σελ. 1 Δ. ΝΕΡΟΥΤΣΟΣ & ΣΙΑ ΟΕ Υπηρεσίες Πληροφορικής Τζων Κέννεντυ 223, Χαϊδάρι, ΤΚ Αττική ΑΦΜ: ΔΟΥ: ΑΙΓΑΛΕΩ

Transcript

1 ΙΔΙΩΤΙΚΟ ΣΥΜΦΩΝΗΤΙΚΟ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Στην Αθήνα, σήμερα την 31 / 5 / 2018, οι κάτωθι συμβαλλόμενοι: Αφενός, ο/η. που εδρεύει., επί της οδού, με Α.Φ.Μ..της Δ.Ο.Υ., ο/η οποίος/α εκπροσωπείται νόμιμα στο παρόν από τον/την.., (εφεξής αναφερόμενος για λόγους συντομίας «Υπεύθυνος της Επεξεργασίας» ή «Υ.Ε.»), και Αφετέρου ο/η «Δ. ΝΕΡΟΥΤΣΟΣ & ΣΙΑ Ο.Ε.» (HyperMorph), η οποία εδρεύει στον Χαϊδάρι, επί της οδού με Α.Φ.Μ της Δ.Ο.Υ. Αιγάλεω, (εφεξής αναφερόμενος/η για λόγους συντομία ως ο «Εκτελών την Επεξεργασία» η «Ε.Ε.»), Συμφωνούν και συναποδέχονται τα ακόλουθα: 1. ΕΙΣΑΓΩΓΗ 1.1. Αντικείμενο του παρόντος Ιδιωτικού Συμφωνητικού αποτελεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον «Εκτελούντα την Επεξεργασία» για λογαριασμό του «Υπευθύνου Επεξεργασίας». 1.2 Τα συμβαλλόμενα μέρη συμφωνούν ότι ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιγράφονται στο παρόν ιδιωτικό συμφωνητικό. Ο Εκτελών την Επεξεργασία δεν επεξεργάζεται τα προσωπικά δεδομένα για δικούς του σκοπούς, αλλά ενεργεί μόνο για λογαριασμό του Υπεύθυνου Επεξεργασίας και σύμφωνα με τις γραπτές οδηγίες του. 2. ΕΡΜΗΝΕΙΑ ΟΡΩΝ 2.1 Όροι Ως "εφαρμοστέος νόμος για την προστασία των δεδομένων" νοείται: πριν από τις 25 Μαΐου 2018, η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των εν λόγω δεδομένων καθώς και κάθε μεταφορά της εν λόγω οδηγίας στο εφαρμοστέο δίκαιο των κρατών μελών και από τις 25 Μαΐου 2018 και μετά, ο κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95 /46 /ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων ή "GDPR") και των εφαρμοστέων νόμων των κρατών μελών της ΕΕ που τον συμπληρώνουν. Ως "Δεδομένα προσωπικού χαρακτήρα" νοούνται: κάθε πληροφορία που αφορά ένα υποκείμενο δεδομένων. σελ. 1

2 Ως "υποκείμενο δεδομένων" νοείται: κάθε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας όπως όνομα, αριθμό δελτίου ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό στοιχείο ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. "Επεξεργασία" : κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή καταστροφή. Ως "υποχρεωτική επεξεργασία" νοείται η επεξεργασία που απαιτείται από το νόμο. Ως "Περιστατικό απειλής ασφαλείας" νοείται κάθε γεγονός που μπορεί να προκαλέσει παραβίαση προσωπικών δεδομένων. "Παραβίαση προσωπικών δεδομένων" σημαίνει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία. "Χαρακτηριστικά της επεξεργασίας": αντικείμενο της επεξεργασίας, διάρκεια της επεξεργασίας, φύση της επεξεργασίας, σκοπός της επεξεργασίας, τύπος επεξεργασμένων δεδομένων προσωπικού χαρακτήρα, κατηγορίες υποκειμένων των δεδομένων που επηρεάζονται από την Επεξεργασία. "Αρχεία των δραστηριοτήτων επεξεργασίας": αρχείο που περιέχει όλες τις πληροφορίες που περιέχονται στο άρθρο 30 του ΓΚΠΔ (GDPR). "Γραπτή" : κάθε μορφή επικοινωνίας που θεωρείται ότι έχει δοθεί εγκύρως βάσει των όρων του παρόντος ιδιωτικού συμφωνητικού. Ως "μεταφορά" νοείται η αποκάλυψη ή άλλως η διάθεση δεδομένων προσωπικού χαρακτήρα σε τρίτους (συμπεριλαμβανομένης οποιασδήποτε θυγατρικής ή υπεργολάβου) είτε με φυσική μετακίνηση των προσωπικών δεδομένων σε τρίτους είτε με την παροχή πρόσβασης στα προσωπικά δεδομένα με άλλα μέσα. "Διερεύνηση παραβίασης": η λεπτομερής διερεύνηση των περιστάσεων ενός συμβάντος ασφαλείας, συμπεριλαμβανομένων, ενδεικτικά, της πηγής, της έκτασης και του βαθμού βλάβης του υποκειμένου των δεδομένων. Οι όροι που δεν καθορίζονται στο παρόν θα έχουν την ίδια έννοια με εκείνη που καθορίζεται στον ισχύοντα νόμο περί προστασίας δεδομένων. 3. ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ 3.1. Τα Χαρακτηριστικά της Επεξεργασίας ορίζονται στο Παράρτημα 1 που ενσωματώνεται στο παρόν Σε περίπτωση αλλαγής των Χαρακτηριστικών της Επεξεργασίας, τα Μέρη τροποποιούν αναλόγως το Παράρτημα Εάν ο Υπεύθυνος Επεξεργασίας δεδομένων ενημερώσει εγγράφως τον Εκτελούντα την Επεξεργασία δεδομένων σχετικά με την αλλαγή των χαρακτηριστικών της επεξεργασίας, ο τελευταίος θα πρέπει να επιβεβαιώσει την αλλαγή εγγράφως εντός τριών (3) ημερών. Σε περίπτωση που ο Εκτελών την Επεξεργασία δεν επιβεβαιώσει ρητά την αλλαγή σελ. 2

3 εντός πέντε (5) εργάσιμων ημερών, η επιβεβαίωση θα θεωρείται ότι έχει δοθεί ρητά, εκτός εάν ο Εκτελών την Επεξεργασία εγείρει αιτιολογημένη αντίρρηση κατά της αλλαγής Ο Υπεύθυνος Επεξεργασίας δεδομένων με το παρόν δεσμεύεται να διασφαλίσει την ασφάλεια της επεξεργασίας σεβόμενος τα χαρακτηριστικά της επεξεργασίας. 4. ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ Συμμόρφωση 4.1. Ο Εκτελών την Επεξεργασία, συμφωνεί ότι συμμορφώνεται με τον Εφαρμοστέο Νόμο περί Προστασίας Δεδομένων όσον αφορά όλα τα προσωπικά δεδομένα στα οποία έχει πρόσβαση, σχετικά με την παροχή υπηρεσιών που έχει συμφωνηθεί μεταξύ των Μερών Ο Εκτελών την Επεξεργασία θα πρέπει να έχει στη διάθεσή του τα κατάλληλα οργανωτικά και τεχνικά μέτρα κατά τη στιγμή της επεξεργασίας και να παρέχει επαρκείς εγγυήσεις για αυτό στον Υπεύθυνο Επεξεργασίας κατόπιν αιτήματος Ο Εκτελών την Επεξεργασία θέτει στη διάθεση του υπεύθυνου της επεξεργασίας όλες τις πληροφορίες που μπορεί να είναι απαραίτητες για να αποδείξει τη συμμόρφωσή του με όλες τις υποχρεώσεις του βάσει του Εφαρμοστέου Νόμου περί Προστασίας Δεδομένων Ο Εκτελών την Επεξεργασία αναγνωρίζει με την παρούσα ότι τίποτα δεν τον απαλλάσσει από τις δικές του άμεσες ευθύνες σύμφωνα με τον εφαρμοστέο νόμο περί προστασίας δεδομένων Ο Εκτελών την Επεξεργασία αναγνωρίζει ότι σύμφωνα με τον ΓΚΠΔ (GDPR), έχει άμεσες ευθύνες: (i) να μην χρησιμοποιεί υπεργολάβο χωρίς προηγούμενη έγγραφη εξουσιοδότηση του Υπεύθυνου Επεξεργασίας δεδομένων, ii) να συνεργάζεται με τις εποπτικές αρχές iii) να διασφαλίζει την ασφάλεια της επεξεργασίας, (iv) να τηρεί μητρώο των δραστηριοτήτων επεξεργασίας του, v) να κοινοποιεί κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα στον Υπεύθυνο Επεξεργασίας δεδομένων, (vi) να απασχολεί, εάν κρίνεται αναγκαίο, υπεύθυνο προστασίας δεδομένων (DPO), και vii) να διορίζει, εάν χρειάζεται, εκπρόσωπο εντός της ΕΕ Ο Εκτελών την Επεξεργασία επιβεβαιώνει πως σύμφωνα με τον ΓΚΠΔ (GDPR), (i) μπορεί να υπόκειται σε έρευνα των εποπτικών αρχών και (ii) εάν δεν εκπληρώσει τις υποχρεώσεις του βάσει του ΓΚΠΔ (GDPR) ή ενεργήσει κατά ή εκτός των γραπτών εντολών του Υπεύθυνου Επεξεργασίας, μπορεί να του επιβληθεί διοικητικό πρόστιμο, ποινή ή / και μπορεί να χρειαστεί να καταβάλει αποζημίωση στο υποκείμενο των δεδομένων ή άλλο πρόσωπο που υπέστη ζημία λόγω της επεξεργασίας δεδομένων προσωπικού του χαρακτήρα Ο Εκτελών την Επεξεργασία με το παρόν αναγνωρίζει ότι σύμφωνα με τον ΓΚΔΠ (GDPR), εάν ο ίδιος καθορίζει τους σκοπούς και το μέσο επεξεργασίας, ενάντια στις παρούσες απαγορεύσεις, θα θεωρείται Υπεύθυνος Επεξεργασίας δεδομένων και θα έχει ευρύτερες ευθύνες και υποχρεώσεις στο πλαίσιο του ΓΚΠΔ (GDPR) από εκείνες που περιγράφονται στο παρόν. Απαιτούμενες Γραπτές Οδηγίες 4.5 Ο Εκτελών την Επεξεργασία συμφωνεί και αναγνωρίζει ότι μόνο ο Υπεύθυνος Επεξεργασίας δεδομένων ελέγχει τι συμβαίνει με τα προσωπικά δεδομένα. Ο Εκτελών την Επεξεργασία, επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις γραπτές οδηγίες του Υπεύθυνου της Επεξεργασίας. σελ. 3

4 4.6 Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας δεδομένων για τα προβλεπόμενα από το νόμο καθήκοντά του και για κάθε επεξεργασία όπως απαιτείται εκ του νόμου. Ο Εκτελών την Επεξεργασία δηλώνει ότι οι υποχρεώσεις που ανακύπτουν από το νόμο και εφαρμόζονται στο παρόν είναι οι οριζόμενες στο Παράρτημα 1. Ο Εκτελών την Επεξεργασία θα ενημερώνει εγγράφως και εκ των προτέρων τον Υπεύθυνο Επεξεργασίας σε περίπτωση οποιασδήποτε μεταβολής των υποχρεώσεων που απαριθμούνται στο Παράρτημα 1. Σε περίπτωση υποχρεωτικής επεξεργασίας, ο Εκτελών την Επεξεργασία θα ενημερώνει εγγράφως τον Υπεύθυνο Επεξεργασίας δεδομένων πριν από την Επεξεργασία που απαιτείται από το νόμο, εκτός εάν για λόγους εξαιρετικού δημοσίου συμφέροντος, ο νόμος απαγορεύει ρητά την ως άνω ενημέρωση του Υπεύθυνου Επεξεργασίας. Η μη ενημέρωση του Υπεύθυνου Επεξεργασίας δεδομένων για καθήκοντα που προκύπτουν εκ του νόμου δεν απαλλάσσει τον Εκτελούντα την Επεξεργασία από την υποχρέωση παροχής γραπτής ειδοποίησης σχετικά με οποιαδήποτε επεξεργασία απαιτείται από το νόμο. Εμπιστευτικότητα 4.7 Ο Εκτελών την Επεξεργασία συμφωνεί να διατηρεί όλα τα προσωπικά δεδομένα που επεξεργάζεται για λογαριασμό του Υπευθύνου της επεξεργασίας με απόλυτη εχεμύθεια κατά την εκτέλεση της παρούσας συμφωνίας και να μην αποκαλύπτει τις πληροφορίες αυτές σε μη εξουσιοδοτημένους τρίτους. 4.8 Ο Εκτελών την Επεξεργασία θα διασφαλίζει ότι κατά την Επεξεργασία τα πρόσωπα θα έχουν πρόσβαση στα επεξεργασμένα δεδομένα προσωπικού χαρακτήρα, μόνο υπό το πρίσμα αναγκαιότητας γνώσης και εφαρμογής της νομικής βάσης και διασφαλίζει ότι τα εν λόγω πρόσωπα πληρούν τις απαιτήσεις του παρόντος. 4.9 Ο Εκτελών την Επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα (συμπεριλαμβανομένων, μεταξύ άλλων, των υπαλλήλων του, των προσωρινά απασχολουμένων και των υπεργολάβων τους) και έχουν πρόσβαση στα δεδομένα αυτά υπόκεινται σε υποχρεώσεις εμπιστευτικότητας. Ο Υπεύθυνος Επεξεργασίας δεδομένων πρέπει να λάβει γραπτή δέσμευση εμπιστευτικότητας από οποιονδήποτε επιτρέπει την Επεξεργασία των προσωπικών δεδομένων, εκτός εάν αυτοί ήδη υπόκεινται σε τέτοια υποχρέωση βάσει του νόμου Το ως άνω καθήκον εμπιστευτικότητας θα εξακολουθήσει να ισχύει για την παρούσα συμφωνία για απεριόριστο χρονικό διάστημα. Εξασφάλιση της συμμόρφωσης υπό την εξουσία του Εκτελούντα την Επεξεργασία 4.11 Ο Εκτελών την Επεξεργασία θα εξασφαλίζει και θα ελέγχει τακτικά, για λόγους πρόληψης Περιστατικών Απειλής Ασφαλείας, ότι κάθε πρόσωπο που ενεργεί υπό την εξουσία του και έχει πρόσβαση στα προσωπικά δεδομένα επεξεργάζεται τα δεδομένα μόνο σύμφωνα με τους όρους του παρόντος. Ασφάλεια της επεξεργασίας 4.12 Ο Εκτελών την Επεξεργασία λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα κατά τη διάρκεια ισχύος του παρόντος για να διασφαλίσει την ασφάλεια των υπό επεξεργασία προσωπικών δεδομένων Ο Εκτελών την Επεξεργασία συμφωνεί να εφαρμόσει τα οργανωτικά και τεχνικά μέτρα ασφαλείας όπως περιγράφονται στο Παράρτημα Νο. 2, που ενσωματώνεται στο παρόν Ο Εκτελών την Επεξεργασία θα αναπτύσσει το λογισμικό, τις αναβαθμίσεις υλικού και θα εκτελεί τροποποιήσεις των οργανωτικών μέτρων στο μέλλον, εάν είναι απαραίτητο, για να εξασφαλίσει την ασφάλεια της επεξεργασίας. Συμμετοχή υπεργολάβου επεξεργασίας δεδομένων σελ. 4

5 4.15 Ο Εκτελών την Επεξεργασία δεν θα αναθέτει οποιαδήποτε επεξεργασία προσωπικών δεδομένων σε τρίτο υπεργολάβο χωρίς την προηγούμενη ειδική ή γενική γραπτή συγκατάθεση του Υπεύθυνου Επεξεργασίας Ο Υπεύθυνος Επεξεργασίας με το παρόν συμφωνεί με τη συμμετοχή των υπεργολάβων που περιλαμβάνονται στο Παράρτημα 1. Ο Εκτελών την Επεξεργασία δεσμεύεται να ενημερώσει εγγράφως τον Υπεύθυνο Επεξεργασίας σχετικά με οποιαδήποτε αλλαγή στους όρους δέσμευσης με τους υπεργολάβους (συμπεριλαμβανομένων, ενδεικτικά, του ονόματος, της καταχωρημένης διεύθυνσης και των Χαρακτηριστικών της Επεξεργασίας) και να παρέχει στον Υπεύθυνο Επεξεργασίας τη δυνατότητα να αντιταχθεί σε τυχόν αλλαγές που έχουν αντίκτυπο στην ασφάλεια της επεξεργασίας των δεδομένων Ο Εκτελών την Επεξεργασία επιβάλλει τους ίδιους όρους προστασίας δεδομένων που προβλέπει το παρόν σε οποιονδήποτε υπεργολάβο διορίζει και τον υποχρεώνει να εκπληρώσει τα καθήκοντα γνωστοποίησης εντός προθεσμίας γεγονός που επιτρέπει την ορθή εκτέλεση και των δικών του καθηκόντων γνωστοποίησης Ο Εκτελών την Επεξεργασία ευθύνεται για όλες τις παραβιάσεις του εφαρμοστέου Νόμου για την Προστασία Δεδομένων από τρίτο υπεργολάβο που έχει αναλάβει όπως ορίζεται στο παρόν σαν να ήταν δικές του πράξεις, σφάλματα ή παραλείψεις Ο Εκτελών την Επεξεργασία ενημερώνει γραπτώς τον Υπεύθυνο Επεξεργασίας δεδομένων για όλους τους υπεργολάβους που δεν περιλαμβάνονται στο Παράρτημα 1 καθώς και το αντικείμενο της δραστηριότητάς τους τουλάχιστον 30 ημέρες πριν από την πρόσληψή τους. Το καθήκον πληροφόρησης περιλαμβάνει, όχι περιοριστικά, το όνομα του υπεργολάβου, την διεύθυνση και τα Χαρακτηριστικά της Επεξεργασίας. Ο Υπεύθυνος Επεξεργασίας έχει το δικαίωμα να αρνηθεί την πρόσληψη ενός υπεργολάβου για οποιονδήποτε λόγο Ο Υπεύθυνος Επεξεργασίας έχει το δικαίωμα να αποσύρει τη συγκατάθεσή του για τη πρόσληψη ενός υπεργολάβου εάν, λόγω της μη συμμόρφωσης του δεν εξασφαλίζεται η ασφάλεια της επεξεργασίας. Δικαιώματα του Υποκειμένου Δεδομένων 4.21 Ο Εκτελών την Επεξεργασία αναγνωρίζει ότι ένα Υποκείμενο Δεδομένων έχει δικαίωμα να ζητήσει πρόσβαση, διόρθωση, αντίρρηση, διαγραφή και μεταφορά των προσωπικών του δεδομένων Ο Εκτελών την Επεξεργασία παρέχει κάθε εύλογη βοήθεια, μέσα σε πέντε (5) τουλάχιστον ημέρες, με τα κατάλληλα τεχνικά και οργανωτικά μέτρα προς τον Υπεύθυνο Επεξεργασίας δεδομένων, ώστε ο τελευταίος να μπορεί να ανταποκριθεί: (i) σε οποιοδήποτε αίτημα υποκειμένου δεδομένων να ασκήσει οιοδήποτε τα δικαιώματά του βάσει του εφαρμοστέου νόμου περί προστασίας δεδομένων και (ii) σε οποιαδήποτε αλληλογραφία, έρευνα ή καταγγελία του Υποκειμένου Δεδομένων, της Εποπτικής Αρχής ή άλλου τρίτου σε σχέση με την Επεξεργασία των προσωπικών δεδομένων που περιέχονται στο παρόν. Σε περίπτωση που οποιοδήποτε τέτοιο αίτημα, αλληλογραφία, έρευνα ή καταγγελία γίνει απευθείας στον Εκτελούντα την Επεξεργασία, ο τελευταίος ενημερώνει έγκαιρα και το αργότερο μετά από τρεις (3) ημέρες, τον Υπεύθυνο Επεξεργασίας παρέχοντάς του πλήρη στοιχεία Ο Εκτελών την Επεξεργασία δεν πρέπει να ενεργεί κατόπιν τέτοιας αίτησης, αλληλογραφίας, έρευνας ή καταγγελίας που απευθύνεται απευθείας σε αυτόν χωρίς προηγούμενες γραπτές οδηγίες του Υπεύθυνου της Επεξεργασίας Ο Εκτελών την Επεξεργασία δεσμεύεται να παράσχει κάθε δυνατή συνδρομή σύμφωνα με τις υποπαραγράφους 4.21, 4.22 και 4.23 χωρίς πρόσθετο κόστος. Γνωστοποίηση και Κοινοποίηση ενός Περιστατικού Απειλής Ασφαλείας σελ. 5

6 4.25 Μόλις γίνει αντιληπτό ένα Περιστατικό Απειλής Ασφάλειας, ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο μέσα σε είκοσι τέσσερις (24) ώρες και παρέχει όλες τις απαραίτητες πληροφορίες ώστε να μπορέσει στη συνέχεια ο Υπεύθυνος Επεξεργασίας, να εκπληρώσει τις υποχρεώσεις γνωστοποίησης παραβίασης προσωπικών δεδομένων βάσει (και σύμφωνα με τα χρονοδιαγράμματα που απαιτούνται) του εφαρμοστέου νόμου περί προστασίας δεδομένων. Ο Εκτελών την Επεξεργασία λαμβάνει στη συνέχεια όλα τα μέτρα που απαιτούνται για την επανόρθωση ή τον μετριασμό των επιπτώσεων του ως άνω Περιστατικού, και κρατά ενήμερο τον Υπεύθυνο Επεξεργασίας για όλες τις εξελίξεις σε σχέση με αυτό Ο Εκτελών την Επεξεργασία δεσμεύεται να διεξάγει οποιαδήποτε έρευνα παραβίασης που σχετίζεται με τυχόν περιστατικά απειλής ασφαλείας όταν αυτό ζητηθεί εγγράφως από τον Υπεύθυνο Επεξεργασίας, χωρίς επιπλέον έξοδα. Συνεργασία για την αξιολόγηση αντικτύπου προστασίας δεδομένων 4.27 Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο εάν πιστεύει ότι η επεξεργασία είναι πιθανό να είναι υψηλού κινδύνου και πρέπει να διεξαχθεί αξιολόγηση αντικτύπου για την προστασία των δεδομένων Ο Εκτελών την Επεξεργασία παρέχει βοήθεια στον Υπεύθυνο Επεξεργασίας κατά την εκπόνηση της αξιολόγησης αντικτύπου προστασίας δεδομένων καθώς και στις ακόλουθες διαβουλεύσεις με την Εποπτική Αρχή, εάν χρειάζεται. Υποστήριξη της προηγούμενης διαβούλευσης 4.29 Ο Εκτελών την Επεξεργασία, εφόσον απαιτείται, συνεργάζεται με τον Υπεύθυνο Επεξεργασίας σε οποιαδήποτε προηγούμενη διαβούλευση με εποπτική αρχή. Τέλος επεξεργασίας 4.30 Τα συμβαλλόμενα μέρη συμφωνούν ότι ο Εκτελών την Επεξεργασία και ο υπεργολάβος θα πρέπει, κατ επιλογή του Υπεύθυνου Επεξεργασίας δεδομένων (i) να επιστρέψουν όλα τα επεξεργασμένα προσωπικά δεδομένα και τυχόν αντίγραφα στον Υπεύθυνο Επεξεργασίας, ή (ii) να καταστρέψουν όλα τα προσωπικά δεδομένα και να βεβαιώσουν τον Υπεύθυνο Επεξεργασίας ότι το έπραξαν, εκτός εάν η νομοθεσία δεν επιτρέπει στον Εκτελούντα την Επεξεργασία την επιστροφή ή την καταστροφή του συνόλου ή μέρους των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα Σε περίπτωση υποχρεωτικής επεξεργασίας, ο Εκτελών την Επεξεργασία εγγυάται την εμπιστευτικότητα των επεξεργασμένων προσωπικών δεδομένων και τη διαγραφή αυτών καθώς και την ημερομηνία λήξης της Υποχρεωτικής Επεξεργασίας. Καθήκον ενημέρωσης 4.32 Ο Εκτελών την Επεξεργασία ενημερώνει αμέσως τον Υπεύθυνο Επεξεργασίας εάν, κατά τη γνώμη του, κάποια εντολή του τελευταίου παραβιάζει τον Εφαρμοστέο Νόμο περί Προστασίας Δεδομένων Ο Εκτελών την Επεξεργασία ενημερώνει λεπτομερώς τον Υπεύθυνο Επεξεργασίας για κάθε επικοινωνία που έχει με την Εποπτική Αρχή σε σχέση με την Επεξεργασία δεδομένων Όταν ο Εκτελών την Επεξεργασία επικοινωνεί με την Εποπτική Αρχή σχετικά με δραστηριότητες επεξεργασίας για λογαριασμό άλλου υπεύθυνου επεξεργασίας δεδομένων, ενημερώνει εκ των προτέρων και εγγράφως, τον Υπεύθυνο σελ. 6

7 Επεξεργασίας δεδομένων για κάθε επικοινωνία τέτοιου είδους, στο βαθμό βέβαια που αυτές οι δραστηριότητες ή οι επικοινωνίες ενδέχεται να τον επηρεάσουν Ο Εκτελών την Επεξεργασία ενημερώνει αμέσως τον Υπεύθυνο Επεξεργασίας και περιμένει τις οδηγίες του πριν προβεί σε οποιαδήποτε ενέργεια που μπορεί να επηρεάσει τα προσωπικά δεδομένα όπου: Α) ο Εκτελών την Επεξεργασία έχει βάσιμους λόγους να πιστεύει ότι θα παύσει να πληρώνει τα χρέη του, θα καταστεί αφερέγγυος ή θα εκδοθεί απόφαση για θέση σε εκκαθάριση ή αναγκαστική διαχείριση ή διάλυση της επιχείρησής του. Β) ο Εκτελών την Επεξεργασία διορίζεται ως εισπράκτορας, διαχειριστής, εκκαθαριστής, επίτροπος ή υπάλληλος εν γένει για τη διαχείριση του συνόλου ή οποιουδήποτε μέρους των περιουσιακών του στοιχείων ή αιτείται αναστολή πληρωμών, ή προτείνει οποιονδήποτε διακανονισμό με πιστωτές ή καθετί παρόμοιο με τα προαναφερθέντα προκύπτει σε οποιαδήποτε εφαρμοστέα δικαιοδοσία. Γ) ο Εκτελών την Επεξεργασία τερματίζει την επιχείρησή του. Αρχεία δραστηριοτήτων επεξεργασίας 4.38 Ο Εκτελών την Επεξεργασία, κατόπιν αιτήματος, θα παρέχει στον Υπεύθυνο Επεξεργασίας, όλες τις απαραίτητες πληροφορίες για να συμμορφωθεί με τις υποχρεώσεις που σχετίζονται με τα Αρχεία δραστηριοτήτων επεξεργασίας. Μεταφορά δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου 4.39 Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου απαιτεί προηγούμενη γραπτή συγκατάθεση του υπεύθυνου επεξεργασίας και μπορεί να διεξαχθεί μόνο εφόσον πληρούνται όλες οι απαιτήσεις του Νόμου περί Προστασίας Δεδομένων για την εν λόγω επεξεργασία. Τα μέτρα αυτά μπορεί να περιλαμβάνουν, μεταξύ άλλων, τη διαβίβαση των προσωπικών δεδομένων σε παραλήπτη μιας χώρας στην οποία η Ευρωπαϊκή Επιτροπή έχει αποφασίσει να παρέχει προστασία για τα προσωπικά δεδομένα, σε παραλήπτη που εφαρμόζει εταιρικούς δεσμευτικούς κανόνες σύμφωνα με τον εφαρμοστέο περί προστασίας προσωπικών δεδομένων νόμο, ή σε παραλήπτη που έχει υπογράψει σχετικές συμβατικές ρήτρες που έχουν υιοθετηθεί ή εγκριθεί από την Ευρωπαϊκή Επιτροπή. Δικαστική Επίλυση Διαφορών 4.40 Ο Εκτελών την Επεξεργασία ενημερώνει εγγράφως και χωρίς αδικαιολόγητη καθυστέρηση τον Υπεύθυνο Επεξεργασίας σε περίπτωση που ένα Υποκείμενο Δεδομένων εκκινήσει οποιαδήποτε δικαστική διαδικασία κατά του Εκτελούντα ή οποιοδήποτε πρόσωπο υποβάλει αξίωση αποζημίωσης (τόσο εξωδικαστικά όσο και δικαστικά) εναντίον του σχετικά με την Επεξεργασία στα πλαίσια του παρόντος συμφωνητικού Ο Εκτελών την Επεξεργασία δεν θα αναγνωρίζει καμία δικαστική διαδικασία που κινεί το Υποκείμενο Δεδομένων ή αγωγή αποζημίωσης που κατατίθεται από οποιοδήποτε πρόσωπο χωρίς την προηγούμενη γραπτή συγκατάθεση του υπεύθυνου επεξεργασίας δεδομένων. Ο Εκτελών την Επεξεργασία παρέχει στον Υπεύθυνο Επεξεργασίας τις απαραίτητες πληροφορίες σχετικά με την αξίωση ή την εκτέλεση της καθώς και τον εύλογο χρόνο για να αποφασίσει εάν η απαίτηση ή το δικαίωμα μπορούν να γίνουν δεκτά ή όχι Ο διακανονισμός μεταξύ του Εκτελούντος την Επεξεργασία και άλλου προσώπου σχετικά με αξιώσεις που σχετίζονται με την Επεξεργασία δεδομένων βάσει του παρόντος, δεν είναι δεσμευτικός για τον Υπεύθυνο Επεξεργασίας εκτός εάν συμφωνηθεί εγγράφως κάτι διαφορετικό. σελ. 7

8 4.43 Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση σχετικά με τη δυνατότητα παρέμβασης στη διαδικασία που κινήθηκε εναντίον του σχετικά με την Επεξεργασία καθώς και τους όρους και προϋποθέσεις τέτοιας παρέμβασης. 5. Δηλώσεις και Εγγυήσεις 5.1 Ο Εκτελών την Επεξεργασία δηλώνει και εγγυάται ότι: Α) διαθέτει τη γνώση, την αξιοπιστία και τους πόρους ώστε να έχει στη διάθεσή του τα σωστά μέτρα καθ όλη τη διάρκεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το παρόν ή στα πλαίσια υποχρεωτικής επεξεργασίας Β) έχει εφαρμόσει και θα συνεχίσει να εφαρμόζει τα οργανωτικά και τεχνικά μέτρα που περιγράφονται στο Παράρτημα αρ. 2 για την προστασία των προσωπικών δεδομένων από καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε αυτά. Γ) έχει και θα εξακολουθήσει να κατέχει όλες τις άδειες και εξουσιοδοτήσεις που απαιτούνται για την Επεξεργασία προσωπικών δεδομένων Δ) επεξεργάζεται τα προσωπικά δεδομένα σύμφωνα με τις γραπτές οδηγίες του Υπεύθυνου Επεξεργασίας δεδομένων, το παρόν συμφωνητικό και τον εφαρμοστέο νόμο για την προστασία των δεδομένων και αν αδυνατεί να ανταπεξέλθει σε τέτοιου είδους συμμόρφωση για οποιονδήποτε λόγο, συμφωνεί να ενημερώσει εγγράφως τον Υπεύθυνο Επεξεργασίας δεδομένων για την αδυναμία του αυτή να συμμορφωθεί. 6.Διάρκεια 6.1 Το παρόν συμφωνητικό έχει ημερομηνία έναρξης ισχύος αυτή που αναφέρεται ανωτέρω και θα συνεχιστεί μέχρις ότου η Κύρια Σύμβαση τερματιστεί εκ του νόμου ή μέχρι τη λήξη αυτής. Κανένα συμβαλλόμενο μέρος δεν έχει το δικαίωμα να τερματίσει το παρόν ανεξάρτητα από την Κύρια Σύμβαση. 7.Επικοινωνία 7.1 Όσον αφορά την Επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα μέρη επικοινωνούν μεταξύ τους μέσω των παρακάτω προσώπων. Άτομο επικοινωνίας του Εκτελούντος της Επεξεργασία: Γιαννέλης Αργύριος Στοιχεία επικοινωνίας: gdpr@hypermorph.com, τηλέφωνο: σελ. 8

9 Άτομο επικοινωνίας του Υπεύθυνου Επεξεργασίας: Στοιχεία επικοινωνίας: 7.2 Σε περίπτωση μεταβολής των ως άνω στοιχείων επικοινωνίας, τα συμβαλλόμενα μέρη οφείλουν να ενημερώνουν το έτερο μέρος για την εν λόγω μεταβολή. 7.3 Οι δηλώσεις, οι ειδοποιήσεις και οι οδηγίες που αποστέλλονται μεταξύ των μερών μέσω ηλεκτρονικού ταχυδρομείου θεωρείται ότι έχουν σταλεί έγκυρα εάν το άλλο μέρος έχει επιβεβαιώσει τη λήψη ή ο αποστολέας μπορεί να αποδείξει ότι ο παραλήπτης έλαβε γνώση. 7.4 Βάσει του παρόντος συμφωνητικού, οι δηλώσεις που παραδίδονται προσωπικά στο άτομο επικοινωνίας ή στον νόμιμο εκπρόσωπο των συμβαλλομένων μερών, μέσω ταχυδρομείου και στην ταχυδρομική διεύθυνση των συμβαλλομένων μερών θεωρούνται έγκυρες. 7.5 Οι δηλώσεις που γίνονται με ταχυδρομική αποστολή θεωρούνται ότι έχουν παραδοθεί την ημέρα της παράδοσης που αναφέρεται στην απόδειξη παραλαβής ή, εάν ο παραλήπτης αρνείτο την αποδοχή, κατά την ημερομηνία της απόπειρας παράδοσης ή, στην περίπτωση μη επιτυχούς παράδοσης η επιστολή επιστρέφει με την ένδειξη "μη παραδοτέο", "άγνωστος παραλήπτης" ή "ο παραλήπτης έχει μετακομίσει") θεωρείται ότι έχει παραδοθεί την πέμπτη (5η) ημέρα από την ημερομηνία αποστολής. 8. Διάφορες διατάξεις 8.1 Ο Εκτελών την Επεξεργασία αναγνωρίζει και συμφωνεί να συμμορφώνεται με την Πολιτική Προστασίας Προσωπικών Δεδομένων του/της. Σε περίπτωση ασυμφωνίας μεταξύ του παρόντος και της Πολιτικής Προστασίας Προσωπικών Δεδομένων του/της, θα εφαρμόζεται η πιο περιοριστική διάταξη. 8.2 Τα συμβαλλόμενα μέρη συμφωνούν ότι η παρούσα συμφωνία μπορεί να τροποποιηθεί μόνο γραπτώς, υπογεγραμμένη από εξουσιοδοτημένους αντιπροσώπους και των δύο μερών, εκτός εάν συμφωνηθεί διαφορετικά στο παρόν. 8.3 Η παρούσα συμφωνία διέπεται από το Ελληνικό δίκαιο με αποκλειστική αρμοδιότητα για την επίλυση της κάθε διαφοράς των δικαστηρίων της πόλης των Αθηνών. 8.4 Τα συμβαλλόμενα μέρη συμφωνούν ότι, ανεξάρτητα από τυχόν διατάξεις περί ευθύνης που απορρέουν από την Κύρια Σύμβαση, κάθε συμβάν που οδηγεί στην ευθύνη του εκτελούντος την Επεξεργασία βάσει του παρόντος διέπεται αποκλειστικά από τις διατάξεις του εφαρμοστέου δικαίου (συμπεριλαμβανομένων, μεταξύ άλλων, των Εφαρμοστέων Νόμου περί προστασίας δεδομένων) της έδρας του υπεύθυνου επεξεργασίας. 8.5 Τα συμβαλλόμενα μέρη συμφωνούν να επιλύουν φιλικά τυχόν διαφωνίες, όπου είναι εφικτό. Εάν τα μέρη δεν επιλύσουν φιλικά την εν λόγω διαφωνία, συμφωνούν να προσφύγουν στα αρμόδια δικαστήρια της χώρας του Υπεύθυνου Επεξεργασίας δεδομένων. σελ. 9

10

11

12 Ο Εκτελών την Επεξεργασία θα λαμβάνει τα αναγκαία μέτρα ώστε το προσωπικό να γνωρίζει τα πρότυπα ασφαλείας που επηρεάζουν την εκτέλεση των καθηκόντων του και τις συνέπειες που απορρέουν από την παραβίαση αυτών των διατάξεων. 3. Αναφορά Περιστατικών Απειλής Ασφαλείας Η διαδικασία καταγραφής και διαχείρισης περιστατικών Ασφαλείας θα περιλαμβάνει απαραιτήτως ένα μητρώο καταγραφής του περιστατικού, στο οποίο αναγράφεται ο χρόνος κατά τον οποίο συνέβη ή εντοπίστηκε το περιστατικό, το πρόσωπο που το ανέφερε, το πρόσωπο στο οποίο αναφέρθηκε, τις επιπτώσεις που επήλθαν από το εν λόγω Περιστατικό και τα ληφθέντα διορθωτικά μέτρα. 4. Εντοπισμός και έλεγχος ταυτότητας Ο Εκτελών την Επεξεργασία λαμβάνει τα κατάλληλα μέτρα για τη σωστή ταυτοποίηση των χρηστών που έχουν πρόσβαση στα δεδομένα μέσω συστημάτων εξουσιοδότησης όπως κωδικοί πρόσβασης και ταυτότητες. Ο Εκτελών την Επεξεργασία δημιουργεί μηχανισμό που επιτρέπει την αναγνώριση οποιουδήποτε χρήστη προσπαθεί να έχει πρόσβαση στο σύστημα πληροφοριών και την επαλήθευση της εξουσιοδότησής του. Όταν ο μηχανισμός επαλήθευσης της γνησιότητας βασίζεται στην ύπαρξη κωδικών πρόσβασης, πρέπει να υπάρχει διαδικασία γνωστοποίησης και αποθήκευσης που να εγγυάται την εμπιστευτικότητα και την ακεραιότητά τους. Το έγγραφο ασφαλείας καθορίζει τη συχνότητα με την οποία αλλάζουν οι κωδικοί πρόσβασης, η οποία σε καμία περίπτωση δεν μπορεί να είναι μικρότερη από ένα έτος. Όσο είναι σε ισχύ οι κωδικοί πρόσβασης πρέπει να αποθηκεύονται με ακατάληπτο τρόπο. 5. Έλεγχος πρόσβασης Οι χρήστες έχουν εξουσιοδοτημένη πρόσβαση μόνο στα δεδομένα και τις πηγές που απαιτούνται για την εκτέλεση των καθηκόντων τους. Ο Εκτελών την Επεξεργασία θα διαθέτει μηχανισμούς που εμποδίζουν τον χρήστη να έχει πρόσβαση σε δεδομένα ή πηγές διαφορετικές από αυτές που έχει εξουσιοδότηση ανάλογα με τα καθήκοντά του. Η πιο συνηθισμένη μέθοδος είναι ο έλεγχος πρόσβασης βάσει ρόλων (RBAC). Η πρόσβαση στα δεδομένα δεν ρυθμίζεται απευθείας από τους χρήστες, αλλά από προκαθορισμένους ρόλους. Οι χρήστες κατηγοριοποιούνται σε προκαθορισμένες ομάδες ρόλων και οι ομάδες ρόλων ρυθμίζονται με αντίστοιχα επίπεδα πρόσβασης. Ο Εκτελών την Επεξεργασία θα διασφαλίζει ότι υπάρχει ενημερωμένη λίστα με τα προφίλ των χρηστών, όπου αναγνωρίζεται το δικαίωμα πρόσβασης σε κάθε χρήστη. Μόνο το προσωπικό που είναι εξουσιοδοτημένο για το σκοπό αυτό στο έγγραφο ασφαλείας μπορεί να παραχωρήσει, να τροποποιήσει ή να ακυρώσει την πρόσβαση σε δεδομένα, σύμφωνα με τα κριτήρια που έχει ορίσει ο υπεύθυνος της επεξεργασίας. 6. Διαχείριση μέσων Τα μέσα πληροφορικής που περιέχουν δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε χώρο με περιορισμένη σελ. 12

13 πρόσβαση και μόνο για το προσωπικό που έχει εξουσιοδοτηθεί για το σκοπό αυτό στο έγγραφο ασφαλείας. Η εξαγωγή μέσων και εγγράφων που περιέχουν προσωπικά δεδομένα, συμπεριλαμβανομένων εκείνων που περιλαμβάνουν ή / και επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου και τελούν υπό τον έλεγχο του εκτελούντος την Επεξεργασία ή του υπεύθυνου επεξεργασίας, θα εκτελείται με την άδεια του υπεύθυνου επεξεργασίας ή του εκτελούντος την Επεξεργασία ή εφόσον υπάρχει η σχετική άδεια περί αυτού στο έγγραφο ασφαλείας. Τα μέτρα που αποσκοπούν στην αποφυγή κατά τη μεταφορά ενδεχόμενης κλοπής, απώλειας ή παράνομης πρόσβασης σε πληροφορίες πρέπει να λαμβάνονται κατά τη διάρκεια της μεταφοράς των εγγράφων. Κάθε έγγραφο ή μέσο που περιέχει δεδομένα προσωπικού χαρακτήρα που πρόκειται να καταστραφούν, πρέπει να διαγράφεται ή να καταστρέφεται πάντοτε με τη λήψη μέτρων που αποσκοπούν στην αποφυγή πρόσβασης στις πληροφορίες που περιέχονται σε αυτό ή στη μετέπειτα ανάκτησή του. Ο προσδιορισμός των μέσων που περιέχουν δεδομένα προσωπικού χαρακτήρα τα οποία ο οργανισμός θεωρεί ιδιαίτερα ευαίσθητα μπορεί να γίνει με τη χρήση λογικών συστημάτων επισήμανσης που επιτρέπουν στους εξουσιοδοτημένους χρήστες να προσδιορίζουν το περιεχόμενό τους και να καθιστούν δύσκολη την ταυτοποίηση για οποιονδήποτε άλλον μη εξουσιοδοτημένο. Τα μέσα πρέπει να περιέχουν ασφαλή κρυπτογράφηση που να εφαρμόζεται από προεπιλογή. 7. Αντιγραφή και ανάκτηση αντιγράφων Θα πρέπει να θεσπιστούν πρωτόκολλα για την λήψη αντιγράφων ασφαλείας τουλάχιστον σε εβδομαδιαία βάση, εκτός εάν τα δεδομένα δεν τροποποιηθούν κατά τη διάρκεια αυτής της περιόδου. Ομοίως, θα πρέπει να θεσπιστούν διαδικασίες ανάκτησης δεδομένων, ώστε να εξασφαλίζεται ανά πάσα στιγμή η επαναφορά τους στην αρχική κατάσταση σε περίπτωση απώλειας ή καταστροφής. Η χειροκίνητη καταγραφή των δεδομένων θα πραγματοποιείται μόνο όταν η απώλεια ή καταστροφή αφορά μερικώς τα αυτοματοποιημένα συστήματα αρχειοθέτησης ή επεξεργασίας και όταν η ύπαρξη των κατάλληλων εγγράφων επιτρέπει την επίτευξη του στόχου που αναφέρεται στην προηγούμενη παράγραφο. Θα πρέπει να γίνει μια αιτιολογημένη καταγραφή αυτού του γεγονότος στο έγγραφο ασφαλείας. Ο Εκτελών την Επεξεργασία εγγυάται ότι κάθε έξι μήνες διενεργείται επαλήθευση του σωστού χειρισμού, λειτουργίας και εφαρμογής των διαδικασιών για τη δημιουργία αντιγράφων ασφαλείας και την ανάκτηση δεδομένων. Οι δοκιμές πριν την εγκατάσταση ή τροποποίηση των πληροφοριακών συστημάτων όπου γίνεται η επεξεργασία των προσωπικών δεδομένων δεν θα γίνονται με πραγματικά δεδομένα, εκτός εάν εξασφαλίζεται το σχετικό επίπεδο ασφάλειας για τη διεργασία επεξεργασίας και αναφέρεται αυτό ρητά στο έγγραφο ασφαλείας. Εάν πρόκειται να γίνουν δοκιμές με πραγματικά δεδομένα, θα πρέπει να δημιουργηθεί ένα αντίγραφο ασφαλείας οπωσδήποτε πριν τη δοκιμή. β) ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΜΕΣΟΥ ΕΠΙΠΕΔΟΥ 1.Όλες οι απαιτήσεις ασφαλείας βασικού επιπέδου όπως περιγράφονται ανωτέρω 2. Υπεύθυνος Ασφαλείας σελ. 13

14 Ο Εκτελών την Επεξεργασία θα έχει στη διάθεσή του έναν υπεύθυνο ασφαλείας ο οποίος θα είναι υπεύθυνος για το συντονισμό και την παρακολούθηση των μέτρων που ορίζονται στο έγγραφο ασφαλείας. 3.Αξιολόγηση Ο Εκτελών την Επεξεργασία προβαίνει τουλάχιστον κάθε δύο (2) χρόνια σε εξωτερικό ή εσωτερικό έλεγχο στα συστήματα πληροφοριών και στις εγκαταστάσεις στις οποίες διενεργείται επεξεργασία δεδομένων για την επαλήθευση της συμμόρφωσης. Σε εξαιρετικές περιπτώσεις, ο έλεγχος αυτός διενεργείται κάθε φορά που γίνονται ουσιαστικές τροποποιήσεις στο σύστημα πληροφοριών που ενδέχεται να συνεπάγεται επιπτώσεις στην εφαρμογή των μέτρων ασφάλειας, προκειμένου να εξακριβωθεί η υιοθέτηση, προσαρμοστικότητα και η αποτελεσματικότητά τους. Η έκθεση ελέγχου πληροφορεί σχετικά με τη συμμόρφωση των μέτρων και ελέγχων, εντοπίζει τις ελλείψεις τους και προτείνει τα απαραίτητα διορθωτικά ή συμπληρωματικά μέτρα. Περιλαμβάνει επίσης δεδομένα, γεγονότα και παρατηρήσεις επί των οποίων βασίζονται οι προ διατυπωμένες εκθέσεις και οι προτεινόμενες συστάσεις. 4. Έλεγχος πρόσβασης μέσω φυσικής παρουσίας Μόνο το εξουσιοδοτημένο προσωπικό μπορεί να έχει πρόσβαση σε χώρους όπου βρίσκονται τα συστήματα πληροφοριών που περιέχουν δεδομένα προσωπικού χαρακτήρα. 5. Διαχείριση των μέσων 5.1 Καταγραφή εισερχόμενων μέσων Ο Εκτελών την Επεξεργασία πρέπει να δημιουργήσει ένα σύστημα για την καταχώριση των εισερχόμενων μέσων, στο οποίο θα καταγράφονται τα εξής: (i) ο τύπος των μέσων, (ii) ημερομηνία και ώρα εισόδου, (iii) αποστολέας, (iv) ο αριθμός των μέσων v) το είδος των πληροφοριών που περιέχονται, vi) η διαδικασία αποστολής και vii) ο υπεύθυνος για την παραλαβή τους, ο οποίος πρέπει να είναι ειδικά εξουσιοδοτημένος. Το εξουσιοδοτημένο για τη λήψη τους πρόσωπο είναι ο Υπεύθυνος Ασφαλείας. 5.2 Καταγραφή εξερχόμενων μέσων Ο Εκτελών την Επεξεργασία πρέπει να καθιερώσει ένα σύστημα για την καταχώρηση εξερχόμενων μέσων στο οποίο θα καταγράφονται τα εξής: (i) ο τύπος των μέσων, (ii) ημερομηνία και ώρα εξόδου, (iii) αποδέκτης, (iv) ο αριθμός των μέσων v) το είδος των πληροφοριών που περιέχονται, vi) η διαδικασία αποστολής και vii) ο υπεύθυνος για την παραλαβή τους, ο οποίος πρέπει να είναι ειδικά εξουσιοδοτημένος. Το άτομο που εξουσιοδοτείται να επιτρέπει την εξαγωγή μέσων είναι ο Υπεύθυνος Ασφαλείας. 6.Εντοπισμός και έλεγχος ταυτότητας Η δυνατότητα επανάληψης μη εξουσιοδοτημένων προσπαθειών πρόσβασης στο σύστημα πληροφοριών περιορίζεται από τον Εκτελούντα την Επεξεργασία. 7.Καταγραφή Περιστατικών Απειλής Ασφαλείας σελ. 14

15 Το μητρώο των περιστατικών ασφαλείας που καθορίζεται στο έγγραφο ασφαλείας περιλαμβάνει επίσης τις διαδικασίες που εφαρμόζονται για την ανάκτηση δεδομένων, αναφέροντας το πρόσωπο που εκτέλεσε τη διαδικασία, τα αποκατεστημένα δεδομένα και τον προσδιορισμό των δεδομένων που πρέπει να καταγράφονται χειροκίνητα κατά τη διαδικασία ανάκτησης. Η έγκριση από τον Υπεύθυνο Επεξεργασίας θα είναι απαραίτητη για την εκτέλεση των διαδικασιών ανάκτησης δεδομένων. γ) ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΥΨΗΛΟΥ ΕΠΙΠΕΔΟΥ 1.Όλες οι βασικές και μέσου επιπέδου απαιτήσεις ασφάλειας όπως περιγράφονται ανωτέρω 2. Διαχείριση μέσων 2.1. Ταυτοποίηση μέσων Η αναγνώριση των μέσων γίνεται με τη χρήση συστημάτων επισήμανσης που επιτρέπει στους χρήστες με εξουσιοδοτημένη από τον Εκτελούντα την Επεξεργασία πρόσβαση σε τέτοια έγγραφα και υποστηρικτικό υλικό να προσδιορίζουν το περιεχόμενό τους και να καθιστούν δύσκολη την αναγνώριση για όλους τους άλλους. 2.2.Μεταφορά και διανομή μέσων και εγγράφων Η διανομή μέσων που περιέχουν δεδομένα προσωπικού χαρακτήρα πραγματοποιείται μόνο με την κωδικοποίηση των δεδομένων ή με άλλο μηχανισμό ο οποίος εγγυάται ότι οι πληροφορίες δεν είναι εύκολα κατανοητές ή διαχειρίσιμες κατά τη μεταφορά τους Έξοδος μέσων Τα δεδομένα που περιέχονται σε φορητές συσκευές θα πρέπει να κωδικοποιούνται όταν βρίσκονται εκτός των εγκαταστάσεων του υπεύθυνου επεξεργασίας δεδομένων ή του Εκτελούντα την Επεξεργασία. 3. Καταγραφή πρόσβασης Για κάθε πρόσβαση στα αρχεία που περιέχουν προσωπικά δεδομένα, πρέπει να συλλέγονται οι ακόλουθες πληροφορίες από τον Εκτελούντα την Επεξεργασία : ταυτότητα χρήστη, ημερομηνία και ώρα κατά την οποία έγινε η πρόσβαση, το αρχείο στο οποίο έγινε η πρόσβαση, ο τύπος πρόσβασης και εάν είχε εγκριθεί ή όχι. Εάν η πρόσβαση είναι επιτρεπόμενη, θα απαιτείται η αποθήκευση πληροφοριών που επιτρέπουν την αναγνώριση της εγγραφής. Οι μηχανισμοί που επιτρέπουν την καταγραφή των προαναφερθέντων δεδομένων βρίσκονται υπό τον άμεσο έλεγχο του διαχειριστή της ασφάλειας, και η απενεργοποίησή τους απαγορεύεται υπό οποιεσδήποτε συνθήκες. Η ελάχιστη περίοδος διατήρησης των καταγεγραμμένων δεδομένων είναι δύο (2) έτη. Ο αρμόδιος Υπεύθυνος Ασφάλειας είναι υπεύθυνος για την περιοδική εξέταση των καταγεγραμμένων πληροφοριών ελέγχου και συντάσσει έκθεση σχετικά με τον έλεγχο που διενεργείται και τα προβλήματα που εντοπίζονται, τουλάχιστον μία φορά το μήνα. σελ. 15

16 4. Αντίγραφα ασφαλείας και ανάκτησης Ένα αντίγραφο ασφαλείας και ένα αντίγραφο των διαδικασιών ανάκτησης δεδομένων διατηρούνται σε τοποθεσία διαφορετική από εκείνη όπου βρίσκεται ο εξοπλισμός πληροφορικής. 5.Τηλεπικοινωνίες Η διαβίβαση δεδομένων προσωπικού χαρακτήρα μέσω τηλεπικοινωνιακών δικτύων πραγματοποιείται με την κωδικοποίηση τέτοιων δεδομένων ή με οποιοδήποτε άλλο μηχανισμό που εγγυάται ότι οι πληροφορίες δεν είναι κατανοητές ή παραποιήσιμες από τρίτους. 6. Μέτρα ασφάλειας που εφαρμόζονται ειδικά σε μη αυτοματοποιημένα αρχεία και επεξεργασία 6.1. Συσκευές αποθήκευσης Οι συσκευές αποθήκευσης μη αυτοματοποιημένων αρχείων με προσωπικά δεδομένα πρέπει να βρίσκονται σε περιοχές στις οποίες η πρόσβαση προστατεύεται από τις πόρτες εισόδου με κλειδαριές ή άλλη αντίστοιχη συσκευή. Οι περιοχές αυτές παραμένουν κλειστές όταν δεν απαιτείται πρόσβαση στα έγγραφα που περιλαμβάνονται στο σύστημα αρχειοθέτησης. Εάν, λαμβανομένων υπόψη των χαρακτηριστικών των χώρων που διαθέτει ο Εκτελών την Επεξεργασία, δεν είναι δυνατόν να συμμορφωθεί με αυτό που περιγράφεται ανωτέρω, ο Εκτελών την Επεξεργασία υιοθετεί εναλλακτικά μέτρα τα οποία, περιλαμβάνονται στο έγγραφο ασφαλείας. Οι εκτυπωτές που εκτυπώνουν μη αυτοματοποιημένα αρχεία θα πρέπει κάθε εβδομάδα να σβήνουν τη μνήμη προσωρινής αποθήκευσης Αντίγραφα ή αναπαραγωγή Η δημιουργία αντιγράφων ή η αναπαραγωγή των εγγράφων γίνεται μόνο υπό τον έλεγχο του εξουσιοδοτημένου στο έγγραφο ασφαλείας προσωπικού. Τα αντίγραφα ή οι αναπαραγωγές που πρόκειται να απορριφθούν καταστρέφονται για να αποφευχθεί η πρόσβαση στις πληροφορίες που περιέχονται σε αυτές ή η μετέπειτα ανάκτηση τους Πρόσβαση στα Έγγραφα Η πρόσβαση σε έγγραφα περιορίζεται αποκλειστικά στο εξουσιοδοτημένο προσωπικό. Πρέπει να θεσπιστούν μηχανισμοί που να επιτρέπουν τον προσδιορισμό της πρόσβασης σε έγγραφα που χρησιμοποιούνται από περισσότερους χρήστες. Η πρόσβαση των προσώπων που δεν περιλαμβάνονται ανωτέρω θα πρέπει να καταχωρείται επαρκώς στο έγγραφο ασφαλείας, σύμφωνα με τη διαδικασία που δημιουργήθηκε για το σκοπό αυτό Μεταφορά εγγράφων Όταν πραγματοποιείται φυσική μεταφορά εγγράφων που περιέχονται σε σύστημα αρχειοθέτησης, θεσπίζονται μέτρα με στόχο την αποφυγή της πρόσβασης στις πληροφορίες που μεταφέρονται. σελ. 16

17