1.    Η Επιχείρηση  υπό την ιδιότητα του Υπευθύνου Επεξεργασίας, καθώς και ο Συνεργάτης υπό την ιδιότητα του Εκτελούντος την Επεξεργασία, υπόκεινται στις υποχρεώσεις που απορρέουν από την ελληνική και ευρωπαϊκή νομοθεσία προστασίας προσωπικών δεδομένων, ιδίως από τον Γενικό Κανονισμό 2016/679 («ΓΚΠΔ») για την προστασία των προσωπικών δεδομένων και τον εφαρμοστικό εθνικό νόμο.

2.    Η νομοθεσία περί προστασίας δεδομένων και ειδικότερα το άρθρο 28 του ΓΚΠΔ υποχρεώνει επίσης τον Υπεύθυνο Επεξεργασίας να δεσμεύει τον Εκτελούντα την Επεξεργασία για τη σύμφωνα με το υφιστάμενο νομικό πλαίσιο επεξεργασία των προσωπικών δεδομένων, υποχρεώνοντας τον Υπεύθυνο Επεξεργασίας να συνεργάζεται μόνο με “… εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων …” όπως προβλέπει σχετικά ο ΓΚΠΔ. Για τους σκοπούς της παρούσας, οι όροι «Δεδομένα Προσωπικού Χαρακτήρα», το «Υποκείμενο Δεδομένων», ο «Υπεύθυνος Επεξεργασίας», ο «Εκτελών την Επεξεργασία», η «Επεξεργασία», η «Εποπτική Αρχή», οι «Τρίτοι», οι «Αποδέκτες», οι «Υπεργολάβοι» έχουν την έννοια που δίδεται στη νομοθεσία για την προστασία των φυσικών προσώπων από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα,  ήτοι τον Κανονισμό 679/2016 (GDPR) και τον σχετικό Εθνικό Εφαρμοστικό Νόμο αναφορικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα («Νομοθεσία»). Με τον όρο  «δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, ενώ  «επεξεργασία προσωπικών δεδομένων» σημαίνει κάθε πράξη ή σειρά πράξεων σε δεδομένα προσωπικού χαρακτήρα, όπως συλλογή, καταχώρηση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση, συνδυασμός, περιορισμός, διαγραφή ή καταστροφή.

3.    Λαμβάνοντας υπόψη ότι  η Κύρια Σύμβαση περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον Εκτελούντα την Επεξεργασία για λογαριασμό  του Υπευθύνου Επεξεργασίας, δια της παροχής των υπηρεσιών που αναλυτικά περιγράφονται σε αυτήν ,στο οποίο ορίζεται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και ο σκοπός της επεξεργασίας, το είδος των προσωπικών δεδομένων και οι κατηγορίες υποκειμένων των δεδομένων, τα μέρη δεσμεύονται να υιοθετούν και εφαρμόζουν το καθένα από την πλευρά του τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ανάλογα με την φύση των προσωπικών δεδομένων των οποίων σκοπείται η επεξεργασία, τη φύση των κινδύνων, τους σκοπούς επεξεργασίας, και λαμβάνοντας υπόψη τα δικαιώματα των υποκειμένων των δεδομένων και τις τρέχουσες τεχνολογικές εξελίξεις, ώστε να διασφαλίζεται η ασφαλής επεξεργασία. Ιδιαίτερα τα μέρη φροντίζουν ώστε τα προσωπικά δεδομένα που επεξεργάζονται να προστατεύονται έναντι τυχαίας ή παράνομης καταστροφής ή τυχαίας απώλειας, αλλοίωσης, αποκάλυψης ή πρόσβασης από τρίτους χωρίς σχετική εξουσιοδότηση, τόσο κατά την αποθήκευση και φύλαξη των δεδομένων προς επεξεργασία όσο και κατά τη μεταφορά τους από τον Υπεύθυνο Επεξεργασίας προς τον Εκτελούντα την Επεξεργασία και αντίστροφα. Ρητά συνομολογείται στο παρόν ότι για την ασφαλή διαβίβαση των δεδομένων στα συστήματα του Εκτελούντος την Επεξεργασία αποκλειστικά υπεύθυνος είναι ο Υπεύθυνος Επεξεργασίας. Ουδεμία ευθύνη φέρει ο Εκτελών την Επεξεργασία μέχρι τα δεδομένα να εισαχθούν στα συστήματά του. Για κάθε αποστολή  προς τον Υπεύθυνο Επεξεργασίας από τον Εκτελούντα την Επεξεργασία, υπεύθυνος είναι ο τελευταίος.

4.    Τα μέρη εφόσον τους ζητηθεί από τις αρμόδιες δικαστικές, εισαγγελικές και διοικητικές αρχές, και με τις νόμιμες διαδικασίες, η πρόσβαση στα προσωπικά δεδομένα που επεξεργάζονται, έχουν κάτ’ εξαίρεση υποχρέωση να επιτρέψουν την πρόσβαση αυτή χωρίς οι αρχές να θεωρούνται τρίτοι.

5.    Το μέρος από το οποίο θα ζητηθεί από τις αρχές πρόσβαση στα δεδομένα έχει υποχρέωση εντός 24 ωρών από τότε που θα λάβει γνώση να ενημερώσει σχετικά το άλλο μέρος και να παράσχει κάθε σχετική πληροφορία που γνωρίζει.

6.    Ο Εκτελών την Επεξεργασία δεν έχει το δικαίωμα να προσλάβει υπεργολαβικά ή να αναθέσει εξωτερικά καμία Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα σε κανένα τρίτο πρόσωπο, φυσικό ή νομικό, περιλαμβανομένων των συνδεδεμένων εταιρειών του Εκτελούντος την Επεξεργασία («Υπεργολάβος ») χωρίς την προηγούμενη συναίνεση  του Υπεύθυνου Επεξεργασίας. Σε κάθε περίπτωση οποιοσδήποτε τρίτος εκτελών που προσλαμβάνεται από τον Εκτελούντα την Επεξεργασία θα δεσμεύεται από έγγραφη σύμβαση, συμπεριλαμβανομένων όλων των διατάξεων και υποχρεώσεων της παρούσας Σύμβασης Επεξεργασίας που εφαρμόζονται στις δραστηριότητες επεξεργασίας που εκτελούνται και από τον τρίτο.

7.    Ο Συνεργάτης  (Εκτελών την Επεξεργασία)  δηλώνει ρητά τα κάτωθι:

·         Στο πλαίσιο της ισχύουσας Σύμβασης, ο Συνεργάτης επεξεργάζεται Αρχεία Προσωπικών Δεδομένων οικονομικής φύσεως, το είδος και το εύρος των οποίων εξαρτάται από το είδος της συναλλαγής και που προβλέπονται από τις εκάστοτε ισχύουσες διατάξεις της εργατικής, ασφαλιστικής, καθώς και της περί ανωνύμων εταιριών νομοθεσίας, καθώς και σε λοιπές πληροφορίες και στοιχεία που διατηρούνται στην Επιχείρηση, με αποτέλεσμα να έχει πρόσβαση και να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, σύμφωνα με τα ανωτέρω αναλυτικώς οριζόμενα.

·         Για την προσήκουσα παροχή των υπηρεσιών του αποκτά πρόσβαση στα προσωπικά δεδομένα που διατηρεί η Επιχείρηση   και λαμβάνει κάθε απαραίτητη πληροφορία από τους υπαλλήλους της Εταιρείας και τις οδηγίες της Διευθύνσεως της Εταιρείας. Σκοπός της επεξεργασίας των αρχείων δεδομένων είναι η εξυπηρέτηση, η υποστήριξη και παρακολούθηση των πάσης φύσεως συναλλαγών μεταξύ των υποκειμένων της επεξεργασίας και της επιχείρησης. Τα ανωτέρω προσωπικά δεδομένα εφόσον περιέρχονται εις γνώση του και αποκτά πρόσβαση σε αυτά λόγω της συμβατικής του σχέσης με την Επιχείρηση, καθώς και εφόσον ενεργεί για λογαριασμό αυτής, οφείλει να τα επεξεργάζεται, σύμφωνα με το ισχύον νομικό και κανονιστικό πλαίσιο προστασίας προσωπικών δεδομένων, ιδίως τον ΓΚΠΔ. Οποιαδήποτε άλλη επεξεργασία/χρήση των προσωπικών δεδομένων που δεν είναι σύμφωνη με το σύνολο των ανωτέρω οδηγιών και του νομικού πλαισίου δεν επιτρέπεται.

·         Δεν θα διαβιβάσει τα προσωπικά δεδομένα που έχει επεξεργαστεί στο πλαίσιο της συμβατικής της σχέσης με την Επιχείρηση , σε χώρα εκτός της Ευρωπαϊκής Ένωσης ή σε διεθνή οργανισμό, εκτός:

                                  i.    εάν υποχρεούται βάσει του ευρωπαϊκού ή του εθνικού δικαίου κατόπιν ενημερώσεως και σχετικής εγκρίσεως της Επιχείρησης  πριν από τη διαβίβαση για την εν λόγω νομική απαίτηση, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημοσίου συμφέροντος, ή

                                ii.    εάν το υποκείμενο συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το πρόσωπό του, σε περίπτωση απουσίας απόφασης επάρκειας (ΓΚΠΔ αρ. 45) ή κατάλληλων εγγυήσεων (ΓΚΠΔ αρ. 46)

·         Θα συνδράμει την Εταιρεία στη διασφάλιση της συμμόρφωσης της προς τις υποχρεώσεις που απορρέουν από τη νομοθεσία προστασίας δεδομένων, ιδίως όταν απαντά σε ερωτήσεις, καταγγελίες ή αιτήματα για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, συμπεριλαμβανομένων (αλλά όχι περιοριστικώς) των πληροφοριών στα υποκείμενα των δεδομένων ή τη λήψη της συγκατάθεσης των υποκειμένων των δεδομένων. Ειδικότερα, υποχρεούται εντός δύο (2) ημερολογιακών ημερών να ικανοποιεί οποιοδήποτε αίτημα της Επιχείρησης  σχετικά με την απάντηση στα αιτήματα των υποκειμένων των δεδομένων.

·         Ο Εκτελών την Επεξεργασία υποχρεούται να διασφαλίζει το απόρρητο των Προσωπικών Δεδομένων, όπως και ότι οποιαδήποτε εξουσιοδοτημένα από αυτόν πρόσωπα που επεξεργάζονται τα Προσωπικά Δεδομένα, είτε πρόκειται για υπαλλήλους του, στελέχη του, συνεργάτες του ή άλλους προστηθέντες, είναι αξιόπιστα, έχουν εκπαιδευθεί καταλλήλως για τη φροντίδα, προστασία και διαφύλαξη της εμπιστευτικότητας των Προσωπικών Δεδομένων και ότι έχουν υπογράψει έγγραφες συμβάσεις τήρησης εμπιστευτικότητας των Προσωπικών Δεδομένων με τον Εκτελούντα την Επεξεργασία, οι οποίες εξακολουθούν να ισχύουν και να είναι δεσμευτικές και μετά την καθ’ οιονδήποτε τρόπο λύση ή λήξη της παρούσας.

·         Υποχρεούται να ενημερώσει αμέσως/χωρίς αδικαιολόγητη καθυστέρηση την Επιχείρηση  εάν:

                                  i.    λάβει καταγγελία ή ερώτημα από υποκείμενο των δεδομένων, παρότι το ενημέρωσε για τη Διαδικασία άσκησης των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων που εφαρμόζει η Επιχείρηση,

                                ii.    αρμόδια Εποπτική (Δημόσια/Διοικητική) Αρχή κατά την εκτέλεση των ερευνητικών και διορθωτικών της εξουσιών, παραγγέλλει ή αποστέλλει στην Επιχείρηση αίτημα για παροχή στοιχείων,

                               iii.    σκοπεύει να αποκαλύψει προσωπικά δεδομένα σε οποιαδήποτε αρμόδια Εποπτική (Δημόσια/Διοικητική) Αρχή, δικαστήριο κ.α.

                               iv.    σκοπεύει να αποκαλύψει προσωπικά δεδομένα σε περίπτωση επιστημονικής έρευνας και μελέτης.

·         Θα εφαρμόσει τουλάχιστον τα ελάχιστα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας, τα οποία είναι απαραίτητα για την προστασία των προσωπικών δεδομένων για την αποφυγή, μεταξύ άλλων, καταστροφής, απώλειας, αλλοίωσης, μη εξουσιοδοτημένης πρόσβασης σε αυτά. Επιπλέον, οφείλει να λάβει αυξημένα τεχνικά και οργανωτικά μέτρα με σκοπό να επιτύχει ακόμα υψηλότερο επίπεδο ασφάλειας.

·         Σε περίπτωση που συμβεί κάποιο Περιστατικό Παραβίασης προσωπικών δεδομένων, οφείλει αμελλητί μόλις το αντιληφθεί, να ειδοποιήσει τηλεφωνικώς και με ηλεκτρονικό ταχυδρομείο τον Υπεύθυνο Προστασίας Δεδομένων της Εταιρείας ή την Διοίκηση της Εταιρείας και στη συνέχεια να συνδράμει την Επιχείρηση σε ό,τι περαιτέρω χρειασθεί.

·         Κατά τη λήξη της παρούσας, τα προσωπικά δεδομένα και οποιαδήποτε φυσικά ή ηλεκτρονικά αντίγραφα αυτών, καθώς και κάθε είδος φακέλου, σημειώσεων, αναφορών πληροφοριών, τα οποία δεν υποχρεούται να διατηρεί, πρέπει αμέσως να τα επιστρέψει στην Εταιρεία , ή εφόσον το αιτηθεί η Εταιρεία να τα καταστρέψει με ασφάλεια.

·         Πέραν του επαγγελματικού απορρήτου, γνωρίζει ότι όλες οι πληροφορίες που αφορούν απλά και ειδικών κατηγοριών προσωπικά δεδομένα και κάθε είδους πληροφορία που περιήλθε εις γνώση του στο πλαίσιο της παρούσας, οφείλει  να μην τις ανακοινώνει και να μην τις δημοσιοποιεί προς οιονδήποτε τρίτο.

8.    Ο Εκτελών την Επεξεργασία  θα ευθύνεται έναντι αξιώσεων τρίτων, ζημιών, προστίμων και εξόδων που επιβαρύνουν τον Υπεύθυνο Προστασίας και προκύπτουν από παραβίαση της παρούσας Σύμβασης Επεξεργασίας ή / του Νομικού Πλαισίου Προστασίας Δεδομένων από τον Εκτελούντα την Επεξεργασία εφόσον αποδεδειγμένα κατόπιν αμετάκλητης δικαστικής απόφασης κριθεί ότι  έχει παραβιάσει τους όρους της παρούσας σύμβασης.

9.    Η παρούσα αποτελεί  Παράρτημα  της κύριας σύμβασης και διαρκεί όσο διάστημα διαρκεί η κύρια σύμβαση. Ωστόσο, ειδικότερα σε ό,τι αφορά στα προσωπικά δεδομένα, η παρούσα  υπερισχύει κάθε άλλης σχετικής διάταξης που έχει εισαχθεί στην κύρια σύμβαση ή σε οποιαδήποτε άλλη σύμβαση μεταξύ των μερών ακόμα και μεταγενέστερη της παρούσας. Εάν διακοπεί ή με άλλο τρόπο τερματιστεί η κύρια σύμβαση, η παρούσα ακολουθεί την τύχη της κύριας σύμβασης.

10.   Η παρούσα τροποποιείται μόνο με νέα ειδική συμφωνία για την προστασία δεδομένων προσωπικού χαρακτήρα, η οποία θα συνάπτεται αποκλειστικά εγγράφως και θα ισχύει από τη μέρα υπογραφής, εκτός αν ειδικά συμφωνηθεί άλλως.