Πολιτική επεξεργασίας προσωπικών δεδομένων της ΝΤΟΚΤΟΡ ΟΝ ΛΑΙΝ ΓΚΡΙΣ ΜΟΝΟΠΡΟΣΩΠΗ Ι.Κ.Ε. με διακριτικό τίτλο «ΝΤΟΚΤΟΡ ΟΝ ΛΑΙΝ ΓΚΡΙΣ Μ.Ι.Κ.Ε.» που εδρεύει επί της οδού Πατριάρχου Ιωακείμ 54, στην Αθήνα με Α.Φ.Μ. 801390810 & ΔΟΥ Δ’ Αθηνών, και εκπροσωπείται νόμιμα στο παρόν από τον Αλέξανδρο Πούλια. Εφεξής η «Εκτελών την Επεξεργασία».
1. ΕΙΣΑΓΩΓΗ
1.1 Αντικείμενο του παρόντος αποτελεί η περιγραφή της πολιτικής της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τον «Εκτελούντα την Επεξεργασία» για λογαριασμό του εκάστοτε «Υπευθύνου Επεξεργασίας». Ο εκτελών την επεξεργασία δεν επεξεργάζεται τα προσωπικά δεδομένα για δικούς του σκοπούς, αλλά ενεργεί μόνο για λογαριασμό του Υπεύθυνου Επεξεργασίας και σύμφωνα με τις γραπτές οδηγίες του.
2. ΕΡΜΗΝΕΙΑ ΟΡΩΝ
2.1Όροι
Ως "εφαρμοστέος νόμος’’ για την προστασία των δεδομένων" νοείται:
πριν από τις 25 Μαΐου 2018, η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των εν λόγω δεδομένων καθώς και κάθε μεταφορά της εν λόγω οδηγίας στο εφαρμοστέο δίκαιο των κρατών μελών και
από τις 25 Μαΐου 2018 και μετά, ο κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95 /46 /ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων ή "GDPR") και των εφαρμοστέων νόμων των κρατών μελών της ΕΕ που τον συμπληρώνουν.
Ως "Δεδομένα προσωπικού χαρακτήρα" νοούνται: κάθε πληροφορία που αφορά ένα υποκείμενο δεδομένων.
Ως "υποκείμενο δεδομένων" νοείται: κάθε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας όπως όνομα, αριθμό δελτίου ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό στοιχείο ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
"Επεξεργασία": κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή καταστροφή.
Ως "υποχρεωτική επεξεργασία" νοείται η επεξεργασία που απαιτείται από το νόμο.
Ως "Περιστατικό απειλής ασφαλείας" νοείται κάθε γεγονός που μπορεί να προκαλέσει παραβίαση προσωπικών δεδομένων.
"Παραβίαση προσωπικών δεδομένων" σημαίνει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
"Χαρακτηριστικά της επεξεργασίας": αντικείμενο της επεξεργασίας, διάρκεια της επεξεργασίας, φύση της επεξεργασίας, σκοπός της επεξεργασίας, τύπος επεξεργασμένων δεδομένων προσωπικού χαρακτήρα, κατηγορίες υποκειμένων των δεδομένων που επηρεάζονται από την Επεξεργασία.
"Αρχεία των δραστηριοτήτων επεξεργασίας": αρχείο που περιέχει όλες τις πληροφορίες που περιέχονται στο άρθρο 30 του ΓΚΠΔ (GDPR).
"Γραπτή": κάθε μορφή επικοινωνίας που θεωρείται ότι έχει δοθεί εγκύρως βάσει των όρων του παρόντος ιδιωτικού συμφωνητικού.
Ως "μεταφορά" νοείται η αποκάλυψη ή άλλως η διάθεση δεδομένων προσωπικού χαρακτήρα σε τρίτους (συμπεριλαμβανομένης οποιασδήποτε θυγατρικής ή υπεργολάβου) είτε με φυσική μετακίνηση των προσωπικών δεδομένων σε τρίτους είτε με την παροχή πρόσβασης στα προσωπικά δεδομένα με άλλα μέσα.
"Διερεύνηση παραβίασης": η λεπτομερής διερεύνηση των περιστάσεων ενός συμβάντος ασφαλείας, συμπεριλαμβανομένων, ενδεικτικά, της πηγής, της έκτασης και του βαθμού βλάβης του υποκειμένου των δεδομένων.
Οι όροι που δεν καθορίζονται στο παρόν θα έχουν την ίδια έννοια με εκείνη που καθορίζεται στον ισχύοντα νόμο περί προστασίας δεδομένων.
3. ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ
Συμμόρφωση
4.1 Ο εκτελών την Επεξεργασία, συμφωνεί ότι συμμορφώνεται με τον Εφαρμοστέο Νόμο περί Προστασίας Δεδομένων όσον αφορά όλα τα προσωπικά δεδομένα στα οποία έχει πρόσβαση, σχετικά με την παροχή υπηρεσιών που έχει συμφωνηθεί μεταξύ των Μερών.
4.2 Ο εκτελών την Επεξεργασία θα πρέπει να έχει στη διάθεσή του τα κατάλληλα οργανωτικά και τεχνικά μέτρα κατά τη στιγμή της επεξεργασίας και να παρέχει επαρκείς εγγυήσεις για αυτό στον Υπεύθυνο Επεξεργασίας κατόπιν αιτήματος.
4.3 Ο εκτελών την Επεξεργασία θέτει στη διάθεση του υπευθύνου επεξεργασίας όλες τις πληροφορίες που μπορεί να είναι απαραίτητες για να αποδείξει τη συμμόρφωσή του με όλες τις υποχρεώσεις του βάσει του Εφαρμοστέου Νόμου περί Προστασίας Δεδομένων.
4.4 Ο εκτελών την Επεξεργασία αναγνωρίζει με την παρούσα ότι τίποτα δεν τον απαλλάσσει από τις δικές του άμεσες ευθύνες σύμφωνα με τον εφαρμοστέο νόμο περί προστασίας δεδομένων.
4.4.1 Ο εκτελών την επεξεργασία αναγνωρίζει ότι σύμφωνα με τον ΓΚΠΔ (GDPR), έχει άμεσες ευθύνες: (i) να μην χρησιμοποιεί υπεργολάβο χωρίς προηγούμενη έγγραφη εξουσιοδότηση του Υπεύθυνου Επεξεργασίας δεδομένων, ii) να συνεργάζεται με τις εποπτικές αρχές iii) να διασφαλίζει την ασφάλεια της επεξεργασίας, (iv) να τηρεί μητρώο των δραστηριοτήτων επεξεργασίας του, v) να κοινοποιεί κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα στον Υπεύθυνο Επεξεργασίας δεδομένων, (vi) να απασχολεί, εάν κρίνεται αναγκαίο, υπεύθυνο προστασίας δεδομένων (DPO), και vii) να διορίζει, εάν χρειάζεται, εκπρόσωπο εντός της ΕΕ.
4.4.2 Ο εκτελών την Επεξεργασία επιβεβαιώνει πως σύμφωνα με τον ΓΚΠΔ (GDPR), (i) μπορεί να υπόκειται σε έρευνα των εποπτικών αρχών και (ii) εάν δεν εκπληρώσει τις υποχρεώσεις του βάσει του ΓΚΠΔ (GDPR) ή ενεργήσει κατά ή εκτός των γραπτών εντολών του Υπεύθυνου Επεξεργασίας, μπορεί να του επιβληθεί διοικητικό πρόστιμο, ποινή ή / και μπορεί να χρειαστεί να καταβάλει αποζημίωση στο υποκείμενο των δεδομένων ή άλλο πρόσωπο που υπέστη ζημία λόγω της επεξεργασίας δεδομένων προσωπικού του χαρακτήρα
4.4.3 Ο εκτελών την Επεξεργασία με το παρόν αναγνωρίζει ότι σύμφωνα με τον ΓΚΔΠ (GDPR), εάν ο ίδιος καθορίζει τους σκοπούς και το μέσο επεξεργασίας, ενάντια στις παρούσες απαγορεύσεις, θα θεωρείται Υπεύθυνος Επεξεργασίας δεδομένων και θα έχει ευρύτερες ευθύνες και υποχρεώσεις στο πλαίσιο του ΓΚΠΔ (GDPR) από εκείνες που περιγράφονται στο παρόν.
Απαιτούμενες Γραπτές Οδηγίες
4.5 Ο εκτελών την Επεξεργασία συμφωνεί και αναγνωρίζει ότι μόνο ο Υπεύθυνος Επεξεργασίας δεδομένων ελέγχει τι συμβαίνει με τα προσωπικά δεδομένα. Ο εκτελών την Επεξεργασία, επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις γραπτές οδηγίες του Υπευθύνου Επεξεργασίας.
4.6 Ο εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας για τα προβλεπόμενα από το νόμο καθήκοντά του και για κάθε επεξεργασία όπως απαιτείται εκ του νόμου. Ο Εκτελών την Επεξεργασία δηλώνει ότι οι υποχρεώσεις που ανακύπτουν από το νόμο και εφαρμόζονται στο παρόν είναι οι οριζόμενες στο Παράρτημα 1. Ο Εκτελών την Επεξεργασία υποχρεούται να ενημερώνει εγγράφως τον Υπεύθυνο Επεξεργασίας σε περίπτωση οποιασδήποτε μεταβολής των εκ του νόμου υποχρεώσεών του, όπως αυτές ορίζονται στο Παράρτημα αριθ. 1. Στην περίπτωση Υποχρεωτικής Επεξεργασίας, ο Εκτελών την Επεξεργασία οφείλει να ειδοποιεί εγγράφως τον Υπεύθυνο Επεξεργασίας πριν από τη διενέργεια οποιασδήποτε επεξεργασίας που απαιτείται από το νόμο, εκτός εάν ο νόμος απαγορεύει ρητά την ενημέρωση για λόγους σημαντικού δημόσιου συμφέροντος. Η παράλειψη ενημέρωσης του Υπεύθυνου Επεξεργασίας σχετικά με τις εκ του νόμου υποχρεώσεις δεν απαλλάσσει τον Εκτελούντα την Επεξεργασία από την υποχρέωση παροχής έγγραφης ειδοποίησης για οποιαδήποτε εκ του νόμου απαιτούμενη επεξεργασία.
Εμπιστευτικότητα
4.7 Ο Εκτελών την Επεξεργασία συμφωνεί να διατηρεί αυστηρά εμπιστευτικά όλα τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται εκ μέρους του Υπεύθυνου Επεξεργασίας κατά τη διάρκεια εκτέλεσης της παρούσας Σύμβασης και να μην αποκαλύπτει τις πληροφορίες αυτές σε μη εξουσιοδοτημένα τρίτα μέρη.
4.8 Ο Εκτελών την Επεξεργασία υποχρεούται να διασφαλίζει ότι, κατά την επεξεργασία, πρόσβαση στα δεδομένα προσωπικού χαρακτήρα έχουν μόνο τα πρόσωπα που απαιτείται να τα γνωρίζουν για την εκτέλεση των καθηκόντων τους και βάσει νόμιμης αιτιολογίας. Επιπλέον, οφείλει να διασφαλίζει ότι τα εν λόγω πρόσωπα συμμορφώνονται με τις απαιτήσεις της παρούσας Σύμβασης.
4.9 Ο εκτελών την Επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα (συμπεριλαμβανομένων, μεταξύ άλλων, των υπαλλήλων του, των προσωρινά απασχολουμένων και των υπεργολάβων τους) και έχουν πρόσβαση στα δεδομένα αυτά υπόκεινται σε υποχρεώσεις εμπιστευτικότητας. Ο Υπεύθυνος Επεξεργασίας δεδομένων πρέπει να λάβει γραπτή δέσμευση εμπιστευτικότητας από οποιονδήποτε επιτρέπει την Επεξεργασία των προσωπικών δεδομένων, εκτός εάν αυτοί ήδη υπόκεινται σε τέτοια υποχρέωση βάσει του νόμου.
4.10 Η υποχρέωση τήρησης της εμπιστευτικότητας παραμένει σε ισχύ επ’ αόριστον και μετά τη λήξη της παρούσας Σύμβασης.
Εξασφάλιση της συμμόρφωσης υπό την εξουσία του Εκτελούντα την Επεξεργασία
4.11 Ο Εκτελών την Επεξεργασία υποχρεούται να διασφαλίζει και να ελέγχει τακτικά, με σκοπό την πρόληψη Περιστατικών Ασφαλείας, ότι κάθε πρόσωπο που ενεργεί υπό την εξουσία του και έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται αποκλειστικά σύμφωνα με τους όρους της παρούσας Σύμβασης.
Ασφάλεια της επεξεργασίας
4.12 Ο Εκτελών την Επεξεργασία υποχρεούται να λαμβάνει και να διατηρεί σε ισχύ κατάλληλα οργανωτικά και τεχνικά μέτρα καθ' όλη τη διάρκεια της παρούσας Σύμβασης, προκειμένου να διασφαλίζει την ασφάλεια των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία.
4.13 Ο Εκτελών την Επεξεργασία συμφωνεί να εφαρμόσει τα οργανωτικά και τεχνικά μέτρα ασφαλείας, όπως περιγράφονται στο Παράρτημα αριθ. 2, το οποίο ενσωματώνεται στην παρούσα Σύμβαση μέσω παραπομπής.
4.14 Ο Εκτελών την Επεξεργασία υποχρεούται να προβαίνει σε αναβαθμίσεις λογισμικού και υλικού, καθώς και σε τροποποιήσεις των οργανωτικών μέτρων στο μέλλον, εφόσον απαιτείται, προκειμένου να διασφαλίζει την ασφάλεια της επεξεργασίας.
Συμμετοχή υπεργολάβου επεξεργασίας δεδομένων
4.15 Ο Εκτελών την Επεξεργασία δεν θα αναθέτει οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα σε τρίτο υπεργολάβο χωρίς την προηγούμενη ειδική ή γενική γραπτή συγκατάθεση του Υπεύθυνου Επεξεργασίας.
4.16 Ο Υπεύθυνος Επεξεργασίας παρέχει δια του παρόντος τη συγκατάθεσή του για τη συνεργασία με τους υπεργολάβους που αναφέρονται στο Παράρτημα αριθ. 1. Ο Εκτελών την Επεξεργασία δεσμεύεται να ενημερώνει εγγράφως τον Υπεύθυνο Επεξεργασίας για οποιαδήποτε αλλαγή στους όρους συνεργασίας με τους εν λόγω υπεργολάβους (συμπεριλαμβανομένων, ενδεικτικά, της επωνυμίας, της έδρας και των χαρακτηριστικών της επεξεργασίας) και να παρέχει στον Υπεύθυνο Επεξεργασίας τη δυνατότητα να προβάλλει αντιρρήσεις σε οποιαδήποτε αλλαγή επηρεάζει την ασφάλεια της επεξεργασίας.
4.17 Ο Εκτελών την Επεξεργασία επιβάλλει τους ίδιους όρους προστασίας δεδομένων που προβλέπει το παρόν σε οποιονδήποτε υπεργολάβο διορίζει και τον υποχρεώνει να εκπληρώσει τα καθήκοντα γνωστοποίησης εντός προθεσμίας γεγονός που επιτρέπει την ορθή εκτέλεση και των δικών του καθηκόντων γνωστοποίησης.
4.18 Ο Εκτελών την Επεξεργασία φέρει ευθύνη για κάθε παράβαση της Εφαρμοστέας Νομοθεσίας Προστασίας Δεδομένων από τρίτο υπεργολάβο που έχει αναθέσει την επεξεργασία, όπως προβλέπεται στο παρόν, ως εάν οι πράξεις, τα σφάλματα ή οι παραλείψεις του εν λόγω υπεργολάβου ήταν πράξεις, σφάλματα ή παραλείψεις του ίδιου του Εκτελούντος την Επεξεργασία.
4.19 Ο Εκτελών την Επεξεργασία υποχρεούται να παρέχει γραπτή ειδοποίηση στον Υπεύθυνο Επεξεργασίας σχετικά με όλους τους υπεργολάβους που δεν περιλαμβάνονται στο Παράρτημα αριθ. 1, καθώς και για τις συνθήκες της δραστηριότητάς τους, τουλάχιστον 30 ημέρες πριν από τη σύναψη συνεργασίας. Η υποχρέωση ενημέρωσης περιλαμβάνει, ενδεικτικά, την επωνυμία, την έδρα του υπεργολάβου και τα χαρακτηριστικά της επεξεργασίας. Ο Υπεύθυνος Επεξεργασίας δικαιούται να προβάλλει αντιρρήσεις στη συνεργασία με οποιονδήποτε υπεργολάβο, για οποιονδήποτε λόγο.
4.20 Ο Υπεύθυνος Επεξεργασίας δικαιούται να ανακαλέσει τη συγκατάθεσή του για τη συνεργασία με έναν υπεργολάβο, εφόσον η ασφάλεια της επεξεργασίας δεν διασφαλίζεται λόγω της μη συμμόρφωσης του υπεργολάβου.
Δικαιώματα του Υποκειμένου Δεδομένων
4.21 Ο εκτελών την Επεξεργασία αναγνωρίζει ότι ένα Υποκείμενο Δεδομένων έχει δικαίωμα να ζητήσει πρόσβαση, διόρθωση, αντίρρηση, διαγραφή και μεταφορά των προσωπικών του δεδομένων.
4.22 Ο εκτελών την Επεξεργασία παρέχει κάθε εύλογη βοήθεια, μέσα σε πέντε (5) τουλάχιστον ημέρες, με τα κατάλληλα τεχνικά και οργανωτικά μέτρα προς τον Υπεύθυνο Επεξεργασίας δεδομένων, ώστε ο τελευταίος να μπορεί να ανταποκριθεί: (i) σε οποιοδήποτε αίτημα υποκειμένου δεδομένων να ασκήσει οιοδήποτε τα δικαιώματά του βάσει του εφαρμοστέου νόμου περί προστασίας δεδομένων και (ii) σε οποιαδήποτε αλληλογραφία, έρευνα ή καταγγελία του Υποκειμένου Δεδομένων, της Εποπτικής Αρχής ή άλλου τρίτου σε σχέση με την Επεξεργασία των προσωπικών δεδομένων που περιέχονται στο παρόν. Σε περίπτωση που οποιοδήποτε τέτοιο αίτημα, αλληλογραφία, έρευνα ή καταγγελία γίνει απευθείας στον Εκτελούντα την Επεξεργασία, ο τελευταίος ενημερώνει έγκαιρα και το αργότερο μετά από τρεις (3) ημέρες, τον Υπεύθυνο Επεξεργασίας παρέχοντάς του πλήρη στοιχεία.
4.23 Ο εκτελών την Επεξεργασία δεν πρέπει να ενεργεί κατόπιν τέτοιας αίτησης, αλληλογραφίας, έρευνας ή καταγγελίας που απευθύνεται απευθείας σε αυτόν χωρίς προηγούμενες γραπτές οδηγίες του Υπεύθυνου της Επεξεργασίας.
4.24 Ο εκτελών την Επεξεργασία δεσμεύεται να παράσχει κάθε δυνατή συνδρομή σύμφωνα με τις υποπαραγράφους 4.21, 4.22 και 4.23 χωρίς πρόσθετο κόστος.
Γνωστοποίηση και Κοινοποίηση ενός Περιστατικού Απειλής Ασφαλείας
4.25 Μόλις γίνει αντιληπτό ένα Περιστατικό Απειλής Ασφάλειας, ο εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο την επεξεργασία χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο μέσα σε είκοσι τέσσερις (24) ώρες και παρέχει όλες τις απαραίτητες πληροφορίες ώστε να μπορέσει στη συνέχεια ο Υπεύθυνος Επεξεργασίας, να εκπληρώσει τις υποχρεώσεις γνωστοποίησης παραβίασης προσωπικών δεδομένων βάσει (και σύμφωνα με τα χρονοδιαγράμματα που απαιτούνται) του εφαρμοστέου νόμου περί προστασίας δεδομένων. Ο εκτελών την Επεξεργασία λαμβάνει στη συνέχεια όλα τα μέτρα που απαιτούνται για την επανόρθωση ή τον μετριασμό των επιπτώσεων του ως άνω Περιστατικού, και κρατά ενήμερο τον Υπεύθυνο Επεξεργασίας για όλες τις εξελίξεις σε σχέση με αυτό.
4.26 Ο εκτελών την Επεξεργασία δεσμεύεται να διεξάγει οποιαδήποτε έρευνα παραβίασης που σχετίζεται με τυχόν περιστατικά απειλής ασφαλείας όταν αυτό ζητηθεί εγγράφως από τον Υπεύθυνο Επεξεργασίας, χωρίς επιπλέον έξοδα.
Συνεργασία για την αξιολογήση αντικτύπου προστασίας δεδομένων
4.27 Ο εκτελών την Επεξεργασία ενημερώνει τους Υπεύθυνους εάν πιστεύει ότι η επεξεργασία είναι πιθανό να είναι υψηλού κινδύνου και πρέπει να διεξαχθεί αξιολόγηση αντικτύπου για την προστασία των δεδομένων.
4.28 Ο εκτελών την Επεξεργασία παρέχει βοήθεια στους Υπεύθυνους Επεξεργασίας κατά την εκπόνηση της αξιολόγησης αντικτύπου προστασίας δεδομένων καθώς και στις ακόλουθες διαβουλεύσεις με την Εποπτική Αρχή, εάν χρειάζεται.
Υποστήριξη της προηγούμενης διαβούλευσης
4.29 Ο εκτελών την Επεξεργασία, εφόσον απαιτείται, συνεργάζεται με τον εκτελούντα σε οποιαδήποτε προηγούμενη διαβούλευση με εποπτική αρχή.
Τέλος επεξεργασίας
4.30 Τα συμβαλλόμενα μέρη συμφωνούν ότι ο Εκτελών την Επεξεργασία και ο υπεργολάβος θα πρέπει, κατ’ επιλογή των Υπεύθυνων Επεξεργασίας δεδομένων
(i) να επιστρέψουν όλα τα επεξεργασμένα προσωπικά δεδομένα και τυχόν αντίγραφα στον Υπεύθυνο Επεξεργασίας,
ή (ii) να καταστρέψουν όλα τα προσωπικά δεδομένα και να βεβαιώσουν τον Υπεύθυνο Επεξεργασίας ότι το έπραξαν, εκτός εάν η νομοθεσία δεν επιτρέπει στον Εκτελούντα την Επεξεργασία την επιστροφή ή την καταστροφή του συνόλου ή μέρους των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα.
4.31 Σε περίπτωση Υποχρεωτικής Επεξεργασίας, ο Εκτελών την Επεξεργασία εγγυάται την τήρηση της εμπιστευτικότητας των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα, καθώς και τη διαγραφή των επεξεργασμένων δεδομένων και την καταγραφή της ημερομηνίας λήξης της Υποχρεωτικής Επεξεργασίας.
Καθήκον ενημέρωσης
4.32 Ο Εκτελών την Επεξεργασία υποχρεούται να ενημερώσει άμεσα τον Υπεύθυνο Επεξεργασίας εάν, κατά την εύλογη κρίση του, οποιαδήποτε οδηγία του Υπεύθυνου Επεξεργασίας παραβιάζει την Εφαρμοστέα Νομοθεσία Προστασίας Δεδομένων.
4.33 Ο Εκτελών την Επεξεργασία υποχρεούται να ενημερώνει λεπτομερώς τον Υπεύθυνο Επεξεργασίας για κάθε επικοινωνία που έχει με την Εποπτική Αρχή σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
4.34 Σε περίπτωση που ο Εκτελών την Επεξεργασία επικοινωνεί με την Εποπτική Αρχή σχετικά με δραστηριότητες επεξεργασίας που διενεργεί για λογαριασμό άλλου Υπεύθυνου Επεξεργασίας, οφείλει να ενημερώνει εκ των προτέρων και εγγράφως τον Υπεύθυνο Επεξεργασίας, στον βαθμό που οι εν λόγω δραστηριότητες ή επικοινωνίες θα μπορούσαν να επηρεάσουν τον Υπεύθυνο Επεξεργασίας.
4.35 Ο Εκτελών την Επεξεργασία υποχρεούται να ενημερώσει άμεσα τον Υπεύθυνο Επεξεργασίας και να αναμένει τις οδηγίες του πριν προβεί σε οποιαδήποτε ενέργεια που ενδέχεται να επηρεάσει τα δεδομένα προσωπικού χαρακτήρα:
Α) Ο Εκτελών την Επεξεργασία έχει εύλογους λόγους να πιστεύει ότι θα παύσει να εξοφλεί τα χρέη του, ότι θα καταστεί αφερέγγυος ή ότι θα εκδοθεί δικαστική απόφαση ή θα ληφθεί απόφαση περί εκκαθάρισης, διοίκησης, παύσης λειτουργίας ή διάλυσής του.
Β) Ο Εκτελών την Επεξεργασία διορίζεται σε καθεστώς αναγκαστικής διαχείρισης, ή του ορίζεται διαχειριστής, εκκαθαριστής, διαχειριστής αφερεγγυότητας, σύνδικος ή άλλο παρόμοιο πρόσωπο για τη διαχείριση του συνόλου ή σημαντικού μέρους των περιουσιακών του στοιχείων, ή εάν ο Εκτελών την Επεξεργασία αιτηθεί αναστολή πληρωμών, εισέλθει ή προτείνει οποιονδήποτε συμβιβασμό ή διακανονισμό με τους πιστωτές του, ή εάν προκύψει οποιοδήποτε παρόμοιο γεγονός βάσει της εφαρμοστέας νομοθεσίας.
Γ) Ο Εκτελών την Επεξεργασία τερματίζει τη δραστηριότητά του.
Συμβολή στους ελέγχους
4.36 Ο εκτελών την Επεξεργασία δεσμεύεται να συμβάλει σε ελέγχους ή επιθεωρήσεις συμμόρφωσης όσον αφορά τη δραστηριότητα επεξεργασίας του, εκ μέρους των υπεύθυνων επεξεργασίας. Οι έλεγχοι ή οι επιθεωρήσεις μπορούν να διεξάγονται από τον εκάστοτε Υπεύθυνο Επεξεργασίας ή άλλον ελεγκτή στον οποίο έχει εντολή από τον Υπεύθυνο Επεξεργασίας. Ο εκτελών την Επεξεργασία θα παρέχει στον Υπεύθυνο Επεξεργασίας όλες τις πληροφορίες, τα συστήματα και το προσωπικό που είναι απαραίτητα για να διεξάγει τον εν λόγω έλεγχο ο εκτελών την Επεξεργασία ή άλλος τρίτος ελεγκτής.
4.37 Ο εκάστοτε εκτελών θα ειδοποιεί εκ των προτέρων και εγγράφως τον Εκτελούντα την Επεξεργασία για τον ανωτέρω έλεγχο. Ο εκτελών την επεξεργασία θα διενεργεί ελέγχους μόνο κατά τις εργάσιμες ώρες. Ο εκτελών την Επεξεργασία δεν θα ασκεί τα δικαιώματά του ελέγχου περισσότερες από μία φορές σε μια περίοδο δώδεκα (12) ημερολογιακών μηνών, εκτός : (i) εάν απαιτείται κατόπιν εντολής αρμόδιας εποπτικής αρχής, ή (ii) εάν ο Υπεύθυνος Επεξεργασίας πιστεύει ότι απαιτείται περαιτέρω έλεγχος εξαιτίας ενός Περιστατικού Απειλής Ασφαλείας που αντιμετώπισε ο Εκτελών την Επεξεργασία.
Αρχεία δραστηριοτήτων επεξεργασίας
4.38 Ο εκτελών την Επεξεργασία, κατόπιν αιτήματος, θα παρέχει στον Υπεύθυνο Επεξεργασίας, όλες τις απαραίτητες πληροφορίες για να συμμορφωθεί με τις υποχρεώσεις που σχετίζονται με τα Αρχεία δραστηριοτήτων επεξεργασίας.
Μεταφορά δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου
4.39 Οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός της επικράτειας του Ευρωπαϊκού Οικονομικού Χώρου απαιτεί την προηγούμενη έγγραφη συγκατάθεση του Υπεύθυνου Επεξεργασίας και μπορεί να πραγματοποιηθεί μόνο εφόσον πληρούνται όλες οι νομικές απαιτήσεις της Εφαρμοστέας Νομοθεσίας Προστασίας Δεδομένων για την εν λόγω επεξεργασία. Τα σχετικά μέτρα ενδέχεται να περιλαμβάνουν (ενδεικτικά και όχι περιοριστικά) τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα σε αποδέκτη που βρίσκεται σε χώρα την οποία η Ευρωπαϊκή Επιτροπή έχει κρίνει ότι παρέχει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, σε αποδέκτη που έχει λάβει έγκριση δεσμευτικών εταιρικών κανόνων σύμφωνα με την Εφαρμοστέα Νομοθεσία Προστασίας Δεδομένων ή σε αποδέκτη που έχει συνάψει τυποποιημένες συμβατικές ρήτρες εγκεκριμένες ή υιοθετημένες από την Ευρωπαϊκή Επιτροπή.
Δικαστική Επίλυση Διαφορών
4.40 Ο εκτελών την Επεξεργασία ενημερώνει εγγράφως και χωρίς αδικαιολόγητη καθυστέρηση τον εκτελούντα την Επεξεργασία σε περίπτωση που ένα Υποκείμενο Δεδομένων εκκινήσει οποιαδήποτε δικαστική διαδικασία κατά του Εκτελούντα ή οποιοδήποτε πρόσωπο υποβάλει αξίωση αποζημίωσης (τόσο εξωδικαστικά όσο και δικαστικά) εναντίον του σχετικά με την Επεξεργασία στα πλαίσια του παρόντος συμφωνητικού.
4.41 Ο εκτελών την Επεξεργασία δεν θα αναγνωρίζει καμία δικαστική διαδικασία που κινεί το Υποκείμενο Δεδομένων ή αγωγή αποζημίωσης που κατατίθεται από οποιοδήποτε πρόσωπο χωρίς την προηγούμενη γραπτή συγκατάθεση του Υπευθύνου επεξεργασίας δεδομένων. Ο εκτελών την Επεξεργασία παρέχει στον Υπεύθυνο Επεξεργασίας τις απαραίτητες πληροφορίες σχετικά με την αξίωση ή την εκτέλεση της καθώς και τον εύλογο χρόνο για να αποφασίσει εάν η απαίτηση ή το δικαίωμα μπορούν να γίνουν δεκτά ή όχι.
4.42 Ο διακανονισμός μεταξύ του εκτελούντος την Επεξεργασία και άλλου προσώπου σχετικά με αξιώσεις που σχετίζονται με την Επεξεργασία δεδομένων βάσει του παρόντος, δεν είναι δεσμευτικός για τον Υπεύθυνο Επεξεργασίας εκτός εάν συμφωνηθεί εγγράφως κάτι διαφορετικό.
4.43 Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση σχετικά με τη δυνατότητα παρέμβασης στη διαδικασία που κινήθηκε εναντίον του σχετικά με την Επεξεργασία καθώς και τους όρους και προϋποθέσεις τέτοιας παρέμβασης.
5. Δηλώσεις και Εγγυήσεις
5.1 Ο Εκτελών την Επεξεργασία δηλώνει και εγγυάται ότι:
Α) διαθέτει την εξειδικευμένη γνώση, αξιοπιστία και τους αναγκαίους πόρους για την εφαρμογή των κατάλληλων μέτρων καθ’ όλη τη διάρκεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα βάσει της παρούσας Σύμβασης ή στο πλαίσιο Υποχρεωτικής Επεξεργασίας.
Β) έχει εφαρμόσει και θα συνεχίσει να εφαρμόζει καθ’ όλη τη διάρκεια ισχύος της παρούσας Σύμβασης τα οργανωτικά και τεχνικά μέτρα που περιγράφονται στο Παράρτημα αριθ. 2, προκειμένου να προστατεύσει τα δεδομένα προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία από καταστροφή, απώλεια, τροποποίηση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση.
Γ) διαθέτει και θα συνεχίσει να διατηρεί καθ’ όλη τη διάρκεια ισχύος της παρούσας Σύμβασης όλες τις απαραίτητες άδειες και εγκρίσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Δ) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με τις έγγραφες οδηγίες του Υπεύθυνου Επεξεργασίας, την παρούσα Σύμβαση και την Εφαρμοστέα Νομοθεσία Προστασίας Δεδομένων, και, εάν για οποιονδήποτε λόγο δεν είναι σε θέση να διασφαλίσει τη συμμόρφωση αυτή, συμφωνεί να ενημερώσει άμεσα και εγγράφως τον Υπεύθυνο Επεξεργασίας για την αδυναμία του να συμμορφωθεί.
6. Διάρκεια
6.1 Το παρόν Συμφωνητικό τίθεται σε ισχύ από την ημερομηνία που αναφέρεται ανωτέρω και θα παραμείνει σε ισχύ έως ότου η Κύρια Σύμβαση τερματιστεί εκ του νόμου ή έως τη λήξη αυτής. Κανένα από τα συμβαλλόμενα μέρη δεν έχει το δικαίωμα να τερματίσει το παρόν Συμφωνητικό ανεξάρτητα από την Κύρια Σύμβαση.
7. Επικοινωνία
7.1 Όσον αφορά την Επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα μέρη επικοινωνούν μεταξύ τους μέσω των παρακάτω προσώπων.
Άτομο επικοινωνίας του εκτελούντος την Επεξεργασία:
__Αλέξανδρος Πούλιας___
Στοιχεία επικοινωνίας:
e-mail: apoulias@televida.biz
τηλέφωνο: +502 23261318
ΠΑΡΑΡΤΗΜΑ 1
I. Χαρακτηριστικά της επεξεργασίας
Αντικείμενο της επεξεργασίας: Υπηρεσίες τηλεσυμβουλευτικής
Διάρκεια της επεξεργασίας: Όσο διαρκεί η Υπηρεσία.
Φύση της επεξεργασίας: παροχή απομακρυσμένων συμβουλευτικών υπηρεσιών μέσω εξειδικευμένης πλατφόρμας
Σκοπός της επεξεργασίας: Παροχή υπηρεσιών εξ αποστάσεως, διάγνωση, αξιολόγηση ή καθοδήγηση (σε ιατρικό ή νομικό πλαίσιο, διαχείριση ραντεβού και επικοινωνίας)
Είδος προσωπικών δεδομένων υπό επεξεργασία: στοιχεία επικοινωνίας, υγείας, τιμολόγησης
Είδος ευαίσθητων προσωπικών δεδομένων που έχουν υποβληθεί σε επεξεργασία: Υγείας.
Κατηγορίες υποκειμένων των δεδομένων που επηρεάζονται από την Επεξεργασία: Ασθενείς, Υπάλληλοι, συνεργάτες Ιατροί
Χώρες όπου τα δεδομένα υπόκεινται σε επεξεργασία: Ελλάδα.
Υποχρεωτική Επεξεργασία:
Δεν αποτελεί Υποχρεωτική Επεξεργασία
Υπεργολάβος (-οι) (Αν υπάρχει) Όνομα εταιρείας: [*] Καταχωρημένο γραφείο: [*] Χώρες που υπόκεινται σε επεξεργασία των δεδομένων τους από υπεργολάβο: [*] Αντικείμενο της επεξεργασίας: [*] Διάρκεια της επεξεργασίας: [*] Φύση της επεξεργασίας: [*] Σκοπός της επεξεργασίας: [*] Είδος επεξεργασμένων προσωπικών δεδομένων: [*] Είδος επεξεργασμένων ευαίσθητων προσωπικών δεδομένων: Κατηγορίες υποκειμένων των δεδομένων που επηρεάζονται από την Επεξεργασία: [*]
ΠΑΡΑΡΤΗΜΑ 2
α) ΒΑΣΙΚΑ ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ
1. Το έγγραφο ασφαλείας
Ο Εκτελών την Επεξεργασία θα καταρτίζει και εφαρμόζει πολιτική ασφαλείας τα οποία αποτυπώνονται σε έγγραφο με το οποίο υποχρεούται να δεσμεύσει να εφαρμόζει το προσωπικό του, το οποίο έχει πρόσβαση σε αυτοματοποιημένα δεδομένα προσωπικού χαρακτήρα και συστήματα πληροφοριών. Αυτά τα μέτρα ασφαλείας θα είναι κατάλληλα, τόσο κατά τον προσδιορισμό των μέσων επεξεργασίας όσο και κατά τη στιγμή της ίδιας της επεξεργασίας.
Το έγγραφο ασφαλείας επιδεικνύει πως ο Εκτελών την Επεξεργασία εφαρμόζει στην πράξη το νόμο περί προστασίας προσωπικών δεδομένων.
Το έγγραφο πρέπει να είναι πάντοτε ενημερωμένο και να επανεξετάζεται όποτε επέρχονται σχετικές αλλαγές.
Το περιεχόμενο του εγγράφου ενημερώνεται πάντοτε έτσι ώστε να συμμορφώνεται με τις ισχύουσες νομικές διατάξεις σχετικά με την ασφάλεια των προσωπικών δεδομένων που είναι σε ισχύ κατά καιρούς.
Το έγγραφο ασφαλείας προσδιορίζει τα αρχεία δεδομένων που επεξεργάζεται ο Εκτελών την Επεξεργασία, αναφέροντας οποιαδήποτε συμφωνία επεξεργασίας και περιγράφοντας την ταυτότητα του υπεύθυνου επεξεργασίας δεδομένων καθώς και τη διάρκεια της ανάθεσης επεξεργασίας.
2. Λειτουργίες και υποχρεώσεις του Προσωπικού
Οι αρμοδιότητες και οι υποχρεώσει κάθε προσώπου που έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και στα πληροφοριακά συστήματα πρέπει να καθορίζονται με σαφήνεια και να τεκμηριώνονται στο έγγραφο ασφαλείας.
Επίσης θα καθορίζονται οι εργασίες ελέγχου και οι εξουσιοδοτήσεις που παρέχει ο Εκτελών την Επεξεργασία.
Ο Εκτελών την Επεξεργασία θα λαμβάνει τα αναγκαία μέτρα ώστε το προσωπικό του να γνωρίζει τα πρότυπα ασφαλείας που επηρεάζουν την εκτέλεση των καθηκόντων του και τις συνέπειες που απορρέουν από την παραβίαση αυτών των διατάξεων.
3. Αναφορά Περιστατικών Απειλής Ασφαλείας
Η διαδικασία καταγραφής και διαχείρισης περιστατικών Ασφαλείας θα περιλαμβάνει απαραιτήτως ένα μητρώο καταγραφής του περιστατικού, στο οποίο αναγράφεται ο χρόνος κατά τον οποίο συνέβη ή εντοπίστηκε το περιστατικό, το πρόσωπο που το ανέφερε, το πρόσωπο στο οποίο αναφέρθηκε, τις επιπτώσεις που επήλθαν από το εν λόγω Περιστατικό και τα ληφθέντα διορθωτικά μέτρα.
4. Εντοπισμός και έλεγχος ταυτότητας
Ο Εκτελών την Επεξεργασία λαμβάνει τα κατάλληλα μέτρα για τη σωστή ταυτοποίηση των χρηστών που έχουν πρόσβαση στα δεδομένα μέσω συστημάτων εξουσιοδότησης όπως κωδικοί πρόσβασης και ταυτότητες.
Ο Εκτελών την Επεξεργασία δημιουργεί μηχανισμό που επιτρέπει την αναγνώριση οποιουδήποτε χρήστη προσπαθεί να έχει πρόσβαση στο σύστημα πληροφοριών και την επαλήθευση της εξουσιοδότησής του.
Όταν ο μηχανισμός επαλήθευσης της γνησιότητας βασίζεται στην ύπαρξη κωδικών πρόσβασης, πρέπει να υπάρχει διαδικασία γνωστοποίησης και αποθήκευσης που να εγγυάται την εμπιστευτικότητα και την ακεραιότητά τους.
Το έγγραφο ασφαλείας καθορίζει τη συχνότητα με την οποία αλλάζουν οι κωδικοί πρόσβασης, η οποία σε καμία περίπτωση δεν μπορεί να είναι μικρότερη από ένα έτος. Όσο είναι σε ισχύ οι κωδικοί πρόσβασης πρέπει να αποθηκεύονται με ακατάληπτο τρόπο.
5. Έλεγχος πρόσβασης
Οι χρήστες έχουν εξουσιοδοτημένη πρόσβαση μόνο στα δεδομένα και τις πηγές που απαιτούνται για την εκτέλεση των καθηκόντων τους.
Ο Εκτελών την Επεξεργασία θα διαθέτει μηχανισμούς που εμποδίζουν τον χρήστη να έχει πρόσβαση σε δεδομένα ή πηγές διαφορετικές από αυτές που έχει εξουσιοδότηση ανάλογα με τα καθήκοντά του. Η πιο συνηθισμένη μέθοδος είναι ο έλεγχος πρόσβασης βάσει ρόλων (RBAC). Η πρόσβαση στα δεδομένα δεν ρυθμίζεται απευθείας από τους χρήστες, αλλά από προκαθορισμένους ρόλους. Οι χρήστες κατηγοριοποιούνται σε προκαθορισμένες ομάδες ρόλων και οι ομάδες ρόλων ρυθμίζονται με αντίστοιχα επίπεδα πρόσβασης.
Ο Εκτελών την Επεξεργασία θα διασφαλίζει ότι υπάρχει ενημερωμένη λίστα με τα προφίλ των χρηστών, όπου αναγνωρίζεται το δικαίωμα πρόσβασης σε κάθε χρήστη.
Μόνο το προσωπικό που είναι εξουσιοδοτημένο για το σκοπό αυτό στο έγγραφο ασφαλείας μπορεί να παραχωρήσει, να τροποποιήσει ή να ακυρώσει την πρόσβαση σε δεδομένα, σύμφωνα με τα κριτήρια που έχει ορίσει ο υπεύθυνος της επεξεργασίας.
6. Διαχείριση μέσων
Τα μέσα πληροφορικής που περιέχουν δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε χώρο με περιορισμένη πρόσβαση και μόνο για το προσωπικό που έχει εξουσιοδοτηθεί για το σκοπό αυτό στο έγγραφο ασφαλείας.
Η εξαγωγή μέσων και εγγράφων που περιέχουν προσωπικά δεδομένα, συμπεριλαμβανομένων εκείνων που περιλαμβάνουν ή / και επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου και τελούν υπό τον έλεγχο του εκτελούντος την Επεξεργασία ή του υπεύθυνου επεξεργασίας, θα εκτελείται με την άδεια του υπεύθυνου επεξεργασίας ή του εκτελούντος την Επεξεργασία ή εφόσον υπάρχει η σχετική άδεια περί αυτού στο έγγραφο ασφαλείας.
Τα μέτρα που αποσκοπούν στην αποφυγή κατά τη μεταφορά ενδεχόμενης κλοπής, απώλειας ή παράνομης πρόσβασης σε πληροφορίες πρέπει να λαμβάνονται κατά τη διάρκεια της μεταφοράς των εγγράφων.
Κάθε έγγραφο ή μέσο που περιέχει δεδομένα προσωπικού χαρακτήρα που πρόκειται να καταστραφούν, πρέπει να διαγράφεται ή να καταστρέφεται πάντοτε με τη λήψη μέτρων που αποσκοπούν στην αποφυγή πρόσβασης στις πληροφορίες που περιέχονται σε αυτό ή στη μετέπειτα ανάκτησή του.
Ο προσδιορισμός των μέσων που περιέχουν δεδομένα προσωπικού χαρακτήρα τα οποία ο οργανισμός θεωρεί ιδιαίτερα ευαίσθητα μπορεί να γίνει με τη χρήση λογικών συστημάτων επισήμανσης που επιτρέπουν στους εξουσιοδοτημένους χρήστες να προσδιορίζουν το περιεχόμενό τους και να καθιστούν δύσκολη την ταυτοποίηση για οποιονδήποτε άλλον μη εξουσιοδοτημένο.
Τα μέσα πρέπει να περιέχουν ασφαλή κρυπτογράφηση που να εφαρμόζεται από προεπιλογή.
7. Αντιγραφή και ανάκτηση αντιγράφων
Θα πρέπει να θεσπιστούν πρωτόκολλα για την λήψη αντιγράφων ασφαλείας τουλάχιστον σε εβδομαδιαία βάση, εκτός εάν τα δεδομένα δεν τροποποιηθούν κατά τη διάρκεια αυτής της περιόδου.
Ομοίως, θα πρέπει να θεσπιστούν διαδικασίες ανάκτησης δεδομένων, ώστε να εξασφαλίζεται ανά πάσα στιγμή η επαναφορά τους στην αρχική κατάσταση σε περίπτωση απώλειας ή καταστροφής.
Η χειροκίνητη καταγραφή των δεδομένων θα πραγματοποιείται μόνο όταν η απώλεια ή καταστροφή αφορά μερικώς τα αυτοματοποιημένα συστήματα αρχειοθέτησης ή επεξεργασίας και όταν η ύπαρξη των κατάλληλων εγγράφων επιτρέπει την επίτευξη του στόχου που αναφέρεται στην προηγούμενη παράγραφο. Θα πρέπει να γίνει μια αιτιολογημένη καταγραφή αυτού του γεγονότος στο έγγραφο ασφαλείας.
Ο Εκτελών την Επεξεργασία εγγυάται ότι κάθε έξι μήνες διενεργείται επαλήθευση του σωστού χειρισμού, λειτουργίας και εφαρμογής των διαδικασιών για τη δημιουργία αντιγράφων ασφαλείας και την ανάκτηση δεδομένων.
Οι δοκιμές πριν την εγκατάσταση ή τροποποίηση των πληροφοριακών συστημάτων όπου γίνεται η επεξεργασία των προσωπικών δεδομένων δεν θα γίνονται με πραγματικά δεδομένα, εκτός εάν εξασφαλίζεται το σχετικό επίπεδο ασφάλειας για τη διεργασία επεξεργασίας και αναφέρεται αυτό ρητά στο έγγραφο ασφαλείας. Εάν πρόκειται να γίνουν δοκιμές με πραγματικά δεδομένα, θα πρέπει να δημιουργηθεί ένα αντίγραφο ασφαλείας οπωσδήποτε πριν τη δοκιμή.
β) ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΜΕΣΟΥ ΕΠΙΠΕΔΟΥ
1. Όλες οι απαιτήσεις ασφαλείας βασικού επιπέδου όπως περιγράφονται ανωτέρω
2. Υπεύθυνος Ασφαλείας
Ο Εκτελών την Επεξεργασία θα έχει στη διάθεσή του έναν υπεύθυνο ασφαλείας ο οποίος θα είναι υπεύθυνος για το συντονισμό και την παρακολούθηση των μέτρων που ορίζονται στο έγγραφο ασφαλείας.
3. Αξιολόγηση
Ο Εκτελών την Επεξεργασία προβαίνει τουλάχιστον κάθε δύο (2) χρόνια σε εξωτερικό ή εσωτερικό έλεγχο στα συστήματα πληροφοριών και στις εγκαταστάσεις στις οποίες διενεργείται επεξεργασία δεδομένων για την επαλήθευση της συμμόρφωσης.
Σε εξαιρετικές περιπτώσεις, ο έλεγχος αυτός διενεργείται κάθε φορά που γίνονται ουσιαστικές τροποποιήσεις στο σύστημα πληροφοριών που ενδέχεται να συνεπάγεται επιπτώσεις στην εφαρμογή των μέτρων ασφάλειας, προκειμένου να εξακριβωθεί η υιοθέτηση, προσαρμοστικότητα και η αποτελεσματικότητά τους.
Η έκθεση ελέγχου πληροφορεί σχετικά με τη συμμόρφωση των μέτρων και ελέγχων, εντοπίζει τις ελλείψεις τους και προτείνει τα απαραίτητα διορθωτικά ή συμπληρωματικά μέτρα. Περιλαμβάνει επίσης δεδομένα, γεγονότα και παρατηρήσεις επί των οποίων βασίζονται οι προδιατυπωμένες εκθέσεις και οι προτεινόμενες συστάσεις.
4. Έλεγχος πρόσβασης μέσω φυσικής παρουσίας
Μόνο το εξουσιοδοτημένο προσωπικό μπορεί να έχει πρόσβαση σε χώρους όπου βρίσκονται τα συστήματα πληροφοριών που περιέχουν δεδομένα προσωπικού χαρακτήρα.
5. Διαχείριση των μέσων 5.1 Καταγραφή εισερχόμενων μέσων
Ο Εκτελών την Επεξεργασία πρέπει να δημιουργήσει ένα σύστημα για την καταχώριση των εισερχόμενων μέσων, στο οποίο θα καταγράφονται τα εξής: (i) ο τύπος των μέσων, (ii) ημερομηνία και ώρα εισόδου, (iii) αποστολέας, (iv) ο αριθμός των μέσων, (v) το είδος των πληροφοριών που περιέχονται, (vi) η διαδικασία αποστολής και (vii) ο υπεύθυνος για την παραλαβή τους, ο οποίος πρέπει να είναι ειδικά εξουσιοδοτημένος.
Το εξουσιοδοτημένο για τη λήψη τους πρόσωπο είναι ο Υπεύθυνος Ασφαλείας.
5.2 Καταγραφή εξερχόμενων μέσων
Ο Εκτελών την Επεξεργασία πρέπει να καθιερώσει ένα σύστημα για την καταχώρηση εξερχόμενων μέσων στο οποίο θα καταγράφονται τα εξής: (i) ο τύπος των μέσων, (ii) ημερομηνία και ώρα εξόδου, (iii) αποδέκτης, (iv) ο αριθμός των μέσων, (v) το είδος των πληροφοριών που περιέχονται, (vi) η διαδικασία αποστολής και (vii) ο υπεύθυνος για την παραλαβή τους, ο οποίος πρέπει να είναι ειδικά εξουσιοδοτημένος.
Το άτομο που εξουσιοδοτείται να επιτρέπει την εξαγωγή μέσων είναι ο Υπεύθυνος Ασφαλείας.
6. Εντοπισμός και έλεγχος ταυτότητας
Η δυνατότητα επαναλαμβανόμενων μη εξουσιοδοτημένων προσπαθειών πρόσβασης στο πληροφοριακό σύστημα περιορίζεται από τον Εκτελούντα την Επεξεργασία. Επιπλέον, ο εκτελών την επεξεργασία φέρει την αποκλειστική ευθύνη να διασφαλίζει την ταυτοποίηση των προσώπων που χρησιμοποιούν την υπηρεσία και να επιτρέπει την είσοδο μόνο μετά από έλεγχο ταυτότητας του υποκειμένου.
7. Καταγραφή Περιστατικών Απειλής Ασφαλείας
Το μητρώο των περιστατικών ασφαλείας που καθορίζεται στο έγγραφο ασφαλείας περιλαμβάνει επίσης τις διαδικασίες που εφαρμόζονται για την ανάκτηση δεδομένων, αναφέροντας το πρόσωπο που εκτέλεσε τη διαδικασία, τα αποκατεστημένα δεδομένα και τον προσδιορισμό των δεδομένων που πρέπει να καταγράφονται χειροκίνητα κατά τη διαδικασία ανάκτησης.
Η έγκριση από τον Υπεύθυνο Επεξεργασίας θα είναι απαραίτητη για την εκτέλεση των διαδικασιών ανάκτησης δεδομένων.
γ) ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΥΨΗΛΟΥ ΕΠΙΠΕΔΟΥ
1. Όλες οι βασικές και μέσου επιπέδου απαιτήσεις ασφάλειας όπως περιγράφονται ανωτέρω
2. Διαχείριση μέσων 2.1. Ταυτοποίηση μέσων
Η αναγνώριση των μέσων αποθήκευσης πρέπει να γίνεται μέσω λογικών συστημάτων επισήμανσης, τα οποία επιτρέπουν στους εξουσιοδοτημένους χρήστες που έχουν πρόσβαση μέσω του Εκτελούντος την Επεξεργασία να αναγνωρίζουν το περιεχόμενό τους, καθιστώντας παράλληλα δύσκολη την αναγνώρισή τους από οποιονδήποτε άλλον.
2.2. Μεταφορά και διανομή μέσων και εγγράφων
Η διανομή των μέσων που περιέχουν δεδομένα προσωπικού χαρακτήρα πρέπει να πραγματοποιείται μόνο μέσω κρυπτογράφησης των δεδομένων ή με τη χρήση άλλου μηχανισμού που διασφαλίζει ότι οι πληροφορίες δεν είναι κατανοητές ή δεν μπορούν να τροποποιηθούν κατά τη μεταφορά τους.
2.3. Έξοδος μέσων
Τα δεδομένα που περιέχονται σε φορητές συσκευές θα πρέπει να κωδικοποιούνται όταν βρίσκονται εκτός των εγκαταστάσεων του υπεύθυνου επεξεργασίας δεδομένων ή του Εκτελούντα την Επεξεργασία.
3. Καταγραφή πρόσβασης
Για κάθε πρόσβαση στα αρχεία που περιέχουν προσωπικά δεδομένα, πρέπει να συλλέγονται οι ακόλουθες πληροφορίες από τον Εκτελούντα την Επεξεργασία: ταυτότητα χρήστη, ημερομηνία και ώρα κατά την οποία έγινε η πρόσβαση, το αρχείο στο οποίο έγινε η πρόσβαση, ο τύπος πρόσβασης και εάν είχε εγκριθεί ή όχι.
Εάν η πρόσβαση είναι επιτρεπόμενη, θα απαιτείται η αποθήκευση πληροφοριών που επιτρέπουν την αναγνώριση της εγγραφής.
Οι μηχανισμοί που επιτρέπουν την καταγραφή των προαναφερθέντων δεδομένων βρίσκονται υπό τον άμεσο έλεγχο του διαχειριστή της ασφάλειας, και η απενεργοποίησή τους απαγορεύεται υπό οποιεσδήποτε συνθήκες.
Η ελάχιστη περίοδος διατήρησης των καταγεγραμμένων δεδομένων είναι πέντε (5) έτη.
Ο αρμόδιος Υπεύθυνος Ασφάλειας είναι υπεύθυνος για την περιοδική εξέταση των καταγεγραμμένων πληροφοριών ελέγχου και συντάσσει έκθεση σχετικά με τον έλεγχο που διενεργείται και τα προβλήματα που εντοπίζονται, τουλάχιστον μία φορά το μήνα.
4. Αντίγραφα ασφαλείας και ανάκτησης
Ένα αντίγραφο ασφαλείας και ένα αντίγραφο των διαδικασιών ανάκτησης δεδομένων διατηρούνται σε τοποθεσία διαφορετική από εκείνη όπου βρίσκεται ο εξοπλισμός πληροφορικής.
5. Τηλεπικοινωνίες
Η διαβίβαση δεδομένων προσωπικού χαρακτήρα μέσω τηλεπικοινωνιακών δικτύων πραγματοποιείται με την κωδικοποίηση τέτοιων δεδομένων ή με οποιοδήποτε άλλο μηχανισμό που εγγυάται ότι οι πληροφορίες δεν είναι κατανοητές ή παραποιήσιμες από τρίτους.
6. Μέτρα ασφάλειας που εφαρμόζονται ειδικά σε μη αυτοματοποιημένα αρχεία και επεξεργασία 6.1. Συσκευές αποθήκευσης
Οι συσκευές αποθήκευσης μη αυτοματοποιημένων αρχείων με προσωπικά δεδομένα πρέπει να βρίσκονται σε περιοχές στις οποίες η πρόσβαση προστατεύεται από τις πόρτες εισόδου με κλειδαριές ή άλλη αντίστοιχη συσκευή. Οι περιοχές αυτές παραμένουν κλειστές όταν δεν απαιτείται πρόσβαση στα έγγραφα που περιλαμβάνονται στο σύστημα αρχειοθέτησης.
Εάν, λαμβανομένων υπόψη των χαρακτηριστικών των χώρων που διαθέτει ο Εκτελών την Επεξεργασία, δεν είναι δυνατόν να συμμορφωθεί με αυτό που περιγράφεται ανωτέρω, ο Εκτελών την Επεξεργασία υιοθετεί εναλλακτικά μέτρα τα οποία, περιλαμβάνονται στο έγγραφο ασφαλείας.
Οι εκτυπωτές που εκτυπώνουν μη αυτοματοποιημένα αρχεία θα πρέπει κάθε εβδομάδα να σβήνουν τη μνήμη προσωρινής αποθήκευσης.
6.2. Αντίγραφα ή αναπαραγωγή
Η δημιουργία αντιγράφων ή η αναπαραγωγή των εγγράφων γίνεται μόνο υπό τον έλεγχο του εξουσιοδοτημένου στο έγγραφο ασφαλείας προσωπικού.
Τα αντίγραφα ή οι αναπαραγωγές που πρόκειται να απορριφθούν καταστρέφονται για να αποφευχθεί η πρόσβαση στις πληροφορίες που περιέχονται σε αυτές ή η μετέπειτα ανάκτηση τους.
6.3. Πρόσβαση στα Έγγραφα
Η πρόσβαση σε έγγραφα περιορίζεται αποκλειστικά στο εξουσιοδοτημένο προσωπικό.
Πρέπει να θεσπιστούν μηχανισμοί που να επιτρέπουν τον προσδιορισμό της πρόσβασης σε έγγραφα που χρησιμοποιούνται από περισσότερους χρήστες.
Η πρόσβαση των προσώπων που δεν περιλαμβάνονται ανωτέρω θα πρέπει να καταχωρείται επαρκώς στο έγγραφο ασφαλείας, σύμφωνα με τη διαδικασία που δημιουργήθηκε για το σκοπό αυτό.
6.4. Μεταφορά εγγράφων
Όταν πραγματοποιείται φυσική μεταφορά εγγράφων που περιέχονται σε σύστημα αρχειοθέτησης, θεσπίζονται μέτρα με στόχο την αποφυγή της πρόσβασης στις πληροφορίες που μεταφέρονται.
7. Προστασία δεδομένων από το σχεδιασμό και από προεπιλογή
Ο Εκτελών την Επεξεργασία θα παράσχει έγγραφα που να αποδεικνύουν τον τρόπο με τον οποίο συμμορφώνεται με την προστασία των δεδομένων από το σχεδιασμό και από προεπιλογή όσον αφορά την Επεξεργασία δεδομένων.
8. Αξιολόγηση αντικτύπου προστασίας δεδομένων (DPIA)
Όλες οι επεξεργασίες δεδομένων υψηλού ρίσκου απαιτούν αξιολόγηση αντικτύπου προστασίας προσωπικών δεδομένων (DPIA) που θα αποδεικνύει ότι η επεξεργασία δεδομένων υψηλού κινδύνου ενείχε κινδύνους για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και μειώνεται πλέον σε κίνδυνο χαμηλού επιπέδου.
Δήλωση Εκτελούντα την Επεξεργασία δεδομένων
Ο Εκτελών την Επεξεργασία επιβεβαιώνει ότι εφαρμόζει τα παραπάνω (παρακαλούμε επιλέξτε):
✓ μέτρα ασφαλείας βασικού επιπέδου
✓ μέτρα ασφαλείας μέσου επιπέδου
☐ μέτρα ασφαλείας υψηλού επιπέδου
και θεωρεί ότι είναι σκόπιμο να προστατεύονται τα προσωπικά δεδομένα από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, αλλοίωση, παράνομη αποκάλυψη ή πρόσβαση και απο κάθε άλλη παράνομη μορφή επεξεργασίας. Τα ανωτέρω μέτρα εξασφαλίζουν ένα επίπεδο ασφάλειας ανάλογο των κινδύνων που παρουσιάζονται από την Επεξεργασία και την φύση των προσωπικών δεδομένων που πρέπει να προστατευθούν λαμβάνοντας υπόψη την τεχνολογία και το κόστος εφαρμογής τους.