Ως δεδομένα που αφορούν την υγεία νοούνται οι πληροφορίες «που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση...



ΣΥΜΒΑΣΗ ΑΝΑΘΕΣΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Στην Αθήνα σήμερα, μεταξύ των συμβαλλομένων:

  1. Αφενός του ……………………………..(καλουμένου εφεξής χάριν συντομίας «Ο Υπεύθυνος Επεξεργασίας») και

  2. Αφετέρου………… (καλουμένου εφεξ΄χάριν συντομίας «Ο εκτελών επεξεργασία»),

Και από κοινού καλούμενοι «οι Συμβαλλόμενοι»,



ΠΡΟΟΙΜΙΟ:



Λαμβάνοντας υπόψη ότι:

(α) Οι συμβαλλόμενοι έχουν υπογράψει την από………. σύμβαση (εφεξής χάριν συντομίας «η κύρια σύμβαση»), που αφορά…………. και της οποίας το παρόν συνιστά παράρτημα.

(β) Από τις 25 Μαΐου 2018 ετέθη σε εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 του ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (εφεξής Κανονισμός),

(γ) Ο υπεύθυνος επεξεργασίας προβαίνει σε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο άσκησης της επιχειρηματικής του δραστηριότητάς του/των αρμοδιοτήτων του και αποφασίζει τους σκοπούς, τις μεθόδους και τα μέσα επεξεργασίας προσωπικών δεδομένων,

(δ) Ο εκτελών επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό και σύμφωνα με τις εντολές του υπευθύνου επεξεργασίας ,

(ε) Ο υπεύθυνος επεξεργασίας και ο εκτελών επεξεργασία υποχρεούνται να συμμορφώνονται με τις σχετικές διατάξεις του Κανονισμού, του Ευρωπαϊκού και του ελληνικού δικαίου για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα και το απόρρητο των επικοινωνιών, καθώς και τις πράξεις (Αποφάσεις, Οδηγίες, Γνωμοδοτήσεις κλπ.) που εκδίδονται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα .

(στ) Ο υπεύθυνος επεξεργασίας έχει ήδη αναθέσει/θα αναθέσει στον εκτελούντα επεξεργασία την εκτέλεση επεξεργασίας δεδομένων προσωπικού χαρακτήρα για λογαριασμό του με την από…….[κύρια σύμβαση] και συγκεκριμένα:

……………..

Ήδη με την παρούσα αναγνωρίζουν, συμφωνούν και αποδέχονται αμοιβαία τα εξής:



  1. ΟΡΙΣΜΟΙ

Σύμφωνα με τη νομοθεσία που διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα [Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 ΕΕ (εφεξής Κανονισμός) και εθνική νομοθεσία …………] και για τις ανάγκες της παρούσας οι βασικές έννοιες που χρησιμοποιούνται νοούνται ως:

«Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο

«Ευαίσθητα προσωπικά δεδομένα ή δεδομένα ειδικών κατηγοριών» νοούνται τα προσωπικά δεδομένα που αφορούν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, σεξουαλική ζωή φυσικού, γενετήσιο προσανατολισμό, ποινικές καταδίκες και αδικήματα

Ως δεδομένα που αφορούν την υγεία νοούνται οι πληροφορίες «που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του» [άρθρο 4 (15) Γενικού Κανονισμού Προστασίας Δεδομένων]. Τα δεδομένα που αφορούν την υγεία περιλαμβάνουν « πληροφορίες σχετικά με το φυσικό πρόσωπο που συλλέγονται κατά την εγγραφή για υπηρεσίες υγείας και κατά την παροχή αυτών όπως αναφέρεται στην Οδηγία 2011/24/ΕΕ προς το εν λόγω φυσικό πρόσωπο». Tέτοιες πληροφορίες μπορεί να είναι ένας αριθμός, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίηση του φυσικού προσώπου για σκοπούς υγείας, πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, μεταξύ άλλων από γενετικά δεδομένα και βιολογικά δείγματα και κάθε πληροφορία, παραδείγματος χάριν, σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, παραδείγματος χάριν, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.

«Υποκείμενο των δεδομένων» : το ταυτοποιήσιμο φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

«Επεξεργασία» κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

«Υπεύθυνος Επεξεργασίας» το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

Εκτελών επεξεργασία το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

«υπεργολάβος (επεξεργασίας)»: το φυσικό ή νομικό πρόσωπο στο οποίο ανατίθεται από ή για λογαριασμό του εκτελούντα επεξεργασία να επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας στο πλαίσιο της κύριας σύμβασης,

«παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,


«κύρια σύμβαση» (εφόσον γίνεται αναφορά στην παρούσα/ στο παρόν σε κύρια σύμβαση) : μια ή περισσότερες συμβάσεις που έχουν υπογραφεί ή προγραμματίζεται να υπογραφούν στο μέλλον μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντα επεξεργασία, η οποία έχει ως αντικείμενο την ανάθεση παροχής υπηρεσιών στον εκτελούντα την επεξεργασία, που έχει ως αντικείμενο, προϋποθέτει ή συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα.





  1. ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ



    1. Ο εκτελών επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας και μόνο βάσει καταγεγραμμένων εντολών αυτού, όπως ορίζεται στην κύρια σύμβαση και στην παρούσα.



    1. Οι εντολές αυτές αναφέρονται ιδίως στο αντικείμενο, τον σκοπό, τη φύση και τη διάρκεια της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και μπορεί να δίδονται άπαξ ή κατά περίπτωση και είναι έγγραφες. 1Εναλλακτικά: Οι εντολές αναφορικά με το αντικείμενο, τον σκοπό, τη φύση και τη διάρκεια της επεξεργασίας περιλαμβάνονται στο παράρτημα…. της παρούσας/ του παρόντος.



    1. Οι εντολές υπόκεινται σε τροποποίηση από τον υπεύθυνο επεξεργασίας ύστερα από έγκαιρη ενημέρωση του εκτελούντα, εφόσον αυτή είναι αναγκαία για να αναπροσαρμόσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που εκτελεί για λογαριασμό του υπευθύνου.





    1. Ο εκτελών επεξεργασία προβαίνει στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της (κύριας) σύμβασης που έχει συνάψει με τον υπεύθυνο επεξεργασίας και για τους σκοπούς της παροχής του έργου/ των υπηρεσιών που έχει συμφωνηθεί μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος. Κάθε άλλη επεξεργασία των δεδομένων προσωπικού χαρακτήρα, με οποιοδήποτε τρόπο και μορφή δεν επιτρέπεται, εκτός εάν η επεξεργασία αυτή είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του εκτελούντος επεξεργασία. Στην περίπτωση αυτή, ο εκτελών επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν εκ του νόμου απαγορεύεται αυτού του είδους η ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος.



    1. Ο εκτελών αναλαμβάνει την υποχρέωση να ενημερώνει εκ των προτέρων και εγκαίρως τον υπεύθυνο επεξεργασίας σε περίπτωση αναγκαιότητας διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν εκ του νόμου απαγορεύεται αυτού του είδους η ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος. Πριν από την εν λόγω διαβίβαση αναλαμβάνει να εξασφαλίζει ότι παρέχονται οι κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα (π.χ. διαβίβαση βάσει απόφασης επάρκειας της Ευρωπαϊκής Επιτροπής, σύναψη τυποποιημένων συμβατικών ρητρών, οι οποίες έχουν εγκριθεί από την Ευρωπαϊκή Επιτροπή, προσχώρηση σε κώδικα δεοντολογίας ή μηχανισμό πιστοποίησης που θα έχει εγκριθεί από την Ευρωπαϊκή Επιτροπή, κλπ.). Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να αντιτάσσεται στην εν λόγω διαβίβαση, εκτός εάν αυτή επιβάλλεται από διάταξη νόμου.

    2. Εάν ο εκτελών επεξεργασία υπερβεί τις εντολές που έχει λάβει από τον υπεύθυνο και προσδιορίζει ο ίδιος τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ή τα υποβάλλει σε επεξεργασία για διαφορετικούς από τους ορισθέντες σκοπούς καθίσταται ο ίδιος υπεύθυνος επεξεργασίας και υπέχει υποχρεώσεις και ευθύνη έναντι των υποκειμένων των δεδομένων και των εποπτικών αρχών, ανεξαρτήτως της ευθύνης που έχει έναντι του υπευθύνου επεξεργασίας.







  1. ΠΡΟΣΩΠΙΚΟ ΤΟΥ ΕΚΤΕΛΟΥΝΤΑ ΕΠΕΞΕΡΓΑΣΙΑ ΚΑΙ ΠΡΟΣΛΗΨΗ ΑΛΛΟΥ ΕΚΤΕΛΟΎΝΤΑ (ΥΠΕΡΓΟΛΑΒΟΥ)



    1. Ο εκτελών επεξεργασία ενημερώνει τα πρόσωπα τα οποία είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για τις υποχρεώσεις που απορρέουν από τη νομοθεσία και την παρούσα/το παρόν.



    1. Ο εκτελών επεξεργασία διασφαλίζει ότι τα πρόσωπα τα οποία είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα έχουν (εγγράφως) ενημερωθεί και αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,



    1. Ο εκτελών επεξεργασία διασφαλίζει ότι πρόσβαση στα δεδομένα προσωπικού χαρακτήρα έχουν μόνο τα εξουσιοδοτημένα, κατά περίπτωση και ανάλογα με το σκοπό επεξεργασίας, πρόσωπα και μόνο για τον συμφωνηθέντα σκοπό της επεξεργασίας.



    1. Ο εκτελών επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα επεξεργασία («υπεργολάβο») χωρίς προηγούμενη, ειδική [και έγγραφη] άδεια του υπευθύνου επεξεργασίας.

Εναλλακτικά (γενική άδεια με δικαίωμα αντίταξης): Ο εκτελών επεξεργασία δικαιούται να προσλαμβάνει άλλον εκτελούντα επεξεργασία («υπεργολάβο») αλλά ενημερώνει εγκαίρως (και λεπτομερώς) τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία. Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα [εντός… εργασίμων ημερών] να αντιταχθεί, εν όλω ή εν μέρει, στην πρόσληψη ή αντικατάσταση υπεργολάβων.



    1. Ο εκτελών επεξεργασία διασφαλίζει και εγγυάται ότι ο υπεργολάβος υπόκειται μέσω σύμβασης που έχει συνάψει μαζί του στις ίδιες υποχρεώσεις που προβλέπονται στον νόμο και στην παρούσα/ στο παρόν και είναι σε θέση να ανταποκριθεί στις απαιτήσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που απορρέουν από την κύρια σύμβαση και την παρούσα/το παρόν. Ύστερα από σχετικό αίτημα του υπευθύνου επεξεργασίας, ο εκτελών επεξεργασία θα του γνωστοποιεί τους όρους της σύμβασης που πρόκειται να συνάψει/ εχει συνάψει με τον τρίτο-υπεργολάβο και κατά περίπτωση θα του κοινοποιεί αντίγραφο, με την επιφύλαξη του εμπιστευτικού περιεχομένου αυτής, το οποίο όμως δεν επιτρέπεται να αναιρεί τους όρους επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως απορρέουν από την κύρια σύμβαση και την παρούσα /το παρόν.



    1. Όταν ο υπεργολάβος την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του υπεργολάβου.



  1. ΔΙΑΓΡΑΦΗ/ΕΠΙΣΤΡΟΦΗ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ



    1. Υστερα από την λύση της κύριας σύμβασης για οποιοδήποτε λόγο ή ύστερα από την ολοκλήρωση της επεξεργασίας που έχει κατά περίπτωση ανατεθεί στον εκτελούντα από το υπεύθυνο επεξεργασίας, ο τελευταίος δηλώνει στον εκτελούντα εάν επιθυμεί

α) να προβεί [ο εκτελών ] στη διαγραφή/ καταστροφή των δεδομένων προσωπικού χαρακτήρα ή

β) να επιστρέψει τα δεδομένα αυτά στον υπεύθυνο επεξεργασίας.

    1. Ο εκτελών επεξεργασία φροντίζει να ενημερώνονται οι υπεργολάβοι για την εκάστοτε επιλογή του υπευθύνου επεξεργασίας και διασφαλίζει ότι συμμορφώνονται με αυτή.

    2. Ο εκτελών και κατά περίπτωση (και) ο υπεργολάβος οφείλει να διαγράψει εντός δέκα (10) ημερών τα υφιστάμενα αντίγραφα, εκτός εάν η τήρησή τους ή μέρους αυτών επιβάλλεται από διάταξη νόμου του δικαίου της ΕΕ ή του εθνικού δικαίου. Στην περίπτωση αυτή ο εκτελών ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας. Τα δεδομένα προσωπικού χαρακτήρα τηρούνται διακριτά και υπόκεινται σε οργανωτικά και τεχνικά μέτρα ασφαλείας. Η επεξεργασία τους επιτρέπεται αποκλειστικά για τον σκοπό για τον οποίο επιβάλλεται εκ του νόμου η διατήρησή τους.









  1. ΑΡΧΕΙΟ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ

5.1 Ο εκτελών την επεξεργασία τηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται για λογαριασμό του υπευθύνου επεξεργασίας.

5.2. Το αρχείο αυτό περιλαμβάνει τουλάχιστον τα εξής :

α) το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος επεξεργασία και των υπευθύνων επεξεργασίας για λογαριασμό του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος επεξεργασία,

β) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί

γ) τις κατηγορίες υποκειμένων δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των επεξεργασιών που πραγματοποιεί για λογαριασμό του υπευθύνου επεξεργασίας

δ)γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας.

ε) όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο του Κανονισμού, της τεκμηρίωσης των κατάλληλων εγγυήσεων,

5.3. Ο εκτελών τηρεί τα αρχεία δραστηριοτήτων επεξεργασίας γραπτώς, και οπωσδήποτε σε ηλεκτρονική μορφή. Ο εκτελών έχει την υποχρέωση να διατηρεί τα σχετικά αρχεία ενημερωμένα και αν προσθέτει ή να αφαιρεί δραστηριότητες επεξεργασίας και τις σχετικές πληροφορίες, ανάλογα με τη περίπτωση.

5.4. Ο εκτελών θέτει το αρχείο δραστηριοτήτων επεξεργασίας στη διάθεση του υπευθύνου επεξεργασίας κατόπιν σχετικού αιτήματός του. Ο υπεύθυνος επεξεργασίας διατηρεί το δικαίωμα να ζητήσει συγκεκριμένες εξηγήσεις από τον εκτελούντα σε σχέση με το περιεχόμενο του αρχείου δραστηριοτήτων επεξεργασίας, καθώς επίσης να προτείνει εύλογες τροποποιήσεις και προσθήκες, με στόχο την πληρέστερη και αποτελεσματικότερη συμμόρφωση με το σύνολο των υποχρεώσεων από τον Κανονισμό και την παρούσα/ το παρόν.

5.5. Ο εκτελών επεξεργασία και, κατά περίπτωση, ο εκπρόσωπός του θέτουν το αρχείο στη διάθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατόπιν αιτήματος.



  1. ΥΠΟΧΡΕΩΣΕΙΣ ΠΑΡΟΧΗΣ ΣΥΝΔΡΟΜΗΣ ΣΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ



6.1 Ο εκτελών επεξεργασία οφείλει να παρέχει τη συνδρομή του στον υπεύθυνο επεξεργασίας, ιδίως προκειμένου να διασφαλίσει τη συμμόρφωση αυτού με τις εκ του Κανονισμού και του νόμου υποχρεώσεις του. Η υποχρέωση αυτή συμπεριλαμβάνει τη συνδρομή του εκτελούντος όταν αυτή κρίνεται απαραίτητη για να ανταποκριθεί ο υπεύθυνος επεξεργασία σε ερωτήματα, παράπονα, καταγγελίες και αιτήματα σχετιζόμενα με την άσκηση δικαιωμάτων των υποκειμένων των δεδομένων.

6.2. Ο εκτελών οφείλει να παρέχει τη συνδρομή του αναφορικά με την άσκηση των εξής δικαιωμάτων των υποκειμένων: ενημέρωσης, πρόσβασης, διόρθωσης και διαγραφής, περιορισμού της επεξεργασίας, φορητότητας των δεδομένων και εναντίωσης.



6.3. Ο εκτελών επεξεργασία οφείλει να ενημερώνει εγγράφως ή με άλλο [πρόσφορο] τρόπο [που έχει συμφωνηθεί] αμέσως/ χωρίς υπαίτια καθυστέρηση τον υπεύθυνο επεξεργασίας για κάθε ερώτημα, παράπονο, καταγγελία ή αιτήματα που σχετίζονται με την άσκηση δικαιωμάτων που λαμβάνει από υποκείμενα των δεδομένων.



6.4. Κατά περίπτωση και ύστερα από αίτημα του υπευθύνου επεξεργασίας ο εκτελών οφείλει/υποχρεούται να παρέχει τη συνδρομή του για την ενημέρωση των υποκειμένων των δεδομένων που επιβάλλεται σε σχέση με την παροχή της συγκατάθεσης και τη συλλογή/ λήψη της συγκατάθεσης.



6.5. Ο εκτελών επεξεργασία οφείλει/ υποχρεούται να παρέχει στον υπεύθυνο επεξεργασίας τη συνδρομή του για τη διενέργεια μελέτης εκτίμησης επιπτώσεων/αντικτύπου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.



6.6 Ο εκτελών επεξεργασία οφείλει/ υποχρεούται να παρέχει στον υπεύθυνο επεξεργασίας τη συνδρομή του για τη διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σχετικά με τα προτεινόμενα και ενδεδειγμένα μέτρα μετριασμού του κινδύνου στις περιπτώσεις όπου η μελέτη εκτίμησης αντικτύπου υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.









  1. ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ, ΑΣΦΑΛΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΣΥΝΔΡΟΜΗ ΣΕ ΣΧΕΣΗ ΜΕ ΤΗ ΓΝΩΣΤΟΠΟΙΗΣΗ / ΑΝΑΚΟΙΩΣΗ ΠΑΡΑΒΙΑΣΗΣ



    1. Ο εκτελών επεξεργασία δεσμεύεται ως προς την εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, τα οποία επεξεργάζεται για λογαριασμό του υπευθύνου επεξεργασίας. Ο εκτελών επεξεργασία μπορεί να αποκαλύπτει σε τρίτους τα δεδομένα προσωπικού χαρακτήρα μόνο με τη ρητή εντολή ή συγκατάθεση του υπευθύνου επεξεργασίας. Ο εκτελών μπορεί να παρεκκλίνει από τη δέσμευση αυτή μόνο εφόσον η αποκάλυψη επιβάλλεται από διάταξη νόμου , για την ύπαρξη της οποίας υποχρεούται να ενημερώσει τον υπεύθυνο επεξεργασίας, εκτός εάν η σχετική ενημέρωση απαγορεύεται εκ του νόμου.

    2. Ο εκτελών επεξεργασία λαμβάνει ιδιαιτέρως υπόψη τη φύση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κινδύνους που προκύπτουν από ή σε σχέση με αυτή, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινοποίηση δεδομένων προσωπικού χαρακτήρα ή η μη εξουσιοδοτημένη πρόσβαση σε αυτά , η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη και θα λαμβάνει όλα τα απαραίτητα μέτρα για την αποτροπή αυτών.

    3. Ο εκτελών επεξεργασία υποχρεούται να λαμβάνει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το ανάλογο επίπεδο ασφάλειας έναντι των κινδύνων [περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση: α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα, β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας] λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. / Εναλλακτικά: τα μέτρα αυτά περιγράφονται στο παράρτημα της παρούσας/ του παρόντος.

    1. Ο εκτελών επεξεργασία βεβαιώνει / διασφαλίζει ότι, από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας, οικονομικών και τεχνικών πόρων, είναι σε θέση να λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα , κατά τρόπο ώστε η επεξεργασία να είναι σύννομη και να διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων των δεδομένων και το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων. Ο εκτελών επεξεργασία υποχρεούται να ενημερώνει τον υπεύθυνο επεξεργασίας για τα μέτρα αυτά και να επιτρέπει σε αυτόν να διενεργεί σχετικούς ελέγχους για να επιβεβαιώνει την λήψη και την επάρκεια των τεχνικών και οργανωτικών μέτρων.



    1. Ο εκτελών επεξεργασία οφείλει/ υποχρεούται να συνδράμει τον υπεύθυνο επεξεργασίας προκειμένου να συμμορφώνεται προς τις υποχρεώσεις για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα .



    1. Ο εκτελών επεξεργασία οφείλει/ υποχρεούται να ενημερώσει εγγράφως ή με τον πλέον πρόσφορο κατά περίπτωση τρόπο τον υπεύθυνο επεξεργασίας για κάθε περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα και να παρέχει σε αυτόν όλες τις απαραίτητες πληροφορίες ( φύση της παραβίασης, κατηγορίες δεδομένων, εκτιμώμενος αριθμός επηρεαζόμενων υποκειμένων των δεδομένων, εκτιμώμενες κ.α.) για την αντιμετώπιση της παραβίασης και τη διαχείριση των σχετικών ζητημάτων. Η ενημέρωση θα πρέπει να πραγματοποιείται αμέσως/ χωρίς υπαίτια καθυστέρηση/αμελλητί και το αργότερο εντός δώδεκα ωρών από το χρονικό σημείο/τον χρόνο κατά το(ν) οποίο(ν) έλαβε γνώση της παραβίασης δεδομένων προσωπικού χαρακτήρα.



7.7. Ο εκτελών επεξεργασία οφείλει/υποχρεούται να λάβει όλα τα μέτρα για να περιορίσει την παραβίαση, να τηρεί ενήμερο τον υπεύθυνο επεξεργασίας, ώστε να λάβει τα αναγκαία μέτρα για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της .

7.8. Ο εκτελών επεξεργασία οφείλει/ υποχρεούται να παρέχει τη συνδρομή του στον υπεύθυνο επεξεργασίας σε σχέση με την γνωστοποίηση παραβιάσεων (ασφάλειας) προσωπικών δεδομένων στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στην ανακοίνωση στα υποκείμενα των δεδομένων



  1. ΔΙΕΝΕΡΓΕΙΑ ΕΛΕΓΧΩΝ



    1. Ο εκτελών επεξεργασία θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσής του προς τις υποχρεώσεις που προβλέπονται στον Κανονισμό και στην παρούσα/στο παρόν.



    1. Ο εκτελών επεξεργασία οφείλει να επιτρέπει και να διευκολύνει τους ελέγχους από τον υπεύθυνο επεξεργασίας , περιλαμβανομένων των επιτοπίων ελέγχων και επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από τρίτο ελεγκτή εντεταλμένο του υπευθύνου επεξεργασίας.





    1. Ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως και εγκαίρως τον εκτελούντα επεξεργασία για την πρόθεσή του να διενεργήσει έλεγχο ή/και επιθεώρηση και τα διενεργεί με τρόπο που δεν επιφέρει δυσανάλογη επιβάρυνση της λειτουργίας και των δραστηριοτήτων του εκτελούντος επεξεργασία.



    1. Ο υπεύθυνος επεξεργασίας και ο εκτελών επεξεργασία υποχρεούνται να παρέχουν αμοιβαία συνδρομή κατά τη διενέργεια ελέγχων και ερευνών που διεξάγονται είτε από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είτε από άλλη αρχή ή δικαστήρια με αντικείμενο τη συμμόρφωση προς τον νόμο ή σε σχέση με αυτή.



  1. ΕΥΘΥΝΗ



    1. Ο εκτελών την επεξεργασία έχει πλήρη ευθύνη και την υποχρέωση να αποζημιώσει πλήρως το υποκείμενο των δεδομένων ή/και τον υπεύθυνο επεξεργασίας για κάθε ζημία που υπέστη τόσο ο ίδιος, άμεσα ή έμμεσα, όσο και οποιοσδήποτε τρίτος περιλαμβανομένων των υποκειμένων των δεδομένων, όταν η ζημία προκλήθηκε ως αποτέλεσμα της μη τήρησης ή/και της υπέρβασης των νομίμων εντολών και οδηγιών του υπευθύνου επεξεργασίας ή/και παραβίασης των όρων της παρούσας /του παρόντος ή/και των υποχρεώσεων που επιβάλλονται στον εκτελούντα επεξεργασία από τον Κανονισμό και το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο σύνολό του.



    1. Ο εκτελών επεξεργασία έχει την ευθύνη και την υποχρέωση να αποζημιώσει τον υπεύθυνο επεξεργασίας για κάθε ζημία που υπέστη από [υπαίτιες] πράξεις ή παραλείψεις του προσωπικού, των προστηθέντων, των εκπροσώπων της ή των υπεργολάβων, στους οποίους ανέθεσε εν όλω ή εν μέρει την επεξεργασία.





    1. Ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία απαλλάσσεται από την ευθύνη που έχει, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.



    1. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει καταβάλει πλήρη αποζημίωση για τη ζημία που προκάλεσε στο υποκείμενο των δεδομένων, ο υπεύθυνος ή εκτελών επεξεργασία δικαιούται να ζητήσει από τον άλλο, εκτελούντα επεξεργασία ή υπεύθυνο επεξεργασίας αντίστοιχα που εμπλέκεται στην ίδια επεξεργασία την ανάκτηση του μέρους της αποζημίωσης που αντιστοιχεί στο μέρος της ευθύνης του λόγω της ζημίας που προκλήθηκε σύμφωνα με τις προϋποθέσεις του όρου 9.1.





  1. ΕΝΑΡΞΗ ΙΣΧΥΟΣ- ΔΙΑΡΚΕΙΑ- ΛΗΞΗ

    1. Η παρούσα σύμβαση τίθεται σε ισχύ και παράγει έννομα αποτελέσματα από την ημερομηνία υπογραφής της.

10. 2. Η σύμβαση παραμένει σε ισχύ για όσο χρόνο διαρκεί η κύρια σύμβαση είναι εν ισχύ και τερματίζεται με τον τερματισμό της κύριας σύμβασης μεταξύ των μερών.



11. ΓΕΝΙΚΟΙ ΟΡΟΙ

11.1. Σε σχέση με οποιαδήποτε διένεξη, διαφορά ή αξίωση και για οποιοδήποτε λόγο αυτές ανακύπτουν, περιλαμβανομένων ενδεικτικά των διενέξεων αναφορικά με την ύπαρξη, την ισχύ, την ερμηνεία και τη λύση της παρούσας σύμβασης, εφαρμοστέο είναι το ελληνικό δίκαιο και αρμόδια τα δικαστήρια των Αθηνών, εκτός εάν έχει συμφωνηθεί διαφορετικά στην κύρια σύμβαση.

11.2 Η παρούσα σύμβαση δεν περιορίζει σε καμία περίπτωση τις υποχρεώσεις του εκτελούντος την επεξεργασία, όπως αυτές έχουν καθορισθεί στην κύρια σύμβαση, ούτε μπορεί να ερμηνευθεί ότι επιτρέπει την επεξεργασία κατά τρόπο ο οποίος απαγορεύεται από την κύρια σύμβαση.

11.3 Σε περίπτωση που οποιοσδήποτε όρος της παρούσας σύμβασης κηρυχθεί ανίσχυρος ή ανεφάρμοστος, οι υπόλοιποι όροι παραμένουν σε πλήρη ισχύ παράγοντας δικαιώματα και υποχρεώσεις.



Σε πίστωση των ανωτέρω συνετάχθη το παρόν σε δύο (2) όμοια αντίτυπα, το οποίο αφού αναγνώσθηκε, υπεγράφη από τα μέρη, έλαβε δε έκαστο συμβαλλόμενο μέρος από ένα αντίτυπο.

Ο ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Ο ΕΚΤΕΛΩΝ ΕΠΕΞΕΡΓΑΣΙΑ

1 Σημείωση : το αντικείμενο της επεξεργασίας και οι οδηγίες του υπευθύνου προς τον εκτελούντα θα πρέπει να ορίζεται είτε στην κύρια σύμβαση είτε να υπάρχει σχετικό παράρτημα.


15


Document Metadata

Filed: November 21st, 2018