1. Γενικά/Ορισμοί

Οι παρόντες Όροι αποτελούν συμφωνία μεταξύ του Επαγγελματικού Επιμελητηρίου Αθηνών (εφεξής “ΕΕΑ”) και των επιχειρήσεων-μελών του ΕΕΑ (εφεξής “Χρήστης ή Πελάτης”), στις οποίες το ΕΕΑ παρέχει δωρεάν υπηρεσίες φιλοξενίας ιστότοπου (website) ή ηλεκτρονικού καταστήματος (eshop) και θέτουν τους γενικούς όρους και προϋποθέσεις της χρήσης των υπηρεσιών που παρέχονται.

Το ΕΕΑ διαθέτει ειδική πλατφόρμα για το σχεδιασμό, τη δημιουργία, τη φιλοξενία και τη λειτουργία websites και eshops, τα οποία ανήκουν στις επιχειρήσεις-μέλη του. Η χρήση της πλατφόρμας, παρέχεται δωρεάν στις επιχειρήσεις-μέλη, κατόπιν σχετικής αίτησής τους.

Η πλατφόρμα φιλοξενείται σε υποδομές νέφους (διακομιστές), τις οποίες το ΕΕΑ μισθώνει από γνωστούς παρόχους.

Η πρόσβαση που μπορεί να έχει στέλεχος του ΕΕΑ στην υποδομή του Πελάτη ώστε να εξυπηρετήσει αίτημα τεχνικής ή άλλης φύσεως το οποίο ο Πελάτης ρητά έχει διατυπώσει, περιορίζεται στο επίπεδο που απαιτείται ώστε να εξυπηρετηθεί το εκάστοτε αίτημα και μόνο. Όλοι τα στελέχη του ΕΕΑ δεσμεύονται απέναντι της με Συμφωνητικό Eμπιστευτικότητας και έχουν την απαιτούμενη ενημέρωση σχετικά με την ασφάλεια και τον χειρισμό των προσωπικών δεδομένων.

Το ΕΕΑ προσφέρει στους Πελάτες υπηρεσίες φιλοξενίας website ή eshop, εντελώς δωρεάν. Ο Πελάτης μπορεί να χρησιμοποιήσει τον προσφερόμενο χώρο από το ΕΕΑ για να ανεβάσει και να αποθηκεύσει τα δεδομένα που είναι απαραίτητα (και σύμφωνα με τους παρόντες όρους) για την επαγγελματική του παρουσία στο διαδίκτυο. Τα δεδομένα αυτά, στη συνέχεια, διανέμονται στο διαδίκτυο μέσω των υποδομών νέφους του ΕΕΑ. Ο Πελάτης βεβαιώνει ότι το υλικό που θα “ανεβάζει” στους διακομιστές του ΕΕΑ θα είναι έτοιμο και δεν θα χρειάζεται καμία επιπλέον επεξεργασία από το ΕΕΑ για να λειτουργήσει.

Η χρήση των δωρεάν υπηρεσιών φιλοξενίας website/eshop του Επαγγελματικού Επιμελητηρίου Αθηνών (ΕΕΑ) προϋποθέτει την πλήρη αποδοχή των όρων που έχει θέσει το ΕΕΑ.

Απαγορεύεται ρητώς η χρήση των παραπάνω υπηρεσιών του ΕΕΑ σε περίπτωση μη αποδοχής των όρων και προϋποθέσεων από τον Πελάτη.

Το ΕΕΑ δεν είναι υποχρεωμένο να παρέχει τεχνική υποστήριξη που αφορά το περιεχόμενο του website/eshop του Χρήστη και το ανέβασμα του περιεχομένου του στους διακομιστές.

2. Πολιτική Ορθής Χρήσης

Η Πολιτική Ορθής Χρήσης εφαρμόζεται για την προστασία της ποιότητας των παρεχόμενων υπηρεσιών και αποφυγή εμφάνισης δυσλειτουργιών λόγω υπερβολικής χρήσης των παρεχόμενων πόρων ή εσφαλμένης χρήσης της υπηρεσίας. Ο Πελάτης συμφωνεί οτι θα συμμορφώνεται με τους ακόλουθους όρους.

3. Μεταφορά ιστοσελίδας

Η δωρεάν μεταφορά των websites/eshops γίνεται μόνο σε περίπτωση που είναι εφικτή και δεν επηρεάζεται η ασφάλεια των διακομιστών του ΕΕΑ. Το ΕΕΑ δεν φέρει καμία ευθύνη για την μη ολοκληρωμένη μεταφορά του site. Ο πελάτης είναι υποχρεωμένος να παρέχει στο ΕΕΑ οποιαδήποτε σχετική πληροφορία με το website/eshop του ζητηθεί από τα στελέχη του ΕΕΑ.

4. Διαθεσιμότητα Υπηρεσιών

Το ΕΕΑ δεν ευθύνεται για οποιαδήποτε βλάβη προκληθεί σε περίπτωση μη διαθεσιμότητας του δικτύου ή του συστήματος και δεν εγγυάται ότι η υπηρεσία φιλοξενίας θα είναι αδιάκοπη ή δεν θα γίνει κάποιο λάθος λόγω της ειδικής φύσης του Διαδικτύου και των δικτύων μέσω των οποίων διανέμονται οι πληροφορίες. Το ΕΕΑ, υπό οποιεσδήποτε συνθήκες και περιστάσεις και από οποιαδήποτε αιτία, δεν έχει καμία ευθύνη για οποιαδήποτε ζημιά προκύψει από την χρησιμοποίηση, διαθεσιμότητα ή μη διαθεσιμότητα των υπηρεσιών που προσφέρει.

Το ΕΕΑ δεν φέρει καμία ευθύνη σε περίπτωση που το αντίγραφο ασφαλείας των αρχείων και βάσεων δεδομένων το οποίο παίρνει ημερησίως, εβδομαδιαίως και μηνιαίως δεν είναι ενημερωμένα ή δεν μπορούν να χρησιμοποιηθούν.

Για μεγαλύτερη ασφάλεια ο Χρήστης είναι υποχρεωμένος να τηρεί αντίγραφο ασφαλείας των αρχείων και των βάσεων δεδομένων του.

5. Περιεχόμενο

Το ΕΕΑ δεν ευθύνεται για το περιεχόμενο των πληροφοριών που περνάνε μέσα από το δίκτυο των διακομιστών της. Δεν εγγυάται την αξιοπιστία οποιασδήποτε πληροφορίας που εμφανίζεται στο διαδίκτυο διαμέσου ή εξαιτίας των υπηρεσιών της ή την εμπορική ή προσωπική φερεγγυότητα οποιουδήποτε παρουσιάζεται στο διαδίκτυο και δεν είναι υπεύθυνο για οποιεσδήποτε ζημιές μπορούν να συμβούν στον πελάτη ή σε αυτούς που συναλλάσσονται με αυτόν, συμπεριλαμβανομένου και της απώλειας δεδομένων, εξ’ αιτίας καθυστερήσεων, μη παράδοσης εμπορευμάτων ή διακοπής υπηρεσιών για οποιαδήποτε αιτία, λάθος ή παράλειψη

Είναι υποχρέωση του Πελάτη, να ενημερώνει και να αναβαθμίζει τον κώδικα που χρησιμοποιεί για τις ιστοσελίδες του, ώστε να είναι συμβατός με τους διακομιστές και τις εγκατεστημένες εφαρμογές τους. Το ΕΕΑ αναβαθμίζει σε τακτά χρονικά διαστήματα εγκατεστημένες εφαρμογές που υπάρχουν στους διακομιστές του προκειμένου να διατηρεί τα επίπεδα ασφαλείας στο υψηλότερο δυνατό επίπεδο. Είναι υποχρέωση του ΕΕΑ να ενημερώνει τον Πελάτη για τις επικείμενες αλλαγές τουλάχιστον πέντε (5) εργάσιμες μέρες πριν.

Απαγορεύεται η χρήση των υπηρεσιών του ΕΕΑ για οποιαδήποτε μη νόμιμο σκοπό. Σε αυτά περιλαμβάνονται το  πορνογραφικού περιεχομένο, πειρατικό περιεχόμενο, αρχείων προερχομένων από κλοπή, αναδημοσίευση περιεχομένου χωρίς την απαραίτητη άδεια του εκδότη και την παραχώρηση πνευματικών δικαιωμάτων, αποστολή μαζικής αλληλογραφίας χωρίς την έγκριση των παραληπτών και την αναφορά της ταυτότητας του αποστολέα. Κάθε χρήστης που χρησιμοποιεί (ή προτρέπει τους επισκέπτες των σελίδων του μέσω links) σε σελίδες με περιεχόμενο ή πρακτικές που εμπίπτουν στα παραπάνω, μπορεί να οδηγηθεί σε άμεση διακοπή της συνεργασίας με το ΕΕΑ, η οποία μπορεί να δικαιώσει κάθε θετική και αποθετική ζημία από τη μη σωστή χρήση των υπηρεσιών του.

Αποκλειστικός κριτής του αν και κατά πόσον οι σελίδες που τοποθέτησε ο χρήστης εμπίπτουν σε μια από τις παραπάνω κατηγορίες είναι μόνον το ΕΕΑ που έχει το δικαίωμα να διαγράφει χωρίς προηγούμενη προειδοποίηση, αν το θεωρήσει αναγκαίο, λογαριασμούς χρηστών που παραβιάζουν τους παραπάνω όρους.

Το ΕΕΑ δεν ευθύνεται για το περιεχόμενο των λογαριασμών των χρηστών του και δεν εγγυάται για την ακρίβεια των πληροφοριών που παρέχονται από αυτές.

6. Email

Ο Πελάτης οφείλει να έχει πάντα τα στοιχεία επικοινωνίας του ενημερωμένα και να ειδοποιεί το ΕΕΑ για κάθε μεταβολή τους. H επικοινωνία και ενημέρωση του ΕΕΑ προς τον Πελάτη για θέματα που αφορούν στο account του (αναβαθμίσεις στους διακομιστές, κτλ) διεξάγεται μέσω email ή μέσω σχετικών ενημερωτικών σελίδων στο site του ΕΕΑ. Ο Πελάτης οφείλει να ελέγχει τακτικά το email που έχει ορίσει σαν κύριο email επικοινωνίας και τον δικτυακό τόπο του ΕΕΑ ώστε να ενημερώνεται για θέματα που αφορούν το account του. Όλες οι πληροφορίες που διαβιβάζονται από τον πελάτη είναι εμπιστευτικές και το ΕΕΑ έχει λάβει όλα τα απαραίτητα μέτρα ώστε να γίνεται χρήση τους μόνο όταν κρίνεται αναγκαίο μέσα στο πλαίσιο των παρεχόμενων υπηρεσιών.

7. Ορθή χρήση

Ο πελάτης συμφωνεί ότι προτίθεται να κάνει λογική χρήση των πόρων των υποδομών νέφους του ΕΕΑ στο οποίο φιλοξενείται, ότι δεν προορίζονται όλοι οι πόροι των διακομιστών για δική του χρήση και αναγνωρίζει ότι μοιράζεται τους πόρους των διακομιστών με άλλους χρήστες.

Ως όριο στη χρήση της υπολογιστικής ισχύος (CPU) και μνήμης των διακομιστών τίθεται το 15 % των συνολικών πόρων τους. Σε περίπτωση που οι διεργασίες που εκτελούνται στο account του πελάτη ξεπερνούν σε σταθερή βάση την κατανάλωση του 15% των συνολικών πόρων του διακομιστή, ο πελάτης ενημερώνεται σχετικά ώστε να τερματίσει τις συγκεκριμένες διεργασίες. Αν μετά την ενημέρωση το account του πελάτη συνεχίζει και παρουσιάζει αυξημένη κατανάλωση των συνολικών πόρων του server τότε το ΕΕΑ διατηρεί το δικαίωμα να τερματίσει ή να περιορίσει τις διεργασίες χωρίς άλλη σχετική ενημέρωση του πελάτη.

Οι διαθέσιμοι πόροι του διακομιστή προορίζονται αποκλειστικά για χρήση εντός των account των επιχειρήσεων-μελών του ΕΕΑ. Απαγορεύεται η διάθεση πόρων κατά οποιονδήποτε τρόπο σε sites τρίτων με οποιαδήποτε μορφή, περιλαμβανομένων αλλά μη περιοριζόμενων σε άντληση γραφικών ή κειμένων από sites τρίτων υλικού που βρίσκεται σε διακομιστή του ΕΕΑ, εκτέλεση προγραμμάτων banner exchange, proxy, file sharing κ.λπ.

Απαγορεύεται ρητά η χρήση irc bot και chatrooms, λόγω του υπερβολικού φόρτου που προκαλούν οι παραπάνω εφαρμογές στους διακομιστές.

Η φιλοξενία, παρέχεται από το ΕΕΑ μόνο για ορθή χρήση website και eshop. H χρήση υπερβολικών πόρων του συστήματος δεν είναι αποδεκτή. Απαγορεύεται η εκτέλεση αυτόνομων processes, web spider ή Indexer, bit torrent για παράνομη διακίνηση αρχείων, file-sharing, peer-to-peer, gaming servers, mail server, streaming site, άμεση και έμμεση αναμετάδοση video μεγαλύτερη των 20Mb. Σε περίπτωση που η χρήση των υπηρεσιών του ΕΕΑ από τον πελάτη δημιουργεί, κατά την κρίση του ΕΕΑ, πέρα από την επιτρεπτά όρια, υπερφόρτωση του εξοπλισμού και των πόρων του ΕΕΑ, το ΕΕΑ μπορεί να αναστείλει την λειτουργία του λογαριασμού μέχρι να καθοριστεί και να επιλυθεί η αιτία της υπερφόρτωσης. Το ΕΕΑ διατηρεί το δικαίωμα εξουδετέρωσης εντατικών μηχανισμών που επιβαρύνουν την υπολογιστική ισχύ των διακομιστών.

8. Δίκαιο

Οι παρόντες όροι χρήσεως συντάσσονται με βάση το σύνολο των κανόνων δικαίου της Ελληνικής επικράτειας, διέπονται από το Ελληνικό Δίκαιο, από τις ισχύουσες σε αυτό νομοθετικές διατάξεις της Ευρωπαϊκής Ένωσης και από τις Διεθνείς Συνθήκες και ερμηνεύονται σύμφωνα με τους κανόνες της καλής πίστης, των συναλλακτικών ηθών και του κοινωνικού και οικονομικού σκοπού του δικαιώματος. Σε περίπτωση κατά την οποία όρος ή πρόβλεψη των εν λόγω όρων χρήσεως ήθελε κριθεί ως άκυρος ή ακυρώσιμος, τέτοια ακυρότητα ή ακυρωσία δεν θα επηρεάζει την ισχύ των λοιπών όρων, οι δε συμβαλλόμενοι θα καταβάλουν κατά τις προαναφερθείσες αρχές κάθε δυνατή προσπάθεια ώστε να αντικατασταθούν οι άκυρες ή ακυρώσιμες προβλέψεις ή όροι, με άλλους που να προσεγγίζουν όσο το δυνατό περισσότερο το περιεχόμενο των άκυρων ή ακυρώσιμων όρων ή προβλέψεων.

Λαμβάνοντας υπόψη ότι:

(α) Ο αιτών (καλουμένος εφεξής χάριν συντομίας « Υπεύθυνος Επεξεργασίας») αιτήθηκε την παροχή υπηρεσιών δωρεάν φιλοξενίας ιστοτόπου (website) / ηλεκτρονικού καταστήματος (eshop) και αποδέχτηκε τους όρους χρήσης της υπηρεσίας, των οποίων το παρόν συνιστά παράρτημα.

(β) Από τις 25 Μαΐου 2018 ετέθη σε εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (εφεξής Κανονισμός ή ΓΚΠΔ) και επίσης με τον ν. 4624/2019 ορίζονται μέτρα εφαρμογής του Κανονισμού.

2.3 Ο Υπεύθυνος Επεξεργασίας είναι υπεύθυνος, μεταξύ άλλων, να διασφαλίζει ότι η επεξεργασία Προσωπικών Δεδομένων που έχει ανατεθεί στον Εκτελούντα την Επεξεργασία έχει νομική βάση.

3. Υποχρεώσεις του Εκτελούντος την Επεξεργασία

3.1 O Εκτελών την Επεξεργασία επεξεργάζεται Προσωπικά Δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας μόνο βάσει των καταγεγραμμένων στο παρόν Παράρτημα εντολών του Υπευθύνου Επεξεργασίας, εκτός εάν υποχρεούται προς τούτο βάσει του εθνικού ή ευρωπαϊκού δικαίου. Ο Υπεύθυνος Επεξεργασίας μπορεί επίσης να παρέχει επακόλουθες εντολές, καθ’ όλη τη διάρκεια της επεξεργασίας των Προσωπικών Δεδομένων, αλλά οι εν λόγω εντολές θα καταγράφονται πάντοτε και θα διατηρούνται εγγράφως (ή σε ηλεκτρονική μορφή), σε συνδυασμό με το παρόν Παράρτημα.

3.2 Ο Εκτελών την Επεξεργασία θα χρησιμοποιεί τα Προσωπικά Δεδομένα σύμφωνα και μόνο για τον σκοπό που ορίζεται στο παρόν Παράρτημα και μόνο με τον τρόπο και στον βαθμό που αυτό απαιτείται για την παροχή των υπηρεσιών του προς τον Υπεύθυνο Επεξεργασίας, ενημερώνει δε αμελλητί τον Υπεύθυνο Επεξεργασίας εάν, κατά την άποψή του, οι εντολές που παρέχει ο τελευταίος αντιβαίνουν στον ΓΚΠΔ ή στις ισχύουσες εθνικές ή ευρωπαϊκές διατάξεις περί προστασίας δεδομένων.

Ο εκτελών την επεξεργασία γνωστοποιεί το όνομα και τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων (DPO) στον υπεύθυνο επεξεργασίας στην περίπτωση που υποχρεούται εκ του νόμου (άρθρο 37 ΓΚΠΔ) να ορίζει Υπεύθυνο Προστασίας Δεδομένων (DPO).

3.3 Πληροφορίες σχετικά με την επεξεργασία

3.3.1 Ο σκοπός της επεξεργασίας Προσωπικών Δεδομένων από τον Εκτελούντα την Επεξεργασία για λογαριασμό του Υπευθύνου Επεξεργασίας είναι η φιλοξενία (hosting) εφαρμογών, του πληροφοριακού συστήματος, του portal, της/των βάσης/εων δεδομένων (databases) του Υπευθύνου Επεξεργασίας στους εξυπηρετητές ή/και το υπολογιστικό νέφος (Cloud) του Εκτελούντος την Επεξεργασία.

3.3.2 Η επεξεργασία Προσωπικών Δεδομένων από τον Εκτελούντα την Επεξεργασία για λογαριασμό του Υπευθύνου Επεξεργασίας αφορά κυρίως την αποθήκευση των εφαρμογών και δεδομένων του Υπευθύνου Επεξεργασίας καθώς και την τήρηση εφεδρικών αντιγράφων (backup) των δεδομένων

3.3.3 Η επεξεργασία περιλαμβάνει τα ακόλουθα είδη δεδομένων προσωπικού χαρακτήρα σχετικά με τα υποκείμενα των δεδομένων: Στοιχεία ταυτοποίησης, στοιχεία επικοινωνίας, πληροφορίες περιήγησης στο portal του Υπευθύνου Επεξεργασίας, στοιχεία λογαριασμού χρήστη στο πληροφοριακό σύστημα, ιστορικό κινήσεων του χρήστη στο πληροφοριακό σύστημα, κάθε είδους έγγραφα που καταχωρούνται στο σύστημα ή στις βάσεις δεδομένων (σε αυτά μπορεί να περιλαμβάνονται και δεδομένα ειδικών κατηγοριών με την έννοια του άρθρου 9 ΓΚΠΔ)

3.3.4 Η επεξεργασία περιλαμβάνει τις ακόλουθες κατηγορίες υποκειμένων των δεδομένων: Εργαζόμενους, πελάτες και προμηθευτές του Υπευθύνου Επεξεργασίας, επισκέπτες του portal του Υπευθύνου επεξεργασίας, χρήστες του πληροφοριακού συστήματος του Υπευθύνου Επεξεργασίας.

3.3.5 Η επεξεργασία Προσωπικών Δεδομένων από τον Εκτελούντα την Επεξεργασία για λογαριασμό του Υπευθύνου Επεξεργασίας μπορεί να εκτελεστεί από τη θέση σε εφαρμογή του παρόντος Παραρτήματος με την ίδια διάρκεια ισχύος.

3.4. Ο Εκτελών την επεξεργασία θα τηρεί αρχείο δραστηριοτήτων όλων των επιμέρους κατηγοριών επεξεργασίας που διενεργεί για λογαριασμό του Υπεύθυνου Επεξεργασίας σύμφωνα με όσα ορίζονται στη νομοθεσία της προστασίας προσωπικών δεδομένων. Το αρχείο αυτό θα τίθεται στη διάθεση του Υπεύθυνου Επεξεργασίας.

4. Εμπιστευτικότητα

4.1 Ο Εκτελών την Επεξεργασία παρέχει πρόσβαση στα Προσωπικά Δεδομένα που υποβάλλονται σε επεξεργασία για λογαριασμό του Υπευθύνου Επεξεργασίας αποκλειστικά σε πρόσωπα που τελούν υπό την εποπτεία του και τα οποία έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας και μόνον όταν υπάρχει «ανάγκη γνώσης» των Προσωπικών Δεδομένων προκειμένου να είναι δυνατή η παροχή των υπηρεσιών του στον Υπεύθυνο Επεξεργασίας σύμφωνα με την κύρια σύμβαση. Ο κατάλογος των προσώπων στα οποία έχει χορηγηθεί δικαίωμα πρόσβασης υπόκειται σε περιοδική επανεξέταση. Βάσει της εν λόγω επανεξέτασης, η πρόσβαση στα Προσωπικά Δεδομένα μπορεί να ανακληθεί, εάν δεν είναι πλέον απαραίτητη, και ως εκ τούτου τα εν λόγω πρόσωπα δεν θα μπορούν να έχουν πια πρόσβαση στα Προσωπικά Δεδομένα.

4.2 Κατόπιν αιτήματος του Υπευθύνου Επεξεργασίας, ο Εκτελών την Επεξεργασία αποδεικνύει ότι τα εν λόγω πρόσωπα που τελούν υπό την εποπτεία του υπόκεινται στην προαναφερθείσα υποχρέωση τήρησης εμπιστευτικότητας.

4.3 Ο Εκτελών την Επεξεργασία θα λαμβάνει όλα τα εύλογα μέτρα για να εξασφαλίσει την επαρκή εκπαίδευση του Προσωπικού του που θα επεξεργάζεται Προσωπικά Δεδομένα αναφορικά με τη συμμόρφωση προς το παρόν Παράρτημα και την εφαρμοστέα νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα.

5. Ασφάλεια επεξεργασίας

5.1 Το άρθρο 32 ΓΚΠΔ ορίζει ότι, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων. Ο Υπεύθυνος Επεξεργασίας αξιολογεί τους κινδύνους που ενέχει η επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και λαμβάνει μέτρα μετριασμού των εν λόγω κινδύνων. Ανάλογα με τη σημασία των κινδύνων, τα μέτρα μπορούν να περιλαμβάνουν τα ακόλουθα:

α. ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα,

β. δυνατότητα διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

γ. δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

δ. διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας..

5.2 Αναφορικά με το επίπεδο ασφάλειας της επεξεργασίας που θα διενεργεί ο Εκτελών την Επεξεργασία θα πρέπει να λαμβάνεται υπόψη το γεγονός ότι η επεξεργασία αφορά μεγάλο όγκο Προσωπικών Δεδομένων, κάποια από τα οποία ενδέχεται να εμπίπτουν στο άρθρο 9 ΓΚΠΔ για τις “ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα”, λόγος για τον οποίο θα πρέπει να θεσπιστεί ‘υψηλό’ επίπεδο ασφάλειας.

5.3 Στο εξής ο Εκτελών την Επεξεργασία δικαιούται και υποχρεούται να λαμβάνει αποφάσεις σχετικά με τα τεχνικά και οργανωτικά μέτρα ασφάλειας τα οποία πρέπει να εφαρμοστούν για να επιτευχθεί το αναγκαίο (και συμφωνηθέν) επίπεδο ασφάλειας των δεδομένων. Σε κάθε περίπτωση πάντως, ο Εκτελών την Επεξεργασία εφαρμόζει κατ’ ελάχιστον τα ακόλουθα μέτρα τα οποία συμφωνήθηκαν με τον Υπεύθυνο Επεξεργασίας:

1. Το σύνολο των προσωπικών δεδομένων υπόκεινται σε διπλή κρυπτογράφηση. Σε επίπεδο βάσης δεδομένων στο Microsoft Azure, σε  επίπεδο πεδίων βάσης με έξτρα κρυπτογράφηση κλειδιού εφαρμογής

2. Όλες οι υποδομές φιλοξενούνται στο cloud service της Microsoft Azure. Τα προσωπικά δεδομένα αποθηκεύονται σε βάση δεδομένων με τις εξής προδιαγραφές:

         2.1. Ασύγχρονή διασφάλιση δεδομένων για 35 ημέρες με δυνατότητα ανάκτησης σε οποιοδήποτε στιγμή (backup to the point).

        2.2. Διαμοιρασμός των αντιγράφων ασφαλείας σε 3 διαφορετικές ζώνες εντός του ευρωπαϊκού χώρου σε 3 διαφορετικά data centers

3. H αποκατάσταση των δεδομένων μπορεί να γίνει στο χρόνο που χρειάζεται η ανάκτηση της βάσης δεδομένων από τα συνεχόμενα αντίγραφα ασφαλείας.

4. Η τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας πραγματοποιούνται σε δυο [2] επίπεδα. Σε 1ο επίπεδο – Βάσης Δεδομένων μέσω της υποδομής της Azure και σε 2ο επίπεδο - Εφαρμογής με ειδικά σχεδιασμένα unit tests (Σενάρια ελέγχου)

5. Τα δεδομένα εισόδου των χρηστών είναι κρυπτογραφημένα σε επίπεδο εφαρμογής, με αυξημένους κανόνες ασφαλείας για σύνθετους κωδικούς ασφάλειας (passwords). Η δημιουργία των κωδικών δεν μπορεί να ανακτηθεί από κανένα χρήστη. Υπάρχει η δυνατότητα επαναφοράς μόνο από τον υπεύθυνο χρήστη.

6. Το σύνολο των δεδομένων αποθηκεύονται στην βάση δεδομένων στην υποδομή της Microsoft Azure με όλες τις απαραίτητες προστασίες που έχουν αναφερθεί και υποστηρίζονται από την νεφοϋπολογιστική (cloud computing) υποδομή.

7. Όλες οι συσκευές επεξεργασίας δεδομένων πέραν της βασικής νεφοϋπολογιστικής υποδομής της Azure γίνεται σε συστήματα που έχουν υποστεί κρυπτογράφηση των δίσκων (bitlcoking) με προσωποποιημένους κωδικούς εισόδου.

8. Στην περίπτωση μη εξουσιοδοτημένης διαρροής προσωπικών δεδομένων χρησιμοποιείται εξειδικευμένη φόρμα καταγραφής των συμβάντων ασφαλείας και ακολουθείται διαδικασία δημοσίευσης στην Αρχή προστασίας προσωπικών δεδομένων.

9. Το σύνολο των συστημάτων που διαχειρίζονται και επεξεργάζονται δεδομένα, διαθέτουν κανόνες προσωποποιημένης πρόσβασης, καθώς και κρυπτογράφησης των δίσκων δεδομένων. Επιπλέον η βάση δεδομένων έχει σχεδιαστεί με τις κατάλληλες δομές δεδομένων ώστε να διασφαλίζεται η ακεραιότητα των δεομένων καθώς και η ελαχιστοποίηση τους.

10. Τα δεδομένα εισόδου καταγράφονται σε ξεχωριστό αρχείο Logging το οποίο είναι διαθέσιμο όποτε ζητηθεί. Επίσης δύναται να πραγματοποιηθεί ανάκτηση δεδομένων και εξαγωγή τους σε οποιαδήποτε μορφή σε οποιαδήποτε χρονική στιγμή απαιτηθεί με ιστορικότητα έως και 35 ημερών.

11. Κάθε χρήστης - μέλος έχει την δυνατότητα να εξάγει όλα τα δεδομένα του σε μορφές που μπορούν να μεταφερθούν σε τρίτα συστήματα.

12. Μεταφορές δεδομένων πραγματοποιούνται σε εξουσιοδοτημένους και πιστοποιημένους υπεργολάβους και για συγκεκριμένες χρήσης (υπηρεσία εσωτερικής επικοινωνίας και υπηρεσία αποστολής ηλεκτρονικής αλληλογραφίας). Με κάθε υπεργολάβο έχει συναφθεί εξειδικευμένη Σύμβαση Προστασίας Προσωπικών Δεδομένων (DPA). Επιπλέον, η αποθήκευση των δεδομένων πραγματοποιείται εντός Ε.Ε.

13. Απομακρυσμένη σύνδεση επιτρέπεται μόνο μέσου διαδικτύου και μόνο μέσω της πύλης εισόδου της εφαρμογής. Η σύνδεση των διαχειριστών πραγματοποιείται στη νεφοϋπολογιστικό σύστημα της Azure με 2FA διαδικασία. Ταυτόχρονα, η πρόσβαση στα δεδομένα μέσω διαδικτύου είναι κρυπτογραφημένη με το πρωτόκολλο TLS 1.2.

14. Όλοι οι χρήστες που έχουν πρόσβαση σε δεδομένα για επεξεργασία συνδέονται με προσωποποιημένους κωδικούς ενώ το σύνολο των δεδομένων κρυπτογραφούνται αυτόματα πριν την αποθήκευση τους σε τοπικούς δίσκους (HDD).

5.4 Σύμφωνα με το άρθρο 32 του ΓΚΠΔ, ο Εκτελών την Επεξεργασία αξιολογεί επίσης - ανεξάρτητα από τον Υπεύθυνο Επεξεργασίας - τους κινδύνους που ενέχει η επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και λαμβάνει μέτρα μετριασμού των εν λόγω κινδύνων. Προς τούτο, ο Υπεύθυνος Επεξεργασίας παρέχει στον Εκτελούντα την Επεξεργασία κάθε αναγκαία πληροφορία για τον προσδιορισμό και την αξιολόγηση των εν λόγω κινδύνων.

5.5 Επιπλέον, ο Εκτελών την Επεξεργασία συνδράμει τον Υπεύθυνο Επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις του Υπευθύνου Επεξεργασίας δυνάμει του άρθρου 32 ΓΚΠΔ, μεταξύ άλλων παρέχοντας στον Υπεύθυνο Επεξεργασίας πληροφορίες σχετικά με τα τεχνικά και οργανωτικά μέτρα που ήδη εφαρμόζει ο Εκτελών την Επεξεργασία σύμφωνα με το άρθρο 32 ΓΚΠΔ, καθώς και κάθε άλλη πληροφορία η οποία είναι αναγκαία για τη συμμόρφωση του Υπευθύνου Επεξεργασίας προς την υποχρέωση που υπέχει δυνάμει του άρθρου 32 ΓΚΠΔ. Εάν μεταγενέστερα –κατά την εκτίμηση του Υπευθύνου Επεξεργασίας– ο μετριασμός των προσδιορισθέντων κινδύνων απαιτεί τη λήψη περαιτέρω μέτρων από τον Εκτελούντα την Επεξεργασία, πέραν εκείνων που ήδη εφαρμόζει σύμφωνα με το άρθρο 32 ΓΚΠΔ, ο Υπεύθυνος Επεξεργασίας προσδιορίζει με τροποποίηση του παρόντος άρθρου τα εν λόγω πρόσθετα μέτρα που πρέπει να εφαρμοστούν.

6. Χρήση υπεργολάβων επεξεργασίας

6.1 Ο Εκτελών την Επεξεργασία θα πρέπει να πληροί τις απαιτήσεις που ορίζονται στο άρθρο 28 παράγραφοι 2 και 4 του ΓΚΠΔ προκειμένου να προσλάβει άλλον εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας).

6.2 Ο Εκτελών την Επεξεργασία δεν προσλαμβάνει επομένως άλλον εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) για την εκπλήρωση των υποχρεώσεών του που απορρέουν από την κύρια σύμβαση χωρίς προηγούμενη ειδική γραπτή άδεια του Υπευθύνου Επεξεργασίας.

6.3 Ο Εκτελών την Επεξεργασία προσλαμβάνει υπεργολάβους επεξεργασίας αποκλειστικά κατόπιν ειδικής προηγούμενης άδειας του Υπευθύνου Επεξεργασίας. Ο Εκτελών την Επεξεργασία υποβάλλει το αίτημα για ειδική άδεια τουλάχιστον ένα μήνα πριν από την πρόσληψη του εκάστοτε υπεργολάβου επεξεργασίας. Ο κατάλογος των υπεργολάβων επεξεργασίας που έχουν ήδη λάβει άδεια από τον Υπεύθυνο Επεξεργασίας περιλαμβάνεται στην ακόλουθη παράγραφο

6.4 Εγκεκριμένοι υπεργολάβοι επεξεργασίας

Με την έναρξη ισχύος του παρόντος Παραρτήματος, ο Υπεύθυνος Επεξεργασίας εγκρίνει τη χρήση των ακόλουθων υπεργολάβων επεξεργασίας για την επεξεργασία που περιγράφεται όσον αφορά τον συγκεκριμένο συμβαλλόμενο:

Ο Εκτελών την Επεξεργασία δεν δικαιούται να προσλάβει υπεργολάβο επεξεργασίας για επεξεργασία διαφορετική από τη συμφωνηθείσα ή να αναθέσει σε άλλον υπεργολάβο επεξεργασίας την εκτέλεση της περιγραφείσας επεξεργασίας, παρά μόνο υπό τους όρους 6.2 και 6.3 του παρόντος.

6.5 Όταν ο Εκτελών την Επεξεργασία προσλαμβάνει υπεργολάβο επεξεργασίας για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του Υπευθύνου Επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στο παρόν Παράρτημα επιβάλλονται στον υπεργολάβο επεξεργασίας μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το εθνικό ή ευρωπαϊκό δίκαιο, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος Παραρτήματος και του ΓΚΠΔ. Κατά συνέπεια, ο Εκτελών την Επεξεργασία οφείλει α) προτού προσλάβει οποιονδήποτε νέο υπεργολάβο επεξεργασίας, να διενεργήσει διαδικασία δέουσας επιμέλειας προκειμένου να βεβαιωθεί ότι ο εν λόγω υπεργολάβος είναι ικανός να εξασφαλίσει το επίπεδο προστασίας των Προσωπικών Δεδομένων που προβλέπεται από το παρόν Παράρτημα και τον ΓΚΠΔ και β) να μεριμνά ώστε οι υπεργολάβοι επεξεργασίας που χρησιμοποιεί να δεσμεύονται συμβατικά από τις ίδιες υποχρεώσεις σχετικά με την επεξεργασία των Προσωπικών Δεδομένων όπως αυτές που δεσμεύουν τον Εκτελούντα την Επεξεργασία σύμφωνα με το παρόν Παράρτημα και τον ΓΚΠΔ.

6.6 Αντίγραφο της συμφωνίας υπεργολαβίας επεξεργασίας και επακόλουθων τροποποιήσεών της υποβάλλεται στον Υπεύθυνο Επεξεργασίας κατόπιν αιτήματός του ώστε να παρέχεται στον Υπεύθυνο Επεξεργασίας η δυνατότητα να διασφαλίσει ότι στον υπεργολάβο επεξεργασίας επιβάλλονται οι ίδιες υποχρεώσεις προστασίας δεδομένων με αυτές που προβλέπονται στο παρόν Παράρτημα. Ρήτρες για επιχειρηματικά ζητήματα οι οποίες δεν θίγουν το νομικό περιεχόμενο της συμφωνίας υπεργολαβίας επεξεργασίας όσον αφορά την προστασία δεδομένων δεν υποβάλλονται στον Υπεύθυνο Επεξεργασίας.

6.7 Εάν ο υπεργολάβος επεξεργασίας δεν ανταποκριθεί στις υποχρεώσεις του σχετικά με την προστασία των Προσωπικών Δεδομένων, ο Εκτελών την Επεξεργασία παραμένει πλήρως υπόλογος έναντι του Υπευθύνου Επεξεργασίας για την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας. Αυτό δεν επηρεάζει τα δικαιώματα των υποκειμένων των δεδομένων δυνάμει του ΓΚΠΔ, ιδίως εκείνων που προβλέπονται στα άρθρα 79 και 82 του ΓΚΠΔ, έναντι του Υπευθύνου Επεξεργασίας και του Εκτελούντος την Επεξεργασία, συμπεριλαμβανομένου του υπεργολάβου επεξεργασίας.

7. Τόπος επεξεργασίας – Διαβίβαση δεδομένων σε τρίτες χώρες

7.1 Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος Παραρτήματος δεν επιτρέπεται να εκτελείται σε τόπους άλλους εκτός του ΕΟΧ χωρίς την προηγούμενη έγγραφη άδεια του Υπευθύνου Επεξεργασίας.

7.2 Οποιαδήποτε διαβίβαση Προσωπικών Δεδομένων σε τρίτες χώρες, για τις οποίες η ΕΕ έχει εκδώσει απόφαση επάρκειας και στην περίπτωση που εφαρμόζονται οι πρότυπες συμβατικές ρήτρες ή διεθνείς οργανισμούς από τον Εκτελούντα την Επεξεργασία πραγματοποιείται μόνο βάσει καταγεγραμμένων εντολών του Υπευθύνου Επεξεργασίας και πάντοτε σε συμμόρφωση προς το κεφάλαιο V του ΓΚΠΔ.

7.3 Επομένως, χωρίς καταγεγραμμένες εντολές από τον Υπεύθυνο Επεξεργασίας, ο Εκτελών την Επεξεργασία δεν δύναται, στο πλαίσιο του παρόντος Παραρτήματος:

α. να διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε τρίτη χώρα ή σε διεθνή οργανισμό·

β. να αναθέτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε υπεργολάβο επεξεργασίας σε τρίτη χώρα·

γ. να προβαίνει ο ίδιος στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα.

8. Συνδρομή στον υπεύθυνο επεξεργασίας

8.1 Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, ο Εκτελών την Επεξεργασία παρέχει συνδρομή στον Υπεύθυνο Επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση των υποχρεώσεων του Υπευθύνου Επεξεργασίας να απαντά σε αιτήματα για άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων που προβλέπονται στον ΓΚΠΔ και στον ν. 4624/2019. Αυτό συνεπάγεται ότι ο Εκτελών την Επεξεργασία παρέχει συνδρομή, στον βαθμό που αυτό είναι δυνατό, στον Υπεύθυνο Επεξεργασίας ώστε να ικανοποιήσει τα δικαιώματα των υποκειμένων των δεδομένων όπως προβλέπονται στα άρθρα 12-22 του ΓΚΠΔ

8.2 Πέραν της υποχρέωσης του Εκτελούντος την Επεξεργασία να συνδράμει τον Υπεύθυνο Επεξεργασίας δυνάμει του άρθρου 5.4 του παρόντος, ο Εκτελών την Επεξεργασία συνδράμει επίσης τον Υπεύθυνο Επεξεργασίας, λαμβανομένων υπόψη της φύσης της επεξεργασίας και των πληροφοριών που έχει στη διάθεσή του ο Εκτελών την Επεξεργασία, ώστε να διασφαλίζει συμμόρφωση προς:

α. την υποχρέωση του Υπευθύνου Επεξεργασίας να γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων·

β. την υποχρέωση του Υπευθύνου Επεξεργασίας να ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων·

γ. την υποχρέωση του Υπευθύνου Επεξεργασίας να διενεργεί, κατά περίπτωση, εκτίμηση του αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα (εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων)·

δ. την υποχρέωση του Υπευθύνου Επεξεργασίας να ζητεί τη γνώμη της αρμόδιας εποπτικής αρχής πριν από την επεξεργασία όταν η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον Υπεύθυνο Επεξεργασίας.

8.3 Στο μέτρο του δυνατού –εντός του πεδίου εφαρμογής και της έκτασης της συνδρομής που προσδιορίζεται κατωτέρω– ο Εκτελών την Επεξεργασία συνδράμει τον Υπεύθυνο Επεξεργασίας σύμφωνα με τις ανωτέρω παραγράφους 8.1 και 8.2 λαμβάνοντας τα ακόλουθα τεχνικά και οργανωτικά μέτρα:

Ο Εκτελών την επεξεργασία θα παράσχει στον Υπεύθυνο αρχεία καταγραφής (logs) και κάθε άλλη τεχνική πληροφορία που μπορεί να αιτηθεί ο Υπεύθυνος Επεξεργασίας.

9. Γνωστοποίηση παραβίασης δεδομένων

9.1 Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο Εκτελών την Επεξεργασία ενημερώνει αμελλητί από τη στιγμή που λαμβάνει γνώση του γεγονότος τον Υπεύθυνο Επεξεργασίας σχετικά με την παραβίαση των δεδομένων προσωπικού χαρακτήρα.

9.2 Η ενημέρωση του Υπευθύνου Επεξεργασίας από τον Εκτελούντα την Επεξεργασία λαμβάνει χώρα αμελλητί και, σε κάθε περίπτωση, εντός 24 ωρών αφότου ο Εκτελών την Επεξεργασία λάβει γνώση της παραβίασης δεδομένων προσωπικού χαρακτήρα, προκειμένου ο Υπεύθυνος Επεξεργασίας να είναι σε θέση να συμμορφωθεί με τις υποχρεώσεις γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα άρθρα 33 και, κατά περίπτωση, 34 ΓΚΠΔ.

9.3 Σύμφωνα με το άρθρο 8 παρ. 2 στοιχ. α), ο Εκτελών την Επεξεργασία συνδράμει τον Υπεύθυνο Επεξεργασίας στη γνωστοποίηση της παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή. Αυτό σημαίνει ότι ο Εκτελών την Επεξεργασία υποχρεούται να συνδράμει στην εξασφάλιση των πληροφοριών που απαριθμούνται κατωτέρω, οι οποίες, δυνάμει του άρθρου 33 παρ. 3 ΓΚΠΔ, δηλώνονται στη γνωστοποίηση του υπευθύνου επεξεργασίας προς την αρμόδια εποπτική αρχή:

α. φύση των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

β. ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

γ. ληφθέντα ή προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση των ενδεχόμενων δυσμενών συνεπειών της.

9.4 Εάν ο Εκτελών την Επεξεργασία δεν είναι σε θέση να παράσχει όλες τις πληροφορίες της παρ. 9.3 μέσα στα προβλεπόμενα χρονικά πλαίσια, τότε πριν τη λήξη του αναφερόμενου ανωτέρω χρονικού πλαισίου θα εξηγεί στον Υπεύθυνο Επεξεργασίας τους λόγους για την καθυστέρηση, παρέχοντας μια ένδειξη για το πότε αναμένεται να είναι σε θέση να παράσχει τις σχετικές λεπτομέρειες (ενδεχομένως και κατά διαστήματα), και θα ενημερώνει τον Υπεύθυνο Επεξεργασίας σε τακτικά διαστήματα για τα θέματα αυτά.

9.5 Έπειτα από τη διαπίστωση της παραβίασης δεδομένων, ο Εκτελών την Επεξεργασία α) θα διεξάγει χωρίς αδικαιολόγητη καθυστέρηση έρευνα για την παραβίαση δεδομένων και θα παρέχει πληροφορίες στον Υπεύθυνο Επεξεργασίας σχετικά με την παραβίαση, β) θα λαμβάνει εύλογα μέτρα για τον περιορισμό των επιπτώσεων και για την ελαχιστοποίηση των ζημιών που οφείλονται στην παραβίαση δεδομένων, συμπεριλαμβανομένης της παροχής βοήθειας στον Υπεύθυνο Επεξεργασίας προς αποκατάσταση ή περιορισμό των πιθανών ζημιών από την παραβίαση, στον βαθμό που η εν λόγω αποκατάσταση ή περιορισμός βρίσκεται υπό τον έλεγχο του Εκτελούντος την Επεξεργασία, καθώς και εύλογα μέτρα για να αποτραπεί επανάληψη της παραβίασης δεδομένων και γ) θα συνεργάζεται πλήρως με τον Υπεύθυνο Επεξεργασίας για την ανάπτυξη και εκτέλεση ενός σχεδίου δράσης για την αντιμετώπιση της παραβίασης.

10. Διαγραφή και επιστροφή δεδομένων

10.1 Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όλο το χρονικό διάστημα ισχύος της κυρίας σύμβασης μεταξύ των μερών και, εν συνεχεία, διαγράφονται αυτομάτως από τον εκτελούντα την επεξεργασία.

10.2 Κατά τη λήξη της παροχής υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ο Εκτελών την Επεξεργασία υποχρεούται κατ΄ επιλογή του Υπεύθυνου Επεξεργασίας και σύμφωνα με σχετική εντολή του, είτε α) να επιστρέψει το σύνολο των Προσωπικών Δεδομένων στον Υπεύθυνο Επεξεργασίας, είτε β) να διαγράψει τα σύνολο των Προσωπικών Δεδομένων, παρέχοντας σε κάθε περίπτωση εντός συγκεκριμένου χρονικού διαστήματος [ενδεικτικά αναφέρεται] δεκαπέντε ημερών από τη λήξη της συνεργασίας, γραπτή πιστοποίηση προς τον Υπεύθυνο Επεξεργασίας, ότι ο ίδιος και κάθε υπεργολάβος του δεν διατηρούν πλέον αντίγραφα Προσωπικών Δεδομένων, τα οποία είχαν αποκτήσει λόγω της κυρίας σύμβασης, εκτός εάν ορισμένη διάταξη του εθνικού ή ευρωπαϊκού δίκαιο επιβάλλει την περαιτέρω αποθήκευση των Προσωπικών Δεδομένων.

10.3 Στην περίπτωση που, παρά τη λήξη της ισχύος του παρόντος Παραρτήματος, το εφαρμοστέο δίκαιο απαιτεί την αποθήκευση οποιωνδήποτε Προσωπικών Δεδομένων από τον Εκτελούντα την Επεξεργασία, ο τελευταίος οφείλει α) να ενημερώσει τον Υπεύθυνο Επεξεργασίας για την εν λόγω απαίτηση, οπότε και θα καταστεί Υπεύθυνος Επεξεργασίας των εν λόγω Δεδομένων για τους περιορισμένους αυτούς σκοπούς, και β) να εξασφαλίσει ότι τα Δεδομένα θα υποβάλλονται σε επεξεργασία μόνο στον βαθμό που είναι αναγκαίος για τη συμμόρφωση προς τη διάταξη του εφαρμοστέου δικαίου που απαιτεί την αποθήκευση, αποκλειομένου κάθε άλλου σκοπού.

11. Έλεγχος και επιθεώρηση

11.1 Ο Εκτελών την Επεξεργασία θέτει στη διάθεση του Υπευθύνου Επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 και στο παρόν Παράρτημα και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον Υπεύθυνο Επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον Υπεύθυνο Επεξεργασίας.

Ο Υπεύθυνος Επεξεργασίας ή ο εκπρόσωπος του Υπευθύνου Επεξεργασίας [να προσδιοριστεί το χρονικό διάστημα, ενδεικτικά κάθε πέντε μήνες] διενεργεί αυτοψία των τόπων στους οποίους ο Εκτελών την Επεξεργασία εκτελεί την επεξεργασία των Προσωπικών Δεδομένων, συμπεριλαμβανομένων των φυσικών εγκαταστάσεων καθώς και των συστημάτων που χρησιμοποιούνται και σχετίζονται με την επεξεργασία προκειμένου να εξακριβώσει τη συμμόρφωση του Εκτελούντος την Επεξεργασία προς τον ΓΚΠΔ, τις ισχύουσες διατάξεις περί προστασίας των δεδομένων και το παρόν Παράρτημα.

Επιπλέον της προγραμματισμένης επιθεώρησης, ο Υπεύθυνος Επεξεργασίας δύναται να επιθεωρήσει τον Εκτελούντα την Επεξεργασία όταν εκτιμά ότι η επιθεώρηση αυτή είναι απαραίτητη.

11.2 Ο Εκτελών την Επεξεργασία υποχρεούται να παρέχει στις εποπτικές αρχές, οι οποίες δυνάμει της ισχύουσας νομοθεσίας έχουν πρόσβαση στις εγκαταστάσεις του Υπευθύνου Επεξεργασίας και του Εκτελούντος την Επεξεργασία, ή σε εκπροσώπους που ενεργούν για λογαριασμό των εν λόγω εποπτικών αρχών, πρόσβαση στις φυσικές εγκαταστάσεις του εκτελούντος την επεξεργασία με την επίδειξη κατάλληλων εγγράφων ταυτοποίησης .

12. Έναρξη ισχύος και λήξη

12.1 Το παρόν Παράρτημα τίθεται σε ισχύ με την αποδοχή των όρων χρήσης από τον Υπεύθυνο Επεξεργασίας.

12.3 Το παρόν Παράρτημα ισχύει καθ’ όλη τη διάρκεια της παροχής των υπηρεσιών από τον Εκτελούντα την Επεξεργασία προς τον Υπεύθυνο Επεξεργασίας.