ΠΑΡΑΡΤΗΜΑ ΙΙ: Τυποποιημένες συμβατικές ρήτρες, εγκεκριμένες από την ευρωπαϊκή επιτροπή (Ενότητα 4)

Ο σκοπός αυτών των τυποποιημένων συμβατικών ρητρών είναι να διασφαλιστεί η συμμόρφωση με τον κανονισμό GDPR κατά τη μεταφορά προσωπικών δεδομένων σε τρίτη χώρα.

ΕΝΟΤΗΤΑ Ι


Ρήτρα 1

Σκοπός και πεδίο εφαρμογής

  1. Σκοπός αυτών των τυποποιημένων συμβατικών ρητρών είναι να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τέτοιων δεδομένων (Γενικός Κανονισμός Προστασίας Δεδομένων) για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα.
  2. Τα Συμβαλλόμενα Μέρη:
    • το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, οι υπηρεσίες ή άλλες οντότητες (εφεξής οι "οντότητες") διαβιβάζουν τα δεδομένα προσωπικού χαρακτήρα, όπως αναφέρονται στο Παράρτημα Ι.Α (εφεξής ο "εξαγωγέας δεδομένων"), και.
    • αφετέρου οι οντότητες σε τρίτη χώρα που δέχονται τα δεδομένα προσωπικού χαρακτήρα από τον εξαγωγέα δεδομένων, άμεσα ή έμμεσα μέσω άλλης οντότητας επίσης μέρος αυτών των Ρητρών, όπως αναφέρονται στο Παράρτημα Ι.Α. (εφεξής ο "εισαγωγέας δεδομένων"), συμφώνησαν στις τυποποιημένες συμβατικές ρήτρες (εφεξής οι "Ρήτρες").
  3. Αυτές οι Ρήτρες εφαρμόζονται σε σχέση με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, όπως καθορίζεται στο Παράρτημα Ι.Β.
  4. Το Προσάρτημα των παρουσών Ρητρών, το οποίο περιέχει τα Παραρτήματα που αναφέρονται σε αυτό, αποτελεί αναπόσπαστο μέρος των παρουσών Ρητρών.

Ρήτρα 2

Αποτελέσματα και αμεταβλητότητα των Ρητρών

  1. Σε αυτές τις Ρήτρες καθορίζονται οι κατάλληλες ασφαλιστικές δικλείδες, συμπεριλαμβανομένων των δικαιωμάτων των υποκειμένων των δεδομένων και των αποτελεσματικών μέσων ένδικης προστασίας, σύμφωνα με τα άρθρα 46 παρ. 1 και 46 παρ. 2 στοιχείο γ) του Κανονισμού (ΕΕ) 2016/679 και, σε σχέση με τη διαβίβαση δεδομένων από υπεύθυνους επεξεργασίας σε εκτελούντες την επεξεργασία και/ή από εκτελούντες την επεξεργασία σε εκτελούντες την επεξεργασία, τυποποιημένες συμβατικές ρήτρες σύμφωνα με το άρθρο 28 παρ. 7 του Κανονισμού (ΕΕ) 2016/679, με την προϋπόθεση ότι δεν τροποποιούνται, εκτός αν απαιτείται να επιλεχθεί το κατάλληλο Μοντέλο(α) ή να προστεθούν ή να ενημερωθούν οι πληροφορίες στο Προσάρτημα. Αυτό δεν εμποδίζει τα Συμβαλλόμενα Μέρη να ενσωματώσουν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις παρούσες Ρήτρες σε μια ευρύτερη σύμβαση και/ή να προσθέσουν άλλες ρήτρες ή πρόσθετες ασφαλιστικές δικλείδες, εφόσον δεν αντιβαίνουν, άμεσα ή έμμεσα, τις παρούσες Ρήτρες ή δεν παραβιάζουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.
  2. Οι εν λόγω Ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο εξαγωγέας των δεδομένων δυνάμει του Κανονισμού (ΕΕ) 2016/679.


Ρήτρα 3

Δικαιούχοι τρίτοι

  1. Τα υποκείμενα των δεδομένων δύνανται να επικαλεστούν και να επιβάλλουν αυτές τις Ρήτρες, ως δικαιούχοι τρίτοι, κατά του εξαγωγέα και/ή του εισαγωγέα δεδομένων, με τις ακόλουθες εξαιρέσεις:
    • Ρήτρες 1, 2, 3, 6 και 7.
    • Ρήτρα 8: εδάφιο 8.1, στοιχείο β), και εδάφιο 8.3, στοιχείο β).
    • Ρήτρα 13.
  2. Η παράγραφος (α) δεν θίγει τα δικαιώματα των υποκειμένων δεδομένων σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679.

Ρήτρα 4

Ερμηνεία

  1. Όταν οι παρούσες Ρήτρες χρησιμοποιούν όρους που ορίζονται στον Κανονισμό (ΕΕ) 2016/679, οι όροι αυτοί έχουν την ίδια έννοια όπως στον εν λόγω κανονισμό.
  2. Οι Ρήτρες αυτές διαβάζονται και ερμηνεύονται βάσει των διατάξεων του Κανονισμού (ΕΕ) 2016/679.
  3. Οι εν λόγω Ρήτρες δεν ερμηνεύονται κατά τρόπο που αντίκειται στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στον Κανονισμό (ΕΕ) 2016/679.


Ρήτρα 5

Ιεραρχία

Σε περίπτωση αντίφασης μεταξύ των παρουσών Ρητρών και των διατάξεων των σχετικών συμφωνιών μεταξύ των Μερών, που υφίστανται κατά τον χρόνο συμφωνίας ή σύναψης αυτών των Ρητρών, οι εν λόγω Ρήτρες υπερισχύουν.

Ρήτρα 6

Περιγραφή της διαβίβασης

Οι λεπτομέρειες της διαβίβασης και ιδίως οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται καθώς και ο σκοπός για τον οποίο διαβιβάζονται, καθορίζονται στο Παράρτημα Ι.Β.

Ρήτρα 7

Ρήτρα προσχώρησης

  1. Μια οντότητα που δεν είναι Συμβαλλόμενο Μέρος αυτών των Ρητρών μπορεί, κατόπιν συμφωνίας μεταξύ των Συμβαλλόμενων Μερών, να προσχωρήσει σε αυτές τις Ρήτρες ανά πάσα στιγμή, είτε ως εξαγωγέας δεδομένων είτε ως εισαγωγέας δεδομένων, συμπληρώνοντας το Προσάρτημα και υπογράφοντας το Παράρτημα Ι.Α.
  2. Αφού συμπληρώσει το Παράρτημα και υπογράψει το Παράρτημα Ι.Α, η προσχωρούσα οντότητα θα γίνει Συμβαλλόμενο Μέρος σε αυτές τις Ρήτρες και θα έχει τα δικαιώματα και τις υποχρεώσεις ενός εξαγωγέα δεδομένων ή εισαγωγέα δεδομένων, σύμφωνα με τον χαρακτηρισμό της στο Παράρτημα Ι.Α.
  3. Η προσχωρούσα οντότητα δεν θα έχει δικαιώματα ή υποχρεώσεις που απορρέουν από αυτές τις Ρήτρες για την περίοδο πριν γίνει Συμβαλλόμενο Μέρος.


ΕΝΟΤΗΤΑ ΙΙ: ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΜΕΡΩΝ


Ρήτρα 8

Ασφαλιστικές δικλείδες για την προστασία δεδομένων

Ο εξαγωγέας δεδομένων εγγυάται ότι έχει καταβάλει εύλογες προσπάθειες να καθορίσει ότι ο εισαγωγέας δεδομένων είναι σε θέση, μέσω της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων, να ικανοποιήσει τις υποχρεώσεις του που απορρέουν από αυτές τις Ρήτρες.

8.1. Οδηγίες.

  1. Ο εξαγωγέας δεδομένων οφείλει να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο σύμφωνα με τις τεκμηριωμένες οδηγίες από τον εισαγωγέα δεδομένων που ενεργεί ως υπεύθυνος επεξεργασίας.
  2. Ο εξαγωγέας δεδομένων οφείλει να ενημερώνει αμέσως τον εισαγωγέα δεδομένων εάν δεν μπορεί να ακολουθήσει αυτές τις οδηγίες, καθώς και εάν οι οδηγίες αυτές παραβιάζουν τον Κανονισμό (ΕΕ) 2016/679 ή άλλο νόμο προστασίας δεδομένων της ΕΕ ή κράτους μέλους.
  3. Ο εισαγωγέας δεδομένων οφείλει να απέχει από κάθε ενέργεια που μπορεί να αποτρέψει τον εξαγωγέα δεδομένων να εκπληρώσει τις υποχρεώσεις του βάσει του Κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων και στο πλαίσιο της υπεργολαβίας επεξεργασίας των δεδομένων ή όσον αφορά τη συνεργασία με τις αρμόδιες εποπτικές αρχές.
  4. Μετά το πέρας της παροχής των υπηρεσιών επεξεργασίας, ο εξαγωγέας των δεδομένων, κατ’ επιλογή του εισαγωγέα δεδομένων, οφείλει να διαγράψει όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του εισαγωγέα δεδομένων και να βεβαιώσει τον εισαγωγέα δεδομένων ότι όντως το έχει πράξει, ή να επιστρέψει στον εισαγωγέα δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί επεξεργασία εκ μέρους του και να διαγράψει τα υπάρχοντα αντίγραφα.

8.2. Ασφάλεια της επεξεργασίας.

  1. Τα Συμβαλλόμενα Μέρη οφείλουν να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να προστατεύσουν την ασφάλεια των δεδομένων, μεταξύ άλλων και κατά τη διαβίβαση, και να παρέχουν προστασία κατά ενδεχόμενης παραβίασης της ασφάλειας που οδηγεί σε ακούσια ή παράνομη καταστροφή, απώλεια, παραποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση (εφεξής "παραβίαση δεδομένων προσωπικού χαρακτήρα"). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, θα λαμβάνονται υπόψη οι τεχνολογικές εξελίξεις, το κόστος εφαρμογής, η φύση των δεδομένων προσωπικού χαρακτήρα, η φύση, το πεδίο εφαρμογής, το πλαίσιο και ο σκοπός (ή οι σκοποί) της επεξεργασίας, καθώς και οι κίνδυνοι που ενέχει η επεξεργασία για τα υποκείμενα των δεδομένων, και ειδικά η προσφυγή σε κρυπτογράφηση ή ψευδωνυμοποίηση, ακόμα και κατά τη μετάδοση, όταν ο σκοπός της επεξεργασίας μπορεί να εκπληρωθεί με αυτόν τον τρόπο.
  2. Ο εξαγωγέας δεδομένων θα βοηθήσει τον εισαγωγέα δεδομένων να διασφαλίσει την κατάλληλη προστασία των δεδομένων σύμφωνα με την παράγραφο (α). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα η οποία αφορά τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται ο εξαγωγέας δεδομένων υπό αυτές τις Ρήτρες, ο εξαγωγέας δεδομένων οφείλει να ενημερώσει τον εισαγωγέα δεδομένων χωρίς καθυστέρηση μόλις λάβει σχετική γνώση και να βοηθήσει τον εισαγωγέα δεδομένων να αντιμετωπίσει την παραβίαση.
  3. Ο εξαγωγέας δεδομένων οφείλει να διασφαλίσει ότι τα άτομα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν δεσμευτεί να τηρούν εχεμύθεια ή υπόκεινται σε κατάλληλη νομική υποχρέωση εχεμύθειας.

8.3. Τεκμηρίωση και συμμόρφωση.

  1. Τα Συμβαλλόμενα Μέρη πρέπει να είναι σε θέση να αποδεικνύουν τη συμμόρφωση με αυτές τις ρήτρες.
  2. Ο εξαγωγέας δεδομένων οφείλει να παρέχει στον εισαγωγέα δεδομένων όλες τις απαραίτητες πληροφορίες προκειμένου να αποδείξει τη συμμόρφωση με τις υποχρεώσεις του που απορρέουν από τις παρούσες Ρήτρες, καθώς επίσης να επιτρέψει και να συμβάλει σε ελέγχους.

Ρήτρα 9

Δικαιώματα των υποκειμένων των δεδομένων

Τα Συμβαλλόμενα Μέρη οφείλουν να αλληλοβοηθούνται προκειμένου να απαντούν σε ερωτήσεις και αιτήματα που υποβάλλουν τα υποκείμενα των δεδομένων σύμφωνα με την τοπική νομοθεσία που ισχύει για τον εισαγωγέα δεδομένων ή, εφόσον πρόκειται για την επεξεργασία δεδομένων από τον εξαγωγέα δεδομένων στην ΕΕ, δυνάμει του Κανονισμού (ΕΕ) 2016/679.

Ρήτρα 10

Επανόρθωση

Ο εισαγωγέας δεδομένων οφείλει να ενημερώσει τα υποκείμενα των δεδομένων σε διαφανή και εύκολα προσβάσιμη μορφή, είτε με ατομική ειδοποίηση είτε στον ιστότοπό του, για την ύπαρξη σημείου επικοινωνίας που είναι εξουσιοδοτημένο για τη διαχείριση παραπόνων. Θα χειρίζεται άμεσα οποιαδήποτε παράπονα λαμβάνει από ένα υποκείμενο των δεδομένων.

Ρήτρα 11

Ευθύνη

  1. Κάθε Συμβαλλόμενο Μέρος θα είναι υπεύθυνο έναντι του Αντισυμβαλλόμενου Μέρους (ή Μερών) για οποιαδήποτε ζημιά προκληθεί εξαιτίας παραβίασης αυτών των Ρητρών.
  2. Κάθε Συμβαλλόμενο Μέρος θα είναι υπεύθυνο έναντι του υποκείμενου των δεδομένων και το υποκείμενο των δεδομένων θα δικαιούται αποζημίωση για οποιαδήποτε υλική ή ηθική ζημία προκληθεί εξαιτίας παραβίασης των δικαιωμάτων δικαιούχου τρίτου, βάσει αυτών των Ρητρών. Αυτό δεν θίγει την ευθύνης που αποδίδει ο Κανονισμός (ΕΕ) 2016/679 στον εξαγωγέα δεδομένων.
  3. Εάν περισσότερα από ένα Συμβαλλόμενα Μέρη είναι υπεύθυνα για οποιαδήποτε ζημιά προκληθεί στο υποκείμενο των δεδομένων ως αποτέλεσμα παραβίασης αυτών των Ρητρών, όλα τα υπεύθυνα Συμβαλλόμενα Μέρη θα είναι αναλογικά και/ή από κοινού υπεύθυνα.
  4. Τα Συμβαλλόμενα Μέρη συμφωνούν ότι εάν ένα Συμβαλλόμενο Μέρος θεωρηθεί υπεύθυνο δυνάμει της παραγράφου γ), δικαιούται να ζητήσει από το Αντισυμβαλλόμενο Μέρος (ή Αντισυμβαλλόμενα Μέρη) αποζημίωση αναλογικά με το μερίδιο ευθύνης του για τη ζημία.
  5. Ο εισαγωγέας δεδομένων δεν μπορεί να επικαλεστεί τη συμπεριφορά του εκτελούντος την επεξεργασία ή του υπεργολάβου επεξεργασίας προκειμένου να αποφύγει τη δική του ευθύνη.


ΕΝΟΤΗΤΑ ΙΙΙ: ΤΟΠΙΚΟΙ ΝΟΜΟΙ ΚΑΙ ΥΠΟΧΡЕΩΣΕΙΣ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΡΟΣΒΑΣΗΣ ΑΠΟ ΔΗΜΟΣΙΕΣ ΑΡΧΕΣ


Ρήτρα 12

Τοπικοί νόμοι και πρακτικές που επηρεάζουν τη συμμόρφωση με τις Ρήτρες

  1. Τα Συμβαλλόμενα Μέρη βεβαιώνουν ότι δεν έχουν λόγο να πιστεύουν ότι οι νόμοι και οι πρακτικές στην τρίτη χώρα προορισμού που ισχύουν για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα δεδομένων, συμπεριλαμβανομένων τυχόν απαιτήσεων περί αποκάλυψης δεδομένων προσωπικού χαρακτήρα ή μέτρων που εξουσιοδοτούν την πρόσβαση από δημόσιες αρχές, εμποδίζουν τον εισαγωγέα δεδομένων να εκπληρώσει τις υποχρεώσεις του δυνάμει αυτών των Ρητρών. Αυτό βασίζεται στην αντίληψη ότι οι νόμοι και πρακτικές που σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και δεν υπερβαίνουν ό,τι είναι απαραίτητο και αναλογικό σε μια δημοκρατική κοινωνία για την προστασία ενός από τους στόχους που αναφέρονται στο άρθρο 23 παρ. 1 του Κανονισμού (ΕΕ) 2016/679, δεν αντιβαίνουν αυτές τις Ρήτρες.
  2. Τα Συμβαλλόμενα Μέρη δηλώνουν ότι, κατά την παροχή της εγγύησης που αναφέρεται στην παράγραφο α), έλαβαν δεόντως υπόψη τα ακόλουθα στοιχεία:
    • τις συγκεκριμένες περιστάσεις της διαβίβασης, συμπεριλαμβανομένων του μήκους της αλυσίδας επεξεργασίας, του αριθμού των εμπλεκομένων και των καναλιών μετάδοσης που χρησιμοποιούνται˙ τις σχεδιαζόμενες μελλοντικές διαβιβάσεις˙ τον τύπο παραλήπτη˙ τον σκοπό της επεξεργασίας˙ τις κατηγορίες και τη μορφή των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα˙ τον οικονομικό τομέα στον οποίο γίνεται η διαβίβαση˙ την τοποθεσία αποθήκευσης των διαβιβαζόμενων δεδομένων˙
    • τους νόμους και τις πρακτικές της τρίτης χώρας προορισμού -συμπεριλαμβανομένων εκείνων που απαιτούν την αποκάλυψη των δεδομένων σε δημόσιες αρχές ή εξουσιοδοτούν την πρόσβαση από αυτές τις αρχές- σχετικών με τις ειδικές περιστάσεις της διαβίβασης, καθώς και τους εφαρμοζόμενους περιορισμούς και τις ασφαλιστικές δικλείδες˙
    • οποιεσδήποτε συναφείς συμβατικές, τεχνικές ή οργανωτικές ασφαλιστικές δικλείδες υιοθετούνται συμπληρωματικά των ασφαλιστικών δικλείδων που προβλέπονται στις παρούσες Ρήτρες, συμπεριλαμβανομένων μέτρων που εφαρμόζονται κατά τη μετάδοση και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στη χώρα προορισμού.
  3. Ο εισαγωγέας δεδομένων εγγυάται ότι, κατά τη διεξαγωγή της αξιολόγησης υπό την παρ. (β), έχει καταβάλει κάθε δυνατή προσπάθεια να παρέχει στον εξαγωγέα δεδομένων τις σχετικές πληροφορίες και συμφωνεί ότι θα συνεχίσει να συνεργάζεται με τον εξαγωγέα δεδομένων για την εξασφάλιση της συμμόρφωσης με αυτές τις Ρήτρες.
  4. Τα Συμβαλλόμενα Μέρη συμφωνούν να τεκμηριώσουν την αξιολόγηση υπό την παρ. (β) και να τη διαθέσουν στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
  5. Ο εισαγωγέας δεδομένων συμφωνεί να ειδοποιήσει αμέσως τον εξαγωγέα δεδομένων εάν, κατόπιν της συμφωνίας με αυτές τις Ρήτρες και για τη διάρκεια της σύμβασης, έχει λόγο να πιστεύει ότι υπόκειται ή έχει τεθεί υπό νόμους ή πρακτικές που δεν ευθυγραμμίζονται με τις απαιτήσεις της παραγράφου (α), περιλαμβανομένων επακολούθων αλλαγών στους νόμους της τρίτης χώρας ή ενός μέτρου (όπως αίτημα αποκάλυψης) που υποδεικνύει εφαρμογή τέτοιων νόμων στην πράξη που δεν ευθυγραμμίζονται με τις απαιτήσεις της παρ. (α).
  6. Μετά από μια ειδοποίηση σύμφωνα με την παρ. (ε) ή εάν ο εξαγωγέας δεδομένων έχει άλλως λόγο να πιστεύει ότι ο εισαγωγέας δεδομένων δεν δύναται πλέον να εκπληρώσει τις υποχρεώσεις του βάσει αυτών των Ρητρών, ο εξαγωγέας δεδομένων θα προσδιορίσει άμεσα κατάλληλα μέτρα (π.χ. τεχνικά ή οργανωτικά μέτρα για την προστασία της ασφάλειας και εμπιστευτικότητας), τα οποία ο εξαγωγέας δεδομένων και/ή ο εισαγωγέας δεδομένων πρέπει να υιοθετήσουν προκειμένου να αντιμετωπιστεί η κατάσταση. Ο εξαγωγέας δεδομένων οφείλει να αναστείλει τη διαβίβαση δεδομένων εφόσον θεωρήσει ότι δεν μπορούν να εξασφαλιστούν κατάλληλες ασφαλιστικές δικλείδες για την εν λόγω διαβίβαση ή εάν έχει δώσει εντολή η αρμόδια εποπτική αρχή να το πράξει. Σε αυτή την περίπτωση, ο εξαγωγέας δεδομένων δικαιούται να καταγγείλει τη σύμβαση, καθόσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει αυτών των Ρητρών. Εάν η σύμβαση περιλαμβάνει περισσότερα από δύο Συμβαλλόμενα Μέρη, ο εξαγωγέας δεδομένων δύναται να ασκήσει αυτό το δικαίωμα καταγγελίας μόνο ως προς το σχετικό Συμβαλλόμενο Μέρος, εκτός εάν τα Συμβαλλόμενα Μέρη έχουν συμφωνήσει άλλως. Όταν η σύμβαση καταγγελθεί σύμφωνα με την παρούσα Ρήτρα, εφαρμόζεται η Ρήτρα 16 παρ. (δ) και (ε).

Ρήτρα 13

Υποχρεώσεις του εισαγωγέα δεδομένων σε περίπτωση πρόσβασης από δημόσιες αρχές

13.1. Ειδοποίηση.

  1. Ο εισαγωγέας δεδομένων συμφωνεί να ειδοποιεί τον εξαγωγέα δεδομένων και, όπου είναι δυνατό, το υποκείμενο των δεδομένων, αμέσως (εφόσον είναι αναγκαίο, με τη βοήθεια του εξαγωγέα δεδομένων) εάν:
    • λάβει ένα νομικά δεσμευτικό αίτημα από δημόσια αρχή, συμπεριλαμβανομένων των δικαστικών αρχών, σύμφωνα με τους νόμους της χώρας προορισμού για την αποκάλυψη δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται δυνάμει αυτών των Ρητρών· μια τέτοια ειδοποίηση θα πρέπει να περιλαμβάνει πληροφορίες σχετικά με τα δεδομένα προσωπικού χαρακτήρα που ζητήθηκαν, την αρχή που τα ζητά, τη νομική βάση για το αίτημα και την απάντηση που δόθηκε· ή
    • γίνει αντιληπτή απευθείας πρόσβαση από δημόσιες αρχές σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται δυνάμει αυτών των Ρητρών σύμφωνα με τους νόμους της χώρας προορισμού· η ειδοποίηση αυτή θα πρέπει να περιλαμβάνει όλες τις πληροφορίες που είναι διαθέσιμες στον εισαγωγέα.
  2. Εάν ο εισαγωγέας δεδομένων απαγορεύεται να ενημερώσει τον εξαγωγέα δεδομένων και/ή το υποκείμενο των δεδομένων βάσει των νόμων της χώρας προορισμού, ο εισαγωγέας δεδομένων συμφωνεί να καταβάλει κάθε προσπάθεια προκειμένου να λάβει άδεια απαλλαγής από την απαγόρευση, με σκοπό την επικοινωνία όσο το δυνατόν περισσότερων πληροφοριών, όσο το δυνατόν συντομότερα. Ο εισαγωγέας δεδομένων συμφωνεί να τεκμηριώσει τις καλύτερες δυνατές προσπάθειές του ώστε να μπορεί να τις αποδείξει εφόσον ζητηθεί από τον εξαγωγέα δεδομένων.
  3. Όταν επιτρέπεται βάσει των νόμων της χώρας προορισμού, ο εισαγωγέας δεδομένων συμφωνεί να παρέχει στον εξαγωγέα δεδομένων, σε τακτά χρονικά διαστήματα για τη διάρκεια της σύμβασης, όσο το δυνατό περισσότερες συναφείς πληροφορίες σχετικά με τα αιτήματα που έλαβε (ιδιαιτέρως, τον αριθμό αιτημάτων, τον τύπο δεδομένων που ζητήθηκαν, τις αρχές που τα ζητούν, εάν τα αιτήματα έχουν προσβληθεί και το αποτέλεσμα τέτοιων προσβολών, κλπ.).
  4. Ο εισαγωγέας δεδομένων συμφωνεί να διατηρήσει τις πληροφορίες βάσει των παραγράφων (α) έως (γ) για τη διάρκεια της σύμβασης και να τις διαθέσει στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
  5. Οι παράγραφοι (α) έως (γ) δεν επηρεάζουν την υποχρέωση του εισαγωγέα δεδομένων σύμφωνα με τη Ρήτρα 14 παρ. (ε) και τη Ρήτρα 16 να ενημερώσει τον εξαγωγέα δεδομένων αμέσως όταν αδυνατεί να συμμορφωθεί με αυτές τις Ρήτρες.

13.2. Έλεγχος νομιμότητας και περιορισμός δεδομένων.

  1. Ο εισαγωγέας δεδομένων συμφωνεί να ελέγξει τη νομιμότητα του αιτήματος για αποκάλυψη, ειδικότερα εάν παραμένει στα πλαίσια των εξουσιών που παρέχονται στην αιτούσα αρχή, και να αμφισβητήσει το αίτημα εφόσον, κατόπιν προσεκτικής αξιολόγησης, καταλήξει στο συμπέρασμα ότι συντρέχουν βάσιμοι λόγοι να θεωρήσει ότι το αίτημα δεν είναι σύννομο βάσει των νόμων της χώρας προορισμού, συμπεριλαμβανομένων των σχετικών υποχρεώσεων βάσει του διεθνούς δικαίου και των αρχών της διεθνούς αβροφροσύνης. Ο εισαγωγέας δεδομένων, υπό τις ίδιες προϋποθέσεις, θα επιδιώξει δυνατότητες προσφυγής. Όταν αμφισβητεί ένα αίτημα, ο εισαγωγέας δεδομένων οφείλει να αναζητήσει προσωρινά μέτρα με σκοπό την αναστολή των έννομων αποτελεσμάτων του αιτήματος, έως ότου η αρμόδια δικαστική αρχή να εκδώσει απόφαση επί της ουσίας. Δεν θα αποκαλύψει τα δεδομένα προσωπικού χαρακτήρα που ζητήθηκαν έως ότου υποχρεωθεί να το πράξει σύμφωνα με τους εφαρμοστέους δικονομικούς κανόνες. Οι εν λόγω απαιτήσεις ισχύουν με την επιφύλαξη των υποχρεώσεων του εισαγωγέα δεδομένων δυνάμει της Ρήτρας 14 παρ. (ε).
  2. Ο εισαγωγέας δεδομένων συμφωνεί να τεκμηριώσει τη νομική του εκτίμηση και οποιαδήποτε αμφισβήτηση του αιτήματος αποκάλυψης και, στον βαθμό που το επιτρέπει ο νόμος της χώρας προορισμού, να διαθέσει την τεκμηρίωση στον εξαγωγέα δεδομένων. Θα τη διαθέσει επίσης στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
  3. Ο εισαγωγέας δεδομένων συμφωνεί να παρέχει την ελάχιστη επιτρεπόμενη ποσότητα πληροφοριών κατά την απάντησή του σε αίτημα αποκάλυψης, βάσει μιας εύλογης ερμηνείας του αιτήματος.


ΕΝΟΤΗΤΑ IV: ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ


Ρήτρα 14

Μη συμμόρφωση με τις Ρήτρες και καταγγελία

  1. Ο εισαγωγέας δεδομένων οφείλει να ενημερώσει άμεσα τον εξαγωγέα δεδομένων εάν δεν αδυνατεί να συμμορφωθεί με αυτές τις Ρήτρες, για οποιονδήποτε λόγο.
  2. Στην περίπτωση που ο εισαγωγέας δεδομένων παραβιάσει αυτές τις Ρήτρες ή δεν μπορεί να συμμορφωθεί με αυτές, ο εξαγωγέας δεδομένων οφείλει να αναστείλει τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα δεδομένων έως ότου εξασφαλιστεί εκ νέου συμμόρφωση ή έως ότου καταγγελθεί η σύμβαση. Αυτό ισχύει με την επιφύλαξη της Ρήτρας 14 παρ. (στ).
  3. Ο εξαγωγέας δεδομένων θα δικαιούται να καταγγείλει τη σύμβαση, στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει αυτών των Ρητρών, όταν:
    • ο εξαγωγέας δεδομένων έχει αναστείλει τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα δεδομένων σύμφωνα με την παράγραφο (β) και η συμμόρφωση με αυτές τις Ρήτρες δεν έχει αποκατασταθεί εντός εύλογου χρονικού διαστήματος και σε κάθε περίπτωση εντός ενός μηνός από την αναστολή˙
    • ο εισαγωγέας δεδομένων παραβιάζει ουσιαστικά ή συστηματικά αυτές τις Ρήτρες· ή
    • ο εισαγωγέας δεδομένων δεν συμμορφώνεται με δεσμευτική απόφαση αρμόδιου δικαστηρίου ή αρμόδιας εποπτικής αρχής όσον αφορά τις υποχρεώσεις του που απορρέουν από αυτές τις Ρήτρες.

    Σε αυτές τις περιπτώσεις, θα ενημερώσει την αρμόδια εποπτική αρχή για την εν λόγω μη συμμόρφωση. Όταν η σύμβαση περιλαμβάνει περισσότερα από δύο Συμβαλλόμενα Μέρη, ο εξαγωγέας δεδομένων μπορεί να ασκήσει αυτό το δικαίωμα για τερματισμό μόνο με σεβασμό προς το σχετικό Μέρος, εκτός εάν τα Συμβαλλόμενα Μέρη έχουν συμφωνήσει διαφορετικά.

  4. Τα δεδομένα προσωπικού χαρακτήρα που συλλέγει ο εξαγωγέας δεδομένων στην ΕΕ και έχουν μεταφερθεί πριν από την καταγγελία της σύμβασης σύμφωνα με την παράγραφο (γ) θα διαγραφούν αμέσως στο σύνολό τους, συμπεριλαμβανομένων οποιουδήποτε αντιγράφου αυτών. Ο εισαγωγέας δεδομένων πρέπει να πιστοποιήσει τη διαγραφή των δεδομένων στον εξαγωγέα δεδομένων. Μέχρι να διαγραφούν τα δεδομένα ή να επιστραφούν, ο εισαγωγέας δεδομένων θα συνεχίσει να εξασφαλίζει τη συμμόρφωση με αυτές τις Ρήτρες. Σε περίπτωση τοπικών νόμων που εφαρμόζουν στον εισαγωγέα δεδομένων και απαγορεύουν την επιστροφή ή διαγραφή των μεταφερμένων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας δεδομένων εγγυάται ότι θα συνεχίσει να εξασφαλίζει τη συμμόρφωση με αυτές τις Ρήτρες και θα επεξεργάζεται δεδομένα μόνο στον βαθμό και για όσο απαιτείται βάσει αυτού του τοπικού νόμου.
  5. Κάθε Συμβαλλόμενο Μέρος μπορεί να ανακαλέσει τη συμφωνία του να δεσμεύεται από αυτές τις Ρήτρες όταν (i) η Ευρωπαϊκή Επιτροπή υιοθετεί απόφαση σύμφωνα με το Άρθρο 45(3) του Κανονισμού (ΕΕ) 2016/679 που καλύπτει τη μεταφορά δεδομένων προσωπικού χαρακτήρα στα οποία εφαρμόζονται αυτές οι Ρήτρες· ή (ii) ο Κανονισμός (ΕΕ) 2016/679 γίνεται μέρος του νομικού πλαισίου της χώρας στην οποία μεταφέρονται τα δεδομένα προσωπικού χαρακτήρα. Αυτό ισχύει με την επιφύλαξη άλλων υποχρεώσεων που ισχύουν για την επεξεργασία που αφορά ο Κανονισμός (ΕΕ) 2016/679.

Ρήτρα 15

Εφαρμοστέο δίκαιο

Αυτές οι Ρήτρες θα διέπονται από το δίκαιο χώρας που επιτρέπει δικαιώματα δικαιούχων τρίτων. Τα Συμβαλλόμενα Μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο της Ισπανίας.

Ρήτρα 16

Επιλογή αρμόδιου δικαστηρίου και δικαιοδοσίας

Οποιαδήποτε διαφορά που προκύπτει από αυτές τις Ρήτρες θα επιλύεται από τα δικαστήρια της Ισπανίας.



ΠΑΡΑΡΤΗΜΑ Ι

ΚΑΤΑΛΟΓΟΣ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Εξαγωγείς δεδομένων:

  • Όνομα: ILOVEPDF, S.L.
  • Διεύθυνση: Calle Sabino de Arana, 60, 08028 Barcelona
  • Όνομα, θέση και στοιχεία επικοινωνίας του υπεύθυνου: Juan Oriol, Διευθυντής Νομικών Υποθέσεων (legal@ilovepdf.com).
  • Δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται βάσει αυτών των Ρητρών: η παροχή υπηρεσιών στον εισαγωγέα δεδομένων προσωπικού χαρακτήρα, εφόσον η παροχή αυτών των υπηρεσιών περιλαμβάνει διεθνή διαβίβαση δεδομένων προσωπικού χαρακτήρα από την ILOVEPDF (εξαγωγέας δεδομένων) στον πελάτη (εισαγωγέας δεδομένων).
  • Ρόλος: εκτελών την επεξεργασία δεδομένων.

Εισαγωγείς δεδομένων: [Ταυτότητα και στοιχεία επικοινωνίας των εισαγωγέων δεδομένων, συμπεριλαμβανομένου οποιουδήποτε υπεύθυνου για την προστασία δεδομένων]

  • Όνομα: [...] (εάν δεν συμπληρωθεί, θα θεωρηθεί ότι ισχύει το όνομα του Πελάτη).
  • Διεύθυνση: [...] (εάν δεν συμπληρωθεί, θα θεωρηθεί ότι ισχύει η διεύθυνση του Πελάτη).
  • Όνομα, θέση και στοιχεία επικοινωνίας του υπεύθυνου: [...] (εάν δεν συμπληρωθεί, θα θεωρηθεί ότι ισχύουν τα στοιχεία του ατόμου που εκπροσωπεί τον Πελάτη για τη σύναψη της σύμβασης ή τη λειτουργία της υπηρεσίας).
  • Δραστηριότητες σχετικές με τα δεδομένα που υπόκεινται σε αυτές τις Ρήτρες: η παροχή υπηρεσιών από τον εξαγωγέα δεδομένων προσωπικού χαρακτήρα, στον βαθμό που η παροχή αυτών των υπηρεσιών περιλαμβάνει διεθνή μεταφορά δεδομένων προσωπικού χαρακτήρα από την ILOVEPDF (εξαγωγέας δεδομένων) στον πελάτη (εισαγωγέας δεδομένων).
  • Υπογραφή και ημερομηνία: [...] (εάν δεν συμπληρωθεί, θα θεωρηθεί ως η ημερομηνία πρώτης λειτουργίας της υπηρεσίας από τον Πελάτη).
  • Ρόλος: υπεύθυνος επεξεργασίας δεδομένων.

ΠΕΡΙΓΡΑΦΗ ΤΗΣ ΔΙΑΒΙΒΑΣΗΣ

Κατηγορίες υποκειμένων των δεδομένων των οποίων διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα

Αυτές οι κατηγορίες υποκειμένων των δεδομένων των οποίων τα δεδομένα περιέχονται στα αρχεία που ο εισαγωγέας ανεβάζει κατά τη χρήση των υπηρεσιών που παρέχονται από την ILOVEPDF (π.χ. υπάλληλοι, πελάτες, προμηθευτές κ.λπ.).

Κατηγορίες δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται
Αυτές οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στα αρχεία που ο εισαγωγέας ανεβάζει κατά τη χρήση των υπηρεσιών που παρέχονται από την ILOVEPDF.

Ευαίσθητα δεδομένα που διαβιβάζονται (κατά περίπτωση) και εφαρμοσμένοι περιορισμοί ή ασφαλιστικές δικλείδες που λαμβάνουν πλήρως υπόψη τη φύση των δεδομένων και τους σχετικούς κινδύνους, όπως για παράδειγμα αυστηροί περιορισμοί σκοπού, περιορισμοί πρόσβασης (περιλαμβανομένης της πρόσβασης μόνο για το προσωπικό που έχει παρακολουθήσει ειδική εκπαίδευση), διατήρηση αρχείου πρόσβασης στα δεδομένα, περιορισμοί για μετέπειτα διαβιβάσεις ή πρόσθετα μέτρα ασφαλείας.

Ειδικές κατηγορίες δεδομένων θα υποβάλλονται σε επεξεργασία εφόσον τα αρχεία που ο εισαγωγέας ανεβάζει κατά τη χρήση των υπηρεσιών που παρέχονται από την ILOVEPDF περιέχουν αυτές τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα.

Η συχνότητα της διαβίβασης (π.χ. εάν τα δεδομένα διαβιβάζονται μία φορά μόνο ή σε συνεχή βάση)
Όταν η χρήση των υπηρεσιών που παρέχονται από την ILOVEPDF περιλαμβάνει διεθνή διαβίβαση δεδομένων από την ILOVEPDF στον εισαγωγέα δεδομένων.

Φύση της επεξεργασίας
Επικοινωνία των δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα στον βαθμό που είναι απαραίτητο προκειμένου η ILOVEPDF να παρέχει τις υπηρεσίες της.

Σκοπός(οί) της διαβίβασης δεδομένων και περαιτέρω επεξεργασία
Να παρέχονται οι υπηρεσίες εκ μέρους της ILOVEPDF.

Το χρονικό διάστημα για το οποίο θα τηρηθούν τα δεδομένα προσωπικού χαρακτήρα, ή, εφόσον αυτό δεν είναι δυνατό, τα κριτήρια που χρησιμοποιούνται για να προσδιοριστεί αυτή η περίοδος
Στον βαθμό που είναι αυστηρά απαραίτητο για την παροχή των υπηρεσιών και, στη συνέχεια, στον βαθμό που απαιτείται από την ισχύουσα νομοθεσία και είναι απαραίτητο για την προάσπιση ή την υπεράσπιση αξιώσεων που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Έλεγχος έκδοσης: Πέμπτη, 19 Φεβρουαρίου 2026



Ωχ! Κάτι συμβαίνει με την σύνδεσή σας στο internet...