Υποχρεώσεις Εκτελούντων την Επεξεργασία

H ΕΥΡΩΠΑΪΚΗ ΠΙΣΤΗ Α.Ε.Γ.Α (εφεξής η «Εταιρία»), στο πλαίσιο της λειτουργίας της και για την εκπλήρωση των σκοπών της, συνεργάζεται με τρίτους παρόχους υπηρεσιών. Τα πρόσωπα αυτά (φυσικά και νομικά), ενδέχεται να επεξεργασθούν Δεδομένα Προσωπικού Χαρακτήρα/Ειδικής Κατηγορίας Δεδομένα Προσωπικού Χαρακτήρα φυσικών προσώπων που συναλλάσσονται καθ’ οιονδήποτε τρόπο με την Εταιρία, για την εκτέλεση των υποχρεώσεων που αναλαμβάνουν και των εντολών που τους ανατίθενται. Ως εκ τούτου, ενεργούν ως Εκτελούντες την Επεξεργασία για την Εταιρία και υπό την ιδιότητά τους αυτή οφείλουν να τηρούν όλες τις εκ του άρθρου 28 του ως άνω Κανονισμού (ΕΕ) 2016/679 υποχρεώσεις τους για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως ενδεικτικά:
 
α) Να λαμβάνουν όλα τα απαιτούμενα τεχνικά και οργανωτικά μέτρα, δυνάμει του άρθρου 32 του Κανονισμού (ΕΕ) 2016/679, για την ασφάλεια των προσωπικών δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας, χρησιμοποιώντας σύγχρονες τεχνολογίες ασφάλειας. 
 
β) Να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων συναλλασσόμενων καθ’ οιονδήποτε τρόπο με την Εταιρία, μόνο βάσει καταγεγραμμένων εντολών αυτής, μεταξύ άλλων, όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτα πρόσωπα, τρίτες χώρες ή διεθνείς οργανισμούς. 
 
γ) Να διασφαλίζουν ότι τα πρόσωπα που είναι εξουσιοδοτημένα από αυτούς να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα (όπως ενδεικτικά υπάλληλοι, συνεργάτες, υπεργολάβοι, προστηθέντες κλπ) έχουν αναλάβει εγγράφως δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας. Επιπλέον, οι Εκτελούντες αναλαμβάνουν την υποχρέωση να διασφαλίζουν ότι το προσωπικό και οι πάσης φύσεως συνεργάτες τους έχουν υποβληθεί στην κατάλληλη εκπαίδευση για την προστασία και διαχείριση των προσωπικών δεδομένων. Σε περίπτωση παραβίασης των προσωπικών δεδομένων από οποιοδήποτε από τα αναφερόμενα στην παρούσα παράγραφο πρόσωπα, πλήρως υπόλογος έναντι της Εταιρίας, παραμένει ο Εκτελών την Επεξεργασία. 
 
δ) Να επικουρούν την Εταιρία για την εκπλήρωση της υποχρέωσης της να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στον Κανονισμό (ΕΕ) 2016/679 δικαιωμάτων του υποκειμένου των δεδομένων. Ειδικότερα, σε περίπτωση υποβολής αιτήματος πρόσβασης, διαγραφής, διόρθωσης, περιορισμού, φορητότητας, ενημέρωσης και εναντίωσης από φυσικό πρόσωπο, οι Εκτελούντες την Επεξεργασία οφείλουν να ενημερώσουν την Εταιρία εντός τριών (3) εργασίμων ημερών προκειμένου η τελευταία να εκπληρώσει τις υποχρεώσεις της εντός των προβλεπόμενων από τον Κανονισμό προθεσμιών. 
 
ε) Να συνδράμουν την Εταιρία στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του Κανονισμού (ΕΕ) 2016/679, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που τίθενται στη διάθεσή τους.
 
στ) Κατ’ επιλογή της Εταιρίας, να διαγράφουν ή επιστρέφουν σε αυτήν όλα τα δεδομένα προσωπικού χαρακτήρα, μετά την ολοκλήρωση του αναληφθέντος έργου και να διαγράφουν κάθε σχετικό με αυτή αντίγραφο.
 
ζ) Να θέτουν στη διάθεση της Εταιρίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσής τους προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπουν και διευκολύνουν τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από την Εταιρία ή από άλλον ελεγκτή εντεταλμένο από αυτή. Ο έλεγχος από την Εταιρία θα πραγματοποιείται με ενημέρωση του Εκτελούντος σαράντα οκτώ (48) ώρες πριν το επικείμενο έλεγχο. 
 
η) Κατά το σχεδιασμό, ανάπτυξη και υλοποίηση των περιγραφόμενων στην παρούσα σκοπών, να λαμβάνουν όλα τα κατάλληλα μέτρα για τη συμμόρφωση προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 25 του Κανονισμού (ΕΕ) 2016/679 για την προστασία των δεδομένων από το σχεδιασμό και εξ ορισμού.
 
θ) Σε περίπτωση που οι Εκτελούντες την Επεξεργασία έχουν ενδείξεις, λαμβάνουν γνώση ή έχουν βάσιμους λόγους να πιστεύουν ότι έχει λάβει ή ενδέχεται να λάβει χώρα τυχαία, μη εξουσιοδοτημένη ή παράνομη καταστροφή, απώλεια, τροποποίηση, αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα, υποχρεούνται να ενημερώσουν την Εταιρία, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση το αργότερο εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβαν γνώση των σχετικών πληροφοριών. Αρμόδιος επικοινωνίας από την πλευρά της Εταιρίας, ορίζεται ο εκάστοτε Υπεύθυνος Ασφάλειας Πληροφοριών ή/και ο Υπεύθυνος Προστασίας Δεδομένων.
 
Η ενημέρωση αυτή περιλαμβάνει τουλάχιστον: (i) λεπτομερή περιγραφή της σχετικής παραβίασης της ασφάλειας των δεδομένων, (ii) το είδος των δεδομένων που αποτέλεσαν αντικείμενο παραβίασης, (iii) την ταυτότητα κάθε επηρεαζόμενου προσώπου (ή, όπου αυτή δεν μπορεί να προσδιοριστεί επακριβώς, τον κατά προσέγγιση αριθμό των επηρεαζόμενων υποκειμένων και των αρχείων), (iv) περιγραφή των πιθανών συνεπειών της, (v) περιγραφή των μέτρων αντιμετώπισης που προτάθηκαν ή τελικώς ελήφθησαν από τον Εκτελούντα, συμπεριλαμβανομένων των κατάλληλων μέτρων για τον μετριασμό των πιθανών δυσμενών συνεπειών της, (vi) και, τέλος, επιπρόσθετα στην ενημέρωση προς την Εταιρία και για το μετέπειτα χρόνο, κάθε άλλη σχετική πληροφορία που μπορεί αυτή ευλόγως να ζητήσει, μόλις αυτή συλλεγεί ή καταστεί διαθέσιμη.
 
Σε περίπτωση κατά την οποία, από αμέλεια ή υπαιτιότητα των Εκτελούντων την Επεξεργασία ή των συνεργατών τους, υπαλλήλων κλπ, δοθούν ή διαρρεύσουν πληροφορίες προς τρίτους ή παραβιασθούν καθ’ οιονδήποτε τρόπο οι όροι της παρούσας εντολής ή/και οι υποχρεώσεις τους που επιβάλλονται από το εθνικό και ευρωπαϊκό νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων, με αποτέλεσμα η Εταιρία να κληθεί να καταβάλλει οιοδήποτε πρόστιμο στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή σε τρίτους που θα θεωρήσουν τον εαυτό τους προσβληθέντα, η Εταιρία έχει δικαίωμα να απαιτήσει από τους Εκτελούντες την Επεξεργασία την καταβολή οιουδήποτε ποσού υποχρεωθεί αυτή να καταβάλει. 
 
 
top