Οι μεταφρασμένες εκδόσεις των νομικών συμβάσεων και των πολιτικών παρέχονται αποκλειστικά για σκοπούς εξυπηρέτησης και διευκόλυνσης της ανάγνωσης και της κατανόησης των αγγλικών εκδόσεων. Οι μεταφράσεις των νομικών συμβάσεων και των πολιτικών δεν παρέχονται με σκοπό τη δημιουργία νομικά δεσμευτικής συμφωνίας ούτε ως υποκατάστατο της νομικής εγκυρότητας της αγγλικής έκδοσης. Εάν ανακύψει οποιαδήποτε διαφορά ή σύγκρουση, σε κάθε περίπτωση οι αγγλικές εκδόσεις των νομικών συμβάσεων και των πολιτικών θα διέπουν τη μεταξύ μας συμβατική σχέση και θα υπερισχύουν των όρων που καθορίζονται σε οποιαδήποτε άλλη γλώσσα.
Η παρούσα Προσθήκη Επεξεργασίας Δεδομένων Μεταπωλητή («ΠΕΔ») συνιστά μέρος της Σύμβασης που συνάπτεται μεταξύ της GoDaddy (συμπεριλαμβανομένων των συνεργαζόμενων οντοτήτων εφόσον προβλέπονται από τη Σύμβαση) («GoDaddy») και εσάς («Μεταπωλητής») για τους σκοπούς της πώλησης των προϊόντων και των υπηρεσιών της GoDaddy («Υπηρεσίες») μέσω του Προγράμματος Μεταπώλησης της GoDaddy και θα ισχύει αναφορικά με την επεξεργασία οποιωνδήποτε Πληροφοριών προσωπικού χαρακτήρα από τον Μεταπωλητή, για λογαριασμό της GoDaddy. Ο Μεταπωλητής αποδέχεται αυτή την ΠΕΔ για λογαριασμό του, καθώς και, στην έκταση που απαιτείται από τους ισχύοντες Νόμους και Κανονισμούς για την προστασία πληροφοριών προσωπικού χαρακτήρα, εξ ονόματος και για λογαριασμό των εξουσιοδοτημένων συνεργατών του. Οι όροι με κεφαλαία που δεν ορίζονται στην παρούσα θα έχουν τη σημασία που τους αποδίδεται στη Σύμβαση. Οι όροι «εμείς», «εμάς» ή «μας» θα αναφέρονται στην GoDaddy. Οι όροι «εσείς», «εσάς», «σας» ή «μεταπωλητής» θα παραπέμπουν σε οποιοδήποτε φυσικό ή νομικό πρόσωπο αποδέχεται την παρούσα Σύμβαση. Τίποτα από τα οριζόμενα στην παρούσα Σύμβαση δεν θεωρείται ότι εκχωρεί δικαιώματα ή πλεονεκτήματα τρίτων. Η παρούσα ΠΕΔ θα αποκτήσει ισχύ και θα καταστεί δεσμευτική από την ημερομηνία της ηλεκτρονικής αποδοχής της από εσάς.
Η παρούσα ΠΕΔ αποτελείται από δύο (2) διακριτά μέρη, τα οποία έχουν ισχύ όπως εξηγείται παρακάτω:
- Πρότυπα και απαιτήσεις απορρήτου και ασφάλειας δεδομένων: Εφαρμογή των προτύπων και απαιτήσεων απορρήτου και ασφάλειας δεδομένων. Ισχύει για όλους τους Μεταπωλητές που έχουν πρόσβαση και επεξεργάζονται πληροφορίες προσωπικών δεδομένων (όπως «ορίζονται στην παρούσα») στο πλαίσιο της φύσης και του πεδίου εφαρμογής της συμμετοχής τους στο Πρόγραμμα Μεταπώλησης.
- Τυποποιημένες συμβατικές ρήτρες (και τα Παραρτήματα 1 και 2 αυτών): Εφαρμογή των Τυποποιημένων συμβατικών ρητρών. Οι Τυποποιημένες συμβατικές ρήτρες θα ισχύουν για τα Δεδομένα του Πελάτη που διαβιβάζονται εκτός του ΕΟΧ, είτε άμεσα είτε μέσω προώθησης της διαβίβασης, σε οποιαδήποτε χώρα που δεν αναγνωρίζεται από την Ευρωπαϊκή Επιτροπή ότι παρέχει επαρκές επίπεδο προστασίας των προσωπικών δεδομένων (ΓΚΠΔ). Οι Τυποποιημένες συμβατικές ρήτρες δεν θα ισχύουν για τα Δεδομένα του Πελάτη που δεν μεταφέρονται, είτε άμεσα, είτε άμεσα είτε μέσω προώθησης της διαβίβασης, σε οποιαδήποτε χώρα εκτός του ΕΟΧ. Κατά παρέκκλιση των ανωτέρω, οι Τυποποιημένες συμβατικές ρήτρες δεν θα ισχύουν όπου μεταδίδονται τα δεδομένα σύμφωνα με κάποιο αναγνωρισμένο πρότυπο συμμόρφωσης για την νόμιμη διαβίβαση προσωπικών δεδομένων (όπως ορίζεται από τον ΓΚΠΔ) εκτός του ΕΟΧ, για παράδειγμα στο πλαίσιο συνεργασίας περί διασφάλισης του απορρήτου ΕΕ-Η.Π.Α. και Ελβετίας-Η.Π.Α. (Privacy Shield Frameworks).
Σύμβαση προστασίας δεδομένων και σύμβαση SLA Ασφαλείας
1. Αντικείμενο και πεδίο εφαρμογής
Η παρούσα σύμβαση SLA Προστασίας δεδομένων και Ασφαλείας («SLA Ασφαλείας») έχει προσαρτηθεί και ενσωματωθεί στη Συμφωνία για τους σκοπούς της διασφάλισης ότι η διαχείριση οποιωνδήποτε πληροφοριών προσωπικού χαρακτήρα (όπως ορίζονται παρακάτω) που έχουν συλλεχθεί ή χρησιμοποιηθεί από εσάς θα γίνει με ασφαλή τρόπο και σε κάθε περίπτωση σύμφωνα με τους όρους της Συμφωνίας, της παρούσας σύμβασης SLA Ασφαλείας και των ισχυόντων νόμων και κανονισμών.
2. Σειρά προτεραιότητας.
Η παρούσα σύμβαση SLA Ασφαλείας ενσωματώνεται και αποτελεί αναπόσπαστο τμήμα της Συμφωνίας. Για θέματα που δεν άπτονται της παρούσας σύμβασης SLA Ασφαλείας, ισχύουν οι όροι της Συμφωνίας. Αναφορικά με τα δικαιώματα και τις υποχρεώσεις του κάθε συμβαλλόμενου μέρους έναντι του άλλου, σε περίπτωση σύγκρουσης μεταξύ των όρων της Συμφωνίας και της παρούσας σύμβασης SLA Ασφαλείας, θα υπερισχύουν οι όροι της παρούσας σύμβασης SLA Ασφαλείας. Σε περίπτωση σύγκρουσης μεταξύ των όρων της σύμβασης SLA Ασφαλείας και των Τυποποιημένων συμβατικών ρητρών, θα υπερισχύουν οι Τυποποιημένες συμβατικές ρήτρες.
3. Προσωπικές πληροφορίες.
- «Πληροφορίες προσωπικού χαρακτήρα» ή «Προσωπικές πληροφορίες» νοούνται πληροφορίες σε οποιοδήποτε μέσο ή μορφή οποιουδήποτε είδους που αφορούν κάποιο ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Ένα ταυτοποιήσιμο φυσικό πρόσωπο είναι ένα πρόσωπο το οποίο μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ειδικότερα με αναφορά σε κάποιο αναγνωριστικό στοιχείο όπως ένα όνομα, διεύθυνση, αριθμό μητρώου κοινωνικής ασφάλισης ή άλλον αριθμό ταυτότητας, διεύθυνση e-mail, αριθμό τηλεφώνου, οικονομικό προφίλ, στοιχεία πιστωτικής κάρτας, αριθμό διπλώματος οδήγησης ή άλλες πληροφορίες που μπορούν ευλόγως να συνδεθούν με κάποιο συγκεκριμένο άτομο, υπολογιστή ή συσκευή (π.χ., πληροφορίες που συλλέγονται μέσω τεχνολογίας παρακολούθησης, όπως είναι η διεύθυνση IP) ή σε έναν ή περισσότερους παράγοντες που αφορούν συγκεκριμένα τη φυσική, φυσιολογική, γενετική, διανοητική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του συγκεκριμένου προσώπου.
- Η επεξεργασία για τους σκοπούς της παρούσας ΠΕΔ θα περιλαμβάνει τη συλλογή, την καταγραφή, την οργάνωση, τη διαμόρφωση, την αποθήκευση, την προσαρμογή ή την τροποποίηση, την ανάκτηση, την ανάγνωση, τη χρήση, την κοινοποίηση, τη διασπορά ή την με άλλον τρόπο διάθεση, τον συνδυασμό, τον περιορισμό, τη διαγραφή ή την καταστροφή πληροφοριών προσωπικού χαρακτήρα.
- Η GoDaddy γνωστοποιεί τις πληροφορίες προσωπικού χαρακτήρα σε εσάς μόνο και αποκλειστικά για την απόδοση των Υπηρεσιών εκ μέρους σας για λογαριασμό της GoDaddy και έχετε το δικαίωμα να επεξεργάζεστε τις πληροφορίες προσωπικού χαρακτήρα αποκλειστικά για τον περιορισμένο και συγκεκριμένο σκοπό ή σκοπούς που περιγράφονται στη Σύμβαση και υπό τις δικές μας γραπτές οδηγίες και για κανέναν άλλον λόγο, συμπεριλαμβανομένων αναφορικά με διαβιβάσεις των πληροφοριών προσωπικού χαρακτήρα ατόμων που διαβιούν εντός της ΕΕ εκτός της Ευρωπαϊκής Ένωσης, εκτός εάν αυτό απαιτείται από τη νομοθεσία της Ευρωπαϊκής Ένωσης ή του Κράτους Μέλους της Ευρωπαϊκής Ένωσης (στην οποία περίπτωση θα πρέπει να μας ειδοποιήσετε αμέσως προτού το πράξετε, εκτός εάν η νομοθεσία απαγορεύει να μας πληροφορήσετε).
- Απαγορεύεται να κάνετε τα εξής: (i) να πωλείτε πληροφορίες προσωπικού χαρακτήρα, (ii) να διατηρείτε, να χρησιμοποιείτε ή να αποκαλύπτετε πληροφορίες προσωπικού χαρακτήρα για εμπορικό σκοπό διαφορετικό από την παροχή των Υπηρεσιών και (iii) να διατηρείτε, να χρησιμοποιείτε ή να αποκαλύπτετε τις πληροφορίες προσωπικού χαρακτήρα εκτός του πλαισίου της Σύμβασης ανάμεσα σε Εσάς και την GoDaddy.
- Αναγνωρίζετε και επιβεβαιώνετε ότι δεν αποκαλύπτονται πληροφορίες προσωπικού χαρακτήρα ως ανταμοιβή για οποιεσδήποτε Υπηρεσίες παρέχονται στην GoDaddy βάσει της Σύμβασης. Δεν επιτρέπεται να πωλείτε οποιεσδήποτε πληροφορίες προσωπικού χαρακτήρα, με την έννοια που ο όρος «πωλείτε» ορίζεται βάσει του νόμου περί ιδιωτικότητας των καταναλωτών της Καλιφόρνια του 2018 (California Consumer Privacy Act, «CCPA»), με τις τροποποιήσεις του, ενώ πιστοποιείτε δια της παρούσης ότι κατανοείτε τους κανόνες, τις απαιτήσεις και τους ορισμούς του CCPA και όλους τους περιορισμούς στην παρούσα ΠΕΔ. Συμφωνείτε να μην προβείτε σε οποιεσδήποτε ενέργειες θα μπορούσε να προκαλέσουν οποιεσδήποτε διαβιβάσεις πληροφοριών προσωπικού χαρακτήρα προς ή από Εσάς να θεωρηθούν «πώληση προσωπικών δεδομένων» σύμφωνα με το CCPA και οποιουσδήποτε άλλους ισχύοντες νόμους.
- Επιτρέπεται να διαβιβάζετε πληροφορίες προσωπικού χαρακτήρα που αφορούν άτομα που διαβιούν στην ΕΕ εκτός της ΕΕ (ή, εάν αυτές οι πληροφορίες προσωπικού χαρακτήρα βρίσκονται ήδη εκτός της ΕΕ, σε οποιοδήποτε τρίτο μέρος που βρίσκεται επίσης εκτός της ΕΕ), σύμφωνα με τους όρους της παρούσας ΠΕΔ Ασφαλείας και τις απαιτήσεις των Άρθρων 44 έως 49 του ΓΚΠΔ (όπως ορίζεται παρακάτω).
- Πρέπει να μας ειδοποιείτε αμέσως εάν, κατά τη γνώμη σας, οι οδηγίες μας παραβιάζουν οποιουσδήποτε νόμους και κανονισμούς προστασίας δεδομένων, συμπεριλαμβανομένου του Νόμου για την Προστασία των Δεδομένων της ΕΕ (όπως ορίζεται παρακάτω), στη διεύθυνση privacy@godaddy.com.
- Πρέπει να χειρίζεστε τις πληροφορίες προσωπικού χαρακτήρα ως αυστηρώς εμπιστευτικές και πρέπει να ενημερώνετε το σύνολο των υπαλλήλων ή των εγκεκριμένων πρακτόρων που εμπλέκονται στην επεξεργασία των πληροφοριών προσωπικού χαρακτήρα σχετικά με την εμπιστευτική φύση τους, καθώς και να διασφαλίζετε ότι αυτά τα άτομα ή τα μέρη έχουν υπογράψει κατάλληλη σύμβαση εμπιστευτικότητας για τη διατήρηση της εμπιστευτικότητας των πληροφοριών προσωπικού χαρακτήρα.
- Στην έκταση που λαμβάνετε, διατηρείτε, επεξεργάζεστε ή έχετε με άλλον τρόπο πρόσβαση σε πληροφορίες προσωπικού χαρακτήρα αναφορικά με το Πρόγραμμα Μεταπώλησης στο πλαίσιο της Σύμβασης, αναγνωρίζετε και αποδέχεστε ότι φέρετε την ευθύνη για την τήρηση των κατάλληλων οργανωτικών μέτρων και μέτρων ασφαλείας για την προστασία αυτών των πληροφοριών προσωπικού χαρακτήρα. Πρέπει να προστατεύετε και να διασφαλίζετε αυτές τις πληροφορίες προσωπικού χαρακτήρα, σύμφωνα με το σύνολο των ισχυόντων νόμων περί απορρήτου και προστασίας προσωπικών δεδομένων, συμπεριλαμβανομένου χωρίς περιορισμούς του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, αναφορικά με την προστασία των φυσικών προσώπων και με την ελεύθερη διακίνηση τέτοιου είδους δεδομένων (ο «Γενικός Κανονισμός για την Προστασία Δεδομένων» ή «ΓΚΠΔ») και των σχετικών νομοθεσιών και κανονισμών των Κρατών Μελών της Ευρωπαϊκής Ένωσης (από κοινού «Νόμος περί Προστασίας Δεδομένων της ΕΕ») και του CCPA.
- Τα κατάλληλα μέτρα οργάνωσης και ασφάλειας που αναφέρονται στην Ενότητα 3.7 θα περιλαμβάνουν, όπως ισχύει (αλλά όχι αποκλειστικά):
- Τα μέτρα που αναφέρονται παρακάτω στις Ενότητες 3 και 4.
- Μέτρα για τη διασφάλιση ότι πρόσβαση στις πληροφορίες προσωπικού χαρακτήρα μπορούν να έχουν μόνο τα εξουσιοδοτημένα άτομα για τους σκοπούς που περιγράφονται στη Σύμβαση.
- Την ψευδωνυμοποίηση και την κρυπτογράφηση των πληροφοριών προσωπικού χαρακτήρα.
- Τη δυνατότητα διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση.
- Τη δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε πληροφορίες προσωπικού χαρακτήρα σε εύθετο χρόνο.
- Μια διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας των πληροφοριών προσωπικού χαρακτήρα και
- Μέτρα εντοπισμού των τρωτών σημείων αναφορικά με την επεξεργασία των πληροφοριών προσωπικού χαρακτήρα στα συστήματά σας.
- Στην έκταση που θα συνάψετε οποιαδήποτε σύμβαση με οποιονδήποτε υπεργολάβο, προμηθευτή ή άλλο τρίτο μέρος προκειμένου να διευκολύνετε την εκτέλεση των καθηκόντων του στο πλαίσιο της Σύμβασης, πρέπει (i) να λάβετε προηγουμένως γραπτή συγκατάθεση από εμάς και (ii) να συνάψετε γραπτή σύμβαση με το τρίτο μέρος αυτό, προκειμένου να διασφαλίσετε ότι και το τρίτο μέρος συμμορφώνεται με τους όρους της παρούσας ΠΕΔ και της Σύμβασης.
- Παρά οποιαδήποτε εξουσιοδότηση που έχει παρασχεθεί από εμάς στο πλαίσιο της Ενότητας 1.11, η ευθύνη για οποιονδήποτε υπεργολάβο, προμηθευτή ή άλλο τρίτο μέρος που θα παρουσιάσει αδυναμία να εκπληρώσει τις υποχρεώσεις του στο πλαίσιο της παρούσας ΠΕΔ (ή οποιασδήποτε συμβατικής διευθέτησης η οποία θα συναφθεί για την επιβολή στο τρίτο μέρος αντίστοιχων υποχρεώσεων με εκείνες που φέρετε εσείς στο πλαίσιο της παρούσας ΠΕΔ) ή στο πλαίσιο της ισχύουσας νομοθεσίας θα εξακολουθήσει να βαρύνει στο ακέραιο εσάς.
- Με δικές σας δαπάνες θα μας υπερασπιστείτε, θα μας αποζημιώσετε και θα μας απαλλάξετε από οποιοδήποτε και το σύνολο των υποχρεώσεων, δαπανών και απωλειών αναφορικά με οποιαδήποτε προσωρινή ή οριστική, τυχαία ή παράνομη μη διαθεσιμότητα, απώλεια, καταστροφή, μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση σε, κλοπή ή παραβίαση πληροφοριών προσωπικού χαρακτήρα, καθώς και οποιαδήποτε άλλη παραβίαση της ισχύουσας νομοθεσίας περί προστασίας δεδομένων, καθώς και οποιαδήποτε παραβίαση της παρούσας ΠΕΔ.
- Σε περίπτωση που θα υποπέσει στην αντίληψή σας ότι έχετε λάβει δικές μας Εμπιστευτικές πληροφορίες ή πληροφορίες προσωπικού χαρακτήρα που δεν προορίζονταν για εσάς ή δεν ήσασταν εξουσιοδοτημένοι να λάβετε στο πλαίσιο της παρούσας Σύμβασης, πρέπει (i) να μας ειδοποιήσετε αμέσως στη διεύθυνση privacy@godaddy.com και (ii) εκτός εάν έχει δοθεί διαφορετική γραπτή οδηγία, να διατηρήσετε τις πληροφορίες ωσότου έρθουμε σε επαφή μαζί σας από τη διεύθυνση privacy@godaddy.com και σας δώσουμε οδηγίες σχετικά με το τι πρέπει να κάνετε αναφορικά με αυτές τις πληροφορίες.
4. Αξιολογήσεις επιπτώσεων και έλεγχοι ασφαλείας
- Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων. Πρέπει να μας βοηθήσετε να διενεργήσουμε αξιολογήσεις επιπτώσεων της προστασίας δεδομένων, προκειμένου να εντοπίσουμε και να ελαχιστοποιήσουμε οποιουσδήποτε κινδύνους για το απόρρητο ή την ασφάλεια που σχετίζονται με το Πρόγραμμα Μεταπώλησης στο πλαίσιο της Σύμβασης.
- Περιοδικοί έλεγχοι. Διατηρούμε το δικαίωμα να ελέγχουμε περιοδικά (ή να αναθέσουμε σε τρίτο μέρος, κατά τη δική μας διακριτική ευχέρεια, τον έλεγχο) τη συμμόρφωσή σας με την παρούσα ΠΕΔ.
- Έλεγχος μετά από συμβάν. Σε περίπτωση παραβίασης της ασφάλειας κάποιου Μεταπωλητή, ενδέχεται να εκτελέσουμε έλεγχο ασφαλείας, προκειμένου να διασφαλίσουμε ότι δεν επηρεάστηκαν οι πληροφορίες προσωπικού χαρακτήρα. Θα σας εκχωρηθούν 90 ημέρες για να ανταποκριθείτε σε οποιαδήποτε ζητήματα θα προκύψουν κατά τη διάρκεια του ελέγχου. Αφού επιλυθούν τα προβλήματα που θα εντοπιστούν, ενδέχεται να εκτελέσουμε έλεγχο ασφαλείας για να διασφαλίσουμε την ολοκλήρωση της ανάλυσης.
- Ειδοποίηση μη συμμόρφωσης. Εάν, για οποιονδήποτε λόγο, αδυνατείτε να εκπληρώσετε οποιεσδήποτε από τις δεσμεύσεις που αναλαμβάνετε στο πλαίσιο της παρούσας ΠΕΔ, πρέπει να μας ειδοποιήσετε αμέσως. Σε αυτή την περίπτωση, πρέπει να δηλώσετε εάν έχετε τη δυνατότητα να αντιμετωπίσετε οποιοδήποτε ζήτημα γρήγορα και χωρίς να διακυβευτεί η ασφάλεια οποιωνδήποτε πληροφοριών προσωπικού χαρακτήρα. Εάν όχι, τότε ενδέχεται να επιλέξουμε να καταγγείλουμε τη Σύμβαση αμέσως και χωρίς καμία κύρωση ή περαιτέρω υποχρέωση για εσάς.
5. Απόκριση σε συμβάντα ασφαλείας
- Προθεσμίες ειδοποιήσεων. Θα μας ειδοποιείτε για οποιοδήποτε συμβάν που αφορά την ασφάλεια και σχετίζεται με τις υπηρεσίες που παρέχεται ή/και τις πληροφορίες προσωπικού χαρακτήρα αμέσως μετά τη διαπίστωσή του και θα παρέχετε αμέσως σχόλια σχετικά με οποιεσδήποτε επιπτώσεις που ενδέχεται να/θα έχει το συμβάν αυτό σε εμάς ή στις πληροφορίες προσωπικού χαρακτήρα. Θα καταβάλλετε κάθε δυνατή προσπάθεια να μας ειδοποιήσετε σχετικά με το συμβάν που αφορά την ασφάλεια αμέσως μετά τη διαπίστωση του συμβάντος αλλά, σε κάθε περίπτωση, όχι αργότερα από 1 ώρα μετά τον εντοπισμό του συμβάντος. Ένα συμβάν για τους σκοπούς της παρούσας ΠΕΔ θα περιλαμβάνει, επίσης:
- Ένα παράπονο ή αίτημα αναφορικά με την άσκηση των δικαιωμάτων κάποιου ατόμου στο πλαίσιο της ισχύουσας νομοθεσίας, συμπεριλαμβανομένης της Νομοθεσίας για την Προστασία των Δεδομένων της ΕΕ.
- Μια διερεύνηση των πληροφοριών προσωπικού χαρακτήρα ή κατάσχεσή τους από κυβερνητικούς αξιωματούχους, ρυθμιστική αρχή ή αρχή επιβολής του νόμου ή ενδείξεις ότι υπάρχει πρόθεση να διενεργηθεί διερεύνηση ή κατάσχεση.
- Οποιαδήποτε προσωρινή ή οριστική, τυχαία ή παράνομη μη διαθεσιμότητα, απώλεια, καταστροφή, μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, κλοπή ή παραβίαση των πληροφοριών προσωπικού χαρακτήρα και
- Οποιαδήποτε παραβίαση των υποχρεώσεων αναφορικά με την ασφάλεια ή/και την εμπιστευτικότητα που ορίζονται στην παρούσα ΠΕΔ.
- Μορφή και περιεχόμενο ειδοποιήσεων. Η ειδοποίηση σχετικά με κάποια παραβίαση της ασφάλειας θα έχει τη μορφή τηλεφωνικής κλήσης στο Κέντρο Λειτουργιών Δικτύου (Network Operations Center - NOC) της εταιρείας μας, στον αριθμό τηλεφώνου (480) 505-8809, ακολουθούμενης από γραπτή ειδοποίηση στην ηλεκτρονική διεύθυνση securitybreach@godaddy.com. Κατά την τηλεφωνική κλήση ειδοποίησης και στο κείμενο της ειδοποίησης πρέπει να παρέχετε τις ακόλουθες πληροφορίες, στη μέγιστη δυνατή έκταση, με περαιτέρω ενημερώσεις, καθώς προκύπτουν πρόσθετες πληροφορίες:
- Μια περιγραφή της φύσης του συμβάντος και των πιθανών συνεπειών του συμβάντος.
- Αναμενόμενος χρόνος επίλυσης (εάν είναι γνωστός).
- Μια περιγραφή των μέτρων που έχουν ληφθεί ή έχουν προταθεί για την αντιμετώπιση του συμβάντος, συμπεριλαμβανομένων των μέτρων αντιμετώπισης των ενδεχόμενων δυσμενών επιπτώσεων για εμάς, τις πληροφορίες προσωπικού χαρακτήρα ή τα σχετιζόμενα άτομα.
- Αν η πορεία επίλυσης του ζητήματος είναι άγνωστη τη στιγμή της τηλεφωνικής κλήσης, πρέπει να διασαφηνίσετε ότι δεν έχει ακόμα προσδιοριστεί.
- Οι κατηγορίες και ο κατά προσέγγιση όγκος των πληροφοριών προσωπικού χαρακτήρα που επηρεάζονται δυνητικά από το συμβάν και οι πιθανές συνέπειες του συμβάντος επί αυτών των πληροφοριών προσωπικού χαρακτήρα και των σχετιζόμενων ατόμων και
- Το όνομα και ο αριθμός τηλεφώνου ενός εκπροσώπου του Μεταπωλητή, με τον οποίο μπορούμε να επικοινωνούμε για να ενημερωνόμαστε σχετικά με συμβάντα.
- Πόροι ασφαλείας. Ενδέχεται, κατόπιν αμοιβαίας συμφωνίας με εσάς, να παρέχουμε πόρους από την ομάδα ασφαλείας μας, προκειμένου να βοηθήσουμε να αντιμετωπιστεί κάποια παραβίαση της ασφάλειας που θα εντοπιστεί. Συμφωνείτε να μας βοηθήσετε να εκπληρώσουμε τις υποχρεώσεις μας αναφορικά με κάποια ειδοποίηση σχετικά με παραβίαση της ασφάλειας, στο πλαίσιο του Νόμου περί Προστασίας δεδομένων της ΕΕ ή οποιεσδήποτε άλλες θεσμικές, ρυθμιστικές, διοικητικές υποχρεώσεις ή υποχρεώσεις σχετικά με ειδοποίηση για συμβατική παραβίαση.
6. Κρυπτογράφηση
- Ιδιωτική κρυπτογράφηση. Οι ασφαλείς συναλλαγές ανάμεσα σε εσάς και τον υπεργολάβο επεξεργασίας, τον προμηθευτή ή άλλο τρίτο μέρος, καθώς και η αποθήκευση των δικών μας Εμπιστευτικών πληροφοριών ή πληροφοριών προσωπικού χαρακτήρα δεν πρέπει να γίνονται με τη χρήση οποιωνδήποτε αλγορίθμων κρυπτογράφησης που έχουν αναπτυχθεί εσωτερικά από εσάς. Οποιοσδήποτε συμμετρικός ή ασύμμετρος αλγόριθμος ή αλγόριθμος κλειδώματος που θα χρησιμοποιηθεί από την υποδομή της εφαρμογής θα χρησιμοποιεί αλγορίθμους που έχουν δημοσιευτεί και αξιολογηθεί από τη γενική κοινότητα κρυπτογράφησης.
- Ισχύς κρυπτογράφησης. Οι αλγόριθμοι κρυπτογράφησης πρέπει να είναι κατ' εφαρμογή της τρέχουσας τεχνολογίας προτύπου του κλάδου και να έχουν επαρκή ισχύ, για παράδειγμα Advanced Encryption Standard (AES). Κρυπτογράφηση με δημόσιο κλειδί SHA-256 ή RSA.
- Λειτουργίες διασφάλισης μέσω κατακερματισμού («hashing»). Οι λειτουργίες διασφάλισης μέσω κατακερματισμού θα είναι ένας συνδυασμός του SHA-256 τουλάχιστον ενός από τα MD-5, SHA-2, SHA-3 ή άλλου παρόμοιου, εξαιρουμένου του SHA-1. Εάν πρόκειται να χρησιμοποιηθούν εναλλακτικές λειτουργίες διασφάλισης μέσω κατακερματισμού, θα έχουν τη ρητή έγκριση της Ομάδας ασφαλείας πληροφοριών της εταιρείας μας και θα πρέπει να συνοδεύονται από τουλάχιστον έναν εγκεκριμένο αλγόριθμο.
7. Επεξεργασία πληροφοριών προσωπικού χαρακτήρα
- Συμμόρφωση με τη νομοθεσία. Στην έκταση που είναι κατάλληλο, θα μας βοηθήσετε στις υποχρεώσεις μας να ανταποκριθούμε σε αιτήματα κάποιου ατόμου οι πληροφορίες προσωπικού χαρακτήρα του οποίου υποβάλλονται σε επεξεργασία στο πλαίσιο της Σύμβασης και το οποίο επιθυμεί να ασκήσει οποιαδήποτε από τα δικαιώματά του στο πλαίσιο της Νομοθεσίας Προστασίας Δεδομένων της ΕΕ, συμπεριλαμβανομένων (αλλά χωρίς περιορισμούς): (i) του δικαιώματος πρόσβασης, (ii) του δικαιώματος στη φορητότητα των δεδομένων, (iii) του δικαιώματος διαγραφής, (iv) του δικαιώματος αποκατάστασης, (v) του δικαιώματος ένστασης κατά της αυτόματης λήψης αποφάσεων ή (vi) του δικαιώματος ένστασης κατά της επεξεργασίας.
- Διαγραφή/Καταστροφή. Πρέπει να διαγράψετε/καταστρέψετε ή να επιστρέψετε το σύνολο των πληροφοριών προσωπικού χαρακτήρα, καθώς και να αντικαταστήσετε διαγράφοντας τα δεδομένα στις φυσικές μονάδες δίσκου που χρησιμοποιούνται για την αποθήκευσή τους, χρησιμοποιώντας Κρυπτογραφική διαγραφή (NIST SP-800-88r1) ή αντίστοιχη μέθοδο, οποιαδήποτε στιγμή κατόπιν αιτήματός μας ή, απουσία αιτήματός μας, μετά την καταγγελία της Σύμβασης και την καταστροφή ή την επιστροφή τυχόν υφιστάμενων αντιγράφων αυτών σε εμάς.
ΤΥΠΟΠΟΙΗΜΕΝΕΣ ΣΥΜΒΑΤΙΚΕΣ ΡΗΤΡΕΣ
Για τους σκοπούς του Άρθρου 26(2) της Οδηγίας 95/46/ΕΚ για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες οι οποίοι δεν διασφαλίζουν επαρκές επίπεδο προστασίας των δεδομένων
εξαγωγέας δεδομένων: GoDaddy.com, LLC και συνεργαζόμενες οντότητες
και
εισαγωγέας δεδομένων: Ο Μεταπωλητής που ονομάζεται και ο οποίος συμμετείχε στο Πρόγραμμα μεταπώλησης, σύμφωνα με τους όρους της παρούσας Συμφωνίας.
μεμονωμένα «συμβαλλόμενο μέρος», από κοινού «τα συμβαλλόμενα μέρη»,
ΣΥΜΦΩΝΗΣΑΝ σχετικά με τις ακόλουθες Συμβατικές ρήτρες (Οι Ρήτρες) προκειμένου να παράσχουν επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων κατά τη διαβίβαση, από τον εξαγωγέα δεδομένων προς τον εισαγωγέα δεδομένων, των δεδομένων προσωπικού χαρακτήρα που ορίζονται στο Παράρτημα 1.
Ορισμοί
Για τους σκοπούς των Ρητρών:
(α) Οι όροι ‘προσωπικά δεδομένα’, ‘ειδικές κατηγορίες δεδομένων’, ‘επεξεργασία’, ‘υπεύθυνος ελέγχου’, ‘υπεύθυνος επεξεργασίας’, ‘πρόσωπο που αφορούν τα δεδομένα’ και ‘εποπτεύουσα αρχή’ θα έχουν την ίδια έννοια με τους όρους που αναφέρονται στην Οδηγία 95/46/EC του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών,
(β) Ως ‘εξαγωγέας δεδομένων’ νοείται ο υπεύθυνος ελέγχου δεδομένων, που διαβιβάζει τα προσωπικά δεδομένα,
(γ) Ως ‘εισαγωγέας δεδομένων’ νοείται ο εκτελών επεξεργασία ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται, μετά τη διαβίβαση, για επεξεργασία για λογαριασμό του εξαγωγέα, σύμφωνα με τις οδηγίες του και σύμφωνα με τους όρους των Ρητρών, και ο οποίος δεν υπόκειται σε μηχανισμό τρίτης χώρας που διασφαλίζει ικανοποιητική προστασία, κατά την έννοια του Άρθρου 25(1) της Οδηγίας 95/46/ΕΚ;
(δ) Ως ‘υπεργολάβος επεξεργασίας’ νοείται οποιοσδήποτε υπεύθυνος επεξεργασίας που προσλαμβάνεται από τον εισαγωγέα δεδομένων ή από οποιονδήποτε άλλον υπεργολάβο επεξεργασίας του εισαγωγέα δεδομένων και ο οποίος συμφωνεί να λαμβάνει από τον εισαγωγέα δεδομένων ή από οποιονδήποτε άλλον υπεργολάβο επεξεργασίας του εισαγωγέα δεδομένων δεδομένα, τα οποία προορίζονται αποκλειστικά για την εκτέλεση δραστηριοτήτων επεξεργασίας, για λογαριασμό του εξαγωγέα δεδομένων μετά τη διαβίβαση σύμφωνα με τις οδηγίες του, στο πλαίσιο των όρων των Ρητρών και των όρων της γραπτής σύμβασης υπεργολαβίας,
(ε) Ως ‘εφαρμοστέο δίκαιο περί προστασίας των δεδομένων’ νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και ιδίως το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων,
(στ) ως ‘τεχνικά και οργανωτικά μέτρα προστασίας’ νοούνται τα μέτρα που στοχεύουν στην προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και στην προστασία από κάθε άλλη παράνομη μορφή επεξεργασίας.
Λεπτομέρειες που αφορούν τη διαβίβαση
Οι λεπτομέρειες της διαβίβασης, και ιδίως οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα καθορίζονται, κατά περίπτωση, στο προσάρτημα 1, το οποίο αποτελεί αναπόσπαστο τμήμα των Ρητρών.
Ρήτρα 3Ρήτρα τρίτου δικαιούχου
-
Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεστεί ως τρίτος δικαιούχος έναντι του εισαγωγέα δεδομένων την παρούσα Ρήτρα, τη Ρήτρα 4(β) έως (θ), τη Ρήτρα 5(α) έως (ε) και (ζ) έως (ι), τη Ρήτρα 6(1) και (2) και (7), τη Ρήτρα 7 τη Ρήτρα 8(2) και τις Ρήτρες 9 έως 12.
-
Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεστεί ως τρίτος δικαιούχος έναντι του εισαγωγέα δεδομένων τη Ρήτρα 5(α) έως (ε) και (ζ), τη Ρήτρα 6, τη Ρήτρα 7, τη Ρήτρα 8(2) και τις Ρήτρες 9 έως 12, στις περιπτώσεις όπου ο εξαγωγέας δεδομένων έχει πάψει να υφίσταται πραγματικά ή νομικά, εκτός εάν οποιαδήποτε διάδοχη οντότητα έχει αναλάβει στο σύνολό τους τις υποχρεώσεις του εξαγωγέα δεδομένων ενώπιον του νόμου, μέσω σύμβασης ή κατ΄ εφαρμογή του νόμου, και, ως αποτέλεσμα τούτου, αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, στην οποία περίπτωση το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεστεί τις ανωτέρω ρήτρες έναντι αυτής της οντότητας.
-
Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεστεί ως τρίτος δικαιούχος έναντι του υπεργολάβου επεξεργασίας τη Ρήτρα 5(α) έως (ε) και (ζ), τη Ρήτρα 6, τη Ρήτρα 7, τη Ρήτρα 8(2) και τις Ρήτρες 9 έως 12, στις περιπτώσεις όπου τόσο ο εξαγωγέας δεδομένων όσο και ο εισαγωγέας δεδομένων έχουν πάψει να υφίσταται πραγματικά ή νομικά ή έχουν καταστεί αφερέγγυοι, εκτός εάν οποιαδήποτε διάδοχη οντότητα έχει αναλάβει στο σύνολό τους τις υποχρεώσεις του εξαγωγέα δεδομένων ενώπιον του νόμου, μέσω σύμβασης ή κατ΄ εφαρμογή του νόμου, και, ως αποτέλεσμα τούτου, αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, στην οποία περίπτωση το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεστεί τις ανωτέρω ρήτρες έναντι αυτής της οντότητας. Αυτή η υποχρέωση τρίτου μέρους του υπεργολάβου επεξεργασίας δεδομένων θα περιορίζεται στις δικές του εργασίες επεξεργασίας, στο πλαίσιο των Ρητρών.
-
Τα συμβαλλόμενα μέρη δεν έχουν αντίρρηση να εκπροσωπείται ένα πρόσωπο που αφορούν τα δεδομένα από κάποια ένωση ή άλλον φορέα, εάν το πρόσωπο που αφορούν τα δεδομένα το επιθυμεί ρητώς και εφόσον επιτρέπεται από την εθνική νομοθεσία.
Υποχρεώσεις του εξαγωγέα δεδομένων
Ο εξαγωγέας δεδομένων συμφωνεί και εγγυάται:
(α) ότι η επεξεργασία, περιλαμβανομένης και της διαβίβασης δεδομένων προσωπικού χαρακτήρα, έχει πραγματοποιηθεί και θα συνεχίσει να πραγματοποιείται σύμφωνα με τις σχετικές διατάξεις του εφαρμοστέου δικαίου περί προστασίας των δεδομένων (και, όπου συντρέχει περίπτωση, έχει κοινοποιηθεί στις αρμόδιες αρχές του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων) και δεν παραβιάζει τις σχετικές διατάξεις του εν λόγω Κράτους,
(β) ότι έχει δώσει εντολές και καθ' όλη τη διάρκεια των υπηρεσιών επεξεργασίας δεδομένων θα δίνει εντολές στον εισαγωγέα δεδομένων να επεξεργάζεται τα προσωπικά δεδομένα που διαβιβάζονται μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με την ισχύουσα νομοθεσία προστασίας δεδομένων και τις Ρήτρες,
(γ) ότι ο εισαγωγέας δεδομένων θα παρέχει επαρκείς εγγυήσεις αναφορικά με τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο Παράρτημα 2 της παρούσας σύμβασης,
(δ) ότι, μετά την αξιολόγηση των απαιτήσεων της ισχύουσας νομοθεσίας περί προστασίας δεδομένων, τα μέτρα ασφαλείας είναι κατάλληλα για την προστασία των δεδομένων προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, αλλοίωση, μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδιαίτερα στις περιπτώσεις όπου η επεξεργασία περιλαμβάνει τη διαβίβαση των δεδομένων μέσω δικτύου, καθώς και από οποιεσδήποτε άλλες παράνομες μορφές επεξεργασίας, και ότι αυτά τα μέτρα διασφαλίζουν ένα επίπεδο ασφαλείας κατάλληλο για την αντιμετώπιση των κινδύνων που ενέχονται στην επεξεργασία και τη φύση των δεδομένων που πρόκειται να προστατευθούν, ως προς τις χρησιμοποιούμενες εξελιγμένες τεχνικές και το κόστος της εφαρμογής τους,
(ε) ότι θα διασφαλίσει την τήρηση των μέτρων ασφαλείας,
(στ) ότι, εάν η διαβίβαση αφορά ειδικές κατηγορίες δεδομένων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει ενημερωθεί ή θα ενημερωθεί πριν από τη διαβίβαση ή το συντομότερο δυνατό ύστερα απ’ αυτήν ότι τα δεδομένα που το αφορούν ενδέχεται να διαβιβαστούν σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία κατά την έννοια της Οδηγίας 95/46/ΕΚ,
(ζ) ότι θα διαβιβάζει κάθε κοινοποίηση που λαμβάνει από τον εισαγωγέα δεδομένων ή κάθε υπεργολάβο επεξεργασίας σύμφωνα με τη Ρήτρα 5(β) και τη Ρήτρα 8(3) στην εποπτική αρχή προστασίας δεδομένων αν ο εξαγωγέας δεδομένων αποφασίσει να συνεχίσει τη διαβίβαση ή να άρει την αναστολή,
(θ) να καθιστά διαθέσιμο στα πρόσωπα που αφορούν τα δεδομένα, κατόπιν αιτήματος, ένα αντίγραφο των Ρητρών, εξαιρουμένου του Παραρτήματος 2 και μια συνοπτική περιγραφή των μέτρων ασφαλείας, καθώς και ένα αντίγραφο οποιασδήποτε σύμβασης για υπηρεσίες υπεργολαβίας επεξεργασίας που πρέπει να συναφθεί σύμφωνα με τις Ρήτρες, εκτός εάν οι Ρήτρες της σύμβασης περιέχουν εμπορικά στοιχεία, στην οποία περίπτωση μπορεί να αφαιρεί αυτά τα εμπορικά στοιχεία,
(i) ότι, στην περίπτωση υπεργολαβίας επεξεργασίας, η δραστηριότητα επεξεργασίας εκτελείται σύμφωνα με τη Ρήτρα 11 από υπεργολάβο επεξεργασίας που παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα και τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα όπως και ο εισαγωγέας δεδομένων βάσει των Ρητρών αυτών και
(ι) ότι θα διασφαλίσει τη συμμόρφωση με τη Ρήτρα 4(α) έως (θ).
Υποχρεώσεις του εισαγωγέα δεδομένων
Ο εισαγωγέας δεδομένων συμφωνεί και εγγυάται:
(α) ότι θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τις οδηγίες του και τις Ρήτρες· αν δεν μπορεί να εξασφαλίσει τη συμμόρφωση αυτή για οποιουσδήποτε λόγους, συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα δεδομένων για την αδυναμία του να συμμορφωθεί, οπότε ο εξαγωγέας δεδομένων δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση,
(β) ότι δεν έχει κανέναν λόγο να πιστεύει ότι η νομοθεσία που τον διέπει της απαγορεύει να εκπληρώσει τις εντολές που έχει λάβει από τον εξαγωγέα δεδομένων και τις υποχρεώσεις του στο πλαίσιο της σύμβασης και ότι, σε περίπτωση τροποποιήσεων αυτής της νομοθεσίας οι οποίες ενδέχεται να έχουν σημαντικά δυσμενείς επιπτώσεις στις διασφαλίσει και τις υποχρεώσεις που απορρέουν από τις Ρήτρες, θα ειδοποιήσει εγκαίρως τον εξαγωγέα δεδομένων αναφορικά με την αλλαγή, αμέσως μόλις γίνει αντιληπτή, στην οποία περίπτωση ο εξαγωγέας δεδομένων έχει το δικαίωμα να αναστείλει τη διαβίβαση δεδομένων ή/και να καταγγείλει τη σύμβαση,
(γ) ότι έχει εφαρμόσει τα τεχνικά οργανωτικά μέτρα ασφαλείας που προσδιορίζονται στο Παράρτημα πριν από την επεξεργασία των προσωπικών δεδομένων που διαβιβάζονται,
(δ) ότι θα ειδοποιήσει εγκαίρως τον εξαγωγέα δεδομένων σχετικά με τα παρακάτω:
(i) οποιοδήποτε νομικώς δεσμευτικό αίτημα για την κοινοποίηση των προσωπικών δεδομένων από κάποια αρχή επιβολής του νόμου, εκτός εάν απαγορεύεται διαφορετικά, όπως κάποια απαγόρευση από τον ποινικό κώδικα, για την προστασία της εμπιστευτικότητας κάποιας αστυνομικής έρευνας,
(ii) οποιαδήποτε τυχαία ή μη εξουσιοδοτημένη πρόσβαση και
(iii) κάθε αίτημα που λαμβάνει απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα χωρίς να τους απαντά, εκτός αν του έχει δοθεί η σχετική άδεια,
(ε) να αντιμετωπίζει έγκαιρα και σωστά όλα τα αιτήματα του εξαγωγέα δεδομένων για την επεξεργασία των προσωπικών δεδομένων αναφορικά με τη διαβίβαση, καθώς και να συμμορφώνεται με τις υποδείξεις τις εποπτεύουσας αρχής αναφορικά με την επεξεργασία των διαβιβαζόμενων δεδομένων,
(στ) κατόπιν αιτήματος του εξαγωγέα δεδομένων για την υποβολή των εγκαταστάσεων επεξεργασίας δεδομένων που διαθέτει για έλεγχο των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις Ρήτρες οι οποίες θα εκτελούνται από τον εξαγωγέα δεδομένων ή από κάποιον φορέα επιθεώρησης που θα αποτελείται από ανεξάρτητα μέλη, τα οποία θα κατέχουν τα απαιτούμενα επαγγελματικά προσόντα και θα δεσμεύονται από καθήκον τήρησης της εχεμύθειας, επιλεγμένα από τον εξαγωγέα δεδομένων, όπου ισχύει, σε συμφωνία με την εποπτεύουσα αρχή,
(ζ) ότι, αιτήσει του προσώπου στο οποίο αναφέρονται τα δεδομένα, θα θέτει στη διάθεσή του αντίγραφο των Ρητρών ή κάθε υφιστάμενης σύμβασης που αφορά υπεργολαβία επεξεργασίας, εκτός αν οι Ρήτρες ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε θα μπορεί να αφαιρεί αυτές τις πληροφορίες, με εξαίρεση το Παράρτημα 2 το οποίο αντικαθίσταται από συνοπτική παρουσίαση των μέτρων ασφαλείας, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να λάβει αντίγραφο από τον εξαγωγέα δεδομένων,
(η) ότι, σε περίπτωση υπεργολαβίας επεξεργασίας, έχει ενημερώσει προηγουμένως τον εξαγωγέα δεδομένων και έχει λάβει προηγούμενη γραπτή συγκατάθεσή του,
(i) ότι οι υπηρεσίες επεξεργασίας που παρέχονται από τον υπεργολάβο επεξεργασίας θα εκτελούνται σύμφωνα με τη Ρήτρα 11,
(ι) ότι θα στείλει αμέσως στον εξαγωγέα δεδομένων αντίγραφο κάθε συμφωνίας υπεργολαβίας επεξεργασίας που συνάπτεται βάσει των Ρητρών.
(ια) ότι, με δικές του δαπάνες, θα υπερασπιστεί, θα αποζημιώσει και θα προφυλάξει από οποιαδήποτε απώλεια και ζημία τον εξαγωγέα δεδομένων έναντι οποιασδήποτε απώλειας, μη εξουσιοδοτημένης κοινοποίησης, κλοπής ή δημοσιοποίησης δεδομένων προσωπικού χαρακτήρα, καθώς και έναντι οποιασδήποτε άλλης παραβίασης της ισχύουσας νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα δεδομένων.
Νομικές ευθύνες
-
Τα συμβαλλόμενα μέρη συμφωνούν ότι οποιοδήποτε πρόσωπο στο οποίο αναφέρονται στα δεδομένα, το οποίο έχει υποστεί ζημιά ως αποτέλεσμα οποιασδήποτε παραβίασης των υποχρεώσεων που αναφέρονται στη Ρήτρα 3 ή στη Ρήτρα 11 από οποιοδήποτε συμβαλλόμενο μέρος ή υπεργολάβο επεξεργασίας δικαιούται αποζημίωσης από τον εξαγωγέα δεδομένων για τη ζημία που θα υποστεί.
-
Αν κάποιο πρόσωπο που αφορούν τα δεδομένα δεν έχει τη δυνατότητα να εγείρει κάποια αξίωση για αποζημίωση σύμφωνα με την παράγραφο 1 κατά του εξαγωγέα δεδομένων, η οποία θα προκύψει λόγω παραβίασης από τον εισαγωγέα δεδομένων ή τον υπεργολάβο επεξεργασίας που έχει προσλάβει οποιασδήποτε από τις υποχρεώσεις του που αναφέρονται στη Ρήτρα 3 ή στη Ρήτρα 11, επειδή ο εξαγωγέας δεδομένων δεν υφίσταται πλέον πραγματικά ή νομικά ή έχει καταστεί αφερέγγυος, ο εισαγωγέας δεδομένων συμφωνεί ότι το πρόσωπο που αφορούν τα δεδομένα μπορεί να εγείρει αξίωση κατά του εισαγωγέα δεδομένων, σαν να ήταν εκείνος ο εξαγωγέας δεδομένων, εκτός εάν κάποια διάδοχη οντότητα έχει αναλάβει στο σύνολό τους τις υποχρεώσεις του εξαγωγέα δεδομένων μέσω σύμβασης ή κατ΄ εφαρμογή του νόμου, στην οποία περίπτωση το πρόσωπο που αφορούν τα δεδομένα μπορεί να διεκδικήσει τα δικαιώματά του κατά αυτής της οντότητας.
Ο εισαγωγέας δεδομένων δεν μπορεί να επικαλεσθεί την αθέτηση υποχρεώσεων εκ μέρους του υπεργολάβου επεξεργασίας προκειμένου να αποφύγει τις δικές του ευθύνες. -
Αν κάποιο πρόσωπο που αφορούν τα δεδομένα δεν έχει τη δυνατότητα να εγείρει κάποια αξίωση κατά του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων που αναφέρονται στις παραγράφους 1 και 2, η οποία θα προκύψει λόγω παραβίασης από τον υπεργολάβο επεξεργασίας οποιασδήποτε από τις υποχρεώσεις του που αναφέρονται στη Ρήτρα 3 ή στη Ρήτρα 11, επειδή τόσο ο εξαγωγέας δεδομένων όσο και ο εισαγωγέας δεδομένων δεν υφίστανται πλέον πραγματικά ή νομικά ή έχουν καταστεί αφερέγγυοι, ο υπεργολάβος επεξεργασίας συμφωνεί ότι το πρόσωπο που αφορούν τα δεδομένα μπορεί να εγείρει αξίωση κατά του υπεργολάβου επεξεργασίας αναφορικά με τις δικές του εργασίες επεξεργασίας στο πλαίσιο των Ρητρών, σαν να ήταν εκείνος ο εξαγωγέας δεδομένων ή ο εισαγωγέας δεδομένων, εκτός εάν κάποια διάδοχη οντότητα έχει αναλάβει στο σύνολό τους τις υποχρεώσεις του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων μέσω σύμβασης ή κατ΄ εφαρμογή του νόμου, στην οποία περίπτωση το πρόσωπο που αφορούν τα δεδομένα μπορεί να διεκδικήσει τα δικαιώματά του κατά αυτής της οντότητας. Η αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις ίδιες δραστηριότητες επεξεργασίας σύμφωνα με τις παρούσες Ρήτρες.
Διαμεσολάβηση και δικαιοδοσία
-
Ο εισαγωγέας δεδομένων συμφωνεί ότι αν, βάσει των Ρητρών, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται έναντι αυτού το δικαίωμα του δικαιούχου τρίτου και/ή διεκδικεί αποζημίωση για τη ζημία που υπέστη, θα δεχθεί την απόφαση του προσώπου στο οποίο αναφέρονται τα δεδομένα:
(α) να παραπέμπεται η διαφορά στη διαιτησία, από ανεξάρτητο πρόσωπο ή, όπου ισχύει, από την εποπτεύουσα αρχή,
(β) να παραπέμπεται η διαφορά στα δικαστήρια του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων. -
Τα συμβαλλόμενα μέρη συμφωνούν ότι η επιλογή στην οποία προβαίνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν θίγει τα ουσιαστικού ή δικονομικού δικαίου δικαιώματά του να αναζητήσει έννομη προστασία βάσει άλλων διατάξεων του εθνικού ή του διεθνούς δικαίου.
Συνεργασία με τις εποπτικές αρχές
-
Ο εξαγωγέας δεδομένων συμφωνεί να καταθέσει ένα αντίγραφο της παρούσας σύμβασης στην εποπτεύουσα αρχή, εφόσον το απαιτήσει ή εφόσον αυτή η υποβολή απαιτείται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων.
-
Οι συμβαλλόμενοι συμφωνούν ότι η αρχή ελέγχου έχει το δικαίωμα να διενεργεί ελέγχους στις εγκαταστάσεις του εισαγωγέα δεδομένων και κάθε υπεργολάβου επεξεργασίας, στον ίδιο βαθμό και με τους ίδιους όρους που θα ίσχυαν σε περίπτωση ελέγχου του εξαγωγέα δεδομένων βάσει του εφαρμοστέου δικαίου περί προστασίας των δεδομένων.
-
Ο εισαγωγέας δεδομένων θα ειδοποιεί εγκαίρως τον εξαγωγέα δεδομένων σχετικά με την ύπαρξη νομοθεσίας που αφορά εκείνον ή οποιονδήποτε υπεργολάβο επεξεργασίας η οποία αποτρέπει τη διενέργεια ελέγχου του εισαγωγέα δεδομένων ή οποιουδήποτε υπεργολάβου επεξεργασίας, σύμφωνα με την παράγραφο 2. Σε αυτή την περίπτωση, ο εξαγωγέας δεδομένων θα έχει το δικαίωμα να λαμβάνει τα μέτρα που προβλέπονται από τη Ρήτρα 5(β).
Εφαρμοστέο δίκαιο
Οι Ρήτρες θα διέπονται από τη νομοθεσία του Κράτους Μέλους στο οποίο βρίσκεται η έδρα του εξαγωγέα δεδομένων ή, στις περιπτώσεις όπου ο εξαγωγέας δεδομένων διαθέτει έδρα σε πολλαπλές δικαιοδοσίες, θα διέπονται από τη νομοθεσία της Αγγλίας και της Ουαλίας.
Ρήτρα 10Τροποποίηση της σύμβασης
Τα συμβαλλόμενα μέρη συμφωνούν να μην διαφοροποιήσουν και να μην τροποποιήσουν τις Ρήτρες. Αυτό δεν εμποδίζει τα συμβαλλόμενα μέρη να περιλάβουν, αν το κρίνουν αναγκαίο, ρήτρες εμπορικού χαρακτήρα, εφόσον αυτές δεν αντιβαίνουν στη Ρήτρα.
Ρήτρα 11Υπεργολαβία επεξεργασίας
-
Ο εισαγωγέας δεδομένων απαγορεύεται να αναθέτει με υπεργολαβία οποιαδήποτε από τις εργασίες επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα δεδομένων, στο πλαίσιο των Ρητρών, χωρίς προηγούμενη γραπτή συγκατάθεση του εξαγωγέα δεδομένων. Ο εισαγωγέας δεδομένων μπορεί να εκχωρήσει με υπεργολαβία τις υποχρεώσεις του βάσει των ρητρών, με τη συγκατάθεση του εξαγωγέα δεδομένων, μόνο μέσω γραπτής συμφωνίας την οποία συνάπτει με τον υπεργολάβο επεξεργασίας, η οποία επιβάλλει στον υπεργολάβο τις ίδιες υποχρεώσεις με εκείνες που επιβάλλονται στον εισαγωγέα δεδομένων σύμφωνα με τις Ρήτρες. Σε περίπτωση που ο υπεργολάβος επεξεργασίας δεν τηρήσει τις υποχρεώσεις του όσον αφορά την προστασία των δεδομένων βάσει της γραπτής αυτής συμφωνίας, ο εισαγωγέας δεδομένων παραμένει στο ακέραιο υπεύθυνος για την τήρηση των υποχρεώσεων αυτών έναντι του εξαγωγέα δεδομένων.
-
Η προηγούμενη γραπτή σύμβαση μεταξύ του εισαγωγέα δεδομένων και του υπεργολάβου επεξεργασίας θα περιλαμβάνει επίσης μια ρήτρα δικαιούχου τρίτου μέρους, όπως προσδιορίζεται στη Ρήτρα 3, για τις περιπτώσεις όπου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν έχει τη δυνατότητα να εγείρει την αξίωση για αποζημίωση που αναφέρεται στην παράγραφο 1 της Ρήτρας 6 έναντι του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων, επειδή έχουν πάψει να υφίστανται πραγματικά ή νομικά ή έχουν καταστεί αφερέγγυοι και καμία διάδοχη οντότητα δεν έχει αναλάβει στο σύνολό τους τις υποχρεώσεις του εξαγωγέα δεδομένων ή του εισαγωγέα δεδομένων ενώπιον του νόμου, μέσω σύμβασης ή κατ΄ εφαρμογή του νόμου. Αυτή η υποχρέωση τρίτου μέρους του υπεργολάβου επεξεργασίας δεδομένων θα περιορίζεται στις δικές του εργασίες επεξεργασίας, στο πλαίσιο των Ρητρών.
-
Οι διατάξεις που αφορούν πτυχές της σύμβασης που αναφέρεται στην παράγραφο 1 και οι οποίες συνδέονται με την προστασία των δεδομένων όσον αφορά την υπεργολαβία επεξεργασίας διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.
-
Ο εξαγωγέας δεδομένων θα διατηρεί μια λίστα των συμβάσεων υπεργολαβίας επεξεργασίας που έχουν συναφθεί στο πλαίσιο των Ρητρών και για τις οποίες έχει ειδοποιηθεί από τον εισαγωγέα δεδομένων, σύμφωνα με τη Ρήτρα 5 (ι), η οποία θα ενημερώνεται τουλάχιστον μία φορά ετησίως. Η λίστα θα είναι διαθέσιμη στην εποπτεύουσα αρχή προστασίας δεδομένων του εξαγωγέα δεδομένων.
Υποχρεώσεις μετά τον τερματισμό των υπηρεσιών επεξεργασίας προσωπικών δεδομένων
-
Τα συμβαλλόμενα μέρη συμφωνούν ότι με τον τερματισμό της παροχής υπηρεσιών επεξεργασίας δεδομένων, ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας, κατ΄ επιλογήν του εξαγωγέα δεδομένων, θα επιστρέφουν όλα τα προσωπικά δεδομένα που έχουν διαβιβαστεί και τα αντίγραφά τους στον εξαγωγέα δεδομένων ή θα διαγράφουν όλα τα προσωπικά δεδομένα και θα πιστοποιούν στον εξαγωγέα δεδομένων ότι το έχουν πράξει, εκτός εάν η νομοθεσία που διέπει τον εισαγωγέα δεδομένων δεν επιτρέπει την επιστροφή ή την καταστροφή του συνόλου ή μέρους των διαβιβασθέντων προσωπικών δεδομένων. Σε αυτή την περίπτωση, ο εισαγωγέας δεδομένων εγγυάται ότι θα διασφαλίσει την ακεραιότητα των διαβιβασθέντων προσωπικών δεδομένων και δεν θα επεξεργάζεται πλέον τα διαβιβασθέντα προσωπικά δεδομένα.
-
Ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας εγγυώνται ότι, κατόπιν αιτήματος του εξαγωγέα δεδομένων ή/και της εποπτεύουσας αρχής, θα διαθέσει τις εγκαταστάσεις επεξεργασίας δεδομένων που διαθέτει σε έλεγχο των μέτρων που αναφέρονται στην παράγραφο 1.
των Τυποποιημένων συμβατικών ρητρών
Οι πρόσθετες απαραίτητες πληροφορίες, εφόσον δεν περιέχονται σε συνοδευτική Δήλωση εργασίας, θα πρέπει να περιλαμβάνονται στο παρόν Παράρτημα:
Εξαγωγέας δεδομένων:
Ο εξαγωγέας δεδομένων είναι η οντότητα που προσδιορίζεται ως GoDaddy, ένας πάροχος ενός προγράμματος μεταπώλησης ώστε ο εισαγωγέας δεδομένων να μεταπωλεί ορισμένα προϊόντα και υπηρεσίες της GoDaddy σε πελάτες.
Εισαγωγέας δεδομένων:
Ο εισαγωγέας δεδομένων είναι ένας μεταπωλητής των προϊόντων και των υπηρεσιών της GoDaddy.
Πρόσωπα στα οποία αναφέρονται τα δεδομένα
Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα είναι οι πελάτες.
Κατηγορίες δεδομένων
Τα προσωπικά δεδομένα που διαβιβάζονται εμπίπτουν στις ακόλουθες κατηγορίες δεδομένων:
Ο πελάτης μπορεί να υποβάλλει στις Υπηρεσίες προσωπικά δεδομένα τα οποία ενδέχεται να περιλαμβάνουν, χωρίς περιορισμούς, τις ακόλουθες κατηγορίες δεδομένων προσωπικού χαρακτήρα:
- Ονοματεπώνυμο
- Αριθμός τηλεφώνου
- Φυσική διεύθυνση
- Εργασίες επεξεργασίας
Τα προσωπικά δεδομένα που θα διαβιβαστούν θα υπόκεινται στις ακόλουθες βασικές δραστηριότητες επεξεργασίας:
Ο Μεταπωλητής θα επεξεργάζεται προσωπικά δεδομένα όπως είναι απαραίτητο για την παροχή Υπηρεσιών στο πλαίσιο της Σύμβασης μεταπωλητή, καθώς και σύμφωνα με τις περαιτέρω οδηγίες που λαμβάνει από τον πελάτη κατά τη διάρκεια της από μέρους του χρήσης των Υπηρεσιών.
των Τυποποιημένων συμβατικών ρητρών
Μέτρα τεχνικής και οργανωτικής ασφάλειας
Ο εισαγωγέας δεδομένων θα λαμβάνει τεχνικά και διαχειριστικά μέτρα προστασίας για την προστασία της ασφάλειας, της εμπιστευτικότητας και της ακεραιότητας των δεδομένων των πελατών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, όπως προσδιορίζεται στην παρούσα Προσθήκη επεξεργασίας δεδομένων. Ο εισαγωγέας δεδομένων θα παρακολουθεί τακτικά τη συμμόρφωση με αυτά τα μέτρα ασφαλείας. Ο εισαγωγέας δεδομένων δεν θα μειώνει ουσιαστικά τη συνολική ασφάλεια των Υπηρεσιών ή του Προγράμματος μεταπώλησης.
Οι μεταφρασμένες εκδόσεις των νομικών συμβάσεων και των πολιτικών παρέχονται αποκλειστικά για σκοπούς εξυπηρέτησης και διευκόλυνσης της ανάγνωσης και της κατανόησης των αγγλικών εκδόσεων. Οι μεταφράσεις των νομικών συμβάσεων και των πολιτικών δεν παρέχονται με σκοπό τη δημιουργία νομικά δεσμευτικής συμφωνίας ούτε ως υποκατάστατο της νομικής εγκυρότητας της αγγλικής έκδοσης. Εάν ανακύψει οποιαδήποτε διαφορά ή σύγκρουση, σε κάθε περίπτωση οι αγγλικές εκδόσεις των νομικών συμβάσεων και των πολιτικών θα διέπουν τη μεταξύ μας συμβατική σχέση και θα υπερισχύουν των όρων που καθορίζονται σε οποιαδήποτε άλλη γλώσσα.