EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
Εκτελεστική απόφαση (ΕΕ) 2021/915 της Επιτροπής της 4ης Ιουνίου 2021 για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Εκτελεστική απόφαση (ΕΕ) 2021/915 της Επιτροπής της 4ης Ιουνίου 2021 για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
C/2021/3701
OJ L 199, 7.6.2021, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
- Date of document:
- 04/06/2021; Ημερομηνία θέσπισης
- Date of effect:
- 27/06/2021; έναρξη ισχύος ημερομηνία δημοσίευσης +20 βλ. άρθ. 4
- Date of end of validity:
- No end date
- Author:
- Ευρωπαϊκή Επιτροπή, Γενική Διεύθυνση Δικαιοσύνης και Καταναλωτών
- Responsible body:
- Directorate-General for Justice and Consumers, JUST
- Form:
- Εκτελεστική απόφαση
- Additional information:
- Ενδιαφέρον για τον ΕΟΧ
- Treaty:
- Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης
- Legal basis:
-
- 32016R0679 - A28P7
- 32018R1725 - A29P7
- Link
- Link
- Link
- Select all documents mentioning this document
- Link
- EUROVOC descriptor:
- Subject matter:
- Directory code:
|
7.6.2021 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 199/18 |
ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2021/915 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 4ης Ιουνίου 2021
για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (1), και ιδίως το άρθρο 28 παράγραφος 7,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (2), και ιδίως το άρθρο 29 παράγραφος 7,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Οι έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία έχουν εξαιρετικά μεγάλη σημασία για την εφαρμογή του κανονισμού (ΕΕ) 2016/679 και του κανονισμού (ΕΕ) 2018/1725. Ο υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για τους σκοπούς του κανονισμού (ΕΕ) 2018/1725, υπεύθυνος επεξεργασίας είναι το όργανο ή ο οργανισμός της Ένωσης ή η Γενική Διεύθυνση ή οποιαδήποτε άλλη διοικητική ενότητα που, αυτοτελώς ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της εν λόγω επεξεργασίας καθορίζονται σε ειδική πράξη της Ένωσης, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορεί να προβλέπονται από την Ένωση. Ο εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας. |
|
(2) |
Το ίδιο σύνολο τυποποιημένων συμβατικών ρητρών θα πρέπει να εφαρμόζεται όσον αφορά τη σχέση μεταξύ των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 και αυτών που υπόκεινται στον κανονισμό (ΕΕ) 2018/1725. Αυτό ισχύει διότι, προκειμένου να επιτευχθεί συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση και η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, οι κανόνες προστασίας των δεδομένων του κανονισμού (ΕΕ) 2016/679, οι οποίοι εφαρμόζονται στον δημόσιο τομέα των κρατών μελών, και οι κανόνες προστασίας των δεδομένων του κανονισμού (ΕΕ) 2018/1725, οι οποίοι εφαρμόζονται στα θεσμικά και λοιπά όργανα και στους οργανισμούς της Ένωσης, έχουν ευθυγραμμιστεί, στο μέτρο του δυνατού, μεταξύ τους. |
|
(3) |
Προκειμένου να διασφαλίζεται η συμμόρφωση με τις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 και του κανονισμού (ΕΕ) 2018/1725, όταν αναθέτει σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες την επεξεργασία οι οποίοι παρέχουν επαρκείς εγγυήσεις, ιδίως από πλευράς εμπειρογνωσίας, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που ανταποκρίνονται στις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 και του κανονισμού (ΕΕ) 2018/1725, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας. |
|
(4) |
Η επεξεργασία από τον εκτελούντα την επεξεργασία πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή κράτους μέλους που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει τα στοιχεία που παρατίθενται στο άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 ή στο άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725. Η εν λόγω σύμβαση ή πράξη είναι έγγραφη, συμπεριλαμβανομένης της ηλεκτρονικής μορφής. |
|
(5) |
Σύμφωνα με το άρθρο 28 παράγραφος 6 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφος 6 του κανονισμού (ΕΕ) 2018/1725, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία μπορούν να επιλέξουν να διαπραγματευτούν ατομική σύμβαση στην οποία περιλαμβάνονται τα υποχρεωτικά στοιχεία που καθορίζονται στο άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 ή στο άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725, αντιστοίχως, ή να χρησιμοποιήσουν, εν όλω ή εν μέρει, τυποποιημένες συμβατικές ρήτρες που έχουν θεσπιστεί από την Επιτροπή δυνάμει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725. |
|
(6) |
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θα πρέπει να έχουν τη δυνατότητα να ενσωματώσουν τις τυποποιημένες συμβατικές ρήτρες της παρούσας απόφασης σε ευρύτερη σύμβαση, καθώς και να προσθέσουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό τον όρο ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Η χρήση των τυποποιημένων συμβατικών ρητρών δεν θίγει οποιαδήποτε άλλη συμβατική υποχρέωση του υπευθύνου επεξεργασίας και/ή του εκτελούντος την επεξεργασία να διασφαλίζει την τήρηση των εφαρμοστέων προνομίων και ασυλιών. |
|
(7) |
Στις τυποποιημένες συμβατικές ρήτρες θα πρέπει να περιλαμβάνονται τόσο ουσιαστικοί όσο και διαδικαστικοί κανόνες. Σύμφωνα με το άρθρο 28 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει, επίσης, να απαιτούν από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία να καθορίσουν το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της, το είδος των σχετικών δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των υποκειμένων των δεδομένων, καθώς και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. |
|
(8) |
Σύμφωνα με το άρθρο 28 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, ο εκτελών την επεξεργασία πρέπει να ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή του υπευθύνου επεξεργασίας παραβιάζει τον κανονισμό (ΕΕ) 2016/679 ή τον κανονισμό (ΕΕ) 2018/1725 ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων. |
|
(9) |
Αν ο εκτελών την επεξεργασία προσλάβει άλλον εκτελούντα την επεξεργασία για την εκτέλεση συγκεκριμένων δραστηριοτήτων, θα πρέπει να εφαρμόζονται οι ειδικές απαιτήσεις που αναφέρονται στο άρθρο 28 παράγραφοι 2 και 4 του κανονισμού (ΕΕ) 2016/679 ή στο άρθρο 29 παράγραφοι 2 και 4 του κανονισμού (ΕΕ) 2018/1725. Ιδίως, απαιτείται προηγούμενη ειδική ή γενική γραπτή άδεια. Ανεξάρτητα από το αν η εν λόγω προηγούμενη άδεια είναι ειδική ή γενική, ο πρώτος εκτελών την επεξεργασία θα πρέπει να τηρεί επικαιροποιημένο κατάλογο των άλλων εκτελούντων την επεξεργασία. |
|
(10) |
Για την τήρηση των απαιτήσεων του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή εξέδωσε τυποποιημένες συμβατικές ρήτρες δυνάμει του άρθρου 46 παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679. Οι εν λόγω ρήτρες πληρούν επίσης τις απαιτήσεις του άρθρου 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 για τις διαβιβάσεις δεδομένων από υπευθύνους επεξεργασίας που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 προς εκτελούντες την επεξεργασία εκτός του εδαφικού πεδίου εφαρμογής του εν λόγω κανονισμού ή από εκτελούντες την επεξεργασία που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 προς υπεργολάβους επεξεργασίας εκτός του εδαφικού πεδίου εφαρμογής του εν λόγω κανονισμού. Οι εν λόγω τυποποιημένες συμβατικές ρήτρες δεν μπορούν να χρησιμοποιούνται ως τυποποιημένες συμβατικές ρήτρες για τους σκοπούς του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679. |
|
(11) |
Τρίτοι θα πρέπει να έχουν τη δυνατότητα να καθίστανται συμβαλλόμενα μέρη των τυποποιημένων συμβατικών ρητρών καθ’ όλη τη διάρκεια της σύμβασης. |
|
(12) |
Η λειτουργία των τυποποιημένων συμβατικών ρητρών θα πρέπει να αξιολογείται στο πλαίσιο της περιοδικής αξιολόγησης του κανονισμού (ΕΕ) 2016/679 που όπως αναφέρεται στο άρθρο 97 του εν λόγω κανονισμού. |
|
(13) |
Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφοι 1 και 2 του κανονισμού (ΕΕ) 2018/1725 και εξέδωσαν κοινή γνωμοδότηση στις 14 Ιανουαρίου 2021 (3), η οποία λήφθηκε υπόψη κατά την κατάρτιση της παρούσας απόφασης. |
|
(14) |
Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679 και του άρθρου 96 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Οι τυποποιημένες συμβατικές ρήτρες που καθορίζονται στο παράρτημα πληρούν τις απαιτήσεις για συμβάσεις μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία σύμφωνα με το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725.
Άρθρο 2
Οι τυποποιημένες συμβατικές ρήτρες που καθορίζονται στο παράρτημα μπορούν να χρησιμοποιούνται σε συμβάσεις μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία ο οποίος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας.
Άρθρο 3
Η Επιτροπή αξιολογεί την πρακτική εφαρμογή των τυποποιημένων συμβατικών ρητρών που καθορίζονται στο παράρτημα με βάση όλες τις διαθέσιμες πληροφορίες ως μέρος της περιοδικής αξιολόγησης που προβλέπεται στο άρθρο 97 του κανονισμού (ΕΕ) 2016/679.
Άρθρο 4
Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Βρυξέλλες, 4 Ιουνίου 2021.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 119 της 4.5.2016, σ. 1.
(2) ΕΕ L 295 της 21.11.2018, σ. 39.
(3) Κοινή γνωμοδότηση ΕΣΠΔ-ΕΕΠΔ 1/2021 σχετικά με την εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία για τα ζητήματα που αναφέρονται στο άρθρο 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725.
ΠΑΡΑΡΤΗΜΑ
Τυποποιημένες συμβατικές ρήτρες
ΤΜΗΜΑ I
Ρήτρα 1
Σκοπός και πεδίο εφαρμογής
|
α) |
Οι παρούσες τυποποιημένες συμβατικές ρήτρες (στο εξής: ρήτρες) έχουν ως σκοπό να διασφαλίζουν τη συμμόρφωση με [να επιλεγεί η κατάλληλη επιλογή: ΕΠΙΛΟΓΗ 1: το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτώνκαι την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων)]/[ΕΠΙΛΟΓΗ 2: το άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ]. |
|
β) |
Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία που απαριθμούνται στο παράρτημα Ι συμφώνησαν τις παρούσες ρήτρες προκειμένου να διασφαλίζεται η συμμόρφωση με το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 και/ή το άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725. |
|
γ) |
Οι παρούσες ρήτρες εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως καθορίζεται στο παράρτημα ΙΙ. |
|
δ) |
Τα παραρτήματα Ι έως ΙV είναι αναπόσπαστο μέρος των ρητρών. |
|
ε) |
Οι παρούσες ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο υπεύθυνος επεξεργασίας δυνάμει του κανονισμού (ΕΕ) 2016/679 και/ή του κανονισμού (ΕΕ) 2018/1725. |
|
στ) |
Οι παρούσες ρήτρες δεν διασφαλίζουν από μόνες τους τη συμμόρφωση με τις υποχρεώσεις που σχετίζονται με τις διεθνείς διαβιβάσεις σύμφωνα με το κεφάλαιο V του κανονισμού (ΕΕ) 2016/679 και/ή του κανονισμού (ΕΕ) 2018/1725. |
Ρήτρα 2
Αμετάβλητος χαρακτήρας των ρητρών
|
α) |
Τα μέρη δεσμεύονται να μην τροποποιούν τις ρήτρες παρά μόνο για να προσθέσουν ή να επικαιροποιήσουν πληροφορίες στα παραρτήματα. |
|
β) |
Η δέσμευση αυτή δεν εμποδίζει τα μέρη να ενσωματώνουν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις παρούσες ρήτρες σε ευρύτερη σύμβαση ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό τον όρο ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. |
Ρήτρα 3
Ερμηνεία
|
α) |
Όπου στις παρούσες ρήτρες χρησιμοποιούνται όροι που ορίζονται στον κανονισμό (ΕΕ) 2016/679 ή στον κανονισμό (ΕΕ) 2018/1725 αντιστοίχως, οι εν λόγω όροι έχουν την ίδια έννοια με αυτή που έχουν στον οικείο κανονισμό. |
|
β) |
Η ανάγνωση και ερμηνεία των παρουσών ρητρών πραγματοποιούνται υπό το πρίσμα των διατάξεων του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725 αντιστοίχως. |
|
γ) |
Οι παρούσες ρήτρες δεν ερμηνεύονται με τρόπο που αντιβαίνει προς τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679 / τον κανονισμό (ΕΕ) 2018/1725 ή με τρόπο που θίγει τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. |
Ρήτρα 4
Ιεραρχία
Σε περίπτωση αντίφασης μεταξύ των παρουσών ρητρών και των διατάξεων συναφών συμφωνιών μεταξύ των μερών οι οποίες ισχύουν κατά τον χρόνο που συμφωνούνται ή συνάπτονται οι παρούσες ρήτρες, οι παρούσες ρήτρες υπερισχύουν.
Ρήτρα 5 - Προαιρετική
Ρήτρα σύνδεσης
|
α) |
Οποιαδήποτε οντότητα που δεν είναι συμβαλλόμενο μέρος των παρουσών ρητρών μπορεί, με τη συγκατάθεση όλων των συμβαλλόμενων μερών, να προσχωρήσει στις παρούσες ρήτρες ανά πάσα στιγμή, ως υπεύθυνος επεξεργασίας ή ως εκτελών την επεξεργασία, συμπληρώνοντας τα παραρτήματα και υπογράφοντας το παράρτημα Ι. |
|
β) |
Αφού συμπληρωθούν και υπογραφούν τα παραρτήματα του στοιχείου α), η προσχωρούσα οντότητα λογίζεται ως συμβαλλόμενο μέρος των παρουσών ρητρών και έχει τα δικαιώματα και τις υποχρεώσεις υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, σύμφωνα με τον χαρακτηρισμό της στο παράρτημα Ι. |
|
γ) |
Η προσχωρούσα οντότητα δεν έχει δικαιώματα ή υποχρεώσεις που απορρέουν από τις παρούσες ρήτρες όσον αφορά το διάστημα πριν καταστεί συμβαλλόμενο μέρος. |
ΤΜΗΜΑ ΙΙ
ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ
Ρήτρα 6
Περιγραφή της επεξεργασίας
Οι λεπτομέρειες των πράξεων επεξεργασίας, ιδίως οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα και οι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας, καθορίζονται στο παράρτημα ΙΙ.
Ρήτρα 7
Υποχρεώσεις των συμβαλλόμενων μερών
7.1. Εντολές
|
α) |
Ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία. Στην περίπτωση αυτή, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος. Ο υπεύθυνος επεξεργασίας μπορεί επίσης να δίνει μεταγενέστερες εντολές καθ’ όλη τη διάρκεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω εντολές είναι πάντοτε έγγραφες. |
|
β) |
Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψη του εκτελούντος της επεξεργασία, κάποια εντολή του υπευθύνου επεξεργασίας παραβιάζει τον κανονισμό (ΕΕ) 2016/679 / τον κανονισμό (ΕΕ) 2018/1725 ή ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων. |
7.2. Περιορισμός του σκοπού
Ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της επεξεργασίας που ορίζονται στο παράρτημα ΙΙ, εκτός αν λάβει περαιτέρω εντολές από τον υπεύθυνο επεξεργασίας.
7.3. Διάρκεια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
Η επεξεργασία από τον εκτελούντα την επεξεργασία πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα ΙΙ.
7.4. Ασφάλεια της επεξεργασίας
|
α) |
Ο εκτελών την επεξεργασία εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα III προκειμένου να διασφαλίζει την ασφάλεια των δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό συμπεριλαμβάνεται η προστασία των δεδομένων από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που συντρέχουν για τα υποκείμενα των δεδομένων. |
|
β) |
Ο εκτελών την επεξεργασία παρέχει σε μέλη του προσωπικού του πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα λαμβανόμενα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή υπόκεινται σε δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας. |
7.5. Ευαίσθητα δεδομένα
Αν η επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εκτελών την επεξεργασία εφαρμόζει ειδικούς περιορισμούς και/ή πρόσθετες εγγυήσεις.
7.6. Τεκμηρίωση και συμμόρφωση
|
α) |
Τα συμβαλλόμενα μέρη είναι σε θέση να αποδείξουν τη συμμόρφωσή τους με τις παρούσες ρήτρες. |
|
β) |
Ο εκτελών την επεξεργασία ανταποκρίνεται άμεσα και επαρκώς σε όλα τα αιτήματα πληροφοριών του υπευθύνου επεξεργασίας σχετικά με την επεξεργασία δεδομένων σύμφωνα με τις παρούσες ρήτρες. |
|
γ) |
Ο εκτελών την επεξεργασία θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που καθορίζονται στις παρούσες ρήτρες και απορρέουν απευθείας από τον κανονισμό (ΕΕ) 2016/679 και/ή τον κανονισμού (ΕΕ) 2018/1725. Επιπλέον, κατόπιν αιτήματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία επιτρέπει και διευκολύνει ελέγχους των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Όταν αποφασίζει για επανεξέταση ή έλεγχο, ο υπεύθυνος επεξεργασίας μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εκτελούντος την επεξεργασία. |
|
δ) |
Ο υπεύθυνος επεξεργασίας μπορεί να επιλέγει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι είναι δυνατόν να περιλαμβάνουν και επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εκτελούντος την επεξεργασία, ενώ, όταν ενδείκνυται, διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης. |
|
ε) |
Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στην παρούσα ρήτρα, συμπεριλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της/των αρμόδιας/-ων εποπτικής/-ών αρχής/-ών, κατόπιν σχετικού αιτήματός της/τους. |
7.7. Χρήση υπεργολάβων επεξεργασίας
|
α) |
ΕΠΙΛΟΓΗ 1: ΠΡΟΗΓΟΥΜΕΝΗ ΕΙΔΙΚΗ ΑΔΕΙΑ: Ο εκτελών την επεξεργασία δεν αναθέτει σε υπεργολάβο επεξεργασίας καμία από τις πράξεις επεξεργασίας που εκτελεί για λογαριασμό του υπευθύνου επεξεργασίας σύμφωνα με τις παρούσες ρήτρες, χωρίς την προηγούμενη ειδική γραπτή άδεια του υπευθύνου επεξεργασίας. Ο εκτελών την επεξεργασία υποβάλλει το αίτημα για ειδική άδεια τουλάχιστον [ΝΑ ΣΥΜΠΛΗΡΩΘΕΙ ΤΟ ΧΡΟΝΙΚΟ ΔΙΑΣΤΗΜΑ] πριν από την πρόσληψη του οικείου υπεργολάβου επεξεργασίας, μαζί με τις πληροφορίες που απαιτούνται προκειμένου να μπορεί ο υπεύθυνος επεξεργασίας να αποφασίσει για τη χορήγηση της άδειας. Στο παράρτημα IV περιλαμβάνεται κατάλογος των υπεργολάβων επεξεργασίας που έχουν λάβει άδεια από τον υπεύθυνο επεξεργασίας. Τα συμβαλλόμενα μέρη επικαιροποιούν το παράρτημα IV. ΕΠΙΛΟΓΗ 2: ΓΕΝΙΚΗ ΓΡΑΠΤΗ ΑΔΕΙΑ: Ο εκτελών την επεξεργασία έχει τη γενική άδεια του υπευθύνου επεξεργασίας για την πρόσληψη υπεργολάβων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εκτελών την επεξεργασία ενημερώνει ειδικά και εγγράφως τον υπεύθυνο επεξεργασίας για κάθε τυχόν σκοπούμενη αλλαγή στον εν λόγω κατάλογο η οποία αφορά την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [ΝΑ ΣΥΜΠΛΗΡΩΘΕΙ ΤΟ ΧΡΟΝΙΚΟ ΔΙΑΣΤΗΜΑ] πριν, παρέχοντας στον υπεύθυνο επεξεργασίας επαρκή χρόνο ώστε να μπορεί να εναντιωθεί στην εν λόγω αλλαγή πριν από την πρόσληψη του σχετικού υπεργολάβου ή των σχετικών υπεργολάβων επεξεργασίας. Ο εκτελών την επεξεργασία παρέχει στον υπεύθυνο επεξεργασίας τις πληροφορίες που απαιτούνται ώστε ο υπεύθυνος επεξεργασίας να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης. |
|
β) |
Όταν ο εκτελών την επεξεργασία προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας), το πράττει μέσω σύμβασης η οποία επιβάλλει στον υπεργολάβο επεξεργασίας, στην ουσία, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με αυτές που επιβάλλονται στον εκτελούντα την επεξεργασία σύμφωνα με τις παρούσες ρήτρες. Ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εκτελών την επεξεργασία σύμφωνα με τις παρούσες ρήτρες και τον κανονισμό (ΕΕ) 2016/679 και/ή τον κανονισμό (ΕΕ) 2018/1725. |
|
γ) |
Κατόπιν αιτήματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία παρέχει στον υπεύθυνο επεξεργασίας αντίγραφο της συμφωνίας με τον υπεργολάβο και κάθε τυχόν μεταγενέστερης πράξης τροποποίησής της. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, ο εκτελών την επεξεργασία μπορεί να απαλείψει τις εμπιστευτικές πληροφορίες από το κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου. |
|
δ) |
Ο εκτελών την επεξεργασία παραμένει πλήρως υπεύθυνος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας σύμφωνα με τη σύμβασή του με τον εκτελούντα την επεξεργασία. Ο εκτελών την επεξεργασία γνωστοποιεί στον υπεύθυνο επεξεργασίας κάθε περίπτωση μη εκπλήρωσης των συμβατικών υποχρεώσεων του υπεργολάβου επεξεργασίας. |
|
ε) |
Ο εκτελών την επεξεργασία συμφωνεί με τον υπεργολάβο επεξεργασίας ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εκτελών την επεξεργασία έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα. |
7.8. Διεθνείς διαβιβάσεις
|
α) |
Κάθε διαβίβαση δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό από τον εκτελούντα την επεξεργασία πραγματοποιείται μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας ή προκειμένου να εκπληρωθεί ειδική απαίτηση του δικαίου της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία και εκτελείται σύμφωνα με τους όρους του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725. |
|
β) |
Ο υπεύθυνος επεξεργασίας συμφωνεί ότι στις περιπτώσεις που ο εκτελών την επεξεργασία προσλαμβάνει υπεργολάβο επεξεργασίας σύμφωνα με τη ρήτρα 7.7 για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας) και οι εν λόγω δραστηριότητες επεξεργασίας περιλαμβάνουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα κατά την έννοια του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679, ο εκτελών την επεξεργασία και ο υπεργολάβος επεξεργασίας μπορούν να διασφαλίζουν τη συμμόρφωση με το κεφάλαιο V του κανονισμού (EΕ) 2016/679 μέσω της χρήσης τυποποιημένων συμβατικών ρητρών που έχει εκδώσει η Επιτροπή σύμφωνα με το άρθρο 46 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, υπό τον όρο ότι πληρούνται οι προϋποθέσεις για τη χρήση των εν λόγω τυποποιημένων συμβατικών ρητρών. |
Ρήτρα 8
Συνδρομή στον υπεύθυνο επεξεργασίας
|
α) |
Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας για κάθε αίτημα που έχει λάβει από υποκείμενο των δεδομένων. Δεν απαντά ο ίδιος στο αίτημα, εκτός αν λάβει σχετική εξουσιοδότηση από τον υπεύθυνο επεξεργασίας. |
|
β) |
Ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας στην εκπλήρωση της υποχρέωσής του να απαντά στα αιτήματα των υποκειμένων των δεδομένων για άσκηση των δικαιωμάτων τους, λαμβανομένης υπόψη της φύσης της επεξεργασίας. Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τα στοιχεία α) και β), ο εκτελών την επεξεργασία συμμορφώνεται με τις εντολές του υπευθύνου επεξεργασίας. |
|
γ) |
Επιπρόσθετα στην υποχρέωση του εκτελούντος την επεξεργασία να βοηθά τον υπεύθυνο επεξεργασίας σύμφωνα με τη ρήτρα 8 στοιχείο β), ο εκτελών την επεξεργασία βοηθά επίσης τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις παρακάτω υποχρεώσεις, λαμβανομένων υπόψη της φύσης της επεξεργασίας δεδομένων και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία:
|
|
δ) |
Τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα ΙΙΙ τα κατάλληλα τεχνικά και οργανωτικά μέτρα με τα οποία ο εκτελών την επεξεργασία υποχρεούται να βοηθά τον υπεύθυνο επεξεργασίας για την εφαρμογή της παρούσας ρήτρας, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης βοήθειας. |
Ρήτρα 9
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο εκτελών την επεξεργασία συνεργάζεται με τον υπεύθυνο επεξεργασίας και τον βοηθά να συμμορφωθεί προς τις υποχρεώσεις του που απορρέουν από τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679 ή τα άρθρα 34 και 35 του κανονισμού (ΕΕ) 2018/1725, ανάλογα με την περίπτωση, λαμβανομένων υπόψη της φύσης της επεξεργασίας και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία.
9.1. Παραβίαση δεδομένων που αφορά δεδομένα που επεξεργάζεται ο υπεύθυνος επεξεργασίας
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που αφορά δεδομένα που επεξεργάζεται ο υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας:
|
α) |
να γνωστοποιήσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στην/στις αρμόδια/-ες εποπτική/-ές αρχή/-ές, αμελλητί από τη στιγμή που ο υπεύθυνος επεξεργασίας απέκτησε γνώση του γεγονότος, κατά περίπτωση/(εκτός αν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων)· |
|
β) |
να συγκεντρώσει τις παρακάτω πληροφορίες, οι οποίες, σύμφωνα με [ΕΠΙΛΟΓΗ 1] το άρθρο 33 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 / [ΕΠΙΛΟΓΗ 2] το άρθρο 34 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, αναφέρονται στη γνωστοποίηση του υπευθύνου επεξεργασίας και πρέπει να περιλαμβάνουν κατ’ ελάχιστο:
|
Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες αυτές οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ πρόσθετες πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.
|
γ) |
να συμμορφωθεί, σύμφωνα με το [ΕΠΙΛΟΓΗ 1] άρθρο 34 του κανονισμού (ΕΕ) 2016/679 / [ΕΠΙΛΟΓΗ 2] άρθρο 35 του κανονισμού (ΕΕ) 2018/1725, με την υποχρέωση να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων την παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. |
9.2. Παραβίαση δεδομένων που αφορά δεδομένα που επεξεργάζεται ο εκτελών την επεξεργασία
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που αφορά δεδομένα που επεξεργάζεται ο εκτελών την επεξεργασία, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση από τη στιγμή που αποκτά γνώση της παραβίασης. Η εν λόγω γνωστοποίηση περιλαμβάνει κατ’ ελάχιστο:
|
α) |
περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και αρχείων δεδομένων)· |
|
β) |
τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες σχετικά με την παραβίαση των δεδομένων προσωπικού χαρακτήρα· |
|
γ) |
τις ενδεχόμενες συνέπειες και τα ληφθέντα ή προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. |
Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες αυτές οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ πρόσθετες πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.
Τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα ΙΙΙ όλα τα άλλα στοιχεία που πρέπει να παρέχονται από τον εκτελούντα την επεξεργασία κατά την παροχή βοήθειας στον υπεύθυνο επεξεργασίας για τη συμμόρφωση προς τις υποχρεώσεις του υπευθύνου επεξεργασίας σύμφωνα με τα [ΕΠΙΛΟΓΗ 1] άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679 / [ΕΠΙΛΟΓΗ 2] άρθρα 34 και 35 του κανονισμού (ΕΕ) 2018/1725.
ΤΜΗΜΑ III
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Ρήτρα 10
Μη συμμόρφωση με τις ρήτρες και καταγγελία
|
α) |
Με την επιφύλαξη των διατάξεων του κανονισμού (ΕΕ) 2016/679 και/ή του κανονισμού (ΕΕ) 2018/1725, σε περίπτωση που ο εκτελών την επεξεργασία παραβιάζει τις υποχρεώσεις του σύμφωνα με τις παρούσες ρήτρες, ο υπεύθυνος επεξεργασίας μπορεί να δώσει εντολή στον εκτελούντα την επεξεργασία να αναστείλει την επεξεργασία δεδομένων προσωπικού χαρακτήρα έως ότου ο τελευταίος συμμορφωθεί με τις παρούσες ρήτρες ή καταγγελθεί η σύμβαση. Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας σε περίπτωση που αδυνατεί να συμμορφωθεί με τις παρούσες ρήτρες, για οποιονδήποτε λόγο. |
|
β) |
Ο υπεύθυνος επεξεργασίας έχει δικαίωμα να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες, αν:
|
|
γ) |
Ο εκτελών την επεξεργασία έχει δικαίωμα να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες αν, παρόλο που έχει ενημερώσει τον υπεύθυνο επεξεργασίας ότι οι εντολές του παραβιάζουν εφαρμοστέες νομικές απαιτήσεις σύμφωνα με τη ρήτρα 7.1 στοιχείο β), ο υπεύθυνος επεξεργασίας εμμένει στη συμμόρφωση με τις εν λόγω εντολές. |
|
δ) |
Μετά την καταγγελία της σύμβασης, ο εκτελών την επεξεργασία, κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται για λογαριασμό του υπευθύνου επεξεργασίας και πιστοποιεί στον υπεύθυνο επεξεργασίας ότι το έχει πράξει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός αν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα. Έως τη διαγραφή ή την επιστροφή των δεδομένων, ο εκτελών την επεξεργασία συνεχίζει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. |
ΠΑΡΑΡΤΗΜΑ Ι
Κατάλογος συμβαλλόμενων μερών
Υπεύθυνος/-οι επεξεργασίας: [Ταυτότητα και στοιχεία επικοινωνίας του/των υπευθύνου/-ων επεξεργασίας και, κατά περίπτωση, του υπευθύνου προστασίας δεδομένων του υπευθύνου επεξεργασίας]
|
1. |
Όνομα: … |
|
|
Διεύθυνση: … |
|
|
Όνομα, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: … |
|
|
Υπογραφή και ημερομηνία προσχώρησης: … |
|
2. |
|
…
Εκτελών/-ούντες την επεξεργασία [Ταυτότητα και στοιχεία επικοινωνίας του/των εκτελούντος/-ων την επεξεργασία και, κατά περίπτωση, του υπευθύνου προστασίας δεδομένων του εκτελούντος την επεξεργασία]
|
1. |
Όνομα: … |
|
|
Διεύθυνση: … |
|
|
Όνομα, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: … |
|
|
Υπογραφή και ημερομηνία προσχώρησης: … |
|
2. |
|
…
ΠΑΡΑΡΤΗΜΑ II
Περιγραφή της επεξεργασίας
Κατηγορίες υποκειμένων δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία
…
Κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία
…
Ευαίσθητα δεδομένα που υποβάλλονται σε επεξεργασία (αν συντρέχει τέτοια περίπτωση) και περιορισμοί ή εγγυήσεις που εφαρμόζονται ώστε να λαμβάνονται πλήρως υπόψη η φύση των δεδομένων και οι υφιστάμενοι κίνδυνοι, όπως, για παράδειγμα, αυστηρός περιορισμός του σκοπού, περιορισμοί στην πρόσβαση (συμπεριλαμβανομένης της πρόσβασης αποκλειστικά από προσωπικό που έχει λάβει εξειδικευμένη κατάρτιση), τήρηση αρχείου πρόσβασης στα δεδομένα, περιορισμοί στις περαιτέρω διαβιβάσεις ή πρόσθετα μέτρα ασφάλειας.
…
Φύση της επεξεργασίας
…
Σκοπός/-οί για τον οποίο ή τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για λογαριασμό του υπευθύνου επεξεργασίας
…
Διάρκεια της επεξεργασίας
…
…
Για την επεξεργασία από εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να διευκρινιστεί επίσης το αντικείμενο, η φύση και η διάρκεια της επεξεργασίας
ΠΑΡΑΡΤΗΜΑ III
Τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας των δεδομένων
ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:
Τα τεχνικά και οργανωτικά μέτρα πρέπει να περιγράφονται με συγκεκριμένο και όχι με γενικό τρόπο.
Περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που εφαρμόζονται από τον/τους εκτελούντα/-ες την επεξεργασία (συμπεριλαμβανομένων των τυχόν σχετικών πιστοποιήσεων) με στόχο τη διασφάλιση κατάλληλου επιπέδου ασφάλειας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Παραδείγματα πιθανών μέτρων:
|
|
Μέτρα ψευδωνυμοποίησης και κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα. |
|
|
Μέτρα για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση. |
|
|
Μέτρα για τη διασφάλιση της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος. |
|
|
Διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. |
|
|
Μέτρα για την ταυτοποίηση και αδειοδότηση χρηστών. |
|
|
Μέτρα για την προστασία των δεδομένων κατά τη διαβίβαση. |
|
|
Μέτρα για την προστασία των δεδομένων κατά την αποθήκευση. |
|
|
Μέτρα για τη διασφάλιση της φυσικής ασφάλειας των εγκαταστάσεων όπου πραγματοποιείται επεξεργασία δεδομένων προσωπικού χαρακτήρα. |
|
|
Μέτρα για τη διασφάλιση της καταγραφής περιστατικών ασφάλειας. |
|
|
Μέτρα για τη διασφάλιση της διαμόρφωσης συστημάτων, συμπεριλαμβανομένης της προκαθορισμένης διαμόρφωσης. |
|
|
Μέτρα για τις εσωτερικές ΤΠ και τη διακυβέρνηση και διαχείριση της ασφάλειας ΤΠ. |
|
|
Μέτρα για την πιστοποίηση/διασφάλιση διαδικασιών και προϊόντων. |
|
|
Μέτρα για τη διασφάλιση της ελαχιστοποίησης των δεδομένων. |
|
|
Μέτρα για τη διασφάλιση της ποιότητας των δεδομένων. |
|
|
Μέτρα για τη διασφάλιση της περιορισμένης διατήρησης των δεδομένων. |
|
|
Μέτρα για τη διασφάλιση της λογοδοσίας. |
|
|
Μέτρα που επιτρέπουν τη φορητότητα των δεδομένων και διασφαλίζουν τη διαγραφή τους. |
Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να περιγραφούν επίσης τα συγκεκριμένα τεχνικά και οργανωτικά μέτρα που πρέπει να ληφθούν από τον εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) ώστε να είναι σε θέση να παρέχει βοήθεια στον υπεύθυνο επεξεργασίας.
Περιγραφή των συγκεκριμένων τεχνικών και οργανωτικών μέτρων που πρέπει να ληφθούν από τον εκτελούντα την επεξεργασία ώστε να είναι σε θέση να παρέχει βοήθεια στον υπεύθυνο επεξεργασίας.
ΠΑΡΑΡΤΗΜΑ IV
Κατάλογος υπεργολάβων επεξεργασίας
ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:
Το παρόν παράρτημα πρέπει να συμπληρωθεί σε περίπτωση ειδικής άδειας για χρήση υπεργολάβων επεξεργασίας [ρήτρα 7.7 στοιχείο α) επιλογή 1].
Ο υπεύθυνος επεξεργασίας έχει δώσει άδεια για τη χρήση των παρακάτω υπεργολάβων επεξεργασίας:
|
1. |
Όνομα: … |
|
|
Διεύθυνση: … |
|
|
Όνομα, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: … |
|
|
Περιγραφή της επεξεργασίας (συμπεριλαμβανομένης σαφούς οριοθέτησης των αρμοδιοτήτων σε περίπτωση που έχει δοθεί άδεια σε περισσότερους από έναν υπεργολάβους επεξεργασίας): … |
|
2. |
… |
