Contract

ΠΑΡΑΡΤΗΜΑ ΙΙ: ΣΥΜΒΑΣΗ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Στην Αθήνα σήμερα την μεταξύ των κάτωθι συμβαλλόμενων:

1. αφ’ ενός της ανώνυμης εταιρίας με την επωνυμία «Ανεξάρτητος Διαχειριστής Μεταφοράς Ηλεκτρικής Ενέργειας (ΑΔΜΗΕ) Α.Ε.», με Α.Φ.Μ. 099877486 που εδρεύει στην Αθήνα, οδός Δυρραχίου 89 & Κηφισού, και εκπροσωπείται νόμιμα για την υπογραφή της παρούσας από

………………………., εφεξής αποκαλούμενης στην παρούσα ως «Υπεύθυνος Επεξεργασίας».

2. αφ’ ετέρου ο/η , xxxxxx αποκαλούμενος/η στην

παρούσα ως «Εκτελών την Επεξεργασία». Λαμβάνοντας υπόψη ότι:

Α. Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων (εφεξής «Σύμβαση») αποτελεί παράρτημα και αναπόσπαστο τμήμα της από σύμβασης που έχει συναφθεί μεταξύ των ανωτέρω

μερών (εφεξής «Κύρια Σύμβαση»).

Β. Κατά τη διάρκεια της εκτέλεσης της Κύριας Σύμβασης, ο Υπεύθυνος Επεξεργασίας ενδέχεται να αποκαλύψει ή να διαβιβάσει στον Εκτελούντα την Επεξεργασία πληροφορίες που αποτελούν δεδομένα προσωπικού χαρακτήρα με βάση την υφιστάμενη Ελληνική και Ενωσιακή Νομοθεσία (εφεξής «Υφιστάμενη Νομοθεσία»), με σκοπό την άρτια εκτέλεση της Κύριας Σύμβασης.

Γ. Ο Εκτελών την Επεξεργασία δύναται να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα που του διαβιβάζονται από τον Υπεύθυνο Επεξεργασίας για λογαριασμό του τελευταίου, προκειμένου να εκτελεσθεί επιτυχώς η Κύρια Σύμβαση.

Στα πλαίσια του παρόντος παραρτήματος συμφωνήθηκαν, συνομολογήθηκαν και έγιναν αμοιβαία αποδεκτά τα ακόλουθα:

1. Ο Υπεύθυνος Επεξεργασίας αναθέτει στον Εκτελούντα την Επεξεργασία να επεξεργάζεται για λογαριασμό του δεδομένα προσωπικού χαρακτήρα, τα οποία είναι απολύτως απαραίτητα για την εκτέλεση της Κυρίας Συμβάσης ήτοι: (να τεθούν αναλυτικά τα δεδομένα που διαβιβάζονται) καθώς και όσα μπορεί να συμφωνήσουν μεταγενέστερα τα συμβαλλόμενα μέρη γραπτώς (εφεξής «Δεδομένα Προσωπικού Χαρακτήρα»). Κάθε τέτοια μεταγενέστερη συμφωνία υπόκειται στις διατάξεις της παρούσας Σύμβασης.

2. Ο Εκτελών την Επεξεργασία επεξεργάζεται τα ανωτέρω Δεδομένα Προσωπικού Χαρακτήρα για τους σκοπούς της Κυρίας Σύμβασης, υπό την καθοδήγηση και τις οδηγίες του Υπεύθυνου Επεξεργασίας και για όσο χρόνο διαρκεί η Κύρια Σύμβαση.

3. Σε περίπτωση που με οποιονδήποτε τρόπο ο Υπεύθυνος Επεξεργασίας διαβιβάσει, ή με οποιονδήποτε τρόπο γνωστοποιήσει στον Εκτελούντα την Επεξεργασία δεδομένα προσωπικού χαρακτήρα, τα οποία δεν είναι απολύτως απαραίτητα για την εκτέλεση της Κυρίας Συμβάσης, ο Εκτελών την Επεξεργασία υποχρεούται να ειδοποιήσει σχετικά τον Υπεύθυνο Επεξεργασίας και εν συνεχεία να καταστρέψει ή να διαγράψει οριστικά τα δεδομένα αυτά.

4. Η επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα πραγματοποιείται αποκλειστικά εντός των εδαφικών ορίων της Ευρωπαϊκής Ένωσης (ΕΕ) ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Για οποιαδήποτε διαβίβαση δεδομένων σε χώρα η οποία δεν είναι κράτος- μέλος της ΕΕ ή του ΕΟΧ απαιτείται προηγούμενη ενημέρωση και παροχή γραπτής συναίνεσης του Υπεύθυνου Επεξεργασίας. Η εν λόγω διαβίβαση υπόκειται σε συμμόρφωση με τις ειδικές απαιτήσεις που αφορούν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός της ΕΕ και του ΕΟΧ δυνάμει της Υφιστάμενης Νομοθεσίας.

5. Ο Εκτελών την Επεξεργασία διατηρεί τα Δεδομένα Προσωπικού Χαρακτήρα που του διαβιβάζει ο Υπεύθυνος Επεξεργασίας σε ξεχωριστό αρχείο από άλλα τυχόν δεδομένα που επεξεργάζεται για λογαριασμού οποιουδήποτε τρίτου.

6. Ο Εκτελών την Επεξεργασία μεριμνά, καθ’ όλη τη διάρκεια της επεξεργασίας, να λαμβάνει τα απαραίτητα τεχνικά και οργανωτικά μέτρα, ώστε τα δεδομένα να είναι ασφαλή σύμφωνα με τις απαιτήσεις της Υφιστάμενης Νομοθεσίας. Τα ανωτέρω μέτρα πρέπει να εγγυώνται ένα κατάλληλο επίπεδο προστασίας σε σχέση με το είδος των δεδομένων, τη φύση και τους σκοπούς της επεξεργασίας και τους υφιστάμενους κινδύνους καθώς και τη διατήρηση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων προσωπικού χαρακτήρα. Τα ως άνω τεχνικά και οργανωτικά μέτρα τυγχάνουν τακτικής αξιολόγησης από τον Εκτελούντα την Επεξεργασία και δύναται να μεταβάλλονται, σε συνάρτηση με τεχνικές/ επιστημονικές/τεχνολογικές εξελίξεις και απαιτήσεις, ούτως ώστε το επίπεδο ασφαλείας να μη μειώνεται καθ’ όλη τη διάρκεια της επεξεργασίας.

7. Κατ’ απαίτηση του Υπευθύνου Επεξεργασίας, ο Εκτελών την Επεξεργασία παρέχει σε αυτόν όλες τις πληροφορίες, διευκρινίσεις και αποδεικτικά στοιχεία που απαιτούνται προκειμένου να γνωρίζει ποια είναι τα τεχνικά και οργανωτικά μέτρα τα οποία ορίζονται στο άρθρο 6 της παρούσας και να μπορεί να αξιολογήσει το επίπεδο ασφαλείας που αυτά προσφέρουν, καθώς και τη συμβατότητα και επάρκειά τους υπό το πρίσμα των απαιτήσεων της Υφιστάμενης Νομοθεσίας. Ο Υπεύθυνος Επεξεργασίας δικαιούται να διατυπώσει ενστάσεις αναφορικά με συγκεκριμένα τεχνικά και οργανωτικά μέσα, τα οποία ενδέχεται να θεωρεί ανεπαρκή, καθώς και να προτείνει εναλλακτικά μέτρα.

8. Ο Εκτελών την Επεξεργασία διασφαλίζει ότι το προσωπικό του, ιδίως αν έχει πρόσβαση στα Δεδομένα Προσωπικού Χαρακτήρα, είναι άρτια εκπαιδευμένο και διαθέτει τις απαραίτητες δεξιότητες, γνώσεις και εχέγγυα, προκειμένου ο Εκτελών την Επεξεργασία να ανταποκριθεί πλήρως στις υποχρεώσεις του δυνάμει της παρούσας. Κατόπιν υποβολής αιτήματος από τον Υπεύθυνο Επεξεργασίας, ο Εκτελών την Επεξεργασία παρέχει στον πρώτο όλες τις πληροφορίες, διευκρινίσεις και αποδεικτικά στοιχεία που απαιτούνται, προκειμένου ο τελευταίος να ενημερωθεί για τις ικανότητες και την αξιοπιστία του προσωπικού του Εκτελούντος την Επεξεργασία κατά τα ανωτέρω. Ο Υπεύθυνος Επεξεργασίας δικαιούται να διατυπώσει αιτιολογημένες ενστάσεις για συγκεκριμένα μέλη του προσωπικού, καθώς και να ζητεί να μην ανατίθενται καθήκοντα που συνδέονται με την εκτέλεση της παρούσας στα εν λόγω μέλη.

9. Σε περίπτωση που το φυσικό πρόσωπο, τα δεδομένα προσωπικού χαρακτήρα του οποίου διαβιβάζονται και τίθενται σε επεξεργασία (εφεξής «Υποκείμενο των Δεδομένων»),

υποβάλλει αίτηση απευθείας στον Εκτελούντα την Επεξεργασία, προκειμένου να ασκήσει οποιοδήποτε από τα δικαιώματά του που απορρέουν από τον Ευρωπαϊκό Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σε σχέση με τα Δεδομένα Προσωπικού Χαρακτήρα, τα οποία επεξεργάζεται ο Εκτελών την Επεξεργασία δυνάμει της παρούσας, ο Εκτελών την Επεξεργασία οφείλει να διαβιβάσει το εν λόγω αίτημα αμελλητί στον Υπεύθυνο Επεξεργασίας και να εκτελέσει με ακρίβεια τις εντολές του, εντός της νόμιμης προθεσμίας. Ο Εκτελών την Επεξεργασία δε δύναται αυτοβούλως να προβεί σε οποιαδήποτε ενέργεια, ιδίως δεν επιτρέπεται να διορθώσει, να διαγράψει ή να περιορίσει την επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα, παρά μόνο βάσει γραπτών εντολών του Υπεύθυνου Επεξεργασίας ή αν το επιβάλει η εκτέλεση της Κυρίας Σύμβασης ή η Υφιστάμενη Νομοθεσία.

10. Ο Υπεύθυνος Επεξεργασίας έχει το δικαίωμα, να διενεργεί επιθεωρήσεις οποτεδήποτε, ή να δίνει εντολή σε τρίτο, εκπρόσωπο του ή/και ελεγκτή, να τις διεξάγει για λογαριασμό του, προκειμένου να διασφαλίζεται η εφαρμογή της Υφιστάμενης Νομοθεσίας. Αντίστοιχα, ο Εκτελών την Επεξεργασία υποχρεούται να παρέχει στον Υπεύθυνο Επεξεργασίας πρόσβαση σε οποιοδήποτε χώρο διεξάγεται η επεξεργασία και να του παρέχει οτιδήποτε απαιτείται για τη διενέργεια του ελέγχου.

11. Σε περίπτωση που ο Εκτελών την Επεξεργασία επικαλείται την ύπαρξη εξωτερικών ελέγχων, εσωτερικών ή ανεξάρτητων επιθεωρήσεων, ή τη λήψη πιστοποιήσεων, προκειμένου να αποδείξει των επάρκεια των ληφθέντων από αυτόν τεχνικών ή οργανωτικών μέτρων για την προστασία δεδομένων προσωπικού χαρακτήρα, κατόπιν αιτήματος του Υπευθύνου Επεξεργασίας, χορηγεί στον τελευταίο όλα τα απαραίτητα έγγραφα, στοιχεία και πληροφορίες που συνδέονται με τους εν λόγω ελέγχους ή τις επιθεωρήσεις ή τις πιστοποιήσεις.

12. Ο Εκτελών την Επεξεργασία υποχρεούται να παρέχει κάθε απαραίτητη συνδρομή και βοήθεια στον Υπεύθυνο Επεξεργασίας, προκειμένου ο τελευταίος να συμμορφώνεται με τις υποχρεώσεις που επιβάλει η Υφιστάμενη Νομοθεσία αναφορικά με την ασφάλεια και την προστασία των δεδομένων προσωπικού χαρακτήρα και τις υποχρεώσεις του Υπεύθυνου Επεξεργασίας απέναντι στα Υποκείμενα των Δικαιωμάτων, τις αρμόδιες εποπτικές αρχές ή τρίτους.

13. Ο Εκτελών την Επεξεργασία υποχρεούται να ειδοποιεί αμελλητί τον Υπεύθυνο Επεξεργασίας μόλις λάβει γνώση ενδεχομένης, τυχαίας, μη εξουσιοδοτημένης, ή παράνομης καταστροφής, απώλειας, αλλοίωσης, ή αποκάλυψης Δεδομένων Προσωπικού Χαρακτήρα ή οποιασδήποτε ενδεχόμενης, τυχαίας, μη εξουσιοδοτημένης, ή παράνομης πρόσβασης σε αυτά (εφεξής

«Παραβίαση Δεδομένων»). Ο Εκτελών την Επεξεργασία υποχρεούται να διερευνήσει την Παραβίαση Δεδομένων και να ενημερώσει σχετικά τον Υπεύθυνο Επεξεργασίας. Επιπλέον, υποχρεούται, κατά το μέτρο του δυνατού, να αποτρέψει περαιτέρω Παραβιάσεις Δεδομένων. Σε συνεννόηση με τον Υπεύθυνο Επεξεργασίας, ο Εκτελών την Επεξεργασία υποχρεούται να προβεί σε όλες τις απαραίτητες ενέργειες και να λαμβάνει τα κατάλληλα μέτρα για την αποκατάσταση του επιπέδου ασφαλείας, τη διασφάλιση των δεδομένων και για τον περιορισμό οποιασδήποτε περαιτέρω πιθανής επίπτωσης για τα Υποκείμενα των Δεδομένων και για τα συμφέροντα του Υπευθύνου Επεξεργασίας, εάν αυτή συνδέεται με την Παραβίαση Δεδομένων ή αποτελεί συνέπεια της.

Επιπλέον, υποχρεούται να παρέχει στον Υπεύθυνο Επεξεργασίας κάθε πληροφορία, την οποία διαθέτει, και την οποία ο Υπεύθυνος Επεξεργασίας μπορεί εύλογα να ζητήσει σε σχέση με την Παραβίαση Δεδομένων.

14. Ο Εκτελών την Επεξεργασία υποχρεούται να παρέχει κάθε εφικτή βοήθεια στον Υπεύθυνο Επεξεργασίας αναφορικά με την υποχρέωση του τελευταίου να πληροφορεί τις αρμόδιες αρχές και τα Υποκείμενα των Δεδομένων σε περίπτωση Παραβίασης Ασφαλείας (υποχρέωση γνωστοποίησης και ανακοίνωσης παραβίασης δεδομένων προσωπικού χαρακτήρα)·

15. Ο Εκτελών την Επεξεργασία υποχρεούται αμελλητί να ενημερώνει γραπτώς τον Υπεύθυνο Επεξεργασίας, εάν πιστεύει ότι η κάποια επεξεργασία δεδομένων στην οποία προβαίνει, ή θα προβεί, συνεπάγεται, ή μπορεί να συνεπάγεται, παράβαση της Υφιστάμενης Νομοθεσίας. Κατά την περίπτωση αυτή, δύναται να αναβάλλει την εκτέλεση της σχετικής επεξεργασίας έως ότου λάβει απάντηση από τον Υπεύθυνο Επεξεργασίας.

16. Μετά την ολοκλήρωση της Κύριας Σύμβασης, ή όταν το ζητά ο Υπεύθυνος Επεξεργασίας, και μέσα σε εύλογο χρονικό διάστημα, το οποίο δε μπορεί να υπερβαίνει τις δέκα (10) ημερολογιακές ημέρες, ο Εκτελών την Επεξεργασία πρέπει, κατ’ επιλογήν του Υπευθύνου Επεξεργασίας, να επιστρέψει στον Υπεύθυνο Επεξεργασίας όλα τα έγγραφα που έχει στην κατοχή του και όλα τα προϊόντα εργασίας και δεδομένα που παρήχθησαν, ή να τα διαγράψει σύμφωνα με την Υφιστάμενη Νομοθεσία, διαβιβάζοντάς του το σχετικό πρωτόκολλο διαγραφής.

17. Ο Εκτελών την Επεξεργασία απαγορεύεται να αναθέσει με οποιοδήποτε τρόπο την επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα, την οποία ανέλαβε δυνάμει της παρούσας ή της Κύριας Σύμβασης, σε υπεργολάβο εκτελούντα την επεξεργασία (sub-processor) παρά μόνο εάν προ της εκκίνησης της ως άνω επεξεργασίας συντρέχουν σωρευτικά οι παρακάτω προϋποθέσεις:

• Ο Εκτελών την Επεξεργασία έχει ενημερώσει εγγράφως και έχει λάβει τη ρητή ειδική συναίνεση από τον Υπεύθυνο Επεξεργασίας. Η ενημέρωση οφείλει κατ’ ελάχιστον να περιλαμβάνει, εκτός των στοιχείων της ταυτότητας του υπεργολάβου, τους σκοπούς και το εύρος της προτεινόμενης επεξεργασίας με σύμβαση υπεργολαβίας, καθώς και αν η επεξεργασία θα λάβει χώρα εκτός ΕΕ ή ΕΟΧ.

• Ο Εκτελών την Επεξεργασία έχει διασφαλίσει πως η ανατιθέμενη επεξεργασία από τον υπεργολάβο εκτελούντα την επεξεργασία είναι απολύτως συμβατή με την Υφιστάμενη Νομοθεσία περί προστασίας προσωπικών δεδομένων.

• Ο υπεργολάβος εκτελών την επεξεργασία έχει συμβατικώς αναλάβει τις ίδιες υποχρεώσεις με τον Εκτελούντα την Επεξεργασία αναφορικά με την προστασία των Δεδομένων Προσωπικού Χαρακτήρα, τις οποίες αναλαμβάνει ο τελευταίος έναντι του Υπευθύνου Επεξεργασίας, δυνάμει της Κυρίας Σύμβασης, ιδίως σε σχέση με την παροχή επαρκών εγγυήσεων για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων έτσι ώστε η επεξεργασία να πληροί τις απαιτήσεις της Υφιστάμενης Νομοθεσίας.

18. Ο Εκτελών την Επεξεργασία, εκ της ιδιότητας αυτής δεσμεύεται και από οποιαδήποτε άλλη υποχρέωση του επιβάλει η Υφιστάμενη Νομοθεσία.

19. Ρητά συμφωνείται πως ο Εκτελών την Επεξεργασία δε θα υπερβαίνει τα όρια των εντολών που του έχει αναθέσει ο Υπεύθυνος της Επεξεργασίας σε σχέση με την επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα, υπό την επιφύλαξη του εθνικού ή ενωσιακού δικαίου. Σε περίπτωση που ο Εκτελών την Επεξεργασία καθορίσει, κατά παράβαση των όρων της Κύριας Σύμβασης και του παρόντος Παραρτήματος τους σκοπούς και τα μέσα της επεξεργασίας, υπό την επιφύλαξη των άρθρων 82, 83, 84 του Ευρωπαϊκού Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, θεωρείται ως υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία και φέρει τις υποχρεώσεις και τις συνέπειες της Υφιστάμενης Νομοθεσίας.

20. Τα Μέρη ρητά συμφωνούν πως ο Εκτελών την Επεξεργασία ευθύνεται πλήρως έναντι του Υπευθύνου Επεξεργασίας για κάθε άμεση, έμμεση, υφιστάμενη, μελλοντική, θετική ή αποθετική ζημία του τελευταίου εξαιτίας της αθέτησης των υποχρεώσεων που επιβάλλονται δυνάμει της παρούσας. Ομοίως, ευθύνεται κατά τον ίδιο τρόπο αν η εν λόγω ζημία επήλθε ως αποτέλεσμα ή συνέπεια πράξεων ή παραλείψεων του υπεργολάβου εκτελούντα την επεξεργασία. Η ως άνω ευθύνη του Εκτελούντα την Επεξεργασία δεν περιορίζει τυχόν δικαίωμα του Υπευθύνου Επεξεργασίας, δυνάμει του εφαρμοστέου δικαίου, να στραφεί κατά του υπεργολάβου εκτελούντα την επεξεργασία.

21. Παραβίαση οποιουδήποτε όρου της παρούσας δύναται να συνιστά ουσιώδη παραβίαση της Κύριας Σύμβασης.

22. Η κήρυξη κάποιου από τους όρους της παρούσας ως άκυρου, παρανόμου ή ανυπόστατου δεν συμπαρασύρει το κύρος της παρούσας και την υπόλοιπων όρων της.

23. Κατά τα λοιπά, τα συμβαλλόμενα μέρη δεσμεύονται πλήρως από την Κύρια Σύμβαση.

ΤΑ ΣΥΜΒΑΛΛΟΜΕΝΑ ΜΕΡΗ

Ο ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Ο ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ