Συμφωνία Επεξεργασίας Δεδομένων (DPA)

ΠΑΡΑΡΤΗΜΑ Α

Τυποποιημένες συμβατικές ρήτρες

ΤΜΗΜΑ I

Ρήτρα 1

Σκοπός και πεδίο εφαρμογής

α) Οι παρούσες τυποποιημένες συμβατικές ρήτρες (στο εξής: ρήτρες) έχουν ως σκοπό να διασφαλίζουν τη συμμόρφωση με το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων).

β) Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία που απαριθμούνται στο υποπαράρτημα Ι συμφώνησαν τις παρούσες ρήτρες προκειμένου να διασφαλίζεται η συμμόρφωση με το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679.

γ) Οι παρούσες ρήτρες εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως καθορίζεται στο υποπαράρτημα ΙΙ.

δ) Τα παραρτήματα Ι έως ΙV είναι αναπόσπαστο μέρος των ρητρών.

ε) Οι παρούσες ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο υπεύθυνος επεξεργασίας δυνάμει του κανονισμού (ΕΕ) 2016/679.

στ) Οι παρούσες ρήτρες δεν διασφαλίζουν από μόνες τους τη συμμόρφωση με τις υποχρεώσεις που σχετίζονται με τις διεθνείς διαβιβάσεις σύμφωνα με το κεφάλαιο V του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 2

Αμετάβλητος χαρακτήρας των ρητρών

1. α) Τα μέρη δεσμεύονται να μην τροποποιούν τις ρήτρες παρά μόνο για να προσθέσουν ή να επικαιροποιήσουν πληροφορίες στα παραρτήματα.
2. β) Η δέσμευση αυτή δεν εμποδίζει τα μέρη να ενσωματώνουν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις παρούσες ρήτρες σε ευρύτερη σύμβαση ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό τον όρο ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.

Ρήτρα 3

Ερμηνεία

1. α) Όπου στις παρούσες ρήτρες χρησιμοποιούνται όροι που ορίζονται στον κανονισμό (ΕΕ) 2016/679, οι εν λόγω όροι έχουν την ίδια έννοια με αυτή που έχουν στον οικείο κανονισμό.
2. β) Η ανάγνωση και ερμηνεία των παρουσών ρητρών πραγματοποιούνται υπό το πρίσμα των διατάξεων του κανονισμού (ΕΕ) 2016/679.
3. γ) Οι παρούσες ρήτρες δεν ερμηνεύονται με τρόπο που αντιβαίνει προς τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679 ή με τρόπο που θίγει τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.

Ρήτρα 4

Ιεραρχία

Σε περίπτωση αντίφασης μεταξύ των παρουσών ρητρών και των διατάξεων συναφών συμφωνιών μεταξύ των μερών οι οποίες ισχύουν κατά τον χρόνο που συμφωνούνται ή συνάπτονται οι παρούσες ρήτρες, οι παρούσες ρήτρες υπερισχύουν.

Ρήτρα 5

Ρήτρα σύνδεσης

1. α) Οποιαδήποτε οντότητα που δεν είναι συμβαλλόμενο μέρος των παρουσών ρητρών μπορεί, με τη συγκατάθεση όλων των συμβαλλόμενων μερών, να προσχωρήσει στις παρούσες ρήτρες ανά πάσα στιγμή, ως υπεύθυνος επεξεργασίας ή ως εκτελών την επεξεργασία, συμπληρώνοντας τα παραρτήματα και υπογράφοντας το υποπαράρτημα Ι.
2. β) Αφού συμπληρωθούν και υπογραφούν τα παραρτήματα του στοιχείου α), η προσχωρούσα οντότητα λογίζεται ως συμβαλλόμενο μέρος των παρουσών ρητρών και έχει τα δικαιώματα και τις υποχρεώσεις υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, σύμφωνα με τον χαρακτηρισμό της στο υποπαράρτημα Ι.
3. γ) Η προσχωρούσα οντότητα δεν έχει δικαιώματα ή υποχρεώσεις που απορρέουν από τις παρούσες ρήτρες όσον αφορά το διάστημα πριν καταστεί συμβαλλόμενο μέρος.

ΤΜΗΜΑ ΙΙ

ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Ρήτρα 6

Περιγραφή της επεξεργασίας

Οι λεπτομέρειες των πράξεων επεξεργασίας, ιδίως οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα και οι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας, καθορίζονται στο υποπαράρτημα ΙΙ.

Ρήτρα 7

Υποχρεώσεις των συμβαλλόμενων μερών

1. 7.1 Εντολές
2. α) Ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία. Στην περίπτωση αυτή, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος. Ο υπεύθυνος επεξεργασίας μπορεί επίσης να δίνει μεταγενέστερες εντολές καθ’ όλη τη διάρκεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω εντολές είναι πάντοτε έγγραφες.
3. β) Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψη του εκτελούντος της επεξεργασία, κάποια εντολή του υπευθύνου επεξεργασίας παραβιάζει τον κανονισμό (ΕΕ) 2016/679 ή ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.
4. 7.2 Περιορισμός του σκοπού

Ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της επεξεργασίας που ορίζονται στο υποπαράρτημα ΙΙ, εκτός αν λάβει περαιτέρω εντολές από τον υπεύθυνο επεξεργασίας.

1. 7.3 Διάρκεια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Η επεξεργασία από τον εκτελούντα την επεξεργασία πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο υποπαράρτημα ΙΙ.

1. 7.4 Ασφάλεια της επεξεργασίας
2. α) Ο εκτελών την επεξεργασία εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο υποπαράρτημα III προκειμένου να διασφαλίζει την ασφάλεια των δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό συμπεριλαμβάνεται η προστασία των δεδομένων από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που συντρέχουν για τα υποκείμενα των δεδομένων.
3. β) Ο εκτελών την επεξεργασία παρέχει σε μέλη του προσωπικού του πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα λαμβανόμενα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή υπόκεινται σε δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.
4. 7.5 Ευαίσθητα δεδομένα

Αν η επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εκτελών την επεξεργασία εφαρμόζει ειδικούς περιορισμούς και/ή πρόσθετες εγγυήσεις.

1. 7.6 Τεκμηρίωση και συμμόρφωση
2. α) Τα συμβαλλόμενα μέρη είναι σε θέση να αποδείξουν τη συμμόρφωσή τους με τις παρούσες ρήτρες.
3. β) Ο εκτελών την επεξεργασία ανταποκρίνεται άμεσα και επαρκώς σε όλα τα αιτήματα πληροφοριών του υπευθύνου επεξεργασίας σχετικά με την επεξεργασία δεδομένων σύμφωνα με τις παρούσες ρήτρες.
4. γ) Ο εκτελών την επεξεργασία θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που καθορίζονται στις παρούσες ρήτρες και απορρέουν απευθείας από τον κανονισμό (ΕΕ) 2016/679. Επιπλέον, κατόπιν αιτήματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία επιτρέπει και διευκολύνει ελέγχους των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Όταν αποφασίζει για επανεξέταση ή έλεγχο, ο υπεύθυνος επεξεργασίας μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εκτελούντος την επεξεργασία.
5. δ) Ο υπεύθυνος επεξεργασίας μπορεί να επιλέγει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι είναι δυνατόν να περιλαμβάνουν και επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εκτελούντος την επεξεργασία, ενώ, όταν ενδείκνυται, διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.
6. ε) Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στην παρούσα ρήτρα, συμπεριλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της αρμόδιας εποπτικής αρχής, κατόπιν σχετικού αιτήματός της/τους.
7. 7.7 Χρήση υπεργολάβων επεξεργασίας

α) Ο εκτελών την επεξεργασία έχει τη γενική άδεια του υπευθύνου επεξεργασίας για την πρόσληψη υπεργολάβων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εκτελών την επεξεργασία ενημερώνει ειδικά και εγγράφως τον υπεύθυνο επεξεργασίας για κάθε τυχόν σκοπούμενη αλλαγή στον εν λόγω κατάλογο η οποία αφορά την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον τριάντα (30) ημέρες πριν, παρέχοντας στον υπεύθυνο επεξεργασίας επαρκή χρόνο ώστε να μπορεί να εναντιωθεί στην εν λόγω αλλαγή πριν από την πρόσληψη του σχετικού υπεργολάβου ή των σχετικών υπεργολάβων επεξεργασίας. Ο εκτελών την επεξεργασία παρέχει στον υπεύθυνο επεξεργασίας τις πληροφορίες που απαιτούνται ώστε ο υπεύθυνος επεξεργασίας να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης.

β) Όταν ο εκτελών την επεξεργασία προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας), το πράττει μέσω σύμβασης η οποία επιβάλλει στον υπεργολάβο επεξεργασίας, στην ουσία, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με αυτές που επιβάλλονται στον εκτελούντα την επεξεργασία σύμφωνα με τις παρούσες ρήτρες. Ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εκτελών την επεξεργασία σύμφωνα με τις παρούσες ρήτρες και τον κανονισμό (ΕΕ) 2016/679.

γ) Κατόπιν αιτήματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία παρέχει στον υπεύθυνο επεξεργασίας αντίγραφο της συμφωνίας με τον υπεργολάβο και κάθε τυχόν μεταγενέστερης πράξης τροποποίησής της. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, ο εκτελών την επεξεργασία μπορεί να απαλείψει τις εμπιστευτικές πληροφορίες από το κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

δ) Ο εκτελών την επεξεργασία παραμένει πλήρως υπεύθυνος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας σύμφωνα με τη σύμβασή του με τον εκτελούντα την επεξεργασία. Ο εκτελών την επεξεργασία γνωστοποιεί στον υπεύθυνο επεξεργασίας κάθε περίπτωση μη εκπλήρωσης των συμβατικών υποχρεώσεων του υπεργολάβου επεξεργασίας.

1. ε) Ο εκτελών την επεξεργασία συμφωνεί με τον υπεργολάβο επεξεργασίας ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εκτελών την επεξεργασία έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.
2. 7.8 Διεθνείς διαβιβάσεις
3. α) Κάθε διαβίβαση δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό από τον εκτελούντα την επεξεργασία πραγματοποιείται μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας ή προκειμένου να εκπληρωθεί ειδική απαίτηση του δικαίου της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία και εκτελείται σύμφωνα με τους όρους του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679.
4. β) Ο υπεύθυνος επεξεργασίας συμφωνεί ότι στις περιπτώσεις που ο εκτελών την επεξεργασία προσλαμβάνει υπεργολάβο επεξεργασίας σύμφωνα με τη ρήτρα 7.7 για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας) και οι εν λόγω δραστηριότητες επεξεργασίας περιλαμβάνουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα κατά την έννοια του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679, ο εκτελών την επεξεργασία και ο υπεργολάβος επεξεργασίας μπορούν να διασφαλίζουν τη συμμόρφωση με το κεφάλαιο V του κανονισμού (EΕ) 2016/679 μέσω της χρήσης τυποποιημένων συμβατικών ρητρών που έχει εκδώσει η Επιτροπή σύμφωνα με το άρθρο 46 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, υπό τον όρο ότι πληρούνται οι προϋποθέσεις για τη χρήση των εν λόγω τυποποιημένων συμβατικών ρητρών.

Ρήτρα 8

Συνδρομή στον υπεύθυνο επεξεργασίας

1. α) Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας για κάθε αίτημα που έχει λάβει από υποκείμενο των δεδομένων. Δεν απαντά ο ίδιος στο αίτημα, εκτός αν λάβει σχετική εξουσιοδότηση από τον υπεύθυνο επεξεργασίας.
2. β) Ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας στην εκπλήρωση της υποχρέωσής του να απαντά στα αιτήματα των υποκειμένων των δεδομένων για άσκηση των δικαιωμάτων τους, λαμβανομένης υπόψη της φύσης της επεξεργασίας. Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τα στοιχεία α) και β), ο εκτελών την επεξεργασία συμμορφώνεται με τις εντολές του υπευθύνου επεξεργασίας.
3. γ) Επιπρόσθετα στην υποχρέωση του εκτελούντος την επεξεργασία να βοηθά τον υπεύθυνο επεξεργασίας σύμφωνα με τη ρήτρα 8 στοιχείο β), ο εκτελών την επεξεργασία βοηθά επίσης τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις παρακάτω υποχρεώσεις, λαμβανομένων υπόψη της φύσης της επεξεργασίας δεδομένων και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία:
4. την υποχρέωση να διενεργεί εκτίμηση του αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα (εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων), όταν ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων·
5. την υποχρέωση να ζητεί τη γνώμη της αρμόδιας εποπτικής αρχής πριν από την επεξεργασία, όταν μια εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας·
6. την υποχρέωση να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και επικαιροποιημένα, ενημερώνοντας χωρίς καθυστέρηση τον υπεύθυνο επεξεργασίας σε περίπτωση που ο εκτελών την επεξεργασία αντιληφθεί ότι τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται είναι ανακριβή ή παρωχημένα·
7. τις υποχρεώσεις που προβλέπονται στο άρθρο 32 του κανονισμού (ΕΕ) 2016/679.

Τα συμβαλλόμενα μέρη καθορίζουν στο υποπαράρτημα ΙΙΙ τα κατάλληλα τεχνικά και οργανωτικά μέτρα με τα οποία ο εκτελών την επεξεργασία υποχρεούται να βοηθά τον υπεύθυνο επεξεργασίας για την εφαρμογή της παρούσας ρήτρας, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης βοήθειας.

Ρήτρα 9

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο εκτελών την επεξεργασία συνεργάζεται με τον υπεύθυνο επεξεργασίας και τον βοηθά να συμμορφωθεί προς τις υποχρεώσεις του που απορρέουν από τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679, λαμβανομένων υπόψη της φύσης της επεξεργασίας και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία.

1. 9.1 Παραβίαση δεδομένων που αφορά δεδομένα που επεξεργάζεται ο υπεύθυνος επεξεργασίας

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που αφορά δεδομένα που επεξεργάζεται ο υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας:

1. να γνωστοποιήσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στην/στις αρμόδια/-ες εποπτική/-ές αρχή/-ές, αμελλητί από τη στιγμή που ο υπεύθυνος επεξεργασίας απέκτησε γνώση του γεγονότος, κατά περίπτωση/(εκτός αν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων)·
2. να συγκεντρώσει τις παρακάτω πληροφορίες, οι οποίες, σύμφωνα με το άρθρο 33 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, αναφέρονται στη γνωστοποίηση του υπευθύνου επεξεργασίας και πρέπει να περιλαμβάνουν κατ’ ελάχιστο:
3. τη φύση των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα·
4. τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·
5. τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες αυτές οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ πρόσθετες πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

1. γ) να συμμορφωθεί, σύμφωνα με το άρθρο 34 του κανονισμού (ΕΕ) 2016/679, με την υποχρέωση να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων την παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
2. 9.2 Παραβίαση δεδομένων που αφορά δεδομένα που επεξεργάζεται ο εκτελών την επεξεργασία

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που αφορά δεδομένα που επεξεργάζεται ο εκτελών την επεξεργασία, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση από τη στιγμή που αποκτά γνώση της παραβίασης. Η εν λόγω γνωστοποίηση περιλαμβάνει κατ’ ελάχιστο:

1. περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και αρχείων δεδομένων)·
2. τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες σχετικά με την παραβίαση των δεδομένων προσωπικού χαρακτήρα·
3. τις ενδεχόμενες συνέπειες και τα ληφθέντα ή προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες αυτές οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ πρόσθετες πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

Τα συμβαλλόμενα μέρη καθορίζουν στο υποπαράρτημα ΙΙΙ όλα τα άλλα στοιχεία που πρέπει να παρέχονται από τον εκτελούντα την επεξεργασία κατά την παροχή βοήθειας στον υπεύθυνο επεξεργασίας για τη συμμόρφωση προς τις υποχρεώσεις του υπευθύνου επεξεργασίας σύμφωνα με τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679

ΤΜΗΜΑ III

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Ρήτρα 10

Μη συμμόρφωση με τις ρήτρες και καταγγελία

1. α) Με την επιφύλαξη των διατάξεων του κανονισμού (ΕΕ) 2016/679, σε περίπτωση που ο εκτελών την επεξεργασία παραβιάζει τις υποχρεώσεις του σύμφωνα με τις παρούσες ρήτρες, ο υπεύθυνος επεξεργασίας μπορεί να δώσει εντολή στον εκτελούντα την επεξεργασία να αναστείλει την επεξεργασία δεδομένων προσωπικού χαρακτήρα έως ότου ο τελευταίος συμμορφωθεί με τις παρούσες ρήτρες ή καταγγελθεί η σύμβαση. Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας σε περίπτωση που αδυνατεί να συμμορφωθεί με τις παρούσες ρήτρες, για οποιονδήποτε λόγο.
2. β) Ο υπεύθυνος επεξεργασίας έχει δικαίωμα να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες, αν:
3. η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εκτελούντα την επεξεργασία ανεστάλη από τον υπεύθυνο επεξεργασίας σύμφωνα με το στοιχείο α) και η συμμόρφωση με τις παρούσες ρήτρες δεν αποκαταστάθηκε εντός εύλογου χρονικού διαστήματος και, σε κάθε περίπτωση, εντός ενός μηνός από την ημερομηνία της αναστολής·
4. ο εκτελών την επεξεργασία παραβιάζει ουσιωδώς ή με τρόπο διαρκή τις παρούσες ρήτρες ή τις υποχρεώσεις του βάσει του κανονισμού (ΕΕ) 2016/679·
5. ο εκτελών την επεξεργασία δεν συμμορφώνεται με δεσμευτική απόφαση αρμόδιου δικαστηρίου ή της αρμόδιας εποπτικής αρχής όσον αφορά τις υποχρεώσεις του σύμφωνα με τις παρούσες ρήτρες ή τον κανονισμό (ΕΕ) 2016/679.

γ) Ο εκτελών την επεξεργασία έχει δικαίωμα να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες αν, παρόλο που έχει ενημερώσει τον υπεύθυνο επεξεργασίας ότι οι εντολές του παραβιάζουν εφαρμοστέες νομικές απαιτήσεις σύμφωνα με τη ρήτρα 7.1 στοιχείο β), ο υπεύθυνος επεξεργασίας εμμένει στη συμμόρφωση με τις εν λόγω εντολές.

δ) Μετά την καταγγελία της σύμβασης, ο εκτελών την επεξεργασία, κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται για λογαριασμό του υπευθύνου επεξεργασίας και πιστοποιεί στον υπεύθυνο επεξεργασίας ότι το έχει πράξει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός αν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα. Έως τη διαγραφή ή την επιστροφή των δεδομένων, ο εκτελών την επεξεργασία συνεχίζει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες.

ΥΠΟΠΑΡΑΡΤΗΜΑ Ι

Συμβαλλόμενα μέρη

Υπεύθυνος/-οι επεξεργασίας: Ο εκάστοτε Χρήστης της συνδρομητικης υπηρεσίας της CallBuddie.

Εκτελών την επεξεργασία: CallBuddie ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΕΙΑ

ΥΠΟΠΑΡΑΡΤΗΜΑ II

Περιγραφή της επεξεργασίας

Κατηγορίες υποκειμένων δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία

Στο πλαίσιο της παροχής της Υπηρεσίας, ενδέχεται να υποβάλλονται σε επεξεργασία προσωπικά δεδομένα των καλούντων/τελικών χρηστών, ήτοι των φυσικών προσώπων που καλούν τον αριθμό του Υπευθύνου Επεξεργασίας και αλληλεπιδρούν με τον ψηφιακό βοηθό.

Κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία

Οι κατηγορίες προσωπικών δεδομένων που ενδέχεται να υποβάλλονται σε επεξεργασία περιλαμβάνουν, ενδεικτικά:

1. αριθμό τηλεφώνου καλούντος,
2. μεταγραφή τηλεφωνικής συνομιλίας σε κείμενο,
3. περίληψη κλήσης,
4. στοιχεία ραντεβού, όπως ονοματεπώνυμο, τηλέφωνο, ημερομηνία και ώρα ραντεβού
5. στοιχεία μηνυμάτων ή αιτημάτων που αφήνει ο καλών,
6. τεχνικά και λειτουργικά δεδομένα που σχετίζονται με την κλήση ή τη χρήση της Υπηρεσίας, όπως διάρκεια και κόστος κλήσης.

Ευαίσθητα δεδομένα που υποβάλλονται σε επεξεργασία (αν συντρέχει τέτοια περίπτωση) και περιορισμοί ή εγγυήσεις που εφαρμόζονται ώστε να λαμβάνονται πλήρως υπόψη η φύση των δεδομένων και οι υφιστάμενοι κίνδυνοι, όπως, για παράδειγμα, αυστηρός περιορισμός του σκοπού, περιορισμοί στην πρόσβαση (συμπεριλαμβανομένης της πρόσβασης αποκλειστικά από προσωπικό που έχει λάβει εξειδικευμένη κατάρτιση), τήρηση αρχείου πρόσβασης στα δεδομένα, περιορισμοί στις περαιτέρω διαβιβάσεις ή πρόσθετα μέτρα ασφάλειας.

Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα δεν σκοπείται ούτε απαιτείται στο πλαίσιο παροχής των Υπηρεσιών.

Φύση της επεξεργασίας

Η επεξεργασία συνίσταται στη λήψη και δρομολόγηση τηλεφωνικών κλήσεων, στη μετατροπή της φωνής σε κείμενο, στη διαχείριση της συνομιλίας μέσω ψηφιακού βοηθού, στην παραγωγή απαντήσεων προς τον καλούντα, καθώς και στη δημιουργία και αποθήκευση μεταγραφών, περιλήψεων, μηνυμάτων, αιτημάτων, ραντεβού και ιστορικού κλήσεων στο dashboard του Υπευθύνου Επεξεργασίας.

Σκοπός/-οί για τον οποίο ή τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για λογαριασμό του υπευθύνου επεξεργασίας

Τα προσωπικά δεδομένα του Χρήστη υποβάλλονται σε επεξεργασία για τον σκοπό της ορθής παροχής των υπηρεσιών μας. Η επεξεργασία βασίζεται στην συναίνεση που παρέχει ο Χρήστης κατά την εγγραφή του στην CallBuddie (άρθρο 6 παρ. 1α), καθώς και στην ορθή εκτέλεση της μεταξύ μας σύμβασης (άρθρο 6 παρ. 1β).

Τα προσωπικά δεδομένα των καλούντων χρησιμοποιούνται αποκλειστικά για: 

α) Τεχνική λειτουργία, υποστήριξη και ασφάλεια της πλατφόρμας, όπως ανίχνευση σφαλμάτων, διερεύνηση δυσλειτουργιών, ανίχνευση κατάχρησης, αντιμετώπιση spam/scam κλήσεων και εφαρμογή ορίων χρήσης. Η επεξεργασία αυτή βασίζεται σε σύμβαση επεξεργασίας δεδομένων (DPA) που έχει υπογραφεί μεταξύ της Εταιρείας και του Χρήστη.

β) Τιμολόγηση και παρακολούθηση κατανάλωσης, όπως υπολογισμός διάρκειας χρήσης, κόστους και ορίων χρήσης. Η επεξεργασία αυτή πραγματοποιείται για την εκτέλεση της σύμβασης με τον Χρήστη και βασίζεται σε έννομο συμφέρον της Εταιρείας (άρθρο 6 παρ. 1στ).

Η Εταιρεία δεν χρησιμοποιεί τα δεδομένα των τελικών καλούντων για εκπαίδευση μοντέλων AI, fine-tuning, profiling, διαφημιστική στόχευση, πώληση σε τρίτους ή αυτοματοποιημένη λήψη αποφάσεων με έννομες ή παρόμοια σημαντικές συνέπειες. 

Τα δεδομένα API που διαβιβάζονται στον πάροχο γλωσσικού μοντέλου, κατά την ενότητα 5, δεν χρησιμοποιούνται για την εκπαίδευση των μοντέλων του.  

Διάρκεια της επεξεργασίας

Η CallBuddie διατηρεί τα προσωπικά δεδομένα μόνο για όσο χρονικό διάστημα είναι αναγκαίο για τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν σε επεξεργασία, εκτός εάν απαιτείται μεγαλύτερη διατήρηση από την ισχύουσα νομοθεσία ή από νόμιμη εντολή του Χρήστη.

Ενδεικτικά:

• Προσωπικά δεδομένα που εισάγει ο Χρήστης και αφορούν τους καλούντες, όπως στοιχεία πελατών, στοιχεία ραντεβού και ιστορικό κλήσεων, διατηρούνται για όσο χρονικό απαιτείται για την εκτέλεση της σύμβασης μεταξύ της CallBuddie και του Χρήστη, με βάση την αρχή της ελάχιστης διάρκειας της επεξεργασίας και με ανώτατο χρονικό όριο τα 5 έτη από τη λήξη της συνεργασίας μας.
• Ηχογραφήσεις και μεταγραφές κλήσεων διατηρούνται για περιόδους που καθορίζονται από τον Χρήστη (τυπικά 30 ημέρες). 

Μετά τη λήξη του αναγκαίου χρόνου διατήρησης, τα προσωπικά δεδομένα διαγράφονται οριστικά ή ανωνυμοποιούνται. 

Για την επεξεργασία από εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να διευκρινιστεί επίσης το αντικείμενο, η φύση και η διάρκεια της επεξεργασίας

Για την παροχή, λειτουργία, υποστήριξη, ασφάλεια και τιμολόγηση της Υπηρεσίας, η CallBuddie χρησιμοποιεί υπο-εκτελούντες την επεξεργασία, όπως αυτοί αναφέρονται στο υποπαράρτημα IV. Η επεξεργασία από τους υπο-εκτελούντες περιορίζεται στο αντικείμενο και στη φύση της εκάστοτε ανατεθείσας υπηρεσίας. Η διάρκεια της επεξεργασίας από κάθε υπο-εκτελούντα περιορίζεται στο χρονικό διάστημα που είναι αναγκαίο για την παροχή της αντίστοιχης υπηρεσίας προς την CallBuddie και, μέσω αυτής, προς τον Υπεύθυνο Επεξεργασίας, εκτός εάν απαιτείται διαφορετικά από την ισχύουσα νομοθεσία.

ΥΠΟΠΑΡΑΡΤΗΜΑ III

Τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας των δεδομένων

Η CallBuddie λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα, σύμφωνα με το άρθρο 32 ΓΚΠΔ, με σκοπό την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, τυχαία απώλεια, καταστροφή, αλλοίωση ή μη εξουσιοδοτημένη πρόσβαση. 

Τα μέτρα αυτά περιλαμβάνουν, ενδεικτικά: 

α) Ψευδωνυμοποίηση και κρυπτογράφηση: 

• Κρυπτογράφηση εν στάσει: η βάση δεδομένων είναι κρυπτογραφημένη σε επίπεδο δίσκου (AES-256 μέσω AWS). Τα backups κρυπτογραφούνται κατά τη μεταφορά και αποθηκεύονται κρυπτογραφημένα στο object storage. 
• Κρυπτογράφηση εν κινήσει: TLS 1.2 και 1.3 αποκλειστικά σε όλες τις δημόσιες διεπαφές, με σύγχρονες σουίτες (ECDHE με AES-GCM/CHACHA20). Πιστοποιητικά Let's Encrypt με αυτόματη ανανέωση. HTTP redirect σε HTTPS υποχρεωτικός. 
• API keys, OAuth tokens και credentials αποθηκεύονται με δικαιώματα 0600 σε χρήστη root, εκτός του πηγαίου κώδικα. OAuth tokens ενσωματωμένων υπηρεσιών (Google Calendar) κρυπτογραφούνται στη βάση με ξεχωριστό κλειδί. 
• Στο σύστημα παρακολούθησης σφαλμάτων (Sentry) εφαρμόζεται aggressive PII scrubbing: τηλέφωνα αντικαθίστανται με [PHONE], emails με [EMAIL], headers ταυτοποίησης με [REDACTED] πριν φύγουν από τον server. 

β) Εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα, αξιοπιστία: 

• Εμπιστευτικότητα: Row-Level Security σε επίπεδο βάσης (κάθε επαγγελματίας βλέπει αποκλειστικά τα δικά του δεδομένα), role-based access control στο dashboard (owner / staff / public), middleware ταυτοποίησης σε κάθε αίτημα. Ταυτοποίηση με email/password (bcrypt μέσω διαχειριζόμενης υπηρεσίας ταυτοποίησης) ή Google OAuth. Sessions σε httpOnly secure cookies. Audit log για κάθε διοικητική ενέργεια. 
• Ακεραιότητα: Cryptographically-signed JWT για sessions, HMAC υπογραφές webhook σε εισερχόμενες κλήσεις από προμηθευτές, idempotency keys σε κρίσιμες εγγραφές, timing-safe σύγκριση secrets, header-only authentication scheme για τα tool webhooks (όχι secrets σε URLs). 
• Διαθεσιμότητα: Process supervisor (PM2) με αυτόματο restart διεργασιών, fail2ban για προστασία SSH από brute-force, πολλαπλά επίπεδα rate limiting (nginx, application layer, ανά IP και ανά client), μετριασμός DDoS και WAF μέσω παρόχου CDN, captcha και honeypot σε δημόσιες φόρμες. 
• Αξιοπιστία: Ενεργό σύστημα παρακολούθησης σφαλμάτων (Sentry) με ειδοποιήσεις σε πραγματικό χρόνο, λειτουργικές ειδοποιήσεις μέσω χωριστού καναλιού. 

γ) Δυνατότητα αποκατάστασης: 

• Ημερήσιο αυτοματοποιημένο backup της βάσης δεδομένων (pg_dump), διπλά αποθηκευμένο: τοπικά στον server και σε εκτός host κρυπτογραφημένο object storage (Cloudflare R2), με 14-ήμερη διατήρηση και αυτόματη περιστροφή. 
• Ημερήσιο archive του πηγαίου κώδικα σε εκτός host storage. 
• RTO (Recovery Time Objective): < 4 ώρες για πλήρη επαναφορά εφαρμογής σε νέο VPS. RPO (Recovery Point Objective): < 24 ώρες. 

δ) Δοκιμή και αξιολόγηση: 

• Αυτόματος έλεγχος εξαρτήσεων για ευπάθειες σε κάθε deployment. 
• Εσωτερική επανεξέταση των μέτρων μετά από κάθε σημαντική αλλαγή υποδομής. 

Η πρόσβαση σε δεδομένα είναι ονομαστική, περιορισμένη στα απολύτως αναγκαία πρόσωπα και χορηγείται βάσει της αρχής «need-to-know». Χρησιμοποιούνται αποκλειστικά για τους σκοπούς που περιγράφονται στην παρούσα Πολιτική και στο μέτρο που είναι αναγκαίο για την παροχή, υποστήριξη και ασφάλεια της υπηρεσίας. 

ΥΠΟΠΑΡΑΡΤΗΜΑ IV

Κατάλογος υπεργολάβων επεξεργασίας

Για τη λειτουργία της πλατφόρμας, η Εταιρεία χρησιμοποιεί τους ακόλουθους παρόχους/υπο-εκτελούντες: