Όροι Επεξεργασίας Προσωπικών Δεδομένων βάσει GDPR

Οι παρόντες όροι «Επεξεργασίας Προσωπικών Δεδομένων» υπογράφονται μεταξύ:

α) Αφενός του πελάτη, εφεξής «Υπεύθυνος Επεξεργασίας» (Data Controller) και
β) Αφετέρου της εταιρίας με την επωνυμία NETSTUDIO Ε.E., η οποία εκτελεί, βάσει υφιστάμενης συμβατικής σχέσης με τον υπεύθυνο επεξεργασίας, επεξεργασία προσωπικών δεδομένων, σε έντυπο ή / και ηλεκτρονικό μέσο, όπως αυτά ορίζονται στο άρθρο 4 παρ.1 του ΓΚΠΔ εφεξής: «Εκτελών Επεξεργασία» (Data Processor).

Οι παρόντες όροι προσαρτόνται στην Κύρια Σύμβαση μεταξύ των εις το παρόν συμβαλλομένων μερών, προκειμένου να ενσωματωθούν με παραπομπή στις συμβατικές σχέσεις των μερών, τα άρθρα και οι απαιτήσεις του ισχύοντος στην Ελλάδα και πανευρωπαϊκά από 25.5.2018 Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) 2016/679) και της οικείας ελληνικής νομοθεσίας, όπως εκάστοτε ισχύει.

1. Υποχρεώσεις Εκτελούντος Επεξεργασία

Ο Εκτελών την Επεξεργασία θα επεξεργάζεται τα Προσωπικά Δεδομένα μόνο σύμφωνα με την παρούσα Σύμβαση Επεξεργασίας Δεδομένων και μόνο σύμφωνα με τις έγγραφες οδηγίες (μέσω email ή μέσω του συστήματος υποστήριξης, netstudio.support) του Υπεύθυνου Επεξεργασίας, οι οποίες πρέπει πάντα να είναι σύννομες καθώς αυτός θα ευθύνεται για οποιαδήποτε τυχόν αθέμιτη και παράνομη εντολή επεξεργασίας δοθεί στον Εκτελούντα την Επεξεργασία. Εν γένει ο Υπεύθυνος Επεξεργασίας ευθύνεται για κάθε εντολή κίνησης που ζητάει να πραγματοποιηθεί από τον Εκτελούντα την Επεξεργασία, αναλαμβάνοντας πλήρως κάθε είδους ευθύνη, εκτός εάν έχει γίνει κατόπιν πρωτοβουλίας του Εκτελούντος την Επεξεργασία.

Ο Εκτελών την Επεξεργασία θα εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας σύμφωνα με το άρθρο 32 του ΓΚΠΔ για να αποτρέψει τυχαία ή παράνομη καταστροφή, απώλεια ή αλλοίωση, αποκάλυψη ή προσπέλαση των Προσωπικών Δεδομένων χωρίς άδεια, ή κατ’ άλλο τρόπο επεξεργασία κατά παράβαση της νομοθεσίας προστασίας δεδομένων. Τα ως άνω τεχνικά και οργανωτικά μέτρα ασφάλειας πρέπει να καθορίζονται λαμβάνοντας υπόψη: α) την τρέχουσα κατάσταση της τεχνολογίας, β) το κόστος εφαρμογής τους και γ) τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Ο Εκτελών την Επεξεργασία οφείλει να εκπληρώνει τις υποχρεώσεις του στο πλαίσιο της παρούσας Σύμβασης επεξεργασίας δεδομένων με την απαιτούμενη επιμέλεια που αναμένεται από έναν ικανό και έμπειρο Εκτελούντα την Επεξεργασία, και, κατ’ ελάχιστον, σύμφωνα με τα κοινώς αναγνωρισμένα κλαδικά πρότυπα, όπου ισχύουν, με στόχο να διασφαλίζει την ποιότητα και την λειτουργικότητα των τεχνικών λύσεων καθώς και το επίπεδο δεξιοτήτων και ικανοτήτων του προσωπικού που διατίθεται για την εκτέλεση της επεξεργασίας.

Ο Εκτελών την Επεξεργασία παρέχει στον Υπεύθυνο Επεξεργασίας, κατόπιν αιτήματος του τελευταίου, επαρκείς πληροφορίες ώστε ο Υπεύθυνος Επεξεργασίας να μπορεί να εξακριβώσει τη συμμόρφωση του Εκτελούντος την Επεξεργασία με τις υποχρεώσεις που ορίζονται στο Άρθρο 28 του ΓΚΠΔ και στην παρούσα Σύμβαση Επεξεργασίας Δεδομένων, συμπεριλαμβανομένων των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας.

Ο Εκτελών την Επεξεργασία αναλαμβάνει έναντι του Υπευθύνου Επεξεργασίας τις παρακάτω επιπρόσθετες υποχρεώσεις:

1.1. Να επεξεργάζεται τα προσωπικά δεδομένα του Υπευθύνου τηρώντας τις αρχές κάθε επιμέρους επεξεργασίας, με στόχο να προστατεύσει και να διαφυλάξει τα δικαιώματα του υποκειμένου, σύμφωνα με τον ΓΚΠΔ, τη νομοθεσία, τις αποφάσεις της ΑΠΔΠΧ, τις έγγραφες οδηγίες και την πολιτική προστασίας και ασφάλειας του αντισυμβαλλομένου, για το χρονικό διάστημα που ορίζεται στη Σύμβαση ή στο νόμο.

1.2 Να μην αποκαλύψει, κοινοποιήσει, αντιγράψει, παράσχει πρόσβαση στα προσωπικά δεδομένα του Υπευθύνου σε οποιονδήποτε τρίτο, να μην αναθέσει επεξεργασία σε τρίτο υπανάδοχο ή προστηθέντα του, χωρίς προηγούμενη έγγραφη άδεια και έγκριση εκ μέρους του Υπευθύνου Επεξεργασίας, με την επιφύλαξη κοινοποίησης προς αυτόν δεσμευτικής εντολής, εισαγγελικής παραγγελίας ή απόφασης από εποπτική, κρατική, φορολογική ή δικαστική αρχή, την οποία υποχρεούται να γνωστοποιεί άμεσα και εγγράφως με κάθε πρόσφορο μέσο στον Υπεύθυνο Επεξεργασίας.

1.3. Να προσαρμοστεί εν γένει στις συνολικές κανονιστικές απαιτήσεις του ΓΚΠΔ. Τονίζεται ότι σε περίπτωση ύπαρξης ευαίσθητων προσωπικών δεδομένων ή προσωπικών δεδομένων ειδικών κατηγοριών, ο Υπεύθυνος Επεξεργασίας πρέπει να ενημερώσει εγκαίρως, πλήρως και επαρκώς τον Εκτελούντα την Επεξεργασία για να λάβει ειδικά μέτρα προστασίας, για τα οποία ενδέχεται να υπάρχει οικονομική επιβάρυνση για τον Υπεύθυνο Επεξεργασίας, κατόπιν έγγραφης πρότερης ενημέρωσης από τον Εκτελούντα την Επεξεργασία.

1.4 Το ότι η Netstudio δρα ως Εκτελών την Επεξεργασία δεν την καθιστά υπεύθυνη για τυχόν απώλεια δεδομένων από την ιστοσελίδα του Υπευθύνου την Επεξεργασία ως αποτέλεσμα χακαρίσματος (hacking) ή άλλου είδους παραβίασης. Είναι αποκλειστική ευθύνη του Υπευθύνου Επεξεργασίας να λαμβάνει όλα τα απαραίτητα μέτρα για την ασφάλεια της ιστοσελίδας του, ενδεικτικά αναφερομένων των ακολούθων:

1) καταχώρηση ασφαλών password τα οποία αποθηκεύονται και ανακτώνται από password manager,

2) αφαίρεση πρόσβασης σε υπαλλήλους που αποχωρούν από την εταιρεία,

3) διατήρηση της ιστοσελίδας ενημερωμένης με τις τελευταίες εκδόσεις ασφαλείας,

4) διενέργεια σε τακτά χρονικά διαστήματα security audit (penetration test),

5) έλεγχος του backup.

2. Διαβίβαση δεδομένων

2.1. Ο Εκτελών την Επεξεργασία οφείλει να δηλώσει εγγράφως τη φυσική τοποθεσία των εγκαταστάσεων και των διακομιστών (servers),από όπου ο Εκτελών την Επεξεργασία θα επεξεργάζεται τα Προσωπικά Δεδομένα στο πλαίσιο της παρούσας Σύμβασης Επεξεργασίας Δεδομένων.

2.2 Απαγορεύεται καταρχήν η εκ μέρους του Εκτελούντος Επεξεργασία διαβίβαση προσωπικών δεδομένων του Υπευθύνου που κατέχει, σε χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (non adequate countries (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en)) και επιτρέπεται μόνο με τη ρητή άδεια του Υπευθύνου Επεξεργασίας.

3. Υποχρέωση Αναφοράς Περιστατικών Ασφαλείας

3.1. Ο Εκτελών Επεξεργασία υποχρεούται να αναφέρει αμελλητί εγγράφως με κάθε πρόσφορο μέσο στον Υπεύθυνο Επεξεργασίας, τυχόν παραβιάσεις προσωπικών δεδομένων που υπέπεσαν στην αντίληψή του.

3.2. Η σχετική αναφορά παραβίασης πρέπει να αναφέρει αθροιστικά α) τον τύπο και την αιτία της διαρροής, β) την ώρα που σημειώθηκε ή εντοπίστηκε, γ) τα έντυπα αρχεία ή τα ηλεκτρονικά συστήματα αρχειοθέτησης/λογισμικού/βάσεις δεδομένων που αφορά, δ) το είδος, τη φύση και τις κατηγορίες προσωπικών δεδομένων που τυχόν υποκλάπηκαν ή παραβιάστηκαν, ε) τον κατά προσέγγιση αριθμό ατόμων που κάθε τέτοιο περιστατικό αφορά και στ) τις ενδεχόμενες δυσμενείς συνέπειες και τους κινδύνους για τα υποκείμενα (π.χ. κλοπή ταυτότητας, κωδικών πελάτη, αριθμών πιστωτικών καρτών κλπ.).

4. Ευθύνη Εκτελούντος Επεξεργασία

4.1. Ο Εκτελών την Επεξεργασία δε δύναται να προσλάβει άλλον Εκτελούντα την Επεξεργασία (εφεξής "Υπεργολάβο Επεξεργασίας") για την επεξεργασία των Προσωπικών Δεδομένων στο πλαίσιο της παρούσας Σύμβασης Επεξεργασίας Δεδομένων χωρίς την προηγούμενη ειδική άδεια του Υπεύθυνου Επεξεργασίας.

4.2. Ο Υπεύθυνος Επεξεργασίας έχει το δικαίωμα να ανακαλέσει την άδειά του για τη χρήση ενός Υπεργολάβου Επεξεργασίας, σε περίπτωση που ο Υπεύθυνος Επεξεργασίας έχει αντιρρήσεις για ουσιαστικούς και συγκεκριμένους λόγους.

4.3. Ο Εκτελών την Επεξεργασία εγγυάται ότι το προσωπικό του έχει αναλάβει δέσμευση εμπιστευτικότητας.

4.4. Εάν ο Εκτελών την Επεξεργασία υπόκειται σε νομοθεσία τρίτης χώρας για την προστασία δεδομένων, ο Εκτελών την Επεξεργασία δηλώνει ότι η εν λόγω νομοθεσία ουδόλως τον παρεμποδίζει να εκπληρώσει τους όρους της παρούσας Σύμβασης Επεξεργασίας Δεδομένων και ότι ο Εκτελών την Επεξεργασία θα ενημερώνει εγγράφως τον Υπεύθυνο Επεξεργασίας χωρίς υπαίτια καθυστέρηση, εάν ο Εκτελών την Επεξεργασία διαπιστώσει ότι υπάρχει κάποιο τέτοιο εμπόδιο.

4.5. Εάν ο Εκτελών την Επεξεργασία είναι νομικό πρόσωπο, οι όροι και οι οδηγίες της παρούσας Σύμβασης Επεξεργασίας Δεδομένων ισχύουν για όλους τους εργαζόμενους του Εκτελούντος την Επεξεργασία (και τυχόν άλλα πρόσωπα εξουσιοδοτημένα να επεξεργάζονται τα Προσωπικά Δεδομένα) και ο Εκτελών την Επεξεργασία πρέπει να διασφαλίζει τη συμμόρφωση των εργαζομένων του και των τυχόν άλλων εξουσιοδοτημένων από αυτόν προσώπων.

4.6. Μετά το πέρας της παροχής υπηρεσιών σχετικά με την επεξεργασία Προσωπικών Δεδομένων στο πλαίσιο της παρούσας Σύμβασης Επεξεργασίας Δεδομένων, και κατόπιν αιτήματος του Υπεύθυνου Επεξεργασίας, ο Εκτελών την Επεξεργασία θα πρέπει (i) να διαγράψει αμέσως όλα τα Προσωπικά Δεδομένα, ή (ii) να επιστρέψει όλα τα Προσωπικά Δεδομένα στον Υπεύθυνο Επεξεργασίας (ή σε άλλο εκτελούντα την επεξεργασία, αν το ζητήσει ο Υπεύθυνος Επεξεργασίας). Εντούτοις, ο Εκτελών την Επεξεργασία δικαιούται να διατηρεί τα Προσωπικά Δεδομένα του Υπεύθυνου Επεξεργασίας (ή μέρος αυτών) στο βαθμό που η νομοθεσία της Ένωσης ή του Κράτους-μέλους απαιτεί τη συνέχιση της αποθήκευσης των εν λόγω Προσωπικών Δεδομένων από τον Εκτελούντα την Επεξεργασία.

5. Διάρκεια

5.1. Η παρούσα ισχύει για τη διάρκεια ισχύος της κύριας σύμβασης.

5.2. Κάθε διαφορά μεταξύ των μερών επιλύεται συμβιβαστικά άλλως από τα δικαστήρια της Αθήνας, εκτός τυχόν αντίθετης πρόβλεψης στην αρχική σύμβαση.