Οι μεταφρασμένες εκδόσεις των νομικών συμβάσεων και των πολιτικών παρέχονται αποκλειστικά για σκοπούς εξυπηρέτησης και διευκόλυνσης της ανάγνωσης και της κατανόησης των αγγλικών εκδόσεων. Οι μεταφράσεις των νομικών συμβάσεων και των πολιτικών δεν παρέχονται με σκοπό τη δημιουργία νομικά δεσμευτικής συμφωνίας ούτε ως υποκατάστατο της νομικής εγκυρότητας της αγγλικής έκδοσης. Εάν ανακύψει οποιαδήποτε διαφορά ή σύγκρουση, σε κάθε περίπτωση οι αγγλικές εκδόσεις των νομικών συμβάσεων και των πολιτικών θα διέπουν τη μεταξύ μας συμβατική σχέση και θα υπερισχύουν των όρων που καθορίζονται σε οποιαδήποτε άλλη γλώσσα.
ΠΡΟΣΘΗΚΗ ΠΕΡΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (ΠΕΛΑΤΕΣ)
Η παρούσα Προσθήκη περί επεξεργασίας δεδομένων (η «Προσθήκη») είναι εκτελεστέα από και μεταξύ της GoDaddy.com, LLC, a Delaware limited liability company και των Συνεργατών της («GoDaddy») και εσάς («Πελάτης») και αποτελεί προσθήκη και συμπλήρωμα στους Γενικούς όρους χρήσης, την Πολιτική απορρήτου και οποιαδήποτε ή το σύνολο των άλλων συμβάσεων που διέπουν τις παρεχόμενες υπηρεσίες (από κοινού «Όροι παροχής υπηρεσιών»). Εκτός αν ορίζεται διαφορετικά στην παρούσα Προσθήκη, το σύνολο των όρων που εμφανίζονται με κεφαλαία και δεν ορίζονται στην παρούσα Προσθήκη θα έχουν την έννοια που τους αποδίδεται στους Όρους χρήσης.
1. Ορισμοί.Με τον όρο "Συγγενείς Εταιρείες" νοείται οποιαδήποτε οντότητα η οποία ελέγχεται, ελέγχει ή βρίσκεται υπό κοινό έλεγχο με την GoDaddy.
Με τον όρο "CCPA" νοείται ο νόμος περί της ιδιωτικότητας των καταναλωτών της Καλιφόρνια (California Consumer Privacy Act), Cal. Civ. Code 1798.100 και εξής, συμπεριλαμβανομένων τυχόν τροποποιήσεων και τυχόν εφαρμοστικών κανονισμών του που θα τεθούν σε ισχύ την ημερομηνία θέσης σε ισχύ της παρούσας Προσθήκης περί Επεξεργασίας Δεδομένων ή μετά από αυτήν.
Με τον όρο "Καλυπτόμενες υπηρεσίες" νοούνται υπηρεσίες φιλοξενίας που μπορεί να αφορούν στην Επεξεργασία προσωπικών δεδομένων και υπόκεινται στους όρους και προϋποθέσεις των παρακάτω Συμβάσεων: (1) Υπηρεσίες μάρκετινγκ μέσω email, (2) Φιλοξενία, (3) Online κατάστημα/Γρήγορο καλάθι αγορών, (4) Υπηρεσίες κατασκευής ιστότοπων, (5) Υπηρεσία Email εργασίας.
Με τον όρο "Δεδομένα του Πελάτη" νοούνται τα Προσωπικά δεδομένα οποιουδήποτε Προσώπου που αφορούν τα δεδομένα και υπόκεινται σε επεξεργασία από την GoDaddy εντός του δικτύου της GoDaddy ή εκ μέρους του Πελάτη, σύμφωνα ή αναφορικά με τους Όρους χρήσης.
Με τον όρο "Υπεύθυνος Επεξεργασίας Δεδομένων" νοείται ο Πελάτης, ως η οντότητα που προσδιορίζει τους σκοπούς και τα μέσα επεξεργασίας των Προσωπικών δεδομένων.
Με τον όρο "Υπεύθυνος Επεξεργασίας Δεδομένων" νοείται η οντότητα GoDaddy, ως οντότητα η οποία επεξεργάζεται Προσωπικά Δεδομένα εκ μέρους του Υπεύθυνου Ελέγχου Δεδομένων ή ο πάροχος υπηρεσιών όπως ορίζεται ο σχετικός όρος από τον νόμο CCPA
Με τον όρο "Νομοθεσία περί προστασίας δεδομένων" νοούνται όλοι οι νόμοι περί προστασίας δεδομένων ή απορρήτου και οι κανονισμοί που ισχύουν για την Επεξεργασία Προσωπικών Δεδομένων σύμφωνα με τη Σύμβαση, συμπεριλαμβανομένων των εξής: (i) Αρχές Απορρήτου Αυστραλίας και Νόμος περί Απορρήτου Αυστραλίας (1988), (ii) Brazil’s Lei Geral de Proteção de Dados (LGPD), (iii) Νόμος περί Απορρήτου Καταναλωτών της Καλιφόρνια (CCPA), (iv) Ομοσπονδιακός Νόμος περί Προστασίας Προσωπικών Πληροφοριών και Ηλεκτρονικών Εγγράφων Καναδά (PIPEDA), (v) Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (ΓΚΠΔ), (vi) οποιεσδήποτε εθνικές νομοθεσίες περί προστασίας δεδομένων σύμφωνα με τον ΓΚΠΔ (vii) η Οδηγία περί Ηλεκτρονικού Απορρήτου ΕΕ (Οδηγία 2002/58/ΕΚ), (viii) Νόμος περί Προστασίας Προσωπικών Δεδομένων Σιγκαπούρης 2012 (PDPA), (ix) Ομοσπονδιακός Νόμος περί Προστασίας Δεδομένων Ελβετίας της 19ης Ιουνίου 1992 και οι Διατάξεις του, (x) ΓΚΠΔ Ηνωμένου Βασιλείου ή Νόμος περί Προστασίας Δεδομένων 2018, σε κάθε περίπτωση όπως μπορεί να τροποποιηθεί, καταργηθεί ή αντικατασταθεί.
Με τον όρο "Πρόσωπο που Αφορούν τα Δεδομένα" νοείται το άτομο με το οποίο σχετίζονται τα Προσωπικά Δεδομένα.
Με τον όρο "ΕΟΧ" νοείται ο Ευρωπαϊκός Οικονομικός Χώρος.
Με τον όρο "ΓΚΠΔ" νοείται ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων σχετικά με την επεξεργασία των προσωπικών δεδομένων και για την ελεύθερη διακίνηση αυτών των δεδομένων, ο οποίος καταργεί την Οδηγία 95/46/ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων).
Με τον όρο "Δίκτυο της GoDaddy" νοούνται οι εγκαταστάσεις κέντρου δεδομένων της GoDaddy, οι διακομιστές, ο εξοπλισμός δικτύου και τα συστήματα λογισμικού φιλοξενίας (π.χ. εικονικά τείχη προστασίας) τα οποία βρίσκονται υπό τον έλεγχο της GoDaddy και χρησιμοποιούνται για την παροχή των Καλυπτόμενων υπηρεσιών.
Με τον όρο "Προσωπικά Δεδομένα" νοούνται οποιεσδήποτε πληροφορίες αφορούν κάποιο ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο ή νοικοκυριό, όπως ορίζονται βάσει της Νομοθεσίας προστασίας δεδομένων.
Με τον όρο "Επεξεργασία" νοείται οποιαδήποτε εργασία ή σύνολο εργασιών που εκτελούνται επί Προσωπικών Δεδομένων, με αυτόματα μέσα ή μη, όπως είναι η συλλογή, η καταγραφή, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η εξέταση, η χρήση, η κοινοποίηση μέσω διαβίβασης, η διασπορά ή η με άλλον τρόπο διάθεση, η ευθυγράμμιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Οι όροι "επεξεργασία", "επεξεργασίες" και "επεξεργασθέντα" θα ερμηνεύονται αντίστοιχα. Λεπτομέρεια σχετικά με την Επεξεργασία παρέχεται στο Παράρτημα 1.
Με τον όρο "Συμβάν Ασφαλείας" νοείται (α) κάποια παραβίαση της ασφάλειας των Προτύπων Ασφαλείας της GoDaddy, η οποία θα οδηγήσει σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, τροποποίηση, μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση σε οποιαδήποτε Δεδομένα του Πελάτη ή (β) οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση σε εξοπλισμό ή εγκαταστάσεις της GoDaddy, όπου, σε οποιαδήποτε από τις δύο περιπτώσεις, η πρόσβαση καταλήγει σε καταστροφή, απώλεια, μη εξουσιοδοτημένη κοινοποίηση ή τροποποίηση των Δεδομένων του Πελάτη.
Με τον όρο "Πρότυπα Ασφαλείας" νοούνται τα πρότυπα ασφαλείας που είναι συνημμένα στην παρούσα Προσθήκη, ως Παράρτημα 2.
Με τον όρο "Ευαίσθητα δεδομένα" νοούνται τα εξής: (α) αριθμός κοινωνικής ασφάλισης, αριθμός διαβατηρίου, αριθμός άδειας οδήγησης ή παρόμοια ταυτότητα (ή οποιοδήποτε μέρος αυτής), (β) αριθμός πιστωτικής ή χρεωστικής κάρτας (εκτός των τελευταίων τεσσάρων ψηφίων), χρηματοοικονομικές πληροφορίες, αριθμοί τραπεζικών λογαριασμών ή κωδικοί πρόσβασης, (γ) πληροφορίες απασχόλησης, οικονομικά στοιχεία, πληροφορίες γενετικές, βιομετρικές ή σχετικά με την υγεία, (δ) φυλή, εθνικότητα, πολιτικές ή θρησκευτικές πεποιθήσεις, συμμετοχή σε συνδικαλιστικές οργανώσεις ή πληροφορίες για τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό, (ε) κωδικοί πρόσβασης λογαριασμών, πατρικό όνομα ή ημερομηνία γέννησης της μητέρας, (στ) ποινικό μητρώο ή (ζ) οποιεσδήποτε άλλες πληροφορίες ή συνδυασμοί πληροφοριών που εμπίπτουν στον ορισμό για τις "ειδικές κατηγορίες δεδομένων" σύμφωνα με τον ΓΚΠΔ ή οποιαδήποτε άλλη ισχύουσα νομοθεσία ή κανονισμός αφορά το απόρρητο και την προστασία δεδομένων.
Με τον όρο "Τυποποιημένες συμβατικές ρήτρες" ή "SCC" νοούνται οι τυποποιημένες ρήτρες προστασίας δεδομένων για τη μεταφορά προσωπικών δεδομένων από έναν ελεγκτή σε έναν υπεύθυνο επεξεργασίας σε τρίτες χώρες που δεν εξασφαλίζουν επαρκές επίπεδο προστασίας δεδομένων, όπως περιγράφεται στο Άρθρο 46 του ΓΚΠΔ και έχει εγκριθεί από την απόφαση της Ευρωπαϊκής Επιτροπής 2021/914 της 4ης Ιουνίου 2021. Ενότητα Δύο (Ελεγκτής προς Υπεύθυνο επεξεργασίας) Οι τυποποιημένες συμβατικές ρήτρες βρίσκονται στο Παράρτημα 4.
Με τον όρο "Υπεργολάβος Επεξεργασίας Δεδομένων" νοείται οποιοσδήποτε Υπεύθυνος επεξεργασίας δεδομένων έχει προσληφθεί από τον Επεξεργαστή για την Επεξεργασία δεδομένων εκ μέρους του Υπεύθυνου ελέγχου δεδομένων.
Με τον όρο "Τυποποιημένες συμβατικές ρήτρες Ηνωμένου Βασιλείου" νοούνται οι τυποποιημένες ρήτρες προστασίας δεδομένων για τη μεταφορά προσωπικών δεδομένων σε υπεύθυνους επεξεργασίας σε τρίτες χώρες που δεν εξασφαλίζουν επαρκές επίπεδο προστασίας δεδομένων, όπως περιγράφεται στο Άρθρο 46 του ΓΚΠΔ Ηνωμένου Βασιλείου και έχει εγκριθεί από την απόφαση της Ευρωπαϊκής Επιτροπής 2010/87. Οι Τυποποιημένες συμβατικές ρήτρες για το Ηνωμένο Βασίλειο βρίσκονται στο Παράρτημα 4.
2. Επεξεργασία δεδομένων2.1 Πεδίο εφαρμογής και ρόλοι. Η παρούσα Προσθήκη έχει εφαρμογή όταν γίνεται επεξεργασία Δεδομένων του Πελάτη από την GoDaddy, όπου η GoDaddy θα λειτουργεί ως Υπεύθυνος επεξεργασίας δεδομένων εκ μέρους του Πελάτη και ως Υπεύθυνος ελέγχου δεδομένων αναφορικά με τα Δεδομένα του Πελάτη.
2.2 Λεπτομέρειες επεξεργασίας δεδομένων. Το αντικείμενο της επεξεργασίας Δεδομένων του Πελάτη από την GoDaddy είναι η παροχή των Καλυπτόμενων υπηρεσιών σύμφωνα με τους Όρους χρήσης. Η GoDaddy θα επεξεργάζεται Δεδομένα του Πελάτη μόνο εκ μέρους και σύμφωνα με τις καταγεγραμμένες οδηγίες του Πελάτη, για τους ακόλουθους σκοπούς: (i) Επεξεργασία σύμφωνα με τους Όρους χρήσης, (ii) Επεξεργασία που εκκινείται από τους τελικούς χρήστες, κατά την από μέρους τους χρήση των Καλυπτόμενων υπηρεσιών, (iii) Επεξεργασία για συμμόρφωση με άλλες καταγεγραμμένες, εύλογες οδηγίες που παρέχονται από τους Πελάτες (π.χ. μέσω email), οι οποίες συμμορφώνονται με τους Όρους χρήσης. Η GoDaddy: (α) δεν θα επεξεργάζεται, διατηρεί, χρησιμοποιεί, πωλεί ή γνωστοποιεί Δεδομένα του Πελάτη παρά μόνο στον βαθμό που αυτό είναι αναγκαίο για την παροχή των Καλυπτόμενων Υπηρεσιών σύμφωνα με τους Όρους υπηρεσίας ή όπως απαιτείται από τους νόμους, (β) δεν θα πωλεί τα εν λόγω Δεδομένα του Πελάτη σε οποιονδήποτε τρίτο, (γ) δεν θα διατηρεί, χρησιμοποιεί ή γνωστοποιεί τα εν λόγω Δεδομένα του Πελάτη εκτός του πλαισίου της άμεσης επαγγελματικής σχέσης μεταξύ της GoDaddy και του Πελάτη.
Για την αποφυγή τυχόν αμφιβολιών, οι οδηγίες του Πελάτη για την Επεξεργασία Προσωπικών Δεδομένων θα συμμορφώνονται με όλους τους ισχύοντες νόμους περί απορρήτου δεδομένων. Ο Πελάτης θα φέρει την αποκλειστική ευθύνη για την ακρίβεια, την ποιότητα και τη νομιμότητα των Προσωπικών Δεδομένων και των μέσων με τη βοήθεια των οποίων ο Πελάτης απέκτησε τα Προσωπικά Δεδομένα. Δεν θα απαιτηθεί από την GoDaddy να συμμορφώνεται με ή να τηρεί τις οδηγίες του Πελάτη, εάν αυτές οι οδηγίες επρόκειτο να παραβιάσουν τη Νομοθεσία προστασίας δεδομένων. Η διάρκεια της Επεξεργασίας, η φύση και ο σκοπός της Επεξεργασίας, οι τύποι των Προσωπικών δεδομένων και οι κατηγορίες Προσώπων που αφορούν τα δεδομένα που υποβάλλονται σε επεξεργασία στο πλαίσιο της παρούσας Προσθήκης προσδιορίζονται περαιτέρω στο Παράρτημα 1 ("Λεπτομέρειες επεξεργασίας") αυτής της Προσθήκης.
3. Εμπιστευτικότητα των δεδομένων του πελάτηΗ GoDaddy δεν θα κοινοποιεί Δεδομένα του Πελάτη σε καμία κυβέρνηση και σε κανένα άλλο τρίτο μέρος, με εξαίρεση όπως είναι απαραίτητο για την εφαρμογή του νόμου ή για τη συμμόρφωση με μια έγκυρη και δεσμευτική διαταγή κάποιας αρχής επιβολής του νόμου (όπως κάποια κλήτευση, ένταλμα ή δικαστική απόφαση). Σε περίπτωση που η GoDaddy λάβει έγκυρη κλήτευση αστικού δικαίου και στον βαθμό που αυτό επιτρέπεται, η GoDaddy θα καταβάλει προσπάθειες να προειδοποιήσει εύλογα τον Πελάτη για την απαίτηση μέσω email ή συμβατικού ταχυδρομείου, προκειμένου ο Πελάτης να έχει στη διάθεσή του επαρκή χρόνο να επιδιώξει την έκδοση ασφαλιστικών μέτρων ή τη λήψη άλλων κατάλληλων μέτρων προστασίας.
4. Ασφάλεια4.1 Η GoDaddy έχει εφαρμόσει και θα διατηρήσει τα τεχνικά και οργανωτικά μέτρα για το Δίκτυο GoDaddy, όπως περιγράφεται στην παρούσα Ενότητα και όπως περιγράφεται περαιτέρω στο Παράρτημα 2 της παρούσας Προσθήκης, Πρότυπα Ασφαλείας. Ειδικότερα, η GoDaddy έχει εφαρμόσει και θα διατηρήσει τα τεχνικά και οργανωτικά μέτρα για (i) την ασφάλεια του Δικτύου GoDaddy, (ii) τη φυσική ασφάλεια των εγκαταστάσεων, (iii) τους ελέγχους για την πρόσβαση των υπαλλήλων και των υπεργολάβων στα (i) ή/και (ii), καθώς και (iv) διαδικασίες για τη δοκιμή, την αξιολόγηση και τον έλεγχο των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται από την GoDaddy. Σε περίπτωση που δεν είμαστε σε θέση να ανταποκριθούμε σε υποχρεώσεις που περιγράφονται στο παρόν, θα παράσχουμε ειδοποίηση εγγράφως (μέσω του ιστότοπού μας και μέσω email) το συντομότερο δυνατόν, όσο αυτό είναι πρακτικώς εφικτό.
4.2 Η GoDaddy διαθέτει ορισμένα χαρακτηριστικά και λειτουργίες ασφαλείας τα οποία ο Πελάτης ενδέχεται να επιλέξει να χρησιμοποιήσει, αναφορικά με τις Καλυπτόμενες υπηρεσίες. Ο Πελάτης είναι υπεύθυνος (α) για τη σωστή διαμόρφωση των Καλυπτόμενων υπηρεσιών, (β) για τη χρήση των στοιχείων ελέγχου που είναι διαθέσιμα αναφορικά με τις Καλυπτόμενες υπηρεσίες (συμπεριλαμβανομένων των στοιχείων ασφάλειας) για τη διασφάλιση της συνεχούς τήρησης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και των υπηρεσιών επεξεργασίας, (γ) για τη χρήση των στοιχείων ελέγχου που είναι διαθέσιμα αναφορικά με τις Καλυπτόμενες υπηρεσίες (συμπεριλαμβανομένων των στοιχείων ελέγχου ασφάλειας) προκειμένου να δίνεται η δυνατότητα στον Πελάτη να επαναφέρει εγκαίρως τη διαθεσιμότητα και την πρόσβαση στα Δεδομένα του Πελάτη, σε περίπτωση φυσικού ή τεχνικού συμβάντος (π.χ. δημιουργία αντιγράφων ασφαλείας και τακτική αρχειοθέτηση των Δεδομένων του πελάτη) και (δ) για τη λήψη μέτρων, όπως θεωρεί επαρκή ο Πελάτης, για τη διασφάλιση της κατάλληλης ασφάλειας, προστασίας και διαγραφής των Δεδομένων του Πελάτη, στα οποία συγκαταλέγεται η χρήση τεχνολογίας κρυπτογράφησης για την προστασία των Δεδομένων του Πελάτη από μη εξουσιοδοτημένη πρόσβαση και η λήψη μέτρων για τον έλεγχο των δικαιωμάτων πρόσβασης στα Δεδομένα του Πελάτη.
5. Δικαιώματα προσώπου που αφορούν τα δεδομέναΛαμβάνοντας υπ΄ όψιν τη φύση των Καλυπτόμενων υπηρεσιών, η GoDaddy προσφέρει στον Πελάτη ορισμένα στοιχεία ελέγχου, όπως περιγράφεται στην ενότητα «Ασφάλεια» της παρούσας Προσθήκης, τα οποία ο Πελάτης μπορεί να επιλέξει να χρησιμοποιήσει για την ανάκτηση, τη διόρθωση, τη διαγραφή ή τον περιορισμό της χρήσης και την κοινοποίησης των Δεδομένων του Πελάτη, όπως περιγράφεται στις Καλυπτόμενες υπηρεσίες. Ο Πελάτης μπορεί να χρησιμοποιεί αυτά τα στοιχεία ελέγχου ως τεχνικά και οργανωτικά μέτρα για την υποστήριξή του στην εκπλήρωση των υποχρεώσεών του έναντι των ισχυόντων νόμων περί προστασίας του απορρήτου, συμπεριλαμβανομένης της υποχρέωσής του να ανταποκρίνεται σε αιτήματα από τα Πρόσωπα που αφορούν τα δεδομένα. Όπως είναι εύλογο από εμπορικής άποψης και στην έκταση που είναι απαιτητέο ή επιτρεπτό από τον νόμο, η GoDaddy θα ειδοποιεί εγκαίρως τον Πελάτη εάν η GoDaddy λάβει απευθείας κάποιο αίτημα από κάποιο Πρόσωπο που αφορούν τα δεδομένα, αιτούμενο την άσκηση τέτοιου είδους δικαιωμάτων στο πλαίσιο οποιασδήποτε ισχύουσας νομοθεσίας προστασίας απορρήτου δεδομένων («Αίτημα προσώπου που αφορούν τα δεδομένα»). Επιπλέον, στις περιπτώσεις όπου η χρήση των Καλυπτόμενων υπηρεσιών από τον Πελάτη περιορίζει τη δυνατότητά του να ανταποκριθεί σε κάποιο Αίτημα από πρόσωπο που αφορούν τα δεδομένα, η GoDaddy ενδέχεται, στις περιπτώσεις που επιτρέπεται από τον νόμο και κατόπιν ειδικού αιτήματος του Πελάτη, να παρέχει εύλογη από εμπορικής απόψεως βοήθεια στην αντιμετώπιση του αιτήματος, με χρέωση του Πελάτη (εφόσον προκύπτει κόστος).
6. Υπεργολαβία επεξεργασίας6.1 Εξουσιοδοτημένοι Υπεργολάβοι επεξεργασίας. Ο πελάτης συμφωνεί ότι η GoDaddy ενδέχεται να χρησιμοποιεί Υπεργολάβους επεξεργασίας για την εκπλήρωση των συμβατικών της υποχρεώσεων στο πλαίσιο των Όρων παροχής υπηρεσιών και της παρούσας Προσθήκης ή για την παροχή ορισμένων υπηρεσιών για λογαριασμό της, όπως είναι η παροχή υπηρεσιών υποστήριξης. Δια της παρούσας, ο πελάτης συγκατατίθεται στην από μέρους της GoDaddy χρήση Υπεργολάβων επεξεργασίας, όπως περιγράφεται στην παρούσα Ενότητα. Με την εξαίρεση όσων ορίζονται στην παρούσα Ενότητα ή πλην ρητής αντίθετης οδηγίας από εσάς, η GoDaddy δεν θα επιτρέπει οποιεσδήποτε άλλες δραστηριότητες υπεργολαβίας επεξεργασίας.
6.2 Υποχρεώσεις του Υπεργολάβου επεξεργασίας. Όπου η GoDaddy χρησιμοποιεί οποιονδήποτε εξουσιοδοτημένο Υπεργολάβο επεξεργασίας, όπως περιγράφεται στην Ενότητα 6.1:
(i) Η GoDaddy θα περιορίσει την πρόσβαση του Υπεργολάβου επεξεργασίας στα Δεδομένα του Πελάτη μόνο σε ό,τι είναι απαραίτητο για τη διατήρηση των Καλυπτόμενων υπηρεσιών ή για την παροχή των Καλυπτόμενων υπηρεσιών στον Πελάτη και σε τυχόν τελικούς χρήστες του, σύμφωνα με τις Καλυπτόμενες υπηρεσίες. Η GoDaddy θα απαγορεύει στον Υπεργολάβο επεξεργασίας την πρόσβαση στα Δεδομένα του Πελάτη για οποιονδήποτε άλλον λόγο,
(ii) η GoDaddy θα συνάψει γραπτή συμφωνία με τον Υπεργολάβο επεξεργασίας και, στην έκταση που ο Υπεργολάβος επεξεργασίας παρέχει τις ίδιες υπηρεσίες επεξεργασίας δεδομένων που παρέχονται και από την GoDaddy στο πλαίσιο της παρούσας Προσθήκης, η GoDaddy θα επιβάλλει στον Υπεργολάβο επεξεργασίας τις ίδιες συμβατικές υποχρεώσεις που δεσμεύουν και την GoDaddy στο πλαίσιο της παρούσας Προσθήκης και
(iii) η GoDaddy θα παραμείνει υπεύθυνη για τη συμμόρφωσή της με τις υποχρεώσεις που απορρέουν από την παρούσα Προσθήκη, καθώς και για οποιεσδήποτε πράξεις ή παραλείψεις του Υπεργολάβου επεξεργασίας που θα προκαλέσουν την παραβίαση από μέρους της GoDaddy οποιωνδήποτε από τις υποχρεώσεις της GoDaddy στο πλαίσιο της παρούσας Προσθήκης.
6.3 Νέοι Υπεργολάβοι επεξεργασίας. Κατά καιρούς, ενδέχεται να προσλάβουμε νέους Υπεργολάβους επεξεργασίας στο πλαίσιο των όρων αυτής της Προσθήκης. Σε μια τέτοια περίπτωση, θα υπάρξει ειδοποίηση 30 ημέρες νωρίτερα (μέσω του ιστότοπού μας και μέσω email) προτού κάποιος νέος Υπεργολάβος επεξεργασίας αποκτήσει πρόσβαση σε οποιαδήποτε Δεδομένα του Πελάτη. Εάν ο Πελάτης σας δεν εγκρίνει νέο Υπεργολάβο επεξεργασίας, τότε ο Πελάτης μπορεί να τερματίσει τυχόν Καλυπτόμενες υπηρεσίες χωρίς καμία κύρωση, παρέχοντας εντός 10 ημερών από την ημερομηνία λήψης της ειδοποίησής μας, γραπτή δήλωση περί τερματισμού της υπηρεσίας, η οποία περιλαμβάνει αιτιολόγηση για τη μη έγκρισή του. Εάν οι Καλυπτόμενες υπηρεσίες αποτελούν μέρος κάποιου συνδυαστικού πακέτου ή συνδυαστικής αγοράς, τότε τυχόν τερματισμός θα ισχύει για το πλήρες πακέτο ή την πλήρη αγορά.
7. Συμβάν ασφαλείας7.1 Συμβάν ασφαλείας. Εάν η GoDaddy αντιληφθεί κάποιο Συμβάν ασφαλείας, η GoDaddy χωρίς καμία καθυστέρηση: (α) θα ειδοποιήσει τον Πελάτη σχετικά με το Συμβάν ασφαλείας και (β) θα λάβει εύλογα μέτρα για τον μετριασμό των επιπτώσεων και την ελαχιστοποίηση οποιασδήποτε ζημίας που θα προκύψει από το Συμβάν ασφαλείας.
7.2 GoDaddy Βοήθεια. Προκειμένου να βοηθήσει τον Πελάτη αναφορικά με οποιεσδήποτε ειδοποιήσεις περί παραβίασης προσωπικών δεδομένων στις οποίες απαιτείται να προβεί ο Πελάτης, στο πλαίσιο οποιασδήποτε ισχύουσας νομοθεσίας περί προστασίας του απορρήτου, η GoDaddy θα συμπεριλάβει στην ειδοποίηση τις πληροφορίες αναφορικά με το Συμβάν ασφαλείας τις οποίες η GoDaddy είναι ευλόγως σε θέση να κοινοποιήσει στον Πελάτη, λαμβανομένης υπ' όψιν της φύσης των Καλυπτόμενων υπηρεσιών, των πληροφοριών που βρίσκονται στη διάθεση της GoDaddy, καθώς και οποιωνδήποτε περιορισμών αναφορικά με την κοινοποίηση πληροφοριών, όπως η εμπιστευτικότητα.
7.3 Συμβάντα ασφαλείας που οδήγησαν σε αστοχία. Ο Πελάτης συμφωνεί ότι:
(i) Ένα Συμβάν ασφαλείας που έχει οδηγήσει σε αστοχία δεν θα υπόκειται στους όρους της παρούσας Προσθήκης. Ένα Συμβάν ασφαλείας που έχει οδηγήσει σε αστοχία είναι ένα συμβάν που καταλήγει σε μη εξουσιοδοτημένη πρόσβαση στα Δεδομένα του Πελάτη ή σε οποιοδήποτε δίκτυο, εξοπλισμό ή εγκαταστάσεις της GoDaddy όπου αποθηκεύονται Δεδομένα του πελάτη και ενδέχεται να περιλαμβάνει, χωρίς περιορισμούς, ping και άλλες επιθέσεις μέσω εκπομπής σε τείχη προστασίας ή διακομιστές ακμής, σαρώσεις θυρών, αποτυχημένες προσπάθειες σύνδεσης, επιθέσεις άρνησης υπηρεσίας, ενεργοποίηση ανίχνευσης πακέτων δεδομένων (ή άλλη μη εξουσιοδοτημένη πρόσβαση σε κυκλοφορία δεδομένων που δεν καταλήγει σε πρόσβαση πέραν των κεφαλίδων) ή παρόμοια συμβάντα, και
(ii) Η υποχρέωση της GoDaddy να αναφέρει ή να ανταποκριθεί σε κάποιο Συμβάν ασφαλείας στο πλαίσιο της παρούσας Ενότητας δεν είναι και δεν θα θεωρείται αναγνώριση από μέρους της GoDaddy οποιουδήποτε σφάλματος ή ευθύνης της GoDaddy αναφορικά με το Συμβάν ασφαλείας.
7.4 Ειδοποίηση. Η ειδοποίηση σχετικά με τα Συμβάντα ασφαλείας, εάν υπάρχει, θα παραδίδεται σε έναν ή περισσότερους διαχειριστές του Πελάτη με οποιοδήποτε μέσο επιλέξει η GoDaddy, συμπεριλαμβανομένου του email. Αποτελεί αποκλειστική ευθύνη του Πελάτη να διασφαλίζει ότι οι διαχειριστές του Πελάτη θα διατηρούν συνεχώς ενημερωμένα τα στοιχεία επικοινωνία τους στην κονσόλα διαχείρισης της GoDaddy και τη δίοδο επικοινωνίας ασφαλή.
8. Δικαιώματα πελάτη8.1 Ανεξάρτητος καθορισμός. Ο Πελάτης έχει την υποχρέωση να κάνει ανασκόπηση των πληροφοριών που διατίθενται από την GoDaddy αναφορικά με την ασφάλεια των δεδομένων και τα Πρότυπα ασφαλείας που εφαρμόζει και να εκτελεί ανεξάρτητο καθορισμό αναφορικά με το εάν οι Καλυπτόμενες υπηρεσίες πληρούν τις απαιτήσεις και τις νομικές υποχρεώσεις του Πελάτη, καθώς και τις υποχρεώσεις του Πελάτη στο πλαίσιο της παρούσας Προσθήκης. Οι πληροφορίες που παρέχονται προορίζονται να βοηθήσουν τον Πελάτη να συμμορφωθεί με τις υποχρεώσεις του, στο πλαίσιο της ισχύουσας νομοθεσίας συμπεριλαμβανομένου του ΓΚΠΔ, αναφορικά με την αξιολόγηση των επιπτώσεων της προστασίας των δεδομένων και την προγενέστερη διαβούλευση.
8.2 Δικαιώματα ελέγχου πελάτη. Ο πελάτης έχει το δικαίωμα να επιβεβαιώσει τη συμμόρφωση της GoDaddy με αυτήν την Προσθήκη, όπως ισχύει για τις Καλυπτόμενες υπηρεσίες, στέλνοντας συγκεκριμένο αίτημα εγγράφως, σε εύλογα διαστήματα, στη διεύθυνση που ορίζεται παρακάτω στους Όρους χρήσης. Εάν η GoDaddy αρνηθεί να ανταποκριθεί σε οποιαδήποτε εντολή του Πελάτη αναφορικά με έλεγχο ή επιθεώρηση, κατόπιν κατάλληλα υποβληθέντος αιτήματος και με κατάλληλο πεδίο εφαρμογής, ο Πελάτης έχει το δικαίωμα να καταγγείλει την παρούσα Προσθήκη και τους Όρους χρήσης.
9. Μεταφορές Δεδομένων του Πελάτη9.1 Επεξεργασία στις Η.Π.Α. Με εξαίρεση τις περιπτώσεις στις οποίες επισημαίνεται ρητώς στους Όρους χρήσης, τα Δεδομένα του Πελάτη θα διαβιβάζονται εκτός του Ηνωμένου Βασιλείου ή του ΕΟΧ και θα υποβάλλονται σε επεξεργασία στις Η.Π.Α.
9.2 Εφαρμογή των Τυποποιημένων συμβατικών ρητρών. Οι Τυποποιημένες συμβατικές ρήτρες θα ισχύουν για τα Δεδομένα του Πελάτη που διαβιβάζονται εκτός του ΕΟΧ, είτε άμεσα είτε μέσω προώθησης της διαβίβασης, σε οποιαδήποτε χώρα δεν αναγνωρίζεται από την Ευρωπαϊκή Επιτροπή ότι παρέχει επαρκές επίπεδο προστασίας των Δεδομένων του Πελάτη. Οι Τυποποιημένες συμβατικές ρήτρες δεν θα ισχύουν για τα Δεδομένα του Πελάτη που δεν μεταφέρονται, είτε άμεσα είτε μέσω προώθησης της διαβίβασης, σε οποιαδήποτε χώρα εκτός του ΕΟΧ. Κατά παρέκκλιση των ανωτέρω, οι Τυποποιημένες συμβατικές ρήτρες δεν θα ισχύουν όπου μεταφέρονται τα δεδομένα σύμφωνα με κάποιο αναγνωρισμένο πρότυπο συμμόρφωσης για τη νόμιμη διαβίβαση Προσωπικών δεδομένων εκτός του ΕΟΧ, όπως όταν αυτό είναι αναγκαίο για την εκτέλεση των Καλυπτόμενων υπηρεσιών σύμφωνα με τους Όρους υπηρεσίας ή με τη δική σας συναίνεση.
9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
10. Λήξη της ΠροσθήκηςΗ παρούσα Προσθήκη θα παραμείνει σε ισχύ έως την ολοκλήρωση της από μέρους μας επεξεργασίας, σύμφωνα με τους Όρους χρήσης (η «Ημερομηνία λήξης»).
11. Επιστροφή ή διαγραφή Δεδομένων του ΠελάτηΌπως περιγράφεται στην ενότητα Καλυπτόμενες υπηρεσίες, ο Πελάτης ενδέχεται να έχει στη διάθεσή του μέσα ελέγχου, τα οποία μπορεί να χρησιμοποιεί για τη ανάκτηση ή τη διαγραφή Δεδομένων του Πελάτη. Η διαγραφή των Δεδομένων του Πελάτη θα λαμβάνει χώρα τριάντα (30) ημέρες μετά την Ημερομηνία τερματισμού και υπόκειται στους όρους των συγκεκριμένων Καλυπτόμενων υπηρεσιών.
12. Περιορισμοί ευθύνηςΗ ευθύνη του κάθε συμβαλλόμενου μέρους στο πλαίσιο της παρούσας Προσθήκης θα υπόκειται στις εξαιρέσεις και τους περιορισμούς υποχρεώσεων που προσδιορίζονται στους Όρους χρήσης. Ο Πελάτης συμφωνεί ότι οποιεσδήποτε κανονιστικές κυρώσεις που θα επιβληθούν στην GoDaddy αναφορικά με τα Δεδομένα του Πελάτη και θα προκύψουν ως αποτέλεσμα ή αναφορικά με την αποτυχία του Πελάτη να εκπληρώσει τις υποχρεώσεις του στο πλαίσιο της παρούσας Προσθήκης, καθώς και οποιασδήποτε ισχύουσας νομοθεσίας περί προστασίας προσωπικών δεδομένων θα προσμετρηθούν και θα μειώσουν τις υποχρεώσεις της GoDaddy στο πλαίσιο των Όρων χρήσης, ως να επρόκειτο για υποχρεώσεις του Πελάτη στο πλαίσιο των Όρων χρήσης.
13. Πλήρες κείμενο Όρων χρήσης, ΔιαφωνίαΗ παρούσα Προσθήκη υπερβαίνει και αντικαθιστά όλες τις προηγούμενες ή σύγχρονες δηλώσεις, συναποδοχές, συμφωνίες ή επικοινωνίες μεταξύ του Πελάτη και της GoDaddy, γραπτές ή προφορικές, αναφορικά με το αντικείμενο της παρούσας Προσθήκης, συμπεριλαμβανομένων οποιωνδήποτε προσθηκών που έχουν συνταχθεί μεταξύ της GoDaddy και του Πελάτη αναφορικά με την επεξεργασία προσωπικών δεδομένων και την ελεύθερη διακίνηση τέτοιου είδους δεδομένων. Εξαιρουμένων των τροποποιήσεων που θα επέλθουν από την παρούσα Προσθήκη, οι Όροι χρήσης θα παραμείνουν σε πλήρη ισχύ. Εάν υπάρχει οποιαδήποτε σύγκρουση μεταξύ των Όρων χρήσης και της παρούσας Προσθήκης, θα υπερισχύσουν οι όροι της παρούσας Προσθήκης.
Παράρτημα 1
ΛΕΠΤΟΜΕΡΕΙΕΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ
1. Φύση και σκοπός της επεξεργασίας. Η GoDaddy θα επεξεργάζεται Δεδομένα του Πελάτη όπως απαιτείται για την εκτέλεση των Καλυπτόμενων υπηρεσιών, σύμφωνα με τους Όρους χρήσης, καθώς και σύμφωνα με τις περαιτέρω οδηγίες του Πελάτη, καθ' όλη τη διάρκεια της από μέρους του χρήσης των Καλυπτόμενων υπηρεσιών.
2. Διάρκεια της επεξεργασίας. Σύμφωνα με την Ενότητα 10 και 11 της παρούσας Προσθήκης, η GoDaddy θα επεξεργάζεται Δεδομένα του Πελάτη κατά τη διάρκεια της ημερομηνίας έναρξης ισχύος των Όρων χρήσης. Ανεξάρτητα από τα παραπάνω, η GoDaddy ενδέχεται να διατηρεί Δεδομένα του Πελάτη ή οποιοδήποτε μέρος αυτών, εάν απαιτείται από την ισχύουσα νομοθεσία ή κανονισμούς, συμπεριλαμβανομένης της ισχύουσας νομοθεσίας περί προστασίας δεδομένων, με την προϋπόθεση ότι τα εν λόγω Δεδομένα του Πελάτη παραμένουν προστατευμένα σύμφωνα με τους όρους αυτής της Προσθήκης και την ισχύουσα νομοθεσία περί προστασίας δεδομένων.
3. Κατηγορίες Προσώπων στα οποία αναφέρονται τα δεδομένα. Ο Πελάτης μπορεί να κάνει κατά την από μέρους του χρήση των Καλυπτόμενων υπηρεσιών αποστολή Προσωπικών δεδομένων, στην έκταση που προσδιορίζεται και ελέγχεται από τον Πελάτη κατά την αποκλειστική του διακριτική ευχέρεια και τα οποία ενδέχεται να περιλαμβάνουν, χωρίς περιορισμούς, Προσωπικά δεδομένα που αφορούν τις ακόλουθες κατηγορίες Προσώπων που αφορούν τα δεδομένα:
- Προοπτικές, πελάτες, επιχειρηματικοί συνεργάτες και προμηθευτές του Πελάτη (οι οποίοι είναι φυσικά πρόσωπα)
- Υπάλληλοι ή πρόσωπα επικοινωνίας των προοπτικών, πελατών, επιχειρηματικών συνεργατών και προμηθευτών του Πελάτη
- Υπάλληλοι, πράκτορες, σύμβουλοι, ελεύθεροι επαγγελματίες του Πελάτη (που είναι φυσικά πρόσωπα)
- Χρήστες του Πελάτη εξουσιοδοτημένοι από τον Πελάτη να χρησιμοποιούν τις Καλυπτόμενες υπηρεσίες
4. Κατηγορίες προσωπικών δεδομένων. Ο Πελάτης μπορεί, κατά την από μέρους του χρήση των Καλυπτόμενων υπηρεσιών, να πραγματοποιήσει αποστολή Προσωπικών δεδομένων, του τύπου και στην έκταση που προσδιορίζεται και ελέγχεται από τον Πελάτη κατά την αποκλειστική του διακριτική ευχέρεια και τα οποία ενδέχεται να περιλαμβάνουν, χωρίς περιορισμούς, τις ακόλουθες κατηγορίες Προσωπικών δεδομένων που ανήκουν σε Πρόσωπα που αφορούν τα δεδομένα:
- Όνομα
- Διεύθυνση
- Αριθμός τηλεφώνου
- Ημερομηνία γέννησης
- Διεύθυνση email
- Άλλα συλλεγόμενα δεδομένα που θα μπορούσαν να ταυτοποιήσουν άμεσα ή έμμεσα τα πρόσωπα στα οποία αναφέρονται.
5. Ευαίσθητα δεδομένα ή Ειδικές κατηγορίες δεδομένων. Ο πελάτης μπορεί να στείλει Ευαίσθητα δεδομένα στην πορεία της χρήσης του των Καλυπτόμενων υπηρεσιών, ο τύπος των οποίων και ο βαθμός της χρήσης προσδιορίζονται και ελέγχονται από τον Πελάτη κατά τη διακριτική του ευχέρεια. Ο πελάτης είναι υπεύθυνος για την εφαρμογή περιορισμών ή μέτρων ασφαλείας που λαμβάνουν πλήρως υπόψη τη φύση των δεδομένων και των σχετικών κινδύνων πριν από τη μετάδοση ή επεξεργασία οποιωνδήποτε Ευαίσθητων δεδομένων μέσω των Καλυπτόμενων υπηρεσιών.
Παράρτημα 2
Πρότυπα ασφαλείας
I. Τεχνικά και οργανωτικά μέτρα
Δεσμευόμαστε να προστατεύουμε τις πληροφορίες των πελατών. Λαμβάνοντας υπ' όψιν τις βέλτιστες πρακτικές, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, τις περιστάσεις και τους σκοπούς της επεξεργασίας, καθώς και τις διάφορες πιθανότητες εμφάνισης, καθώς και τη σοβαρότητα του κινδύνου που διατρέχουν τα δικαιώματα και οι ελευθερίες των φυσικών προσώπων, λαμβάνουμε τα ακόλουθα τεχνικά και οργανωτικά μέτρα. Κατά την επιλογή των μέτρων λαμβάνεται υπ' όψιν η εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των συστημάτων. Εγγυόμαστε την ταχεία επαναφορά μετά από φυσικό ή τεχνικό συμβάν.
II. Πρόγραμμα απορρήτου δεδομένων
Το Πρόγραμμα απορρήτου δεδομένων που εφαρμόζουμε έχει ως στόχο την εδραίωση μιας καθολικής δομής ελέγχου των δεδομένων και τη διασφάλιση της προστασίας των δεδομένων σε όλη τη διάρκεια ζωής της. Αυτό το πρόγραμμα ελέγχεται από τον αρμόδιο προστασίας δεδομένων, ο οποίος επιτηρεί την εφαρμογή των πρακτικών προστασίας δεδομένων και των μέτρων ασφαλείας. Δοκιμάζουμε τακτικά, αξιολογούμε και ελέγχουμε την απόδοση του Προγράμματος προστασίας απορρήτου δεδομένων και των Προτύπων ασφαλείας.
1. Εμπιστευτικότητα. «Εμπιστευτικότητα σημαίνει ότι τα προσωπικά δεδομένα προστατεύονται από μη εξουσιοδοτημένη κοινοποίηση».
Εμείς λαμβάνουμε διάφορα φυσικά και λογικά μέτρα για την προστασία της εμπιστευτικότητας των προσωπικών δεδομένων των πελατών. Σε αυτά τα μέτρα συγκαταλέγονται:
Φυσική ασφάλεια
- Συστήματα ελέγχου φυσικής πρόσβασης σε εφαρμογή (Έλεγχος πρόσβασης με σήμα, Παρακολούθηση συμβάντων ασφαλείας κλπ.)
- Συστήματα επιτήρησης, συμπεριλαμβανομένων συναγερμών και, όπως απαιτείται, παρακολούθηση CCTV
- Πολιτικές καθαρού γραφείου και έλεγχοι σε εφαρμογή (Κλείδωμα ανεπίβλεπτων υπολογιστών, κλειδωμένα ερμάρια κ.λπ.)
- Διαχείριση πρόσβασης επισκεπτών
- Καταστροφή των δεδομένων που είναι αποθηκευμένα σε φυσικά μέσα και έγγραφα (καταστροφέας εγγράφων, απαλοιφή ηλεκτρονικού μέσου κ.λπ.)
Έλεγχος πρόσβασης και Προστασία από μη εξουσιοδοτημένη πρόσβαση
- Περιορισμοί πρόσβασης χρήστη που εφαρμόζονται και δικαιώματα πρόσβασης με βάση τον ρόλο, που παρέχονται/αναθεωρούνται σύμφωνα με την αρχή διαχωρισμού των καθηκόντων
- Ισχυρές μέθοδοι ελέγχου ταυτότητας και εξουσιοδότησης (Πολυπαραγοντικός έλεγχος ταυτότητας, εξουσιοδότηση με βάση πιστοποιητικά, αυτόματη απενεργοποίηση/αποσύνδεση κ.λπ.)
- Κεντρική διαχείριση κωδικών πρόσβασης και πολιτικές ισχυρών/περίπλοκων κωδικών πρόσβασης (ελάχιστο μήκος, περιπλοκότητα χαρακτήρων, λήξη κωδικών πρόσβασης κ.λπ.)
- Ελεγχόμενη πρόσβαση στα μηνύματα email και στο Διαδίκτυο
- Διαχείριση λογισμικού προστασίας από ιούς
- Διαχείριση Συστήματος αποτροπής εισβολών
Κρυπτογράφηση
- Κρυπτογράφηση εξωτερικής και εσωτερικής επικοινωνίας με τη χρήση ισχυρών πρωτοκόλλων κρυπτογράφησης
- Κρυπτογράφηση αδρανών δεδομένων PII/SPII (βάσεις δεδομένων, κοινόχρηστοι κατάλογοι κ.λπ.)
- Πλήρης κρυπτογράφηση δίσκου για εταιρικούς υπολογιστές και φορητούς υπολογιστές
- Κρυπτογράφηση των μέσων αποθήκευσης
- Οι απομακρυσμένες συνδέσεις στα εταιρικά δίκτυα κρυπτογραφούνται μέσω VPN
- Διασφάλιση της διάρκειας ζωής των κλειδιών κρυπτογράφησης
Ελαχιστοποίηση δεδομένων
- Ελαχιστοποίηση PII/SPI στα μητρώα καταγραφής εφαρμογών, εντοπισμού σφαλμάτων και ασφαλείας
- Καταγραφή με ψευδώνυμο των προσωπικών δεδομένων, για την αποτροπή της απευθείας ταυτοποίησης κάποιου ατόμου
- Διαχωρισμός των αποθηκευμένων δεδομένων κατά λειτουργία (δοκιμή, δοκιμαστική λειτουργία, σε λειτουργία)
- Λογικός διαχωρισμός των δεδομένων σύμφωνα με τα δικαιώματα πρόσβασης με βάση τον ρόλο
- Καθορισμένες περίοδοι διατήρησης δεδομένων για τα προσωπικά δεδομένα
Δοκιμές ασφαλείας
- Δοκιμές διείσδυσης για σημαντικά εταιρικά δίκτυα και πλατφόρμες φιλοξενίας προσωπικών δεδομένων
- Τακτικές σαρώσεις δικτύου και τρωτότητας
2. Ακεραιότητα. Ο όρος «ακεραιότητα» αναφέρεται στη διασφάλιση της ορθότητας (ακεραιότητας) των δεδομένων και της σωστής λειτουργίας των συστημάτων. Όταν ο όρος ακεραιότητα χρησιμοποιείται σε συνδυασμό με τον όρο «δεδομένα», εκφράζει την έννοια ότι τα δεδομένα είναι πλήρη και απαράλλακτα.
Χρησιμοποιούνται κατάλληλα στοιχεία ελέγχου των αλλαγών και της διαχείρισης καταγραφής, επιπλέον των στοιχείων ελέγχου πρόσβασης, προκειμένου να διασφαλίζεται η ακεραιότητα των προσωπικών δεδομένων, όπως:
Διαχείριση αλλαγής και κυκλοφορίας
- Διαδικασία διαχείρισης αλλαγής και έκδοσης συμπεριλαμβανομένων (ανάλυσης επιπτώσεων, εγκρίσεων, δοκιμών, επιθεωρήσεων ασφάλειας, κλιμάκωσης, παρακολούθησης κ.λπ.)
- Διατάξεις σχετικά με την πρόσβαση με βάση τον Ρόλο και τη Λειτουργία (Διαχωρισμός καθηκόντων) σε περιβάλλοντα παραγωγής
Καταγραφή και παρακολούθηση
- Καταγραφή μητρώου πρόσβασης και αλλαγών στα δεδομένα
- Κεντρικός έλεγχος και μητρώα καταγραφής ασφαλείας
- Παρακολούθηση της πληρότητας και της ορθότητας της διαβίβασης δεδομένων (έλεγχος από άκρου σε άκρο)
3. Διαθεσιμότητα. «Η διαθεσιμότητα των υπηρεσιών και των συστημάτων πληροφορικής, των εφαρμογών πληροφορικής και λειτουργιών των δικτύων πληροφορικής ή των πληροφοριών είναι διασφαλισμένη, εφόσον οι χρήστες έχουν τη δυνατότητα να τις χρησιμοποιούν συνεχώς, όπως προορίζονται».
Εμείς εφαρμόζουμε κατάλληλα μέτρα διασφάλισης της συνέχειας και της ασφάλειας για τη διατήρηση της διαθεσιμότητας των υπηρεσιών και των δεδομένων που περιέχονται σε αυτές τις υπηρεσίες:
- Γίνονται τακτικές δοκιμές αυτόματης μεταγωγής σε εφεδρικό σύστημα, για τις ιδιαίτερα σημαντικές υπηρεσίες
- Εκτεταμένη παρακολούθηση απόδοσης/διαθεσιμότητας και αναφορές για τα ιδιαίτερα σημαντικά συστήματα
- Απόκριση σε συμβάντα ασφαλείας
- Τα δεδομένα κρίσιμης σπουδαιότητας αναπαράγονται ή δημιουργούνται αντίγραφα ασφαλείας (Αντίγραφα ασφαλείας στο Cloud/σε σκληρούς δίσκους/αναπαραγωγή βάσεων δεδομένων κ.λπ.)
- Διενεργείται προγραμματισμένη συντήρηση λογισμικού, υποδομών και ασφάλειας (Ενημερώσεις λογισμικού, ενημερώσεις κώδικα ασφαλείας κ.λπ.)
- Εφεδρικά και ανθεκτικά συστήματα (συστοιχίες διακομιστών, κατοπτρισμένες βάσεις δεδομένων, διαμορφώσεις υψηλής διαθεσιμότητας κ.λπ.) εντός και εκτός των εγκαταστάσεων ή/και σε διαφορετικές γεωγραφικές τοποθεσίες
- Χρήση τροφοδοτικών αδιάλειπτης παροχής, εξοπλισμού και δικτύων με προστασία από αστοχία
- Σύμβουλοι σε θέματα συστημάτων ασφαλείας
- Μέτρα φυσικής προστασίας επί τόπου για τις σημαντικές εγκαταστάσεις (προστασία από υπέρταση, ανυψωμένα δάπεδα, συστήματα ψύξης, ανιχνευτές φωτιάς ή/και καπνού, συστήματα πυροπροστασίας κ.λπ.)
- Προστασία DDOS για τη διατήρηση της διαθεσιμότητας
- Δοκιμή φόρτου και καταπόνησης
4. Οδηγίες επεξεργασίας δεδομένων. "Οι Οδηγίες επεξεργασίας αναφέρονται στη διασφάλιση ότι η επεξεργασία των προσωπικών δεδομένων θα γίνεται μόνο σύμφωνα με τις οδηγίες του υπεύθυνου ελέγχου δεδομένων και με τα μέτρα που λαμβάνει η αντίστοιχη εταιρεία"
Έχουμε καθιερώσει εσωτερικές πολιτικές προστασίας απορρήτου, έχουμε συνάψει συμβάσεις και εκπαιδεύουμε τακτικά τους υπαλλήλους μας, προκειμένου να διασφαλίσουμε ότι η επεξεργασία των προσωπικών δεδομένων γίνεται σύμφωνα με τις προτιμήσεις και τις εντολές των πελατών.
- Συμπεριλαμβάνονται όροι σχετικά με το απόρρητο και την εμπιστευτικότητα στις συμβάσεις των εργαζομένων
- Τακτική εκπαίδευση των εργαζομένων αναφορικά με το απόρρητο των δεδομένων και την ασφάλεια
- Κατάλληλες συμβατικές διατάξεις στις συμβάσεις με τους υπεργολάβους επεξεργασίας για τη διατήρηση των δικαιωμάτων εκπαιδευτικού ελέγχου
- Τακτικοί έλεγχοι απορρήτου για εξωτερικούς παρόχους υπηρεσιών
- Παροχή πλήρους ελέγχου στους πελάτες αναφορικά με τις προτιμήσεις τους για την επεξεργασία δεδομένων
- Τακτικοί έλεγχοι ασφαλείας
Παράρτημα 3 - Υπεργολάβοι επεξεργασίας GoDaddy
Επωνυμία εταιρείας | Χώρα δικαιοδοσίας σύστασης | Περιγραφή υπηρεσίας | Κατηγορίες δεδομένων |
---|---|---|---|
Acronis International GmbH | Ελβετία | Αντίγραφα ασφαλείας πελατών | Στιγμιότυπα αντιγράφων ασφαλείας. |
Automattic Inc | Ηνωμένες Πολιτείες της Αμερικής | Προσθήκη WooCommerce και πρόσθετα στο Ecommerce WordPress. | Προφίλ χρήστη του Customer WordPress (συμπεριλαμβανομένων του ονόματος και της διεύθυνσης email) και εκείνων για οποιουσδήποτε υπαλλήλους/εργολάβους. |
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc | Ηνωμένο Βασίλειο, Γερμανία, Ηνωμένες Πολιτείες της Αμερικής | Παροχή και διαχείριση λύσεων δικτύου στο πλαίσιο του δικτύου μας, συμπεριλαμβανομένης της ανάλυσης μεταδεδομένων. | Επεξεργασία μεταδεδομένων διευθύνσεων IP, χρονοσημάνσεων και κίνησης δικτύου |
cPanel Inc | Ηνωμένες Πολιτείες της Αμερικής | Λογισμικό διαχείρισης cPanel για προϊόντα Φιλοξενίας και Διακομιστή. | Οποιαδήποτε δεδομένα πελάτη διατηρούνται στο cPanel. |
DENIC eG | Γερμανία | Εγγραφή domain .de | Όλες οι πληροφορίες λογαριασμού που είναι απαραίτητες για την παροχή του domain. Πληροφορίες Whois. |
Equinix Netherlands BV | Ολλανδία | Εγκαταστάσεις συλλογής κέντρου δεδομένων στην Ολλανδία. | Δεν πραγματοποιείται σκόπιμη επεξεργασία προσωπικών δεδομένων. |
EURid vzw | Βέλγιο | Εγγραφή .eu domain | Όλες οι πληροφορίες λογαριασμού που είναι απαραίτητες για την παροχή του domain. Πληροφορίες Whois. |
Juniper Networks Inc | Ηνωμένες Πολιτείες της Αμερικής | Παροχή και διαχείριση λύσεων δικτύου στο πλαίσιο του δικτύου μας, συμπεριλαμβανομένης της ανάλυσης μεταδεδομένων. | Διευθύνσεις IP, χρονοσημάνσεις, κίνηση δικτύου |
LivePerson Inc | Ηνωμένες Πολιτείες της Αμερικής | Εργαλείο συνομιλίας "LiveEngage" στον ιστότοπό μας. | Αντίγραφα συνομιλιών, αυτοματοποιημένες πληροφορίες όπως η διεύθυνση IP, το λειτουργικό σύστημα και ο τύπος συσκευής. |
LvivIT | Ουκρανία | Παροχή υποστήριξης λειτουργικής πλατφόρμας. | Όλες οι πληροφορίες λογαριασμού πελάτη. |
OVH Grouppe SAS | Γαλλία | Εγκαταστάσεις συλλογής κέντρου δεδομένων στη Γερμανία, μεταπώληση προϊόντων διακομιστή. | Δεδομένα που φιλοξενούνται από τον πελάτη, συμπεριλαμβανομένων ενδεικτικά ιστότοπων, εφαρμογών και δεδομένων από τους πελάτες. Αυτά ενδέχεται να περιλαμβάνουν επίσης την κίνηση δικτύου. |
Plesk International GmbH | Γερμανία | Πίνακας ελέγχου Plesk για VPS και Αποκλειστικούς server και Δημιουργία site Plus. | Οποιαδήποτε δεδομένα του πελάτη διατηρούνται στον πίνακα ελέγχου Plesk, καθώς και οποιαδήποτε δεδομένα του πελάτη διατηρούνται σε φιλοξενούμενο ιστότοπο. |
Datadock SARL | Γαλλία | Εγκαταστάσεις συλλογής κέντρου δεδομένων στη Γαλλία. | Υπηρεσίες υλικού και δικτύου. Δεν πραγματοποιείται σκόπιμη επεξεργασία προσωπικών δεδομένων. |
GoDaddy Media Temple Inc d/b/a Sucuri | Ηνωμένες Πολιτείες της Αμερικής | Προϊόν SAAS: Ασφάλεια ιστότοπων πελατών από κακόβουλο λογισμικό |
Όλες οι απαραίτητες πληροφορίες λογαριασμού για την παροχή του ιστότοπου, καθώς και δεδομένα του πελάτη που φυλάσσονται στον φιλοξενούμενο ιστότοπο. |
GoDaddy Media Temple Inc d/b/a Sucuri | Ηνωμένες Πολιτείες της Αμερικής | Εσωτερικά: Το Τείχος προστασίας εφαρμογής στους επώνυμους ιστότοπούς μας και σε πίνακες ελέγχου των πελατών για την προστασία δεδομένων ΙΤ επωνυμίας και του πελάτη. | Επιθεώρηση κίνησης ιστότοπου. Μεταδεδομένα διευθύνσεων IP, χρονοσημάνσεων και κίνησης δικτύου. |
Starfield Technologies LLC | Ηνωμένες Πολιτείες της Αμερικής | Πιστοποιητικά SSL. | Όλες οι πληροφορίες λογαριασμού πελάτη που απαιτούνται για ένα πιστοποιητικό SSL. |
DomainsByProxy LLC | Ηνωμένες Πολιτείες της Αμερικής | Υπηρεσίες απoρρήτου domain. | Εγγραφή domain και στοιχεία επικοινωνίας. |
GoDaddy Sellbrite, Inc. | Ηνωμένες Πολιτείες της Αμερικής | Εργαλείο ηλεκτρονικού λιανικού εμπορίου | Δεδομένα συναλλαγής και προϊόντος από το ηλεκτρονικό κατάστημα. |
GoDaddy Payments LLC | Ηνωμένες Πολιτείες της Αμερικής | Εργαλεία επεξεργασίας πληρωμών. |
Βλ. Ενότητα 9.2 της Προσθήκης για την εφαρμοσιμότητα αυτών των SSC
Τυποποιημένες συμβατικές ρήτρες (Ελεγκτής προς Υπεύθυνους επεξεργασίας)
ΕΝΟΤΗΤΑ I
Ρήτρα 1
Σκοπός και πεδίο εφαρμογής
- Ο σκοπός αυτών των τυποποιημένων συμβατικών ρητρών είναι να διασφαλίζεται η συμμόρφωση με τις απαιτήσεις του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου της 27 Απριλίου 2016 για την προστασία φυσικών προσώπων, αναφορικά με την επεξεργασία προσωπικών δεδομένων και την ελεύθερη μετακίνηση αυτών των δεδομένων (Γενικός Κανονισμός Προστασίας Δεδομένων) για τη μεταφορά των δεδομένων σε μια τρίτη χώρα.
- Τα Συμβαλλόμενα Μέρη:
- τα φυσικά ή νομικά πρόσωπα, οι δημόσιες αρχές, οι υπηρεσίες ή και άλλοι φορείς (εφεξής "οντότητες") που μεταφέρουν τα προσωπικά δεδομένα, όπως αναφέρονται στο Παράρτημα Ι.Α (εφεξής "εξαγωγέας δεδομένων") και
- οι οντότητες σε μια τρίτη χώρα που λαμβάνουν τα προσωπικά δεδομένα από τον εξαγωγέα δεδομένων, άμεσα ή έμμεσα μέσω μιας άλλης οντότητας που αποτελεί, επίσης, Συμβαλλόμενο Μέρος σε αυτές τις Ρήτρες, όπως αναφέρονται στο Παράρτημα Ι.Α (εφεξής "εισαγωγέας δεδομένων") έχουν συμφωνήσει με αυτές τις τυποποιημένες συμβατικές ρήτρες (εφεξής: "Ρήτρες").
- Αυτές οι Ρήτρες ισχύουν αναφορικά με τη μεταφορά προσωπικών δεδομένων όπως ορίζεται στο Παράρτημα Ι.Β.
- Το Παράρτημα σε αυτές τις Ρήτρες που περιέχει τα Παραρτήματα που αναφέρονται εκεί, αποτελεί ένα αναπόσπαστο μέρος αυτών των Ρητρών.
Ρήτρα 2
Ισχύς και αμετάβλητο των Ρητρών
- Αυτές οι Ρήτρες ορίζουν κατάλληλα μέτρα ασφαλείας, συμπεριλαμβανομένων εφαρμόσιμων δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα και αποτελεσματικών ένδικων μέσων προσφυγής, σύμφωνα με το Άρθρο 46(1) και το Άρθρο 46(2)(γ) του Κανονισμού (ΕΕ) 2016/679 και, σχετικά με τις μεταφορές δεδομένων από ελεγκτές σε υπεύθυνους επεξεργασίας ή/και από υπεύθυνους επεξεργασίας σε υπεύθυνους επεξεργασίας, τυποποιημένες συμβατικές ρήτρες σύμφωνα με το Άρθρο 28(7) του Κανονισμού (ΕΕ) 2016/679, με την προϋπόθεση ότι δεν τροποποιήθηκαν, με εξαίρεση για την επιλογή των κατάλληλων Ενοτήτων ή για την προσθήκη ή ενημέρωση πληροφοριών στο Παράρτημα. Αυτό δεν εμποδίζει τα Συμβαλλόμενα μέρη να συμπεριλάβουν τις τυποποιημένες συμβατικές ρήτρες που αναφέρονται σε αυτές τις Ρήτρες σε μια ευρύτερη σύμβαση ή/και να προσθέσουν άλλες ρήτρες ή πρόσθετα μέτρα ασφαλείας, με την προϋπόθεση ότι δεν έρχονται σε αντίθεση, άμεσα ή έμμεσα, με αυτές τις Ρήτρες ή δεν θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα.
- Αυτές οι Ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο εξαγωγέας δεδομένων σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679.
Ρήτρα 3
Τρίτοι δικαιούχοι
- Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να επικαλεστούν και εφαρμόσουν αυτές τις Ρήτρες, ως τρίτοι δικαιούχοι, έναντι του εξαγωγέα δεδομένων ή/και του εισαγωγέα δεδομένων, με τις εξής εξαιρέσεις:
- Ρήτρα 1, Ρήτρα 2, Ρήτρα 3, Ρήτρα 6, Ρήτρα 7,
- Ρήτρα 8.1(β), 8.9(α), (γ), (δ) και (ε),
- Ρήτρα 9(α), (γ), (δ) και (ε),
- Ρήτρα 12(α), (δ) και (στ),
- Ρήτρα 13,
- Ρήτρα 15.1(γ), (δ) και (ε),
- Ρήτρα 16(ε), (viii) Ρήτρα 18(α) και (β).
- Η παράγραφος (α) δεν θίγει τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679.
Ρήτρα 4
Ερμηνεία
- Όπου αυτές οι Ρήτρες κάνουν χρήση όρων που προσδιορίζονται στον Κανονισμό (ΕΕ) 2016/679, οι εν λόγω όροι θα έχουν την ίδια σημασία με εκείνους στον Κανονισμό.
- Αυτές οι Ρήτρες θα διαβάζονται και ερμηνεύονται βάσει των διατάξεων του Κανονισμού (ΕΕ) 2016/679.
- Αυτές οι Ρήτρες δεν θα ερμηνεύονται με τρόπο που έρχεται σε αντίθεση με τα δικαιώματα και τις υποχρεώσεις που παρέχονται στον Κανονισμό (ΕΕ) 2016/679.
Ρήτρα 5
Ιεραρχία
Στην περίπτωση διαφωνίας μεταξύ αυτών των Ρητρών και των διατάξεων σχετικών συμβάσεων μεταξύ των Συμβαλλομένων μερών, οι οποίες υπάρχουν τη στιγμή της συμφωνίας ή σύναψης αυτών των Ρητρών, αυτές οι Ρήτρες θα υπερισχύουν.
Ρήτρα 6
Περιγραφή των μεταφορών
Οι λεπτομέρειες των μεταφορών και συγκεκριμένα οι κατηγορίες προσωπικών δεδομένων που μεταφέρονται και οι σκοποί μεταφοράς τους καθορίζονται στο Παράρτημα Ι.Β.
Ρήτρα 7 - ΠΑΡΑΛΕΙΦΘΗΚΕ ΣΚΟΠΙΜΑ
ΕΝΟΤΗΤΑ II - ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ
Ρήτρα 8
Μέτρα ασφαλείας για την προστασία δεδομένων
Ο εξαγωγέας δεδομένων εγγυάται ότι έχει καταβάλει κάθε δυνατή προσπάθεια για να διαπιστώσει ότι ο εισαγωγέας δεδομένων μπορεί, μέσω της υλοποίησης κατάλληλων τεχνικών και οργανωτικών μέτρων, να ικανοποιήσει τις υποχρεώσεις του σύμφωνα με αυτές τις Ρήτρες.
8.1 Οδηγίες
- Ο εισαγωγέας δεδομένων θα επεξεργάζεται τα προσωπικά δεδομένα μόνο ακολουθώντας τεκμηριωμένες οδηγίες από τον εξαγωγέα δεδομένων. Ο εξαγωγέας δεδομένων μπορεί να παρέχει αντίστοιχες οδηγίες καθ' όλη τη διάρκεια της σύμβασης.
- Ο εισαγωγέας δεδομένων θα ενημερώσει άμεσα τον εξαγωγέα δεδομένων εάν δεν μπορεί να ακολουθήσει αυτές τις οδηγίες.
8.2 Περιορισμός σκοπού
Ο εισαγωγέας δεδομένων θα επεξεργάζεται τα προσωπικά δεδομένα αποκλειστικά για τους συγκεκριμένους σκοπούς της μεταφοράς, όπως ορίζονται στο Παράρτημα I.B, εκτός εάν υπάρχουν πρόσθετες οδηγίες από τον εξαγωγέα δεδομένων.
8.3 Διαφάνεια
Κατόπιν αιτήματος, ο εξαγωγέας δεδομένων θα δημιουργήσει ένα αντίγραφο αυτών των Ρητρών, συμπεριλαμβανομένου του Παραρτήματος όπως έχει συμπληρωθεί από τα Συμβαλλόμενα μέρη, διαθέσιμων στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς χρέωση. Στον βαθμό που απαιτείται για την προστασία επιχειρηματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των μέτρων που περιγράφονται στο Παράρτημα ΙΙ και προσωπικών δεδομένων, ο εξαγωγέας δεδομένων μπορεί να αποκρύψει μέρος του κειμένου του Παραρτήματος σε αυτές τις Ρήτρες πριν από την κοινοποίηση αντιγράφου, αλλά θα παράσχει μια ουσιαστική σύνοψη όπου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν θα μπορούσε υπό άλλες συνθήκες να κατανοήσει το περιεχόμενό τους ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα Συμβαλλόμενα μέρη θα παράσχουν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τους λόγους για την απόκρυψη των πληροφοριών, στον βαθμό που είναι εφικτό χωρίς να αποκαλύπτονται οι πληροφορίες που αποκρύπτονται. Η παρούσα Ρήτρα δεν θίγει τις υποχρεώσεις του εξαγωγέα δεδομένων σύμφωνα με τα Άρθρα 13 και 14 του Κανονισμού (ΕΕ) 2016/679.
8.4 Ακρίβεια
Εάν ο εισαγωγέας δεδομένων διαπιστώσει ότι τα προσωπικά δεδομένα που έλαβε είναι ανακριβή ή πεπαλαιωμένα, θα ενημερώσει τον εξαγωγέα δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Σε αυτήν την περίπτωση, ο εισαγωγέας δεδομένων θα συνεργαστεί με τον εξαγωγέα δεδομένων για να διαγράψει ή να διορθώσει τα δεδομένα.
8.5 Διάρκεια της επεξεργασίας και διαγραφή ή επιστροφή δεδομένων
Η επεξεργασία από τον εισαγωγέα δεδομένων θα λαμβάνει χώρα μόνο για τη διάρκεια που ορίζεται στο Παράρτημα Ι.Β. Με τη λήξη της παροχής των υπηρεσιών επεξεργασίας, ο εισαγωγέας δεδομένων θα διαγράψει, κατά την επιλογή του εξαγωγέα δεδομένων, όλα τα προσωπικά δεδομένα που υποβλήθηκαν σε επεξεργασία εκ μέρους του εξαγωγέα δεδομένων και θα επιβεβαιώσει στον εξαγωγέα δεδομένων ότι το έχει κάνει ή θα επιστρέψει στον εξαγωγέα δεδομένων όλα τα προσωπικά δεδομένα που υποβλήθηκαν σε επεξεργασία εκ μέρους του και θα διαγράψει τα υπάρχοντα αντίγραφα. Μέχρι να διαγραφούν ή επιστραφούν τα δεδομένα, ο εισαγωγέας δεδομένων θα συνεχίσει να διασφαλίζει τη συμμόρφωση με αυτές τις Ρήτρες. Σε περίπτωση τοπικής νομοθεσίας που ισχύει για τον εισαγωγέα δεδομένων και απαγορεύει την επιστροφή ή διαγραφή των προσωπικών δεδομένων, ο εισαγωγέας δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με αυτές τις Ρήτρες και θα τα επεξεργάζεται αποκλειστικά στον βαθμό και για τη διάρκεια που απαιτείται σύμφωνα με την εν λόγω τοπική νομοθεσία. Αυτό δεν θίγει τη Ρήτρα 14, συγκεκριμένα την απαίτηση για τον εισαγωγέα δεδομένων σύμφωνα με τη Ρήτρα 14(ε) να ειδοποιήσει τον εξαγωγέα δεδομένων στη διάρκεια της σύμβασης εάν έχει λόγο να πιστεύει ότι υπόκειται στη νομοθεσία ή στις πρακτικές που δεν συνάδουν με τις απαιτήσεις στη Ρήτρα 14(α).
8.6 Ασφάλεια επεξεργασίας
- Ο εισαγωγέας δεδομένων και επίσης, κατά τη μετάδοση, ο εξαγωγέας δεδομένων θα υλοποιούν κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζουν την ασφάλεια των δεδομένων, συμπεριλαμβανομένης της προστασίας έναντι παραβίασης ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε αυτά τα δεδομένα (εφεξής "παραβίαση προσωπικών δεδομένων"). Αξιολογώντας το κατάλληλο επίπεδο ασφάλειας, τα Συμβαλλόμενα μέρη θα λαμβάνουν υπόψη την τελευταία λέξη της τεχνολογίας, το κόστος υλοποίησης, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς επεξεργασίας και τους κινδύνους που εμπεριέχει η επεξεργασία για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα. Τα Συμβαλλόμενα μέρη θα εξετάζουν ιδιαίτερα τη χρήση κρυπτογράφησης ή ψευδωνυμοποίησης, ακόμα και κατά τη μετάδοση, όπου ο σκοπός της επεξεργασίας μπορεί να εκπληρωθεί με αυτόν τον τρόπο. Στην περίπτωση ψευδωνυμοποίησης, οι πρόσθετες πληροφορίες για την απόδοση των προσωπικών δεδομένων σε ένα συγκεκριμένο πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα παραμένουν, όπου είναι δυνατό, υπό τον αποκλειστικό έλεγχο του εξαγωγέα δεδομένων. Σε συμμόρφωση με τις υποχρεώσεις του σύμφωνα με αυτήν την παράγραφο, ο εισαγωγέας δεδομένων θα υλοποιεί τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο Παράρτημα ΙΙ. Ο εισαγωγέας δεδομένων θα διεξάγει τακτικούς ελέγχους για να διασφαλίζει ότι αυτά τα μέτρα συνεχίζουν να παρέχουν ένα κατάλληλο επίπεδο ασφάλειας.
- Ο εισαγωγέας δεδομένων θα παρέχει πρόσβαση στα προσωπικά δεδομένα στα μέλη του προσωπικού του μόνο στον βαθμό που είναι απολύτως απαραίτητο για την υλοποίηση, διαχείριση και παρακολούθηση της σύμβασης. Θα διασφαλίζει ότι τα άτομα που είναι εξουσιοδοτημένα με την επεξεργασία προσωπικών δεδομένων έχουν δεσμευθεί για την τήρηση της εμπιστευτικότητας ή τελούν υπό προβλεπόμενη από τον νόμο υποχρέωση τήρησης εμπιστευτικότητας.
- Στην περίπτωση παραβίασης προσωπικών δεδομένων τα οποία έχουν υποβληθεί σε επεξεργασία από τον εισαγωγέα δεδομένων σύμφωνα με αυτές τις Ρήτρες ο εισαγωγέας δεδομένων θα λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων μέτρων για τον περιορισμό των αρνητικών επιπτώσεών της. Ο εισαγωγέας δεδομένων θα ειδοποιήσει, επίσης, τον εξαγωγέα δεδομένων χωρίς καθυστέρηση αφού λάβει γνώση της παραβίασης. Μια τέτοια ειδοποίηση θα περιέχει τις λεπτομέρειες ενός σημείου επαφής όπου μπορούν να ληφθούν περισσότερες πληροφορίες, μια περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του προσεγγιστικού αριθμού των προσώπων στα οποία αναφέρονται τα δεδομένα και των αρχείων προσωπικών δεδομένων που εμπλέκονται), των πιθανών συνεπειών και μέτρων που λαμβάνονται ή προτείνονται για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων, όπου είναι δυνατό, μέτρων για τον περιορισμό των πιθανών δυσμενών επιπτώσεων. Όπου, και στο μέτρο που είναι δυνατό, δεν είναι εφικτή η παροχή όλων των πληροφοριών ταυτόχρονα, η αρχική ειδοποίηση θα περιέχει τις διαθέσιμες τη στιγμή εκείνη πληροφορίες και περαιτέρω πληροφορίες, όπως θα καθίστανται διαθέσιμες, θα παρέχονται στη συνέχεια χωρίς καθυστέρηση.
- Ο εισαγωγέας δεδομένων θα συνεργάζεται με τον εξαγωγέα δεδομένων και θα τον βοηθά προκειμένου να μπορεί να συμμορφωθεί με τις υποχρεώσεις του σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, συγκεκριμένα για να ειδοποιήσει την αρμόδια εποπτική αρχή και τα επηρεαζόμενα πρόσωπα στα οποία αναφέρονται τα δεδομένα, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που είναι διαθέσιμες στον εισαγωγέα δεδομένων.
8.7 Ευαίσθητα δεδομένα
Όπου η μεταφορά αφορά προσωπικά δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικαλιστικές οργανώσεις, γενικά δεδομένα ή βιομετρικά δεδομένα για τον σκοπό της μοναδικής αναγνώρισης φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός ατόμου ή δεδομένα που σχετίζονται με ποινικές καταδίκες και παραβάσεις (εφεξής "ευαίσθητα δεδομένα"), ο εισαγωγέας δεδομένων θα εφαρμόζει τους συγκεκριμένους περιορισμούς ή/και τα πρόσθετα μέτρα ασφαλείας που περιγράφονται στο Παράρτημα I.Β.
8.8 Προώθηση μεταφορών
Ο εισαγωγέας δεδομένων θα γνωστοποιεί τα προσωπικά δεδομένα σε τρίτο μέρος μόνο ακολουθώντας τεκμηριωμένες οδηγίες από τον εξαγωγέα δεδομένων. Επιπλέον, τα δεδομένα μπορούν να γνωστοποιούνται μόνο σε τρίτο μέρος που βρίσκεται στην Ευρωπαϊκή Ένωση (στην ίδια χώρα με τον εισαγωγέα δεδομένων ή σε άλλη τρίτη χώρα, εφεξής "προώθηση μεταφοράς") εάν το τρίτο μέρος δεσμεύεται ή συμφωνεί να δεσμευθεί από αυτές τις Ρήτρες, σύμφωνα με την κατάλληλη Ενότητα, ή εάν:
- η προώθηση μεταφοράς αφορά μια χώρα που επωφελείται μιας απόφασης περί επάρκειας σύμφωνα με το Άρθρο 45 του Κανονισμού (ΕΕ) 2016/679 που καλύπτει την προώθηση μεταφοράς,
- το τρίτο μέρος διαφορετικά διασφαλίζει κατάλληλα μέτρα ασφαλείας σύμφωνα με το Άρθρο 46 ή 47 του Κανονισμού (ΕΕ) 2016/679 αναφορικά με την εν λόγω επεξεργασία,
- η προώθηση μεταφοράς είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, ρυθμιστικών ή δικαστικών διαδικασιών ή (iv) η προώθηση μεταφοράς είναι απαραίτητη προκειμένου να προστατευθούν τα ζωτικά συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα ή ενός άλλου φυσικού προσώπου.
- Οποιαδήποτε προώθηση μεταφοράς υπόκειται στη συμμόρφωση του εισαγωγέα δεδομένων με όλα τα άλλα μέτρα ασφαλείας σύμφωνα με αυτές τις Ρήτρες και ιδίως τον περιορισμό του σκοπού.
8.9 Τεκμηρίωση και συμμόρφωση
- Ο εισαγωγέας δεδομένων θα αντιμετωπίζει εγκαίρως και επαρκώς ερωτήματα από τον εξαγωγέα δεδομένων που σχετίζονται με την επεξεργασία αυτών των Ρητρών.
- Τα Συμβαλλόμενα μέρη θα μπορούν, επίσης, να επιδεικνύουν συμμόρφωση με αυτές τις Ρήτρες. Συγκεκριμένα, ο εισαγωγέας δεδομένων θα διατηρεί κατάλληλη τεκμηρίωση για τις δραστηριότητες επεξεργασίας που διεξάγονται εκ μέρους του εξαγωγέα δεδομένων.
- Ο εισαγωγέας δεδομένων θα καθιστά διαθέσιμες στον εξαγωγέα δεδομένων όλες τις απαραίτητες πληροφορίες για την επίδειξη συμμόρφωσης με τις υποχρεώσεις που ορίζονται σε αυτές τις Ρήτρες και κατόπιν αιτήματος του εξαγωγέα δεδομένων, θα επιτρέπει και θα συμβάλλει σε ελέγχους των δραστηριοτήτων επεξεργασίας που καλύπτονται από αυτές τις Ρήτρες, σε εύλογα διαστήματα ή εάν υπάρχουν ενδείξεις μη συμμόρφωσης. Κατά τη λήψη απόφασης για αξιολόγηση ή έλεγχο, ο εξαγωγέας δεδομένων μπορεί να λάβει υπόψη σχετικές πιστοποιήσεις που διατηρεί ο εισαγωγέας δεδομένων.
- Ο εξαγωγέας δεδομένων μπορεί να επιλέξει να διεξαγάγει τον έλεγχο ο ίδιος ή να δώσει εντολή σε έναν ανεξάρτητο ελεγκτή. Οι έλεγχοι μπορεί να περιλαμβάνουν επιθεωρήσεις στις εγκαταστάσεις του εισαγωγέα δεδομένων και, κατά περίπτωση, θα διεξάγονται κατόπιν εύλογης προειδοποίησης.
- Τα Συμβαλλόμενα μέρη θα καθιστούν τις πληροφορίες που αναφέρονται στις παραγράφους (β) και (γ), συμπεριλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, διαθέσιμες στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
Ρήτρα 9
Χρήση υπεργολάβων επεξεργασίας δεδομένων
- Ο εισαγωγέας δεδομένων έχει τη γενική εξουσιοδότηση του εξαγωγέα δεδομένων για τη συμμετοχή υπεργολάβων επεξεργασίας δεδομένων από μια συμφωνηθείσα λίστα. Ο εισαγωγέας δεδομένων θα ενημερώσει συγκεκριμένα τον εξαγωγέα δεδομένων εγγράφως για οποιεσδήποτε σκόπιμες αλλαγές σε αυτήν τη λίστα μέσω της προσθήκης ή αντικατάστασης υπεργολάβων επεξεργασίας δεδομένων τουλάχιστον δεκαπέντε (15) ημέρες εκ των προτέρων, παρέχοντας κατ' αυτόν τον τρόπο στον εξαγωγέα δεδομένων επαρκή χρόνο για να μπορεί να διαφωνήσει με μια τις εν λόγω αλλαγές πριν από τη συμμετοχή των υπεργολάβων. Ο εισαγωγέας δεδομένων θα παρέχει στον εξαγωγέα δεδομένων τις απαραίτητες πληροφορίες για να επιτρέψει στον εξαγωγέα δεδομένων να ασκήσει το δικαίωμά του να διαφωνήσει.
- Όπου ο εισαγωγέας δεδομένων κάνει χρήση ενός υπεργολάβου επεξεργασίας δεδομένων για τη διεξαγωγή συγκεκριμένων δραστηριοτήτων επεξεργασίας (εκ μέρους του εξαγωγέα δεδομένων), θα το κάνει μέσω έγγραφης σύμβασης που προβλέπει, επί της ουσίας, τις ίδιες υποχρεώσεις προστασίας δεδομένων με εκείνες που δεσμεύουν τον εισαγωγέα δεδομένων σύμφωνα με αυτές τις Ρήτρες, συμπεριλαμβανομένων των δικαιωμάτων δικαιούχου τρίτων, για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα. Τα Συμβαλλόμενα μέρη συμφωνούν ότι με τη συμμόρφωσή τους με αυτήν τη Ρήτρα, ο εισαγωγέας δεδομένων εκπληρώνει τις υποχρεώσεις του σύμφωνα με τη Ρήτρα 8.8. Ο εισαγωγέας δεδομένων θα εξασφαλίσει ότι ο υπεργολάβος επεξεργασίας δεδομένων συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εισαγωγέας δεδομένων σύμφωνα με αυτές τις Ρήτρες.
- Ο εισαγωγέας δεδομένων θα παρέχει, κατόπιν αιτήματος του εξαγωγέα δεδομένων, ένα αντίγραφο της σύμβασης ενός υπεργολάβου επεξεργασίας δεδομένων και τυχόν επόμενες τροποποιήσεις στον εξαγωγέα δεδομένων. Στον βαθμό που είναι απαραίτητο για την προστασία επιχειρηματικού απορρήτου ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων προσωπικών δεδομένων, ο εισαγωγέας δεδομένων ενδέχεται να αποκρύψει το κείμενο της σύμβασης πριν από την κοινοποίηση αντιγράφου.
- Ο εισαγωγέας δεδομένων θα παραμείνει απολύτως υπεύθυνος απέναντι στον εξαγωγέα δεδομένων για την εκτέλεση των υποχρεώσεων του υπεργολάβου επεξεργασίας δεδομένων σύμφωνα με τη σύμβασή του με τον εισαγωγέα δεδομένων. Ο εισαγωγέας δεδομένων θα ειδοποιήσει τον εξαγωγέα δεδομένων για οποιαδήποτε αποτυχία εκπλήρωσης από τον υπεργολάβο επεξεργασίας δεδομένων των υποχρεώσεών του σύμφωνα με αυτήν τη σύμβαση.
- Ο εισαγωγέας δεδομένων θα συμφωνήσει με μια ρήτρα τρίτου δικαιούχου με τον υπεργολάβο επεξεργασίας δεδομένων όπου – στην περίπτωση που ο εισαγωγέας δεδομένων έπαυσε να υφίσταται πραγματικά ή νομικά ή κατέστη αφερέγγυος – ο εξαγωγέας δεδομένων θα έχει το δικαίωμα να τερματίσει τη σύμβαση του υπεργολάβου επεξεργασίας δεδομένων και να δώσει εντολή στον υπεργολάβο επεξεργασίας δεδομένων για να διαγράψει ή να επιστρέψει τα προσωπικά δεδομένα.
Ρήτρα 10
Δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα
- Ο εισαγωγέας δεδομένων θα ειδοποιήσει εγκαίρως τον εξαγωγέα δεδομένων για οποιοδήποτε αίτημα ληφθεί από ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Δεν θα απαντήσει σε αυτό το αίτημα εκτός εάν έχει εξουσιοδοτηθεί να το πράξει από τον εξαγωγέα δεδομένων.
- Ο εισαγωγέας δεδομένων θα βοηθά τον εξαγωγέα δεδομένων να εκπληρώσει τις υποχρεώσεις του απαντώντας στα αιτήματα των προσώπων στα οποία αναφέρονται τα δεδομένα για την άσκηση των δικαιωμάτων τους σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679. Στο πλαίσιο αυτό, τα Συμβαλλόμενα μέρη θα ορίζουν στο Παράρτημα ΙΙ τα κατάλληλα τεχνικά και οργανωτικά μέτρα, λαμβάνοντας υπόψη τη φύση της επεξεργασίας, με τα οποία θα παρέχεται βοήθεια, καθώς και το πεδίο εφαρμογής και τον βαθμό της απαιτούμενης βοήθειας.
- Εκπληρώνοντας τις υποχρεώσεις του σύμφωνα με τις παραγράφους (α) και (β), ο εισαγωγέας δεδομένων θα συμμορφώνεται με τις οδηγίες του εξαγωγέα δεδομένων.
Ρήτρα 11
Προσφυγή
- Ο εισαγωγέας δεδομένων θα ενημερώσει τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μέσω μιας διάφανης και εύκολα προσβάσιμης μορφής, με μια ξεχωριστή ειδοποίηση ή στον ιστότοπό του, για ένα σημείο επαφής εξουσιοδοτημένο για τη διαχείριση παραπόνων. Θα αντιμετωπίζει έγκαιρα οποιαδήποτε παράπονα λαμβάνει από ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα.
- Στην περίπτωση διαφοράς μεταξύ ενός προσώπου στο οποίο αναφέρονται τα δεδομένα και ενός εκ των Συμβαλλόμενων μερών αναφορικά με τη συμμόρφωση με αυτές τις Ρήτρες, το συγκεκριμένο Συμβαλλόμενο μέρος θα καταβάλλει κάθε δυνατή προσπάθεια για την επίλυση του προβλήματος φιλικά και έγκαιρα. Τα Συμβαλλόμενα μέρη θα ενημερώνουν το ένα το άλλο σχετικά με αυτές τις διαφορές και, κατά περίπτωση, θα συνεργάζονται για την επίλυσή τους.
- Όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται ένα δικαίωμα τρίτου δικαιούχου σύμφωνα με τη Ρήτρα 3, ο εισαγωγέας δεδομένων θα αποδέχεται την απόφαση του προσώπου στο οποίο αναφέρονται τα δεδομένα για να:
- υποβάλλει ένα παράπονο στην εποπτική αρχή στο Κράτος-μέλος της συνήθους διαμονής του ή του χώρου εργασίας του ή στην αρμόδια εποπτική αρχή σύμφωνα με τη Ρήτρα 13,
- αναφέρει τη διαφορά στα αρμόδια δικαστήρια κατά την έννοια της Ρήτρας 18.
- Τα Συμβαλλόμενα μέρη αποδέχονται ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να αντιπροσωπεύεται από έναν μη κερδοσκοπικό φορέα, οργανισμό ή ένωση, σύμφωνα με τις προϋποθέσεις που ορίζονται στο Άρθρο 80(1) του Κανονισμού (ΕΕ) 2016/679.
- Ο εισαγωγέας δεδομένων θα υπακούσει σε απόφαση που είναι δεσμευτική σύμφωνα με την ισχύουσα νομοθεσία της ΕΕ ή του Κράτους-μέλους.
- Ο εισαγωγέας δεδομένων συμφωνεί ότι η επιλογή που έγινε από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν θα επηρεάσει τα ουσιαστικά και διαδικαστικά του δικαιώματα για αναζήτηση μέσων προστασίας σύμφωνα με την ισχύουσα νομοθεσία.
Ρήτρα 12
Ευθύνες
- Κάθε Συμβαλλόμενο μέρος θα είναι υπεύθυνο απέναντι στα άλλα Συμβαλλόμενα μέρη για οποιεσδήποτε ζημίες προκαλεί στο άλλα Συμβαλλόμενα μέρη λόγω τυχόν παραβίασης αυτών των Ρητρών.
- Ο εισαγωγέας δεδομένων θα είναι υπεύθυνος απέναντι στον πρόσωπο στο οποίο αναφέρονται τα δεδομένα και το πρόσωπο αυτό θα δικαιούται να λάβει αποζημίωση, για οποιεσδήποτε υλικές ή μη υλικές ζημίες προκαλέσει ο εισαγωγέας δεδομένων ή ο υπεργολάβος επεξεργασίας δεδομένων του στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, λόγω παραβίασης των δικαιωμάτων τρίτου δικαιούχου σύμφωνα με αυτές τις Ρήτρες.
- Ανεξάρτητα από την παράγραφο (β), ο εξαγωγέας δεδομένων θα είναι υπεύθυνος απέναντι στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και το πρόσωπο αυτό θα δικαιούται να λάβει αποζημίωση για οποιεσδήποτε υλικές ή μη υλικές ζημίες προκαλέσει ο εξαγωγέας δεδομένων ή ο εισαγωγέας δεδομένων (ή ο υπεργολάβος επεξεργασίας δεδομένων του) στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, λόγω παραβίασης των δικαιωμάτων τρίτου δικαιούχου σύμφωνα με αυτές τις Ρήτρες. Αυτό δεν θίγει την ευθύνη του εξαγωγέα δεδομένων και, όπου ο εξαγωγέας δεδομένων είναι υπεύθυνος επεξεργασίας δεδομένων που ενεργεί εκ μέρους ενός ελεγκτή, την ευθύνη του ελεγκτή σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 ή τον Κανονισμό (ΕΕ) 2018/1725, κατά περίπτωση.
- Τα Συμβαλλόμενα μέρη συμφωνούν ότι εάν ο εξαγωγέας δεδομένων θεωρηθεί υπεύθυνος σύμφωνα με την παράγραφο (γ) για ζημιές που προκλήθηκαν από τον εισαγωγέα δεδομένων (ή τον υπεργολάβο επεξεργασίας δεδομένων του), θα δικαιούται να αξιωθεί επιστροφή από τον εισαγωγέα δεδομένων για το μέρος της αποζημίωσης που αντιστοιχεί στην ευθύνη του εισαγωγέα δεδομένων για τη ζημιά.
- Όπου περισσότερα από ένα Συμβαλλόμενα μέρη ευθύνονται για μια ζημιά που προκλήθηκε στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα ως αποτέλεσμα μιας παραβίασης αυτών των Ρητρών, όλα τα υπεύθυνα Συμβαλλόμενα μέρη θα ευθύνονται αλληλεγγύως και εις ολόκληρον και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να προσφύγει σε δικαστήριο κατά οποιουδήποτε εξ αυτών των Συμβαλλόμενων μερών.
- Τα Συμβαλλόμενα μέρη συμφωνούν ότι εάν ένα Συμβαλλόμενο μέρος θεωρηθεί υπεύθυνο σύμφωνα με την παράγραφο (ε), θα δικαιούται να αξιωθεί επιστροφή από το έτερο Συμβαλλόμενο μέρος το τμήμα της αποζημίωσης που αντιστοιχεί στη δική του ευθύνη για τη ζημιά.
- Ο εισαγωγέας δεδομένων δεν μπορεί να επικαλεστεί τη συμπεριφορά ενός υπεργολάβου επεξεργασίας δεδομένων για να αποφύγει τη δική του ευθύνη.
Ρήτρα 13
Εποπτεία
- Η εποπτική αρχή που ευθύνεται για τη διασφάλιση συμμόρφωσης από τον εξαγωγέα δεδομένων με τον Κανονισμό (ΕΕ) 2016/679 αναφορικά με τη μεταφορά δεδομένων, όπως υποδεικνύεται στο Παράρτημα Ι.Γ, θα λειτουργεί ως αρμόδια εποπτική αρχή.
- Ο εισαγωγέας δεδομένων συμφωνεί να υπόκειται στη δικαιοδοσία της αρμόδιας εποπτικής αρχής και να συνεργάζεται με αυτή σε οποιεσδήποτε διαδικασίες στοχεύουν στη διασφάλιση συμμόρφωσης με αυτές τις Ρήτρες. Συγκεκριμένα, ο εισαγωγέας δεδομένων συμφωνεί να απαντήσει σε ερωτήματα, να υποβληθεί σε ελέγχους και να συμμορφωθεί με τα μέτρα που υιοθετούνται από την εποπτική αρχή, συμπεριλαμβανομένων επανορθωτικών και αντισταθμιστικών μέτρων. Θα παράσχει στην εποπτική αρχή έγγραφη επιβεβαίωση ότι έχουν ληφθεί οι απαραίτητες ενέργειες.
ΕΝΟΤΗΤΑ III – ΤΟΠΙΚΗ ΝΟΜΟΘΕΣΙΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΡΟΣΒΑΣΗΣ ΑΠΟ ΔΗΜΟΣΙΕΣ ΑΡΧΕΣ
Ρήτρα 14
Τοπικοί νόμοι και πρακτικές που επηρεάζουν τη συμμόρφωση με τις Ρήτρες
- Τα Συμβαλλόμενα μέρη εγγυώνται ότι δεν έχουν λόγο να πιστεύουν ότι οι νόμοι και οι πρακτικές στην τρίτη χώρα προορισμού που ισχύουν για την επεξεργασία των προσωπικών δεδομένων από τον εισαγωγέα δεδομένων, συμπεριλαμβανομένων οποιωνδήποτε απαιτήσεων γνωστοποίησης προσωπικών δεδομένων ή μέτρων εξουσιοδότησης πρόσβασης από δημόσιες αρχές, αποτρέπουν τον εισαγωγέα δεδομένων από το να εκπληρώσει τις υποχρεώσεις του σύμφωνα με αυτές τις Ρήτρες. Αυτό βασίζεται στην κατανόηση ότι οι νόμοι και οι πρακτικές που σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών, και που δεν υπερβαίνουν τα αναγκαία και αναλογικά σε μια δημοκρατική κοινωνία για τη διαφύλαξη ενός εκ των στόχων που αναφέρονται στο Άρθρο 23(1) του Κανονισμού (ΕΕ) 2016/679, δεν έρχονται σε αντίθεση με αυτές τις Ρήτρες.
- Τα Συμβαλλόμενα μέρη δηλώνουν ότι παρέχοντας την εγγύηση στην παράγραφο (α), έχουν λάβει δεόντως υπόψη τους τα παρακάτω στοιχεία:
- τις ειδικές συνθήκες της μεταφοράς, συμπεριλαμβανομένων της έκτασης της αλυσίδας επεξεργασίας, του αριθμού των εμπλεκόμενων παραγόντων και των καναλιών που χρησιμοποιούνται, των προβλεπόμενων περαιτέρω μεταβιβάσεων, του τύπου παραλήπτη, του σκοπού επεξεργασίας, των κατηγοριών και της μορφής των προσωπικών δεδομένων που μεταφέρονται, του οικονομικού τομέα στον οποίο λαμβάνει χώρα η μεταφορά, της τοποθεσίας αποθήκευσης των δεδομένων που μεταφέρονται,
- τις νόμους και τις πρακτικές της τρίτης χώρας προορισμού (συμπεριλαμβανομένων εκείνων που απαιτούν τη γνωστοποίηση δεδομένων σε δημόσιες αρχές ή την εξουσιοδότηση πρόσβασης από αυτές τις αρχές) σχετικά με τις ειδικές συνθήκες μεταφοράς και τους ισχύοντες περιορισμούς και μέτρα ασφαλείας,
- οποιαδήποτε σχετικά συμβατικά, τεχνικά ή οργανωτικά μέτρα ασφαλείας που έχουν τεθεί σε ισχύ για να συμπληρώνουν τα μέτρα ασφαλείας σε αυτές τις Ρήτρες, συμπεριλαμβανομένων μέτρων που έχουν εφαρμοστεί κατά τη μετάδοση και στην επεξεργασία των προσωπικών δεδομένων στη χώρα προορισμού.
- Ο εισαγωγέας δεδομένων εγγυάται ότι, κατά τη διεξαγωγή της αξιολόγησης στην παράγραφο (β), κατέβαλε κάθε δυνατή προσπάθεια προκειμένου να παράσχει στον εξαγωγέα δεδομένων σχετικές πληροφορίες και συμφωνεί ότι θα συνεχίσει να συνεργάζεται με τον εξαγωγέα δεδομένων για τη διασφάλιση της συμμόρφωσης με αυτές τις Ρήτρες.
- Τα Συμβαλλόμενα μέρη συμφωνούν να καταγράψουν την αξιολόγηση στην παράγραφο (β) και να την καταστήσουν διαθέσιμη στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
- Ο εισαγωγέας δεδομένων συμφωνεί να ειδοποιήσει τον εξαγωγέα δεδομένων εγκαίρως εάν, εφόσον έχει συμφωνήσει με αυτές τις Ρήτρες και για τη διάρκεια της σύμβασης, έχει λόγο να πιστεύει ότι υπάγεται σε νόμους ή πρακτικές που δεν συνάδουν με τις απαιτήσεις στην παράγραφο (α), συμπεριλαμβανομένης αλλαγής στους νόμους της τρίτης χώρας ή ενός μέτρου (όπως ένα αίτημα γνωστοποίησης) που υποδεικνύει μια πρακτική εφαρμογή αυτών των νόμων που δεν συνάδουν με τις απαιτήσεις στην παράγραφο (α).
- Κατόπιν μιας ειδοποίησης σύμφωνα με την παράγραφο (ε) ή εάν ο εξαγωγέας δεδομένων έχει άλλον λόγο να πιστεύει ότι ο εισαγωγέας δεδομένων δεν μπορεί πλέον να εκπληρώσει τις υποχρεώσεις του σύμφωνα με αυτές τις Ρήτρες, ο εξαγωγέας δεδομένων θα αναγνωρίσει εγκαίρως κατάλληλα μέτρα (π.χ. τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας και εμπιστευτικότητας) που θα υιοθετηθούν από τον εξαγωγέα δεδομένων ή/και τον εισαγωγέα δεδομένων για την αντιμετώπιση της κατάστασης. Ο εξαγωγέας δεδομένων θα αναστείλει τη μεταφορά δεδομένων, εάν θεωρήσει ότι δεν μπορούν να εξασφαλιστούν κατάλληλα μέτρα ασφαλείας για αυτήν τη μεταφορά ή εάν λάβει εντολή από την αρμόδια εποπτική αρχή για να το κάνει. Σε αυτήν την περίπτωση, ο εξαγωγέας δεδομένων θα έχει το δικαίωμα να τερματίσει τη σύμβαση, στον βαθμό που αυτό αφορά την επεξεργασία προσωπικών δεδομένων σύμφωνα με αυτές τις Ρήτρες. Εάν η σύμβαση αφορά περισσότερα από δύο Συμβαλλόμενα μέρη, ο εξαγωγέας δεδομένων μπορεί να ασκήσει το δικαίωμά του για τερματισμό μόνο αναφορικά με το σχετικό Συμβαλλόμενο μέρος, εκτός εάν τα Συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά. Όπου η σύμβαση τερματίζεται σύμφωνα με αυτήν τη Ρήτρα, θα ισχύουν η Ρήτρα 16(δ) και (ε).
Ρήτρα 15
Υποχρεώσεις του εισαγωγέα δεδομένων σε περίπτωση πρόσβασης από δημόσιες αρχές
15.1 Ειδοποίηση
- Ο εισαγωγέας δεδομένων συμφωνεί να ειδοποιήσει εγκαίρως τον εξαγωγέα δεδομένων και, όπου είναι δυνατό, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα (εάν χρειάζεται, με τη βοήθεια του εξαγωγέα δεδομένων) εάν:
- λάβει ένα νομικά δεσμευτικό αίτημα από μια δημόσια αρχή, συμπεριλαμβανομένων των δικαστικών αρχών, σύμφωνα με τη νομοθεσία της χώρας προορισμού για τη γνωστοποίηση των προσωπικών δεδομένων που μεταφέρονται σύμφωνα με αυτές τις Ρήτρες, αυτή η ειδοποίηση θα περιλαμβάνει πληροφορίες σχετικά με τα προσωπικά δεδομένα που ζητήθηκαν, την αιτούμενη αρχή, τη νομική βάση για το αίτημα και την απάντηση σε αυτό, ή
- ενημερωθεί για οποιαδήποτε απευθείας πρόσβαση από δημόσιες αρχές στα προσωπικά δεδομένα που μεταφέρονται σύμφωνα με αυτές τις Ρήτρες και τη νομοθεσία της χώρας προορισμού, αυτή η ειδοποίηση θα περιλαμβάνει όλες τις πληροφορίες που είναι διαθέσιμες στον εισαγωγέα.
- Εάν απαγορεύεται στον εισαγωγέα δεδομένων να ειδοποιήσει τον εξαγωγέα δεδομένων ή/και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σύμφωνα με τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας δεδομένων συμφωνεί να καταβάλει κάθε δυνατή προσπάθεια για να λάβει μια παραίτηση από την απαγόρευση, με σκοπό την επικοινωνία όσο το δυνατόν περισσότερων πληροφοριών, το συντομότερο δυνατό. Ο εισαγωγέας δεδομένων συμφωνεί να τεκμηριώσει τις καλύτερες προσπάθειές του, προκειμένου να είναι σε θέση να τις επιδείξει κατόπιν αιτήματος του εξαγωγέα δεδομένων.
- Όπου επιτρέπεται από τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας δεδομένων συμφωνεί να παρέχει στον εξαγωγέα δεδομένων, σε τακτικά διαστήματα για όλη τη διάρκεια της σύμβασης, όσο το δυνατόν περισσότερες σχετικές πληροφορίες μπορεί σχετικά με ληφθέντα αιτήματα (συγκεκριμένα, αριθμό αιτημάτων, τύπο δεδομένων που ζητήθηκαν, αιτούμενες αρχές, εάν τα αιτήματα έχουν αμφισβητηθεί και το αποτέλεσμα αυτών των αμφισβητήσεων κ.λπ.).
- Ο εισαγωγέας δεδομένων συμφωνεί να διατηρεί τις πληροφορίες σύμφωνα με τις παραγράφους (α) έως (γ) για όλη τη διάρκεια της σύμβασης και να τις καθιστά διαθέσιμες στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
- Οι παράγραφοι (α) έως (γ) δεν θίγουν την υποχρέωση του εισαγωγέα δεδομένων σύμφωνα με τη Ρήτρα 14(ε) και τη Ρήτρα 16 για έγκαιρη ενημέρωση του εξαγωγέα δεδομένων όπου η συμμόρφωση με αυτές τις Ρήτρες δεν είναι δυνατή.
15.2 Έλεγχος νομιμότητας και ελαχιστοποίηση δεδομένων
- Ο εισαγωγέας δεδομένων συμφωνεί να εξετάσει τη νομιμότητα του αιτήματος γνωστοποίησης, συγκεκριμένα εάν παραμένει εντός των δυνάμεων που παραχωρούνται στην αιτούμενη δημόσια αρχή και να διαφωνήσει με το αίτημα εάν, κατόπιν προσεκτικής αξιολόγησης, συμπεράνει ότι υπάρχουν εύλογα στοιχεία ότι το αίτημα είναι παράνομο σύμφωνα με τη νομοθεσία της χώρας προορισμού, των ισχυουσών υποχρεώσεων σύμφωνα με τη διεθνή νομοθεσία και τις αρχές διεθνούς αβροφροσύνης. Ο εισαγωγέας δεδομένων θα επιδιώκει, στις ίδιες συνθήκες, ευκαιρίες υποβολής ένστασης. Κατά τη διαφωνία με ένα αίτημα, ο εισαγωγέας δεδομένων θα επιδιώξει τη λήψη προσωρινών μέτρων για την αναστολή των αποτελεσμάτων του αιτήματος μέχρι η αρμόδια δικαστική αρχή να αποφασίσει για αυτό. Δεν θα γνωστοποιήσει τα προσωπικά δεδομένα που ζητήθηκαν μέχρι να απαιτηθεί σύμφωνα με τους ισχύοντες διαδικαστικούς κανόνες. Αυτές οι απαιτήσεις δεν θίγουν τις υποχρεώσεις του εισαγωγέα δεδομένων σύμφωνα με τη Ρήτρα 14(ε).
- Ο εισαγωγέας δεδομένων συμφωνεί να τεκμηριώσει τη νομική εκτίμησή του και οποιαδήποτε ένσταση για το αίτημα γνωστοποίησης και, στον βαθμό που είναι δυνατό σύμφωνα με τη νομοθεσία της χώρας προορισμού, να καταστήσει την τεκμηρίωση διαθέσιμη στον εξαγωγέα δεδομένων. Θα την καταστήσει, επίσης, διαθέσιμη στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
- Ο εισαγωγέας δεδομένων συμφωνεί να παρέχει την ελάχιστη αποδεκτή ποσότητα πληροφοριών όταν ανταποκρίνεται σε αίτημα γνωστοποίησης, βάσει μιας εύλογης ερμηνείας του αιτήματος.
ΕΝΟΤΗΤΑ IV – ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Ρήτρα 16
Μη συμμόρφωση με τις Ρήτρες και τερματισμός
- Ο εισαγωγέας δεδομένων θα ενημερώσει εγκαίρως τον εξαγωγέα δεδομένων εάν δεν μπορεί να συμμορφωθεί με αυτές τις Ρήτρες, για οποιονδήποτε λόγο.
- Στην περίπτωση που ο εισαγωγέας δεδομένων παραβιάζει αυτές τις Ρήτρες ή δεν μπορεί να συμμορφωθεί με αυτές, ο εξαγωγέας δεδομένων θα αναστείλει τη μεταφορά των προσωπικών δεδομένων μέχρι να μπορεί να εξασφαλιστεί και πάλι η συμμόρφωση ή να τερματιστεί η σύμβαση. Αυτό δεν θίγει τη Ρήτρα 14(στ).
- Ο εξαγωγέας δεδομένων θα δικαιούται να τερματίσει τη σύμβαση, στον βαθμό που αφορά την επεξεργασία προσωπικών δεδομένων σύμφωνα με αυτές τις Ρήτρες, όπου:
- ο εξαγωγέας δεδομένων έχει αναστείλει τη μεταφορά προσωπικών δεδομένων στον εισαγωγέα δεδομένων σύμφωνα με την παράγραφο (β) και δεν έχει αποκατασταθεί η συμμόρφωση με αυτές τις Ρήτρες εντός εύλογου διαστήματος και σε οποιαδήποτε περίπτωση ενός μήνα από την αναστολή,
- ο εισαγωγέας δεδομένων παραβιάζει ουσιαστικά ή σταθερά αυτές τις Ρήτρες, ή
- ο εισαγωγέας δεδομένων δεν συμμορφωθεί με μια δεσμευτική απόφαση ενός αρμόδιου δικαστηρίου ή αρμόδιας εποπτικής αρχής αναφορικά με τις υποχρεώσεις του σύμφωνα με αυτές τις Ρήτρες. Σε αυτές τις περιπτώσεις, θα ενημερώσει την αρμόδια εποπτική αρχή για την εν λόγω μη συμμόρφωση. Όπου η σύμβαση αφορά περισσότερα από δύο Συμβαλλόμενα μέρη, ο εξαγωγέας δεδομένων μπορεί να ασκήσει το δικαίωμά του για τερματισμό μόνο αναφορικά με το σχετικό Συμβαλλόμενο μέρος, εκτός εάν τα Συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά.
- Προσωπικά δεδομένα που έχουν μεταφερθεί πριν από τον τερματισμό της σύμβασης σύμφωνα με την παράγραφο (γ) θα επιστραφούν, κατά την επιλογή του εξαγωγέα δεδομένων, άμεσα στον εξαγωγέα δεδομένων ή θα διαγραφούν εξ ολοκλήρου. Το ίδιο θα ισχύει για οποιαδήποτε αντίγραφα των δεδομένων. Ο εισαγωγέας δεδομένων θα επιβεβαιώσει τη διαγραφή των δεδομένων στον εξαγωγέα δεδομένων. Μέχρι να διαγραφούν ή επιστραφούν τα δεδομένα, ο εισαγωγέας δεδομένων θα συνεχίσει να διασφαλίζει τη συμμόρφωση με αυτές τις Ρήτρες. Στην περίπτωση που ισχύουν τοπικές νομοθεσίες για τον εισαγωγέα δεδομένων οι οποίες απαγορεύουν την επιστροφή ή διαγραφή των προσωπικών δεδομένων που μεταφέρονται, ο εισαγωγέας δεδομένων εγγυάται ότι θα συνεχίσει να εξασφαλίζει τη συμμόρφωση με αυτές τις Ρήτρες και θα επεξεργάζεται μόνο τα δεδομένα στον βαθμό και για όσο απαιτείται σύμφωνα με την τοπική νομοθεσία.
- Κάθε Συμβαλλόμενο μέρος μπορεί να ανακαλέσει τη συμφωνία του για δέσμευση με αυτές τις Ρήτρες, όπου (i) η Ευρωπαϊκή Επιτροπή υιοθετεί μια απόφαση σύμφωνα με το Άρθρο 45(3) του Κανονισμού (ΕΕ) 2016/679 που καλύπτει τη μεταφορά προσωπικών δεδομένων για τα οποία ισχύουν αυτές οι Ρήτρες ή (ii) ο Κανονισμός (ΕΕ) 2016/679 γίνεται μέρος του νομικού πλαισίου της χώρας στην οποία μεταφέρονται τα προσωπικά δεδομένα. Αυτό δεν θίγει άλλες υποχρεώσεις που ισχύουν για την εν λόγω επεξεργασία σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679.
Ρήτρα 17
Εφαρμοστέο δίκαιο
Αυτές οι Ρήτρες θα διέπονται από τη νομοθεσία ενός από τα Κράτη-μέλη της ΕΕ, με την προϋπόθεση ότι η εν λόγω νομοθεσία επιτρέπει δικαιώματα τρίτου δικαιούχου. Τα Συμβαλλόμενα μέρη συμφωνούν ότι αυτή θα είναι η νομοθεσία της Ομοσπονδιακής Δημοκρατίας της Γερμανίας.
Ρήτρα 18
Επιλογή δικαστηρίου και δικαιοδοσίας
- Οποιαδήποτε διαφωνία προκύπτει από αυτές τις Ρήτρες θα επιλύεται από τα δικαστήρια ενός Κράτους-μέλους της ΕΕ.
- Τα Συμβαλλόμενα μέρη συμφωνούν ότι αυτά θα είναι τα δικαστήρια της Ομοσπονδιακής Δημοκρατίας της Γερμανίας.
- Ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει επίσης προσφυγή έναντι του εξαγωγέα δεδομένων ή/και του εισαγωγέα δεδομένων στα δικαστήρια του Κράτους-μέλους όπου βρίσκεται η συνήθης διαμονή του.
- Τα Συμβαλλόμενα μέρη συμφωνούν να υποβάλλονται τα ίδια στη δικαιοδοσία αυτών των δικαστηρίων.
Παράρτημα I των Τυποποιημένων συμβατικών ρητρών
Α. ΛΙΣΤΑ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ
Εξαγωγείς δεδομένων: Ο εξαγωγέας δεδομένων είναι η οντότητα που ορίζεται ως "Πελάτης" στην Προσθήκη
Υπογραφή και ημερομηνία: Από την ημερομηνία της ηλεκτρονικής αποδοχής από τον Εξαγωγέα δεδομένων των Όρων χρήσης του Εισαγωγέα δεδομένων, ο Εξαγωγέας δεδομένων θεωρείται ότι έχει υπογράψει αυτές τις τυποποιημένες συμβατικές ρήτρες.
Ρόλος: Ελεγκτής
Εισαγωγείς δεδομένων: GoDaddy.com, LLC
Στοιχεία επικοινωνίας: Γραφείο του Υπεύθυνου Προστασίας Δεδομένων – privacy@godaddy.com
Υπογραφή και ημερομηνία: Από την ημερομηνία της ηλεκτρονικής αποδοχής από τον Εξαγωγέα δεδομένων των Όρων χρήσης του Εισαγωγέα δεδομένων, ο Εισαγωγέας δεδομένων θεωρείται ότι έχει υπογράψει αυτές τις τυποποιημένες συμβατικές ρήτρες.
Ρόλος: Υπεύθυνος επεξεργασίας
Β. ΠΕΡΙΓΡΑΦΗ ΜΕΤΑΦΟΡΑΣ Οι κατηγορίες των προσώπων στα οποία αναφέρονται τα δεδομένα των οποίων τα προσωπικά δεδομένα μεταφέρθηκαν περιγράφονται στο Παράρτημα 1 στην Προσθήκη.
Οι κατηγορίες των προσωπικών δεδομένων που μεταφέρθηκαν περιγράφονται στο Παράρτημα 1 στην Προσθήκη.
Τα ευαίσθητα δεδομένα που μεταφέρθηκαν περιγράφονται στο Παράρτημα 1 στην Προσθήκη.
Η συχνότητα της μεταφοράς είναι σε συνεχή βάση για τη διάρκεια των Όρων χρήσης.
Η φύση της επεξεργασίας περιγράφεται στην Ενότητα 2.2 και στο Παράρτημα 1 της Προσθήκης.
Οι σκοποί της μεταφοράς των δεδομένων και περαιτέρω επεξεργασίας περιγράφονται στην Ενότητα 2.2. και στο Παράρτημα 1 της Προσθήκης.
Η περίοδος για την οποία θα διατηρούνται τα προσωπικά δεδομένα περιγράφονται στο Παράρτημα 1 της Προσθήκης.
Για μεταφορές σε υπεύθυνους (ή υπεργολάβους) επεξεργασίας δεδομένων, η φύση και η διάρκεια της επεξεργασίας ορίζονται παρακάτω στο Παράρτημα ΙΙΙ, στις Τυποποιημένες συμβατικές ρήτρες.
Γ. ΑΡΜΟΔΙΑ ΕΠΟΠΤΙΚΗ ΑΡΧΗ Ο Υπεύθυνος του Ομόσπονδου Κράτους της Βόρειας Ρηνανίας-Βεστφαλίας για την προστασία των δεδομένων και για την ελευθερία πληροφορήσεως ("LDI NRW") είναι η αρμόδια εποπτική αρχή.
Παράρτημα II των Τυποποιημένων συμβατικών ρητρών
Τα τεχνικά και οργανωτικά μέτρα ασφαλείας που υλοποιούνται από τον Εισαγωγέα δεδομένων είναι όπως στο Παράρτημα 2 της Προσθήκης.
Παράρτημα III των Τυποποιημένων συμβατικών ρητρών
Η λίστα υπεργολάβων επεξεργασίας δεδομένων βρίσκεται στο Παράρτημα 3 της Προσθήκης.
Annex I to the Standard Contractual Clauses
A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller
Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor
B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.
Categories of personal data transferred are described in Appendix 1 of the Addendum.
Sensitive data transferred are described in Appendix 1 of the Addendum.
The frequency of the transfer is a continuous basis for the duration of the Terms of Service.
Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.
Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.
The period for which the personal data will be retained described in Appendix 1 of the Addendum.
For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.
C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.
Annex II to the Standard Contractual Clauses
The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.
Annex III to the Standard Contractual Clauses
List of sub-processors are in Appendix 3 of the Addendum.
Οι μεταφρασμένες εκδόσεις των νομικών συμβάσεων και των πολιτικών παρέχονται αποκλειστικά για σκοπούς εξυπηρέτησης και διευκόλυνσης της ανάγνωσης και της κατανόησης των αγγλικών εκδόσεων. Οι μεταφράσεις των νομικών συμβάσεων και των πολιτικών δεν παρέχονται με σκοπό τη δημιουργία νομικά δεσμευτικής συμφωνίας ούτε ως υποκατάστατο της νομικής εγκυρότητας της αγγλικής έκδοσης. Εάν ανακύψει οποιαδήποτε διαφορά ή σύγκρουση, σε κάθε περίπτωση οι αγγλικές εκδόσεις των νομικών συμβάσεων και των πολιτικών θα διέπουν τη μεταξύ μας συμβατική σχέση και θα υπερισχύουν των όρων που καθορίζονται σε οποιαδήποτε άλλη γλώσσα.