ΠΑΡΑΡΤΗΜΑ 5
Σύμβαση Επεξεργασίας Προσωπικών Δεδομένων
σύμφωνα με το Άρθρο 28 ΓΚΠΔ (“Σύμβαση”)
μεταξύ του ΣΥΝΔΡΟΜΗΤΗ
– εφεξής “Υπεύθυνος Επεξεργασίας” –
και
G4S SECURITY SYSTEMS AND MONITORING SERVICES (GREECE) SA (Σώρου 7, Μεταμόρφωση Αττικής, ΤΚ 14452)
– εφεξής “Εκτελών την Επεξεργασία” –
– οι συμβαλλόμενοι, ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία, αποκαλούνται περαιτέρω έκαστος “το Μέρος” και από κοινού “τα Μέρη”–
1. Κύρια Σύμβαση, Αντικείμενο και Διάρκεια Επεξεργασίας, Φύση και Σκοπός Επεξεργασίας, Είδος των Δεδομένων Προσωπικού Χαρακτήρα και Κατηγορίες των Υποκειμένων των Δεδομένων
1.1 Η κύρια σύμβαση με την οποία σχετίζεται η παρούσα Σύμβαση (Κύρια Σύμβαση), το αντικείμενο της Σύμβασης, η φύση και ο σκοπός της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων περιγράφονται στο Παράρτημα Α της παρούσας, αποτελούν αναπόσπαστο τμήμα αυτής.
1.2 Η παρούσα Σύμβαση θα ισχύσει, εκτός εάν άλλως συμφωνηθεί, από την υπογραφή της από τα Μέρη και για όσο διάστημα η Κύρια Σύμβαση βρίσκεται σε ισχύ.
2. Εντολές σχετικά με την Επεξεργασία Προσωπικών Δεδομένων – Υποχρέωση παροχής πληροφοριών
2.1 Ο Εκτελών την Επεξεργασία θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει εντολών του Υπεύθυνου Επεξεργασίας – μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο Εκτελών την Επεξεργασία· σε αυτή την περίπτωση, ο Εκτελών την Επεξεργασία θα ενημερώσει τον Υπεύθυνο Επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος.
2.2 Ο Εκτελών την Επεξεργασία θα ενημερώσει αμέσως τον Υπεύθυνο Επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον ΓΚΠΔ ή άλλη εφαρμοστέα διάταξη περί προστασίας των προσωπικών δεδομένων.
3. Δέσμευση Τήρησης Εμπιστευτικότητας
Ο Εκτελών την Επεξεργασία θα προσλαμβάνει για την εφαρμογή της Σύμβασης μόνο πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, τα οποία έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης της εμπιστευτικότητας.
4. Ασφάλεια Επεξεργασίας – Τεχνικά και Οργανωτικά Μέτρα σύμφωνα με το Άρθρο 32 του ΓΚΠΔ
Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο Εκτελών την Επεξεργασία θα εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίσει το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
5. Πρόσληψη άλλου Εκτελούντος την Επεξεργασία (Υπό-Εκτελούντος την Επεξεργασία)
5.1 Ο Υπεύθυνος Επεξεργασίας παρέχει δια της παρούσας γενική γραπτή άδεια στον Εκτελούντα την Επεξεργασία προκειμένου να προσλαμβάνει άλλους Εκτελούντες την Επεξεργασία (Υπό-Εκτελούντες την Επεξεργασία). Για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση άλλων Εκτελούντων την Επεξεργασία (Υπό-Εκτελούντων την Επεξεργασία), ο Εκτελών την Επεξεργασία θα ενημερώνει σχετικώς τον Υπεύθυνο Επεξεργασίας, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον Υπεύθυνο Επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές, εντός 15 ημερών από τη σχετική ενημέρωσή του. Η εν λόγω ενημέρωση για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση άλλων Εκτελούντων την Επεξεργασία (Υπό-Εκτελούντων την Επεξεργασία) δεν απαιτείται σε περίπτωση που αυτοί ανήκουν στον ίδιο όμιλο εταιρειών με τον Εκτελούντα την Επεξεργασία.
5.2 Ο Εκτελών την Επεξεργασία θα επιβάλλει στον προσληφθέντα άλλον Εκτελούντα την Επεξεργασία (Υπό-Εκτελούντα την Επεξεργασία) τις ίδιες υποχρεώσεις όσον αφορά στην προστασία των δεδομένων που προβλέπονται στην παρούσα Σύμβαση. Όταν ο Υπο-Εκτελών την Επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του που προβλέπονται στην παρούσα Σύμβαση, ο Εκτελών την Επεξεργασία θα παραμένει πλήρως υπόλογος έναντι του Υπεύθυνου Επεξεργασίας για την εκπλήρωση των υποχρεώσεων του Υπο-Εκτελούντος την Επεξεργασία.
5.3 Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από Εκτελούντα την Επεξεργασία εγκατεστημένο στην Ευρωπαϊκή Ένωση (ΕΕ) ή στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) σε Υπο-Εκτελούντα την Επεξεργασία εγκατεστημένο σε χώρα που δεν αναγνωρίζεται από την Ευρωπαϊκή Επιτροπή ως χώρα που παρέχει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, ο Υπεύθυνος Επεξεργασίας θα ορίσει τον Εκτελούντα την Επεξεργασία, και ο τελευταίος αναλαμβάνει να συνάψει Ευρωπαϊκές Τυποποιημένες Συμβατικές Ρήτρες – σύμφωνα με το υπόδειγμα της “Απόφασης της Επιτροπής της 5ης Φεβρουαρίου 2010 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της Οδηγίας 95/46/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου” – για λογαριασμό του Υπεύθυνου Επεξεργασίας με τον Υπο-Εκτελούντα την Επεξεργασία που έχει εγκατάσταση εκτός του ΕΟΧ ή της ΕΕ. Επιπλέον, ο Εκτελών την Επεξεργασία θα παρέχει αντίγραφο αυτών των Ευρωπαϊκών Τυποποιημένων Συμβατικών Ρητρών που συνήψε με τον Υπο-Εκτελούντα την Επεξεργασία στον Υπεύθυνο Επεξεργασίας, κατόπιν γραπτού αιτήματος του Υπεύθυνου Επεξεργασίας.
6. Συνεργασία & Υποχρεώσεις Υποστήριξης
6.1 Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, ο Εκτελών την Επεξεργασία θα επικουρεί τον Υπεύθυνο Επεξεργασίας με τα κατάλληλα μέσα καθώς και με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στο βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του Υπεύθυνου Επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο Κεφάλαιο ΙΙΙ δικαιωμάτων του υποκειμένου των δεδομένων (Άρθρο 12 - 23 ΓΚΠΔ).
6.2 Σε περίπτωση άσκησης δικαιώματος εκ της νομοθεσίας περί προσωπικών δεδομένων από υποκείμενο δεδομένων, τυχόν απευθείας επικοινωνία με το υποκείμενο των δεδομένων θα λάβει χώρα μόνο μετά από προηγούμενη γραπτή άδεια του Υπεύθυνου Επεξεργασίας. Ο Εκτελών την Επεξεργασία θα προωθεί εγγράφως και αμελλητί κάθε αίτημα που σχετίζεται με τα δικαιώματα του υποκειμένου των δεδομένων στον Υπεύθυνο Επεξεργασίας.
7. Συνδρομή στη Διασφάλιση Συμμόρφωσης του Υπεύθυνου Επεξεργασίας με τις Υποχρεώσεις του
7.1Λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο Εκτελών την Επεξεργασία, ο Εκτελών την Επεξεργασία θα συνδράμει τον Υπεύθυνο Επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις του που απορρέουν από τα Άρθρα 32 έως 36.
7.2 Εντός του πεδίου εφαρμογής του Άρθρου 28 (3) στ) του ΓΚΠΔ και λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο Εκτελών την Επεξεργασία, ο Εκτελών την Επεξεργασία, με δαπάνες του Υπεύθυνου Επεξεργασίας, θα συνδράμει τον τελευταίο στη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων σύμφωνα με το Άρθρο 35 του ΓΚΠΔ και επίσης, κατά περίπτωση, όταν διαβουλεύεται με την εποπτική αρχή σύμφωνα με το Άρθρο 36 του ΓΚΠΔ. Κατόπιν αιτήματος, ο Εκτελών την Επεξεργασία θα γνωστοποιεί όλες τις απαραίτητες και απαιτούμενες πληροφορίες και στοιχεία.
7.3 Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο Εκτελών την Επεξεργασία θα ενημερώσει αμελλητί τον Υπεύθυνο Επεξεργασίας και θα συνδράμει τον Υπεύθυνο Επεξεργασίας με όλα τα απαραίτητα μέσα για να εκτελέσει τις υποχρεώσεις του περί γνωστοποίησης σύμφωνα με το Άρθρο 28 (3) (στ) του ΓΚΠΔ.
Ο Εκτελών την Επεξεργασία θα συνδράμει και θα επικουρεί τον Υπεύθυνο Επεξεργασίας στη διασφάλιση της συμμόρφωσης προς την υποχρέωσή του που απορρέει από το Άρθρο 25 του ΓΚΠΔ (Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού).
8. Διαγραφή και Επιστροφή των Προσωπικών Δεδομένων
Στο βαθμό που δεν υπάρχουν νομικές διατάξεις που να απαιτούν ή επιτρέπουν την τήρηση δεδομένων προσωπικού χαρακτήρα, ο Εκτελών την Επεξεργασία, με τη λήξη της παρούσας Σύμβασης, θα επιστρέψει τα δεδομένα προσωπικού χαρακτήρα που έχουν τύχει επεξεργασίας σε αναγνώσιμη, επεξεργάσιμη και κοινώς χρησιμοποιούμενη μορφή, εκτός εάν ο Υπεύθυνος Επεξεργασίας δώσει οδηγίες στον Εκτελούντα την Επεξεργασία να διαγράψει τα δεδομένα προσωπικού χαρακτήρα.
9. Απόδειξη συμμόρφωσης με τις Υποχρεώσεις και Συνδρομή σε Ελέγχους
Ο Εκτελών την Επεξεργασία θα θέτει στη διάθεση του Υπευθύνου Επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο Άρθρο 28 του ΓΚΠΔ. Ο Εκτελών την Επεξεργασία θα επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον Υπεύθυνο Επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον Υπεύθυνο Επεξεργασίας. Ο Υπεύθυνος Επεξεργασίας θα έχει το δικαίωμα να εξακριβώσει την συμμόρφωση του Εκτελούντος την Επεξεργασία με την παρούσα Σύμβαση στις εγκαταστάσεις του, με επιτόπιους ελέγχους, για τους οποίους ο Εκτελών την Επεξεργασία θα ειδοποιηθεί εγκαίρως και σε κάθε περίπτωση προ τουλάχιστον 10 εργάσιμων ημερών.
10. Λοιπές Υποχρεώσεις
10.1 Εφόσον απαιτείται από τον νόμο, ο Εκτελών την Επεξεργασία θα ορίσει εγγράφως υπεύθυνο προστασίας δεδομένων σύμφωνα με το Άρθρο 37 του ΓΚΠΔ και εκπρόσωπο σύμφωνα με το Άρθρο 27 του ΓΚΠΔ. Τα αντίστοιχα στοιχεία επικοινωνίας του οριζόμενου ως υπεύθυνου προστασίας δεδομένων θα γνωστοποιούνται στον Υπεύθυνο Επεξεργασίας.
10.2 Ο Εκτελών την Επεξεργασία θα τηρεί αρχείο με όλες τις δραστηριότητες επεξεργασίας που θα διενεργεί για λογαριασμό του Υπεύθυνου Επεξεργασίας σύμφωνα με τις διατάξεις του Άρθρου 30 (2) του ΓΚΠΔ.
11. Λοιπές Διατάξεις
11.1Η ευθύνη των Μερών για παραβιάσεις προστασίας των δεδομένων προσωπικού χαρακτήρα ρυθμίζεται στο Άρθρο 82 του ΓΚΠΔ, λαμβανομένων υπόψη και των διατάξεων της Κύριας Σύμβασης.
11.2 Σε περίπτωση αντιφάσεων, ασυνεπειών και αποκλίσεων μεταξύ της παρούσας Σύμβασης και της Κύριας Σύμβασης, οι διατάξεις της παρούσας Σύμβασης υπερισχύουν έναντι των διατάξεων της Κύριας Σύμβασης.
11.3 Τυχόν τροποποίηση της παρούσας Σύμβασης πρέπει να γίνει εγγράφως.
11.4 Η παρούσα Σύμβαση διέπεται από και έχει συνταχθεί σύμφωνα με το Ελληνικό Δίκαιο. Τα δικαστήρια της Αθήνας (Ελλάδα) έχουν αποκλειστική δικαιοδοσία για κάθε διαφορά που ενδέχεται να προκύψει από ή συνδέεται με την παρούσα Σύμβαση.
--/--
<1> Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων). Οι ορισμοί του ΓΚΠΔ εφαρμόζονται αναλόγως.
--/--
Παράρτημα Α
Αντικείμενο Επεξεργασία
Επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον Εκτελούντα την Επεξεργασία, για λογαριασμό του Υπεύθυνου Επεξεργασίας, για τους σκοπούς της Κύριας Σύμβασης.
Αντικείμενο και σκοπός της επεξεργασίας
Παροχή υπηρεσιών ασφαλείας δυνάμει της Κύριας Σύμβασης.
Φύση της επεξεργασίας
x αναφέρθηκε ήδη ανωτέρω στην ενότητα “ Αντικείμενο και σκοπός της επεξεργασίας”
x συλλογή,
x καταχώριση,
☐ οργάνωση,
☐ διάρθρωση,
x αποθήκευση,
☐ προσαρμογή ή μεταβολή,
x ανάκτηση,
☐ αναζήτηση πληροφοριών,
☐ χρήση,
x κοινολόγηση με διαβίβαση,
☐ διάδοση ή κάθε άλλη μορφή διάθεσης,
☐ συσχέτιση ή συνδυασμός,
☐ περιορισμός,
☐ διαγραφή ή καταστροφή,
☐ άλλη μορφή επεξεργασίας:____
Είδος/ Κατηγορίες των δεδομένων προσωπικού χαρακτήρα
-
Εικόνα ή/και ήχος (βάσει λήψεων καμερών)
-
Όνομα, επώνυμο, τηλέφωνο χρηστών ΣΥΣΤΗΜΑΤΟΣ (εφόσον ταυτοποιούνται).
Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (εάν υπάρχουν)
x αναφέρθηκαν ανωτέρω στην ενότητα “Κατηγορίες δεδομένων προσωπικού χαρακτήρα”
☐ δεδομένα υγείας
☐ γενετικά δεδομένα
☐ βιομετρικά δεδομένα
☐ δεδομένα που αποκαλύπτουν την φυλετική ή εθνοτική καταγωγή
☐ δεδομένα σεξουαλικής ζωής ή σεξουαλικού προσανατολισμού
☐ πολιτικά φρονήματα
☐ θρησκευτικές ή φιλοσοφικές πεποιθήσεις
☐ συμμετοχή σε συνδικαλιστική οργάνωση
Υποκείμενα των Δεδομένων
-
Φυσικά πρόσωπα που βιντεοσκοπούνται από το CCTV
-
Χρήστες του ΣΥΣΤΗΜΑΤΟΣ