρος 1, Ρήτρα 3 (Συμμόρφωση με την τοπική νομοθεσία) ή άλλα μέρη του Παραρτήματος προκειμένου να συμμορφωθούν με ερμηνείες, οδηγίες ή εντολές που εκδίδονται από τις αρμόδιες αρχές της Ένωσης ή του Κράτη μέλη, εθνικές διατάξεις επιβολής ή οποιεσδήποτε άλλες νομικές εξελίξεις σχετικά με τον GDPR ή άλλους όρους ανάθεσης σε οποιεσδήποτε οντότητες που εμπλέκονται στην επεξεργασία δεδομένων και συγκεκριμένα σχετικά με τη χρήση των Τυπικών συμβατικών ρητρών στον GDPR. Οι όροι των Τυπικών συμβατικών ρητρών δεν μπορούν να τροποποιηθούν ή να αντικατασταθούν εκτός εάν η Ευρωπαϊκή Επιτροπή το εγκρίνει ρητά (π.χ. με νέες κατάλληλες ρήτρες και πρότυπα προστασίας δεδομένων).
5.6 Οποιαδήποτε αναφορά σε αυτό το Παράρτημα στις «Ρήτρες» νοείται ότι αναφέρεται σε όλες τις διατάξεις του παρόντος Παραρτήματος, εκτός εάν ορίζεται διαφορετικά.
5.7 Η επιλογή νόμου στο Μέρος 2, Ρήτρα 9 ισχύει για ολόκληρη τη Σύμβαση.
6. Προσωπικά δεδομένα που διαβιβάζονται και υποβάλλονται σε επεξεργασία από τα μέρη για προσωπικούς σκοπούς (μεταφορά από τον υπεύθυνο επεξεργασίας στον υπεύθυνο επεξεργασίας δεδομένων)
6.1 Τα Μέρη γνωρίζουν πλήρως ότι ορισμένα προσωπικά δεδομένα θα μεταφερθούν από τον Εξαγωγέα Δεδομένων στον Εισαγωγέα Δεδομένων και αντιστρόφως, και ότι τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από κάθε Μέρος για τους δικούς του σκοπούς. Όσον αφορά τα εν λόγω προσωπικά δεδομένα, δεν επηρεάζει τις άλλες διατάξεις του παρόντος Παραρτήματος (εκτός από την παρούσα ρήτρα 6).
6.2 Ο Εξαγωγέας Δεδομένων μπορεί να μεταφέρει προσωπικά δεδομένα που σχετίζονται με το προσωπικό του Εισαγωγέα Δεδομένων στον Εισαγωγέα Δεδομένων, συμπεριλαμβανομένων πληροφοριών για συμβάντα ασφαλείας ή οποιωνδήποτε άλλων εγγράφων ή αρχείων που δημιουργούνται ή δημιουργούνται από τον Εξαγωγέα Δεδομένων σε σχέση με τις Υπηρεσίες που παρέχονται από το προσωπικό του τον Εισαγωγέα Δεδομένων. Ο Εισαγωγέας Δεδομένων μπορεί να επεξεργάζεται αυτά τα προσωπικά δεδομένα για δικούς του σκοπούς, ιδίως στις επαγγελματικές του σχέσεις με το προσωπικό του Εισαγωγέα Δεδομένων, για ποιοτικό έλεγχο και εκπαίδευση ή για επιχειρηματικούς σκοπούς.
6.3. Ο Εισαγωγέας Δεδομένων μπορεί να μεταφέρει προσωπικά δεδομένα στον Εξαγωγέα Δεδομένων, συμπεριλαμβανομένων του ονόματος και των στοιχείων επικοινωνίας του προσωπικού του Εισαγωγέα Δεδομένων. Ο Εξαγωγέας Δεδομένων μπορεί να επεξεργάζεται αυτά τα προσωπικά δεδομένα για δικούς του σκοπούς.
6.4 Και τα δύο μέρη θα συμμορφώνονται με τυχόν ισχύοντες νόμους περί προστασίας δεδομένων, συμπεριλαμβανομένου του GDPR, κατά τη συλλογή, επεξεργασία και χρήση τέτοιων προσωπικών δεδομένων που λαμβάνονται από το άλλο μέρος σύμφωνα με την ρήτρα 1 του Μέρους 1. Ειδικότερα, και τα δύο Μέρη λαμβάνουν τα κατάλληλα μέτρα ασφαλείας, παρέχοντας παρόμοιο επίπεδο προστασίας με τα μέτρα ασφαλείας που ορίζονται στο Παράρτημα 2 του Μέρους 2. Οποιαδήποτε πρόσβαση σε αυτά τα προσωπικά δεδομένα περιορίζεται στην ανάγκη γνώσης τους.
6.5 Και τα δύο μέρη πρέπει να διαγράψουν αυτά τα προσωπικά δεδομένα το συντομότερο δυνατό μετά την επίτευξη των στόχων.
Μέρος 2ο
ΑΠΟΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ
στις 5 Φεβρουαρίου 2010
σχετικά με τις τυπικές συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες την επεξεργασία δεδομένων εγκατεστημένων σε τρίτες χώρες δυνάμει της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου
Ρήτρα 1
Ορισμοί
Κατά την έννοια των ρητρών:
α) «δεδομένα προσωπικού χαρακτήρα», «ειδικές κατηγορίες δεδομένων», «επεξεργασία/επεξεργασία», «υπεύθυνος επεξεργασίας», «υπεύθυνος επεξεργασίας», «υποκείμενο δεδομένων» και «εποπτική αρχή» έχουν την ίδια έννοια όπως στην 95/46/ΕΚ Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των ατόμων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών (1)·
β) ο «Εξαγωγέας Δεδομένων» είναι ο υπεύθυνος επεξεργασίας δεδομένων που μεταφέρει τα προσωπικά δεδομένα·
γ) ο «Εισαγωγέας Δεδομένων» είναι ο εκτελών την επεξεργασία δεδομένων που συμφωνεί να λάβει από τον Εξαγωγέα Δεδομένων προσωπικά δεδομένα που προορίζονται να υποστούν επεξεργασία για λογαριασμό του Εξαγωγέα Δεδομένων μετά τη διαβίβαση σύμφωνα με τις οδηγίες του και σύμφωνα με τους όρους αυτών των ρητρών και ο οποίος δεν είναι με την επιφύλαξη του μηχανισμού τρίτης χώρας που εξασφαλίζει επαρκή προστασία κατά την έννοια του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ· (δ) «Εκτελών την επεξεργασία δεδομένων» σημαίνει τον εκτελούντα την επεξεργασία δεδομένων που δεσμεύεται από τον Εισαγωγέα Δεδομένων ή από οποιονδήποτε άλλο επεξεργαστή δεδομένων του Εισαγωγέα Δεδομένων που συμφωνεί να λαμβάνει από τον Εισαγωγέα Δεδομένων ή οποιονδήποτε άλλο επεξεργαστή δεδομένων του Εισαγωγέα δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δραστηριότητες επεξεργασίας να πραγματοποιηθεί για λογαριασμό του Εξαγωγέα Δεδομένων μετά τη διαβίβαση σύμφωνα με τις οδηγίες του Εξαγωγέα Δεδομένων,
ε) "ισχύουσα νομοθεσία για την προστασία δεδομένων" σημαίνει τη νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, συμπεριλαμβανομένου του δικαιώματος στην ιδιωτική ζωή όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, και εφαρμόζεται σε υπεύθυνο επεξεργασίας στο κράτος μέλος όπου είναι εγκατεστημένος ο εξαγωγέας δεδομένων·
στ) «τεχνικά και οργανωτικά μέτρα σχετικά με την ασφάλεια»: μέτρα που αποσκοπούν στην προστασία των προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση, ιδίως όταν η επεξεργασία περιλαμβάνει τη μετάδοση δεδομένων μέσω δικτύων και έναντι όλες οι άλλες παράνομες μορφές επεξεργασίας.
Ρήτρα 2
Λεπτομέρειες της μεταγραφής
Οι λεπτομέρειες της διαβίβασης, συμπεριλαμβανομένων, κατά περίπτωση, ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθορίζονται στο Παράρτημα 1, το οποίο αποτελεί αναπόσπαστο μέρος αυτών των ρητρών.
Ρήτρα 3
Ρήτρα δικαιούχου τρίτων
1. Το υποκείμενο των δεδομένων μπορεί να επιβάλει εναντίον του Εξαγωγέα Δεδομένων την παρούσα ρήτρα, την ρήτρα 4 στοιχεία β) έως (i), την ρήτρα 5 (α) έως (ε) και (ζ) έως (ι), την ρήτρα 6 (1) και (2). ), Ρήτρα 7, ρήτρα 8 παράγραφος 2 και ρήτρες 9 έως 12 ως δικαιούχος τρίτου
2. Το υποκείμενο των δεδομένων μπορεί να επιβάλει την παρούσα ρήτρα, ρήτρα 5 (α) έως (ε) και (ζ), ρήτρα 6, ρήτρα 7, ρήτρα 8 (2) και ρήτρες 9 έως 12 κατά του εισαγωγέα δεδομένων όταν ο Εξαγωγέας Δεδομένων έχει εξαφανίστηκε ή έπαυσε να υφίσταται νομικά, εκτός εάν όλες οι νομικές του υποχρεώσεις έχουν μεταφερθεί, με σύμβαση ή βάσει νόμου, στη διάδοχη οντότητα, στην οποία επιστρέφονται επομένως τα δικαιώματα και οι υποχρεώσεις του Εξαγωγέα Δεδομένων και κατά της οποίας τα δεδομένα Το υποκείμενο μπορεί επομένως να επιβάλει τις εν λόγω ρήτρες.
Το υποκείμενο των δεδομένων μπορεί να επιβάλει την παρούσα ρήτρα, ρήτρα 5 (α) έως (ε) και (ζ), ρήτρα 6, ρήτρα 7, ρήτρα 8 (2) και ρήτρες 9 έως 12 κατά του εκτελούντος την επεξεργασία δεδομένων, αλλά μόνο σε περιπτώσεις όπου τα Δεδομένα Ο Εξαγωγέας και ο Εισαγωγέας Δεδομένων έχουν εξαφανιστεί σωματικά, έχουν πάψει να υφίστανται νομικά ή έχουν καταστεί αφερέγγυα, εκτός εάν όλες οι νομικές υποχρεώσεις του Εξαγωγέα Δεδομένων έχουν μεταβιβαστεί, με σύμβαση ή βάσει νόμου, στον νόμιμο διάδοχο, στον οποίο τα δικαιώματα και Ως εκ τούτου, βαρύνουν τον Εξαγωγέα Δεδομένων και έναντι του οποίου το υποκείμενο των δεδομένων μπορεί να επιβάλει τέτοιες ρήτρες. Αυτή η ευθύνη του εκτελούντος την επεξεργασία δεδομένων πρέπει να περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με αυτές τις ρήτρες.
4. Τα μέρη δεν αντιτίθενται στην εκπροσώπηση του υποκειμένου των δεδομένων από ένωση ή άλλο φορέα εάν το επιθυμεί και εάν το επιτρέπει η εθνική νομοθεσία.
Ρήτρα 4
Υποχρεώσεις του Εξαγωγέα Δεδομένων
Ο Εξαγωγέας Δεδομένων αποδέχεται και εγγυάται τα ακόλουθα:
α) η επεξεργασία, συμπεριλαμβανομένης της πραγματικής διαβίβασης δεδομένων προσωπικού χαρακτήρα, πραγματοποιήθηκε και θα συνεχίσει να πραγματοποιείται σύμφωνα με τις σχετικές διατάξεις της ισχύουσας νομοθεσίας περί προστασίας δεδομένων (και, κατά περίπτωση, έχει κοινοποιηθεί στις αρμόδιες αρχές του κράτους μέλους στην οποία εδρεύει ο Εξαγωγέας Δεδομένων) και δεν παραβιάζει τις σχετικές διατάξεις αυτού του Κράτους·
β) έχουν δώσει οδηγίες και θα δώσουν εντολή στον Εισαγωγέα Δεδομένων να επεξεργάζεται τα προσωπικά δεδομένα που διαβιβάζονται για λογαριασμό του Εξαγωγέα Δεδομένων και σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας δεδομένων και τις παρούσες ρήτρες, κατά τη διάρκεια των υπηρεσιών επεξεργασίας δεδομένων.
γ) ο Εισαγωγέας Δεδομένων θα παρέχει επαρκείς διασφαλίσεις σχετικά με τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο Παράρτημα 2 της παρούσας σύμβασης.
δ) μετά από αξιολόγηση των απαιτήσεων της ισχύουσας νομοθεσίας για την προστασία δεδομένων, τα μέτρα ασφαλείας είναι επαρκή για την προστασία των προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση, ιδίως όταν η επεξεργασία περιλαμβάνει τη μετάδοση δεδομένων μέσω δικτύου και έναντι όλων των άλλων παράνομων μορφών επεξεργασίας και να διασφαλίζει επίπεδο ασφάλειας κατάλληλο για τους κινδύνους που αντιπροσωπεύει η επεξεργασία και τη φύση των δεδομένων που πρέπει να προστατευθούν, λαμβάνοντας υπόψη το επίπεδο τεχνολογίας και το κόστος εφαρμογής·
ε) θα διασφαλίζουν τη συμμόρφωση με τα μέτρα ασφαλείας·
στ) εάν η διαβίβαση σχετίζεται με ειδικές κατηγορίες δεδομένων, το υποκείμενο των δεδομένων έχει ενημερωθεί ή θα ενημερωθεί πριν από τη διαβίβαση ή το συντομότερο δυνατό μετά τη διαβίβαση ότι τα δεδομένα του ενδέχεται να μεταφερθούν σε τρίτη χώρα που δεν προσφέρει επαρκές επίπεδο προστασίας κατά την έννοια της οδηγίας 95/46/ΕΚ·
ζ) θα διαβιβάσουν οποιαδήποτε ειδοποίηση ληφθεί από τον Εισαγωγέα Δεδομένων ή οποιονδήποτε εκτελούντα την επεξεργασία δεδομένων σύμφωνα με τις ρήτρες 5 (β) και 8 (3) στην εποπτική αρχή προστασίας δεδομένων εάν αποφασίσει να συνεχίσει τη διαβίβαση ή να άρει την αναστολή της·
η) θέτουν στη διάθεση των υποκειμένων των δεδομένων, εάν το ζητήσουν, αντίγραφο αυτών των ρητρών, εκτός από το Παράρτημα 2, και μια συνοπτική περιγραφή των μέτρων ασφαλείας και αντίγραφο οποιασδήποτε περαιτέρω συμφωνίας υπεργολαβίας, που έχει συναφθεί βάσει αυτών των ρητρών, εκτός εάν Οι ρήτρες ή η συμφωνία περιέχουν εμπορικές πληροφορίες, οπότε μπορεί να αποσύρει αυτές τις πληροφορίες.
θ) σε περίπτωση υπεργολαβίας της διαδικασίας επεξεργασίας δεδομένων, η δραστηριότητα επεξεργασίας πραγματοποιείται σύμφωνα με την ρήτρα 11 από έναν εκτελούντα την επεξεργασία δεδομένων που παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας των προσωπικών δεδομένων και των δικαιωμάτων του υποκειμένου των δεδομένων με τον Εισαγωγέα Δεδομένων σύμφωνα με αυτές τις Ρήτρες ; και
ι) θα διασφαλίζει τη συμμόρφωση με την ρήτρα 4 (α) έως (i).
Ρήτρα 5
Υποχρεώσεις του Εισαγωγέα Δεδομένων
Ο Εισαγωγέας Δεδομένων αποδέχεται και εγγυάται τα ακόλουθα:
α) θα επεξεργάζονται τα προσωπικά δεδομένα μόνο για λογαριασμό του Εξαγωγέα Δεδομένων και σύμφωνα με τις οδηγίες του Εξαγωγέα Δεδομένων και αυτές τις ρήτρες· εάν δεν μπορεί να συμμορφωθεί για οποιονδήποτε λόγο, συμφωνούν να ενημερώσουν τον Εξαγωγέα Δεδομένων για την αδυναμία του το συντομότερο δυνατό, οπότε ο Εξαγωγέας Δεδομένων μπορεί να αναστείλει τη μεταφορά δεδομένων ή/και να τερματίσει τη σύμβαση·
β) δεν έχουν κανένα λόγο να πιστεύουν ότι το εφαρμοστέο σε αυτούς δίκαιο τον εμποδίζει να εκπληρώσει τις οδηγίες του Εξαγωγέα Δεδομένων και τις υποχρεώσεις που του απορρέουν βάσει της σύμβασης, και εάν το δίκαιο αυτό υπόκειται σε αλλαγή που θα μπορούσε να έχει ουσιώδεις αρνητικές επιπτώσεις επηρεάζει τις εγγυήσεις και τις υποχρεώσεις βάσει των ρητρών, ενημερώνει τον Εξαγωγέα Δεδομένων για την αλλαγή χωρίς καθυστέρηση αφού λάβει γνώση, οπότε ο Εξαγωγέας Δεδομένων μπορεί να αναστείλει τη μεταφορά δεδομένων ή/και να τερματίσει τη σύμβαση· (γ) έχουν εφαρμόσει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο Παράρτημα 2 πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται·
δ) θα ειδοποιήσουν χωρίς καθυστέρηση τον Εξαγωγέα Δεδομένων:
i) κάθε δεσμευτικό αίτημα για αποκάλυψη προσωπικών δεδομένων από αρχή επιβολής του νόμου, εκτός εάν ορίζεται διαφορετικά, όπως ποινική απαγόρευση που αποσκοπεί στη διατήρηση του απορρήτου μιας αστυνομικής έρευνας·
ii) οποιαδήποτε τυχαία ή μη εξουσιοδοτημένη πρόσβαση· και
iii) κάθε αίτημα που λαμβάνεται απευθείας από τα ενδιαφερόμενα πρόσωπα χωρίς να απαντήσει σε αυτό, εκτός εάν έχει εξουσιοδοτηθεί να το πράξει· διαχειριστές
ε) θα χειρίζονται έγκαιρα και σωστά όλα τα ερωτήματα από τον Εξαγωγέα Δεδομένων σχετικά με την επεξεργασία των προσωπικών δεδομένων που διαβιβάζονται και θα ενεργούν σύμφωνα με τη γνώμη της εποπτικής αρχής σχετικά με την επεξεργασία των δεδομένων που διαβιβάζονται·
στ) κατόπιν αιτήματος του Εξαγωγέα Δεδομένων, θα υποβάλουν τις εγκαταστάσεις επεξεργασίας δεδομένων του σε έλεγχο των δραστηριοτήτων επεξεργασίας που καλύπτονται από αυτές τις ρήτρες, ο οποίος θα διενεργηθεί από τον Εξαγωγέα Δεδομένων ή από εποπτικό όργανο που αποτελείται από ανεξάρτητα μέλη με τα απαιτούμενα επαγγελματικά προσόντα, υπόκειται σε υποχρέωση εχεμύθειας και επιλέγεται από τον Εξαγωγέα Δεδομένων, κατά περίπτωση με τη συμφωνία της εποπτικής αρχής·
ζ) θα θέσουν στη διάθεση του υποκειμένου των δεδομένων, εάν το ζητήσει, αντίγραφο αυτών των ρητρών ή οποιασδήποτε υπάρχουσας υπεργολαβίας της σύμβασης επεξεργασίας δεδομένων, εκτός εάν οι όροι ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε μπορεί να αφαιρέσει τέτοιες πληροφορίες, εκτός από το Παράρτημα 2, το οποίο θα αντικατασταθεί από μια συνοπτική περιγραφή των μέτρων ασφαλείας, όταν το υποκείμενο των δεδομένων δεν μπορεί να λάβει αντίγραφο από τον εξαγωγέα δεδομένων·
η) σε περίπτωση εμπιστευτικής περαιτέρω υπεργολαβίας για την επεξεργασία των δεδομένων, θα μεριμνήσει ώστε να ενημερώσει εκ των προτέρων τον Εξαγωγέα Δεδομένων και να λάβει τη γραπτή συγκατάθεση του Εξαγωγέα Δεδομένων·
i) οι υπηρεσίες επεξεργασίας που παρέχονται από τον εκτελούντα την επεξεργασία δεδομένων συμμορφώνονται με την ρήτρα 11·
ι) θα αποστείλουν αμέσως αντίγραφο οποιασδήποτε υπεργολαβίας της συμφωνίας επεξεργασίας δεδομένων που έχει συνάψει βάσει αυτών των ρητρών στον εξαγωγέα δεδομένων.
Ρήτρα 6
Ευθύνη
1. Τα μέρη συμφωνούν ότι κάθε υποκείμενο δεδομένων που έχει υποστεί ζημία λόγω παραβίασης των υποχρεώσεων που αναφέρονται στην ρήτρα 3 ή στην ρήτρα 11 από ένα μέρος ή από έναν εκτελούντα την επεξεργασία δεδομένων μπορεί να λάβει αποζημίωση από τον Εξαγωγέα Δεδομένων για τη ζημία που υπέστη.
2. Εάν ένα υποκείμενο των δεδομένων εμποδίζεται να ασκήσει αγωγή αποζημίωσης, όπως αναφέρεται στην παράγραφο 1, κατά του Εξαγωγέα Δεδομένων για αδυναμία του Εισαγωγέα Δεδομένων ή του επεξεργαστή δεδομένων του να συμμορφωθεί με οποιαδήποτε από τις υποχρεώσεις του βάσει της ρήτρας 3 ή της ρήτρας 11, επειδή τα δεδομένα Ο εξαγωγέας έχει εξαφανιστεί σωματικά, έπαυσε να υπάρχει νομικά ή έχει καταστεί αφερέγγυος, ο Εισαγωγέας Δεδομένων συμφωνεί ότι το υποκείμενο των δεδομένων μπορεί να υποβάλει καταγγελία εναντίον του σαν να ήταν ο Εξαγωγέας Δεδομένων, εκτός εάν όλες οι νομικές υποχρεώσεις του Εξαγωγέα Δεδομένων έχουν μεταφερθεί με σύμβαση ή βάσει νόμου, στον διάδοχό του φορέα, έναντι του οποίου το υποκείμενο των δεδομένων μπορεί στη συνέχεια να ασκήσει τα δικαιώματά του. Ο Εισαγωγέας Δεδομένων δεν μπορεί να βασιστεί σε παραβίαση των υποχρεώσεών του από τον εκτελούντα την επεξεργασία δεδομένων για να αποφύγει τη δική του ευθύνη.
3. Εάν ένα υποκείμενο των δεδομένων εμποδίζεται να ασκήσει τη αγωγή που αναφέρεται στις παραγράφους 1 και 2 κατά του Εξαγωγέα Δεδομένων ή του Εισαγωγέα Δεδομένων για παραβίαση από τον επεξεργαστή δεδομένων των υποχρεώσεών του βάσει της ρήτρας 3 ή της ρήτρας 11, επειδή ο Εξαγωγέας Δεδομένων και ο Εισαγωγέας Δεδομένων έχουν εξαφανιστεί σωματικά, έπαυσαν να υφίστανται βάσει νόμου ή έχουν καταστεί αφερέγγυος, ο επεξεργαστής δεδομένων συμφωνεί ότι το υποκείμενο των δεδομένων μπορεί να υποβάλει καταγγελία εναντίον του σχετικά με τις δικές του δραστηριότητες επεξεργασίας σύμφωνα με αυτές τις ρήτρες σαν να ήταν ο εξαγωγέας ή ο εισαγωγέας δεδομένων, εκτός εάν όλα οι νομικές υποχρεώσεις του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων έχουν μεταβιβαστεί, με σύμβαση ή βάσει νόμου, στον νόμιμο διάδοχο, έναντι του οποίου το υποκείμενο των δεδομένων μπορεί στη συνέχεια να διεκδικήσει τα δικαιώματά του.Η ευθύνη του εκτελούντος την επεξεργασία δεδομένων πρέπει να περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με αυτές τις ρήτρες.
Ρήτρα 7
Διαμεσολάβηση και δικαιοδοσία
1. Ο Εισαγωγέας Δεδομένων συμφωνεί ότι εάν σύμφωνα με τις ρήτρες, το υποκείμενο των δεδομένων επικαλεστεί εναντίον του το δικαίωμα του τρίτου δικαιούχου ή/και αξιώσει αποζημίωση για την ζημία που υπέστη, θα αποδεχτεί την απόφαση του υποκειμένου των δεδομένων:
α) να υποβάλει τη διαφορά σε διαμεσολάβηση από ανεξάρτητο πρόσωπο ή, κατά περίπτωση, από την εποπτική αρχή·
β) να προσφύγει στη διαφορά στα δικαστήρια του κράτους μέλους όπου εδρεύει ο εξαγωγέας δεδομένων.
2. Τα μέρη συμφωνούν ότι η επιλογή του υποκειμένου των δεδομένων δεν επηρεάζει το διαδικαστικό ή ουσιαστικό δικαίωμα του υποκειμένου των δεδομένων να αποζημιωθεί σύμφωνα με άλλες διατάξεις του εθνικού ή διεθνούς δικαίου.
Ρήτρα 8
Συνεργασία με εποπτικές αρχές
1. Ο Εξαγωγέας Δεδομένων συμφωνεί να καταθέσει αντίγραφο της παρούσας σύμβασης στην εποπτική αρχή εάν το απαιτεί η τελευταία ή εάν η εν λόγω κατάθεση προβλέπεται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων.
2. Τα μέρη συμφωνούν ότι η εποπτική αρχή μπορεί να διενεργεί ελέγχους στον Εισαγωγέα Δεδομένων και σε οποιονδήποτε εκτελούντα την επεξεργασία δεδομένων στον ίδιο βαθμό και υπό τους ίδιους όρους όπως και με τους ελέγχους που διενεργούνται στον εξαγωγέα δεδομένων σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας δεδομένων.
3. Ο Εισαγωγέας Δεδομένων ενημερώνει τον Εξαγωγέα Δεδομένων το συντομότερο δυνατό για την ύπαρξη νομοθεσίας σχετικά με τον Εισαγωγέα Δεδομένων ή οποιονδήποτε επεξεργαστή δεδομένων που εμποδίζει την επαλήθευση στον Εισαγωγέα Δεδομένων ή σε οποιονδήποτε επεξεργαστή δεδομένων σύμφωνα με την παράγραφο 2. Σε αυτή την περίπτωση, Ο εξαγωγέας δεδομένων μπορεί να λάβει τα μέτρα που προβλέπονται στην ρήτρα 5 στοιχείο β).
Ρήτρα 9
Εφαρμόσιμος νόμος
Οι ρήτρες ισχύουν και διέπονται από το δίκαιο του κράτους μέλους όπου εδρεύει ο Εξαγωγέας Δεδομένων.
Ρήτρα 10
Τροποποίηση της σύμβασης
Τα μέρη δεσμεύονται να μην τροποποιήσουν τις παρούσες ρήτρες. Τα μέρη παραμένουν ελεύθερα να συμπεριλάβουν άλλες εμπορικές ρήτρες που κρίνουν αναγκαίες, υπό την προϋπόθεση ότι δεν έρχονται σε αντίθεση με τις παρούσες ρήτρες.
Ρήτρα 11
Μεταγενέστερη υπεργολαβία
1. Ο Εισαγωγέας Δεδομένων δεν αναθέτει σε υπεργολαβία καμία από τις δραστηριότητές του επεξεργασίας που εκτελούνται για λογαριασμό του Εξαγωγέα Δεδομένων σύμφωνα με αυτές τις ρήτρες χωρίς την προηγούμενη γραπτή συγκατάθεση του Εξαγωγέα Δεδομένων. Ο Εισαγωγέας Δεδομένων αναθέτει υπεργολαβικά τις υποχρεώσεις του βάσει αυτών των Ρήτρων, με τη συγκατάθεση του Εξαγωγέα Δεδομένων, μέσω γραπτής συμφωνίας με τον εκτελούντα την επεξεργασία δεδομένων που επιβάλλει στον επεξεργαστή Δεδομένων τις ίδιες υποχρεώσεις με εκείνες που επιβάλλονται στον Εισαγωγέα Δεδομένων βάσει αυτών των Ρήτρων. Εάν ο εκτελών την επεξεργασία δεδομένων δεν μπορεί να συμμορφωθεί με τις υποχρεώσεις του για την προστασία των δεδομένων βάσει αυτής της γραπτής συμφωνίας, ο Εισαγωγέας Δεδομένων παραμένει πλήρως υπεύθυνος έναντι του Εξαγωγέα Δεδομένων για την εκπλήρωση αυτών των υποχρεώσεων.
2. Η προηγούμενη γραπτή συμφωνία μεταξύ του Εισαγωγέα Δεδομένων και του εκτελούντος την επεξεργασία δεδομένων περιλαμβάνει επίσης ρήτρα δικαιούχου τρίτου μέρους, όπως ορίζεται στην ρήτρα 3, για περιπτώσεις όπου το υποκείμενο των δεδομένων δεν μπορεί να υποβάλει αξίωση αποζημίωσης που αναφέρεται στην ρήτρα 6 (1 ), κατά του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων επειδή ο εξαγωγέας δεδομένων ή ο εισαγωγέας δεδομένων εξαφανίστηκε φυσικά, έπαψε να υφίσταται νομικά ή έχει καταστεί αφερέγγυος και όλες οι νομικές υποχρεώσεις του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων δεν έχουν μεταφερθεί, με σύμβαση ή πράξη νόμου, σε άλλο διάδοχο φορέα. Η ευθύνη του εκτελούντος την επεξεργασία δεδομένων πρέπει να περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με αυτές τις ρήτρες.
3. Οι διατάξεις που αφορούν τις πτυχές προστασίας δεδομένων της υπεργολαβίας για την επεξεργασία δεδομένων της σύμβασης που αναφέρεται στην παράγραφο 1 διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.
4. Ο Εξαγωγέας Δεδομένων τηρεί κατάλογο των συμβάσεων υπεργολαβίας για την επεξεργασία δεδομένων που έχουν συναφθεί δυνάμει των παρόντων ρητρών και κοινοποιούνται από τον εισαγωγέα δεδομένων σύμφωνα με το άρθρο 5 στοιχείο ι), ο οποίος ενημερώνεται τουλάχιστον μία φορά το χρόνο. Ο κατάλογος αυτός τίθεται στη διάθεση της εποπτικής αρχής προστασίας δεδομένων του εξαγωγέα δεδομένων.
Ρήτρα 12
Υποχρέωση μετά τη λήξη των υπηρεσιών επεξεργασίας προσωπικών δεδομένων
1. Τα μέρη συμφωνούν ότι με την ολοκλήρωση των υπηρεσιών επεξεργασίας δεδομένων, ο Εισαγωγέας Δεδομένων και ο Επεξεργαστής Δεδομένων θα επιστρέψουν όλα τα προσωπικά δεδομένα που διαβιβάστηκαν και τα αντίγραφά τους στον εξαγωγέα δεδομένων ή θα καταστρέψουν όλα αυτά τα δεδομένα και θα παράσχουν αποδεικτικά στοιχεία την καταστροφή στον Εξαγωγέα Δεδομένων, εκτός εάν η νομοθεσία που επιβάλλεται στον Εισαγωγέα Δεδομένων τον εμποδίζει να επιστρέψει ή να καταστρέψει το σύνολο ή μέρος των προσωπικών δεδομένων που διαβιβάστηκαν. Σε αυτήν την περίπτωση, ο Εισαγωγέας Δεδομένων εγγυάται ότι θα διασφαλίσει την εμπιστευτικότητα των προσωπικών δεδομένων που διαβιβάζονται και ότι δεν θα επεξεργάζεται πλέον ενεργά τα δεδομένα.
2. Ο Εισαγωγέας Δεδομένων και ο Εκτελών την Επεξεργασία Δεδομένων διασφαλίζουν ότι, εάν ζητηθεί από τον Εξαγωγέα Δεδομένων ή/και την εποπτική αρχή, θα υποβάλουν τα μέσα επεξεργασίας δεδομένων τους στην επαλήθευση των μέτρων που αναφέρονται στην παράγραφο 1.
Παράρτημα 1.1 στο Μέρος 2
Λεπτομέρειες της μεταγραφής
Εξαγωγέας δεδομένων
Ο Εξαγωγέας Δεδομένων είναι ο Πελάτης που ορίζεται στη Συμβατική συμφωνία.
Εισαγωγέας δεδομένων
Ο Εισαγωγέας Δεδομένων είναι η IQUALIF και έχει ανατεθεί να επεξεργάζεται τα δεδομένα, παρέχοντας υπηρεσίες στον Εξαγωγέα Δεδομένων.
Υποκείμενα των δεδομένων
Τα προσωπικά δεδομένα που διαβιβάζονται αφορούν τις ακόλουθες κατηγορίες υποκειμένων δεδομένων:
˜' συνδρομητές τηλεφώνου που αναφέρονται στον καθολικό κατάλογο
˜ Άλλα, συμπεριλαμβανομένων:
Κατηγορίες δεδομένων
Τα προσωπικά δεδομένα που διαβιβάζονται αφορούν τις ακόλουθες κατηγορίες δεδομένων:
Κατηγορίες προσωπικών δεδομένων των υποκειμένων δεδομένων του Εξαγωγέα Δεδομένων,
˜' Πλήρες όνομα
˜' Ταχυδρομική διεύθυνση
˜' Στοιχεία επικοινωνίας (e-mail, τηλέφωνο, διεύθυνση IP, κ.λπ.)
˜' Λεπτομέρειες των δραστηριοτήτων μάρκετινγκ που αφορούν τον τηλεφωνικό συνδρομητή
Άλλα, συμπεριλαμβανομένου του τύπου στέγασης, του εισοδήματος και του μέσου όρου ηλικιών ανά πόλη που έγιναν ανώνυμα
Ειδικές κατηγορίες δεδομένων (αν υπάρχουν)
Τα προσωπικά δεδομένα που διαβιβάζονται αφορούν τις ακόλουθες ειδικές κατηγορίες δεδομένων:
˜' Δεν προβλέπεται η μεταφορά ειδικών κατηγοριών δεδομένων
˜ Φυλή ή εθνική καταγωγή
˜ Θρησκευτικές ή φιλοσοφικές πεποιθήσεις
˜ Συνδικαλιστική ένταξη
˜ Πολιτικές απόψεις
Γενετικές πληροφορίες
Βιομετρικές πληροφορίες
˜ Πληροφορίες για τον σεξουαλικό προσανατολισμό ή τη σεξουαλική ζωή
˜ Δεδομένα υγείας
Δραστηριότητες επεξεργασίας
Τα προσωπικά δεδομένα που μεταφέρονται θα υπόκεινται στις ακόλουθες βασικές δραστηριότητες επεξεργασίας:
Η επεξεργασία που πραγματοποιείται για λογαριασμό του Εξαγωγέα Δεδομένων βασίζεται στα ακόλουθα θέματα, ιδίως:
˜' Ανάληψη των προϊόντων ή των υπηρεσιών που προσφέρονται από τον Εξαγωγέα Δεδομένων
˜' Η προσφορά ενός προϊόντος ή μιας υπηρεσίας που μπορεί να ζητήσει ο καλούμενος
˜' Παραγγελίες που λαμβάνονται από τα άτομα που καλούνται και περαιτέρω επεξεργασία αυτών των παραγγελιών
˜' Ερωτηματολόγια και αναλύσεις μελέτης
Τηλεμάρκετινγκ
˜ Άλλα, συμπεριλαμβανομένων:
Ο Εισαγωγέας Δεδομένων επεξεργάζεται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων για λογαριασμό του Εξαγωγέα Δεδομένων, προκειμένου να παρέχει τις ακόλουθες υπηρεσίες, και κυρίως:
˜' Πωλήσεις και Μάρκετινγκ
˜' Άλλα, συμπεριλαμβανομένης της ενημέρωσης βάσεων δεδομένων των δημαρχείων και των πολιτικών κομμάτων
Η IQUALIF συνδυάζει κυρίως, συγκεντρώνει και παρέχει υπηρεσίες στον Εξαγωγέα Δεδομένων. Οι υπηρεσίες που παρέχονται από τον κατονομαζόμενο πάροχο υπηρεσιών μπορούν να δομηθούν (μεταξύ άλλων, ανάλογα με την περίπτωση) γύρω από τις ακόλουθες βοηθητικές υπηρεσίες: (i) παροχή εφαρμογών, εργαλείων, συστημάτων και υποδομής πληροφορικής σε σχέση με τα κέντρα επεξεργασίας δεδομένων που χρησιμοποιούνται, για την παροχή και υποστηρίζει τις υπηρεσίες, συμπεριλαμβανομένης της επεξεργασίας των προσωπικών δεδομένων των υποκειμένων των δεδομένων όπως περιγράφεται παραπάνω, μέσω τέτοιων εφαρμογών, εργαλείων και συστημάτων, (ii) την παροχή υποστήριξης, συντήρησης και άλλων υπηρεσιών πληροφορικής που σχετίζονται με τέτοιες εφαρμογές, εργαλεία, συστήματα και την υποδομή πληροφορικής, συμπεριλαμβανομένης της πιθανής πρόσβασης σε προσωπικά δεδομένα που είναι αποθηκευμένα σε τέτοιες εφαρμογές, εργαλεία και συστήματα, και (iii) την παροχή υπηρεσιών προστασίας δεδομένων, παρακολούθησης προστασίας και υπηρεσιών απόκρισης συμβάντων, συμπεριλαμβανομένης της πιθανής πρόσβασης σε προσωπικά δεδομένα κατά την παροχή τέτοιων υπηρεσιών προστασίας. Η IQUALIF μπορεί να προσλάβει τους επεξεργαστές δεδομένων όπως ορίζεται παρακάτω για την παροχή των υπηρεσιών, συμπεριλαμβανομένων των βοηθητικών υπηρεσιών.
Η IQUALIF δεσμεύει εξωτερικούς και τρίτους παρόχους υπηρεσιών, οι οποίοι δεν είναι θυγατρικές της IQUALIF, για την υποστήριξη της παροχής υπηρεσιών στον Εξαγωγέα Δεδομένων. Ο εξαγωγέας δεδομένων εγκρίνει τέτοιους εξωτερικούς τρίτους παρόχους υπηρεσιών ως επιμέρους οντότητες που έχουν ανατεθεί στην επεξεργασία δεδομένων.
Εάν μια επιμέρους οντότητα που εμπλέκεται στην επεξεργασία δεδομένων βρίσκεται εκτός ΕΕ/ΕΟΧ, σε χώρα που θεωρείται ότι δεν διαθέτει επαρκές επίπεδο προστασίας δεδομένων βάσει απόφασης της Ευρωπαϊκής Επιτροπής, ο Εισαγωγέας Δεδομένων θα λάβει μέτρα για την απόκτηση επαρκούς επιπέδου προστασία δεδομένων σύμφωνα με τον GDPR και την ενότητα 3.4 (iv) του Μέρους 1.
Παράρτημα 2, Μέρος 2
Τεχνικά και οργανωτικά προστατευτικά μέτρα
Ο Εισαγωγέας Δεδομένων λαμβάνει τα ακόλουθα τεχνικά και οργανωτικά μέτρα προστασίας που επιβεβαιώνονται από τον Εξαγωγέα Δεδομένων, προκειμένου να εγγυηθεί κατάλληλο επίπεδο ασφάλειας για τα δικαιώματα και τις ελευθερίες των ατόμων, ανάλογα με τους κινδύνους. Κατά την αξιολόγηση του σχετικού επιπέδου προστασίας, ο Εξαγωγέας Δεδομένων έλαβε υπόψη, ειδικότερα, τους κινδύνους που ενέχει η επεξεργασία, συμπεριλαμβανομένης της τυχαίας ή παράνομης καταστροφής, αλλοίωσης, μη εξουσιοδοτημένης αποκάλυψης ή πρόσβασης σε προσωπικά δεδομένα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν σε επεξεργασία με άλλο τρόπο. Διευκρινίζοντας: Αυτά τα τεχνικά και οργανωτικά μέτρα προστασίας δεν ισχύουν για τις εφαρμογές, τα εργαλεία, τα συστήματα ή/και την υποδομή πληροφορικής που παρέχονται από τον Εξαγωγέα Δεδομένων.
1 Γενικά τεχνικά και οργανωτικά μέτρα προστασίας |
1.1 Γενικές πληροφορίες και στρατηγικές προστασίας δεδομένων |
Τα ακόλουθα βήματα πρέπει να ληφθούν για να ακολουθηθούν οι γενικές στρατηγικές προστασίας δεδομένων και πληροφοριών: |
|
|
|
|
|
1.2 Οργάνωση προστασίας πληροφοριών |
Θα πρέπει να ληφθούν τα ακόλουθα μέτρα για τον συντονισμό των δραστηριοτήτων προστασίας δεδομένων και πληροφοριών: |
|
|
|
1.3 Έλεγχος πρόσβασης στις περιοχές επεξεργασίας |
Πρέπει να λαμβάνονται τα ακόλουθα μέτρα για να αποτραπεί η πρόσβαση μη εξουσιοδοτημένων προσώπων σε συστήματα επεξεργασίας δεδομένων (ιδίως λογισμικό και υλικό) κατά την επεξεργασία, αποθήκευση ή διαβίβαση προσωπικών δεδομένων: |
|
|
|
|
1.4 Έλεγχος πρόσβασης σε συστήματα επεξεργασίας δεδομένων |
Πρέπει να ληφθούν τα ακόλουθα μέτρα προκειμένου να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση σε συστήματα επεξεργασίας δεδομένων: |
|
|
|
|
|
|
1.5 Έλεγχος της πρόσβασης σε συγκεκριμένους τομείς χρήσης συστημάτων επεξεργασίας δεδομένων |
Πρέπει να ληφθούν τα ακόλουθα μέτρα για να διασφαλιστεί ότι τα εξουσιοδοτημένα άτομα με δικαίωμα χρήσης του συστήματος επεξεργασίας δεδομένων μπορούν να έχουν πρόσβαση σε δεδομένα μόνο στο πλαίσιο των αντίστοιχων αρμοδιοτήτων και εξουσιοδοτήσεων πρόσβασης και ότι τα προσωπικά δεδομένα δεν μπορούν να διαβαστούν, να αντιγραφούν, να τροποποιηθούν ή να διαγραφούν χωρίς εξουσιοδότηση: |
|
|
|
|
|
|
|
1.6 Έλεγχος μετάδοσης |
Πρέπει να ληφθούν τα ακόλουθα μέτρα προκειμένου να αποτραπεί η ανάγνωση, η αντιγραφή, η τροποποίηση ή η διαγραφή προσωπικών δεδομένων από μη εξουσιοδοτημένα τρίτα μέρη κατά τη μετάδοση ή τη μεταφορά συσκευών αποθήκευσης δεδομένων (ανάλογα με την επεξεργασία των προσωπικών δεδομένων που πραγματοποιείται): |
|
|
|
1.7 Έλεγχος εισαγωγής δεδομένων |
Πρέπει να ληφθούν τα ακόλουθα μέτρα για να διασφαλιστεί ότι είναι δυνατή η επαλήθευση και ο προσδιορισμός του κατά πόσον προσωπικά δεδομένα έχουν εισαχθεί ή διαγραφεί από συστήματα επεξεργασίας δεδομένων και από ποιον: |
|
|
1.8 Έλεγχος εργασίας |
Σε περίπτωση κατ' εξουσιοδότηση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, πρέπει να λαμβάνονται τα ακόλουθα μέτρα για να διασφαλιστεί ότι η επεξεργασία αυτών των δεδομένων γίνεται σύμφωνα με τις οδηγίες του Επόπτη: |
|
|
|
|
1.9 Διαχωρισμός από την επεξεργασία για άλλους σκοπούς |
Πρέπει να ληφθούν τα ακόλουθα μέτρα για να διασφαλιστεί ότι τα δεδομένα που συλλέγονται για άλλους σκοπούς μπορούν να υποβληθούν σε χωριστή επεξεργασία: |
|
|
1.10 Ψευδωνυμοποίηση |
Τα ακόλουθα μέτρα πρέπει να ληφθούν σχετικά με την ψευδωνυμοποίηση των προσωπικών δεδομένων: |
|
|
1.11 Κρυπτογράφηση |
Θα πρέπει να ληφθούν τα ακόλουθα βήματα για την κρυπτογράφηση προσωπικών δεδομένων σε εφαρμογές και μεταδόσεις που υποστηρίζουν κρυπτογράφηση:
|
|
|
1.12 Πληρότητα συστημάτων και υπηρεσιών επεξεργασίας δεδομένων |
Πρέπει να ληφθούν τα ακόλουθα μέτρα προκειμένου να διασφαλιστεί η πληρότητα των συστημάτων και υπηρεσιών επεξεργασίας δεδομένων: |
|
|
|
1.13 Διαθεσιμότητα συστημάτων και υπηρεσιών επεξεργασίας δεδομένων και δυνατότητα αποκατάστασης της πρόσβασης και χρήσης προσωπικών δεδομένων σε περίπτωση υλικού ή τεχνικού συμβάντος |
Πρέπει να ληφθούν τα ακόλουθα μέτρα προκειμένου να διασφαλιστεί η διαθεσιμότητα συστημάτων επεξεργασίας δεδομένων, καθώς και να είναι δυνατή η ταχεία αποκατάσταση της διαθεσιμότητας και πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, σε περίπτωση υλικού ή τεχνικού συμβάντος (ιδίως διασφαλίζοντας ότι τα προσωπικά δεδομένα προστατεύονται από τυχαία καταστροφή ή απώλεια): |
|
|
|
|
|
|
|
1.14 Ανθεκτικότητα συστημάτων και υπηρεσιών επεξεργασίας δεδομένων |
Τα ακόλουθα μέτρα πρέπει να ληφθούν για να διασφαλιστεί η ανθεκτικότητα των συστημάτων και υπηρεσιών επεξεργασίας δεδομένων: |
|
|
|
1.15 Διαδικασία για τακτική δοκιμή, αξιολόγηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας δεδομένων |
Διαδικασία για τακτική δοκιμή, αξιολόγηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για την προστασία της επεξεργασίας δεδομένων. |
|
|
|
Μέρος 3
Υπογραφές των μερών και κατάλογος Εισαγωγέων Δεδομένων
Όταν συμπληρώνετε τη φόρμα ηλεκτρονικής παραγγελίας και την επικυρώνετε σημειώνοντας το πλαίσιο αποδεχόμενοι τους γενικούς όρους και προϋποθέσεις χρήσης, κατοχυρώνεται η σύμβαση που διέπει τη σχέση μεταξύ του Πελάτη και της IQUALIF.
Η αποστολή της πληρωμής στην IQUALIF θα εξετάσει τη συμφωνία που έχει συμφωνηθεί και καταρτιστεί.
Σημείωση: Αυτό το κείμενο έχει μεταφραστεί από τα γαλλικά. Η αρχική γαλλική έκδοση, η οποία είναι έγκυρη και νομικά περιοριστική, είναι διαθέσιμη εδώ .