Προοίμιο
Λαμβάνοντας υπόψη ότι:
- Η εφαρμοστέα νομοθεσία για την προστασία των δεδομένων (συγκεκριμένα ο κανονισμός 2016/679 (“ΓΚΠΔ”) και ο νόμος 4624/2019) επιτρέπει σε κάθε υπεύθυνο επεξεργασίας να διορίσει ένα φυσικό ή νομικό πρόσωπο, ή οποιαδήποτε άλλη οντότητα ή ένωση προκειμένου να ενεργήσει ως εκτελών την επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας που μπορεί να εγγυηθεί, με βάση την εμπειρία, τις ικανότητες και την αξιοπιστία του, τη συμμόρφωση με την εφαρμοστέα νομοθεσία για την προστασία δεδομένων, μεταξύ άλλων όσον αφορά θέματα ασφάλειας.
- Ο διορισμένος Εκτελών την Επεξεργασία παρέχει επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων που αποσκοπούν στη διασφάλιση της προστασίας των Δεδομένων Προσωπικού Χαρακτήρα και των δικαιωμάτων των Υποκειμένων των Δεδομένων.
- Το παρόν Συμφωνητικό Επεξεργασίας Δεδομένων, σε συνδυασμό με τα παραρτήματά του, (συλλογικά “ΣΕΔ“) τίθεται σε ισχύ μεταξύ του Πελάτη (εφεξής: “Πελάτης“), δηλαδή του φυσικού ή νομικού προσώπου που αγόρασε οποιεσδήποτε Υπηρεσίες, όπως ορίζονται κατωτέρω και της Enartia Μονοπρόσωπη Α.Ε., νομίμως συσταθείσας, σύμφωνα με το ελληνικό δίκαιο, με αριθμό ΓΕΜΗ 077785727000 (“Enartia“). Ο Πελάτης και η Enartia αναφέρονται συλλογικά ως “Μέρη” και ο καθένας χωριστά ως “Μέρος“. Συνάπτουν το παρόν ΣΕΔ για να αποτυπώσουν τη συμφωνία των Μερών όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό του Πελάτη, σύμφωνα με τις απαιτήσεις του ρυθμιστικού πλαισίου προστασίας δεδομένων.
- Η Enartia παρέχει, μεταξύ άλλων υπηρεσιών, υπηρεσίες καταχώρισης ονομάτων χώρου, φιλοξενίας ιστοσελίδων, διαχειριζόμενης φιλοξενίας WordPress, πιστοποιητικά SSL και άλλες συναφείς υπηρεσίες (συλλογικά “Υπηρεσίες”), κυρίως μέσω των εμπορικών ονομασιών Papaki και Top.Host.
- Η Enartia παρέχει στον Πελάτη τις υπηρεσίες (“Υπηρεσίες” ή “Υπηρεσία”) που ενεργοποιούνται από τον τελευταίο σύμφωνα με τους συμβατικούς όρους που καθορίζονται στις εντολές παροχής υπηρεσιών και στους Όρους και Προϋποθέσεις των υπηρεσιών της, οι οποίοι είναι συλλογικά διαθέσιμοι στον σύνδεσμο https://web.papaki.com/oroi-xrisis/ (Master Service Agreement– “MSA“). Προκειμένου να παρέχει τις προαναφερθείσες υπηρεσίες, η Enartia επεξεργάζεται Προσωπικά Δεδομένα για λογαριασμό του Πελάτη.
- Πιο συγκεκριμένα, οι σκοποί της επεξεργασίας των Προσωπικών Δεδομένων του Πελάτη σε σχέση με τις Υπηρεσίες περιγράφονται στο Παράρτημα 1.
- Ο Πελάτης αναγνωρίζει ότι η χρήση της Υπηρεσίας μπορεί να υπόκειται στο ρυθμιστικό πλαίσιο Προστασίας Δεδομένων που επιβάλλει ορισμένες απαιτήσεις όσον αφορά την Επεξεργασία οποιωνδήποτε Προσωπικών Δεδομένων.
- Τα Μέρη έχουν συνάψει το παρόν ΣΕΔ προκειμένου να διασφαλίσουν τη συμμόρφωσή τους με τους Εφαρμοστέους Νόμους περί Προστασίας Δεδομένων και να θεσπίσουν εγγυήσεις και διαδικασίες για τη νόμιμη Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα. Ο Πελάτης επιβεβαιώνει ότι οι διατάξεις που προβλέπονται στο παρόν ΣΕΔ αντικατοπτρίζουν τις υποχρεώσεις που οι Εφαρμοστέοι Νόμοι περί Προστασίας Δεδομένων και οι κατευθυντήριες γραμμές της απαιτούν από την Enartia να συμμορφώνεται, όσον αφορά την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα για λογαριασμό του Πελάτη για την παροχή της Υπηρεσίας. Κατά συνέπεια, η Enartia αναλαμβάνει την υποχρέωση να συμμορφώνεται με τις διατάξεις του παρόντος ΣΕΔ.
Το ανωτέρω προοίμιο αποτελεί αναπόσπαστο μέρος του ΣΕΔ.
1. ΟΡΙΣΜΟΙ
Εκτός εάν ορίζεται διαφορετικά στο παρόν ΣΕΔ, όλοι οι όροι με κεφαλαία που χρησιμοποιούνται στο παρόν έχουν την έννοια που τους αποδίδεται στο ΣΕΔ. Σε περίπτωση οποιασδήποτε σύγκρουσης ή ασυμφωνίας όσον αφορά τις εγγυήσεις προστασίας δεδομένων μεταξύ του παρόντος ΣΕΔ και της Κύριας Σύμβασης Παροχής Υπηρεσιών, υπερισχύει το παρόν.
“Απόφαση επάρκειας”: αναφέρεται σε νομικά δεσμευτική απόφαση που εκδίδεται από την Ευρωπαϊκή Επιτροπή και επιτρέπει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από τον Ευρωπαϊκό Οικονομικό Χώρο σε τρίτη χώρα, η οποία έχει κριθεί επαρκής όσον αφορά τις εγγυήσεις προστασίας δεδομένων.
“Εφαρμοστέοι νόμοι περί προστασίας δεδομένων” για τις χώρες μέλη της ΕΕ, ο ΓΚΠΔ και οι συμπληρωματικοί νόμοι περί προστασίας δεδομένων, συμπεριλαμβανομένων τυχόν οδηγιών ή/και κωδίκων πρακτικής που εκδίδονται από την αρμόδια εποπτική αρχή εντός της ΕΕ, ή/και στις χώρες εκτός ΕΕ, κάθε εφαρμοστέος νόμος περί προστασίας δεδομένων που αφορά τη διασφάλιση και τη νόμιμη επεξεργασία των Προσωπικών Δεδομένων.
“Πελάτης” σημαίνει το υποκείμενο/ οντότητα που έχει αγοράσει οποιαδήποτε Υπηρεσία από την Enartia.
“Προσωπικά Δεδομένα Πελάτη“: τα Προσωπικά Δεδομένα, που αφορούν υποκείμενα δεδομένων, τα οποία υποβάλλονται σε επεξεργασία στο πλαίσιο της Υπηρεσίας που παρέχει η Enartia στον Πελάτη.
“Υπεύθυνος Επεξεργασίας: εν γένει το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας ο οποίος, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
“Εξαγωγέας δεδομένων” έχει την έννοια που ορίζεται στις τυποποιημένες συμβατικές ρήτρες.
“Εισαγωγέας δεδομένων” έχει την έννοια που ορίζεται στις τυποποιημένες συμβατικές ρήτρες.
“Εκτελών την επεξεργασία” σηµαίνει φυσικό ή νοµικό πρόσωπο, δηµόσια αρχή, οργανισµό ή άλλο φορέα που επεξεργάζεται δεδοµένα προσωπικού χαρακτήρα για λογαριασµό του υπευθύνου επεξεργασίας.
“Υποκείμενο των δεδομένων” έχει την έννοια που ορίζεται στο ΓΚΠΔ (Αρ. 4).
“Δικαιώματα του υποκειμένου των δεδομένων“: τα δικαιώματα που αναγνωρίζονται στο υποκείμενο των δεδομένων σύμφωνα με τους εφαρμοστέους νόμους περί προστασίας δεδομένων. Στο βαθμό που εφαρμόζεται ο ΓΚΠΔ, ως “Δικαιώματα του Υποκειμένου των Δεδομένων” νοούνται, π.χ. το δικαίωμα να ζητήσει από τον Υπεύθυνο Επεξεργασίας πρόσβαση και διόρθωση ή διαγραφή των Προσωπικών Δεδομένων ή περιορισμό της Επεξεργασίας που αφορά το Υποκείμενο των Δεδομένων ή να αντιταχθεί στην Επεξεργασία, καθώς και το δικαίωμα φορητότητας των δεδομένων.
“ΣΕΔ” σημαίνει το παρόν Συμφωνητικό Επεξεργασίας Δεδομένων σε συνδυασμό με τα Παραρτήματα 1, 2 και 3, καθώς και τους όρους και τις προϋποθέσεις που προβλέπονται στην παραγγελία της υπηρεσίας και στους όρους παροχής υπηρεσιών σχετικά με την παροχή της υπηρεσίας που συμφωνήθηκαν μεταξύ των μερών.
“ΕΟΧ” σημαίνει Ευρωπαϊκός Οικονομικός Χώρος.
“ΕΕ” σημαίνει Ευρωπαϊκή Ένωση.
“Κατάλογος υποεκτελούντων την επεξεργασία“: ο κατάλογος που διατίθεται κατόπιν υποβολής γραπτού αιτήματος στο dpo@enartia.com.
“Υποεκτελών την επεξεργασία εκτός ΕΟΧ” σημαίνει οποιαδήποτε οντότητα που ενεργεί ως υποεκτελών την Επεξεργασία και επεξεργάζεται Προσωπικά Δεδομένα Πελάτη, για την παροχή της Υπηρεσίας, σε χώρα εκτός ΕΟΧ, όπου η εν λόγω οντότητα δεν υπόκειται στον ΓΚΠΔ, σύμφωνα με το άρθρο 3, παράγραφος 2 αυτού.
“Υπεύθυνος επεξεργασίας εκτός ΕΟΧ” σημαίνει οποιαδήποτε οντότητα, που ενεργεί ως υπεύθυνος επεξεργασίας, στην οποία οντότητα η Enartia παρέχει υπηρεσίες και η οποία είναι εγκατεστημένη σε χώρα εκτός ΕΟΧ, όπου η εν λόγω οντότητα δεν υπόκειται στον ΓΚΠΔ, σύμφωνα με το άρθρο 3 παράγραφος 2 αυτού.
“Δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο – ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο που μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως με αναφορά σε αναγνωριστικό στοιχείο όπως όνομα, αριθμό ταυτότητας, δεδομένα θέσης, επιγραμμικό αναγνωριστικό ή σε έναν ή περισσότερους παράγοντες που αφορούν τη γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Προς αποφυγή αμφιβολιών, ο όρος “Προσωπικά Δεδομένα” έχει την έννοια που ορίζεται στον ΓΚΠΔ και στους εφαρμοστέους νόμους περί προστασίας δεδομένων.
Ως “επεξεργασία” νοείται κάθε πράξη ή σύνολο πράξεων που εκτελείται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε με αυτοματοποιημένα μέσα είτε όχι, όπως η συλλογή, η καταγραφή, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η διαβούλευση, η χρήση, η κοινοποίηση με διαβίβαση, η διάδοση ή η με άλλο τρόπο διάθεση, η ευθυγράμμιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
“Κανονισμός” ή “ΓΚΠΔ” σημαίνει τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ.
“Παραβίαση δεδομένων προσωπικού χαρακτήρα” σημαίνει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν σε άλλη επεξεργασία.
“Υπηρεσία/ες” έχει την έννοια που ορίζεται στα σημεία Δ & Ε του Προοιμίου.
“Ειδικές Κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα” σημαίνει Δεδομένα Προσωπικού Χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση φυσικού προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, συμπεριλαμβανομένων δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφαλείας.
“Τυποποιημένες συμβατικές ρήτρες” σημαίνει τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες σύμφωνα με τον Κανονισμό, όπως εγκρίθηκαν από την Ευρωπαϊκή Επιτροπή με την Εκτελεστική Απόφαση (ΕΕ) 2021/914 της Επιτροπής.
“Υποεκτελών την επεξεργασία” σημαίνει μια οντότητα που προσλαμβάνει η Enartia για να την βοηθήσει στην (ή που αναλαμβάνει οποιαδήποτε) Επεξεργασία των Προσωπικών Δεδομένων του Πελάτη για την εκπλήρωση των υποχρεώσεων του Μητρώου σύμφωνα με το παρόν ΣΕΔ.
“Εποπτική Αρχή” σημαίνει κάθε αρχή που έχει την αρμοδιότητα να παρακολουθεί και να επιβάλλει την εφαρμογή των Εφαρμοστέων Νόμων περί Προστασίας Δεδομένων σε σχέση με την Επεξεργασία Προσωπικών Δεδομένων Πελάτη που αφορούν την παροχή της Υπηρεσίας.
2. ΡΟΛΟΙ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
2.1. Τα μέρη συμφωνούν ότι:
α) Ο Πελάτης είναι ο Υπεύθυνος Επεξεργασίας των Προσωπικών Δεδομένων του Πελάτη, εκτός εάν και εφόσον ο Πελάτης ενεργεί ως Εκτελών την Επεξεργασία των Προσωπικών Δεδομένων για λογαριασμό τρίτου μέρους, το οποίο ενεργεί ως Υπεύθυνος Επεξεργασίας Δεδομένων. Ο Πελάτης, ή ο αντίστοιχος Υπεύθυνος Επεξεργασίας, καθορίζει τους σκοπούς της συλλογής και επεξεργασίας των Προσωπικών Δεδομένων του Πελάτη.
β) Η Enartia ενεργεί, σε κάθε περίπτωση, ως Εκτελών την επεξεργασία των Προσωπικών Δεδομένων του Πελάτη για την παροχή της Υπηρεσίας · και
γ) Το παρόν ΣΕΔ ρυθμίζει τη σχέση μεταξύ των μερών όσον αφορά τα αντίστοιχα καθήκοντα και τις υποχρεώσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων του Πελάτη από την Enartia, η οποία ενεργεί ως εκτελών την επεξεργασία δεδομένων για την παροχή της υπηρεσίας.
3. ΥΠΟΧΡΕΩΣΕΙΣ ΤΗΣ ENARTIA
3.1. Ο Πελάτης ή ο αρμόδιος υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς της επεξεργασίας των προσωπικών δεδομένων του Πελάτη για την παροχή της Υπηρεσίας.
3.2. Σε σχέση με την παροχή της υπηρεσίας, η Enartia αναλαμβάνει την υποχρέωση να τηρεί τις ακόλουθες υποχρεώσεις, συμπεριλαμβανομένων εκείνων που ορίζονται στα παραρτήματα 1 και 2 που επισυνάπτονται στο παρόν:
α) Η Enartia επεξεργάζεται τα Προσωπικά Δεδομένα του Πελάτη μόνο στο βαθμό που είναι απαραίτητο για την παροχή της Υπηρεσίας, με την επιφύλαξη των γραπτών οδηγιών του Πελάτη στο παρόν ΣΕΔ.
β) Η Enartia ενημερώνει τον Πελάτη σε περίπτωση που θεωρεί ότι εντολή του Πελάτη παραβιάζει τους εφαρμοστέους νόμους περί προστασίας δεδομένων. Σε καμία περίπτωση η Enartia δεν υποχρεούται να προβεί σε πλήρη νομικό έλεγχο όσον αφορά τη γραπτή εντολή του Πελάτη.
γ) Η Enartia, ως Εκτελών την Επεξεργασία, ενημερώνει τον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση για κάθε επαφή ή επικοινωνία που λαμβάνει από Εποπτική Αρχή σε σχέση με την Επεξεργασία των Προσωπικών Δεδομένων του Πελάτη. Στο πλαίσιο αυτό, τα μέρη αναγνωρίζουν και συμφωνούν ότι η ευθύνη για την απάντηση σε τέτοια αιτήματα βαρύνει τον Πελάτη και όχι την Enartia, εκτός εάν η Enartia υποχρεούται από το νόμο ή άλλη κανονιστική υποχρέωση να απαντήσει απευθείας στο αίτημα.
δ) Η Enartia έχει εφαρμόσει επιχειρησιακά, τεχνικά και οργανωτικά μέτρα, όπως περιγράφονται στο παράρτημα 2 του παρόντος, με στόχο την προστασία των προσωπικών δεδομένων των πελατών. Τα μέρη αναγνωρίζουν και συμφωνούν ότι η Enartia επιτρέπεται ρητά να εφαρμόζει κατάλληλα εναλλακτικά μέτρα ή να χρησιμοποιεί εναλλακτικές τοποθεσίες, εφόσον το επίπεδο ασφαλείας των μέτρων ή των τοποθεσιών διατηρείται ή ενισχύεται σε σύγκριση με τα δηλωθέντα μέτρα.
ε) Σε περίπτωση που η Enartia γνωστοποιεί Προσωπικά Δεδομένα Πελάτη στο προσωπικό της που εμπλέκεται στην εκτέλεση της υπηρεσίας, η Enartia διασφαλίζει ότι το εν λόγω προσωπικό: i) δεσμεύεται συμβατικά ή από το νόμο για την τήρηση της εμπιστευτικότητας και ii) επεξεργάζεται τα Προσωπικά Δεδομένα Πελάτη υπό τις οδηγίες της Enartia σύμφωνα με τις υποχρεώσεις της βάσει του παρόντος.
4. ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΠΕΛΑΤΗ
4.1. Ο Πελάτης αναγνωρίζει και συμφωνεί ότι, προκειμένου η Enartia να παράσχει την Υπηρεσία, ο Πελάτης θα πρέπει να παράσχει στην Enartia τα Προσωπικά Δεδομένα του. Ο Πελάτης συμφωνεί ότι τα μέτρα ασφαλείας που παρατίθενται στο παράρτημα 2 του παρόντος είναι επαρκή για την προστασία των κατηγοριών προσωπικών δεδομένων που ο Πελάτης προτίθεται να εμπιστευθεί στην Enartia.
4.2. Ο Πελάτης δηλώνει και εγγυάται ότι:
α) εφαρμόζει κατάλληλη νομική βάση (π.χ. συγκατάθεση του υποκειμένου των δεδομένων, έννομα συμφέροντα, εκτέλεση σύμβασης κ.λπ.) για την επεξεργασία και κοινοποίηση των προσωπικών δεδομένων του πελάτη στην Enartia στο πλαίσιο της παροχής της υπηρεσίας, και
β) οι διατάξεις που προβλέπονται στο παρόν ΣΕΔ αντικατοπτρίζουν τις υποχρεώσεις που η Εφαρμοστέα Νομοθεσία απαιτεί από την Enartia.
5. ΔΙΟΡΙΣΜΟΣ ΥΠΟΕΚΤΕΛΟΥΝΤΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ
5.1.Ο Πελάτης αναγνωρίζει και συμφωνεί ότι, για τον μοναδικό και αποκλειστικό σκοπό της παροχής της Υπηρεσίας και με την επιφύλαξη πάντα της συμμόρφωσης με τους όρους του παρόντος ΣΕΔ, τα Προσωπικά Δεδομένα του Πελάτη μπορούν να υποβληθούν σε επεξεργασία από την Enartia ή τους Υπεργολάβους της, όπως περιγράφεται στον Κατάλογο Υποεκτελούντων την επεξεργασία.
5.2. Η Enartia έχει γενική εξουσιοδότηση να προσλαμβάνει υποεκτελούντες την επεξεργασία υπό την προϋπόθεση ότι η Enartia:
α) παρέχει στον Πελάτη εκ των προτέρων πληροφορίες σχετικά με την ταυτότητα των υποεκτελούντων την επεξεργασία όπως περιγράφονται στον κατάλογο υποεκτελούντων την επεξεργασία και ενημερώνει τον Πελάτη για κάθε ενημέρωση του καταλόγου αυτού, ώστε ο Πελάτης να μπορεί να αντιταχθεί στην πρόσληψη των εν λόγω υποεκτελούντων την επεξεργασία,
β) συνάπτει συμφωνίες με τους υποεκτελούντες την επεξεργασία που περιέχουν τις ίδιες υποχρεώσεις όσον αφορά την επεξεργασία των προσωπικών δεδομένων του πελάτη που ορίζονται στο παρόν ΣΕΔ,
γ) εφαρμόζει την κατάλληλη δέουσα επιμέλεια κατά την επιλογή των υποεκτελούντων την επεξεργασία και παραμένει υπεύθυνη για τη συμμόρφωση των υποεκτελούντων την επεξεργασία με τις υποχρεώσεις που ορίζονται στο παρόν ΣΕΔ,
δ) κατόπιν αιτήματος του Πελάτη, η Enartia παρέχει στον Πελάτη εύλογες πληροφορίες σχετικά με τις ενέργειες και τα μέτρα που έχουν λάβει η Enartia και οι υποεκτελούντες την επεξεργασία για την πρακτική συμμόρφωση με τις διατάξεις του παρόντος ΣΕΔ.
6. ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
6.1. Σε περίπτωση που ο Πελάτης αγοράζει μία ή περισσότερες υπηρεσίες στις οποίες εμπλέκονται υποεκτελούντες την επεξεργασία εκτός ΕΟΧ, η Enartia μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα του Πελάτη σε έναν ή περισσότερους υποεκτελούντες, οι οποίοι ενδέχεται να βρίσκονται εκτός ΕΟΧ και οι οποίοι θεωρούνται εισαγωγείς δεδομένων σύμφωνα με τις τυποποιημένες συμβατικές ρήτρες. Σε αυτές τις περιπτώσεις, όπου δεν υπάρχουν αποφάσεις επάρκειας που ισχύουν για τον υποεκτελούντα την επεξεργασία εκτός ΕΟΧ, η Enartia δεσμεύεται να συνάψει τις Τυποποιημένες Συμβατικές Ρήτρες με τον υποεκτελούντα την επεξεργασία εκτός ΕΟΧ και συγκεκριμένα θα ισχύει το ΚΕΦΑΛΑΙΟ ΤΡΙΤΟ: Διαβίβαση εκτελούντος την επεξεργασία προς εκτελούντα την επεξεργασία.
6.2. Καμία διάταξη του ΣΕΔ δεν μπορεί να ερμηνευθεί ότι υπερισχύει οποιασδήποτε αντικρουόμενης ρήτρας των Τυποποιημένων Συμβατικών Ρητρών.
6.3. Κατόπιν αιτήματος, ο Πελάτης μπορεί να ζητήσει την ευκαιρία να εξετάσει τις Τυποποιημένες Συμβατικές Ρήτρες. Στο βαθμό που είναι απαραίτητο για την προστασία επιχειρηματικών μυστικών ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των Προσωπικών Δεδομένων, η Enartia μπορεί να επεξεργαστεί μέρος του κειμένου των Τυποποιημένων Συμβατικών Ρητρών πριν από την κοινοποίηση αντιγράφου.
6.4. Ο Πελάτης αναγνωρίζει ότι είναι ευθύνη του να συμμορφώνεται με όλα τα πρόσθετα ισχύοντα καθήκοντα και υποχρεώσεις προκειμένου να καταστεί νόμιμη η διαβίβαση Προσωπικών Δεδομένων στην Enartia και στους υπεργολάβους εκτός ΕΟΧ, σύμφωνα με το ισχύον ρυθμιστικό πλαίσιο περί προστασίας δεδομένων.
6.5. Στο βαθμό που ο Πελάτης είναι υπεύθυνος επεξεργασίας εκτός ΕΟΧ, η Enartia και ο υπεύθυνος επεξεργασίας εκτός ΕΟΧ συμφωνούν ότι οι Τυποποιημένες συμβατικές ρήτρες ενσωματώνονται στο παρόν ΣΕΔ μέσω παραπομπής, όσον αφορά οποιαδήποτε διαβίβαση προσωπικών δεδομένων του Πελάτη, ως υπεύθυνο επεξεργασίας εκτός ΕΟΧ, στην Enartia στο πλαίσιο της παροχής των υπηρεσιών. Στην περίπτωση αυτή, οι ακόλουθες προδιαγραφές ισχύουν για τις τυποποιημένες συμβατικές ρήτρες:
(i) Ισχύει η ρήτρα 7 των τυποποιημένων συμβατικών ρητρών.
(ii) Εφαρμόζονται μόνο οι ρήτρες των τυποποιημένων συμβατικών ρητρών στο πλαίσιο του ΚΕΦΑΛΑΙΟΥ ΤΕΤΑΡΤΟΥ: Διαβίβαση εκτελούντος την επεξεργασία στον υπεύθυνο επεξεργασίας.
(iii) Οι ρήτρες 14 και 15 δεν εφαρμόζονται, δεδομένου ότι οι υπηρεσίες δεν συνεπάγονται τον συνδυασμό των προσωπικών δεδομένων του πελάτη που λαμβάνονται από τον υπεύθυνο επεξεργασίας εκτός ΕΟΧ με άλλα προσωπικά δεδομένα που συλλέγονται από την Enartia στην ΕΕ.
(iv) Σύμφωνα με τη ρήτρα 17 των τυποποιημένων συμβατικών ρητρών, εφαρμόζεται η επιλογή 2. Εφαρμόζεται το ελληνικό δίκαιο.
(v) Βάσει της ρήτρας 18 των τυποποιημένων συμβατικών ρητρών, αρμόδια είναι τα δικαστήρια του Ηρακλείου (Κρήτη).
(vi) Μόνο το παράρτημα 1 του παρόντος ΣΕΔ θα εφαρμόζεται και θα θεωρείται ως παράρτημα 1 των τυποποιημένων συμβατικών ρητρών.
7. ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΛΟΓΟΔΟΣΙΑΣ
7.1. Τα Μέρη συνεργάζονται καλόπιστα για τη διασφάλιση της συμμόρφωσης με τις διατάξεις του παρόντος ΣΕΔ, μεταξύ άλλων, για τη διασφάλιση της ορθής και έγκαιρης άσκησης των Δικαιωμάτων του Υποκειμένου των Δεδομένων, τη διαχείριση περιστατικών σε περίπτωση παραβίασης ασφάλειας/προσωπικών δεδομένων με σκοπό τον μετριασμό των πιθανών δυσμενών συνεπειών τους.
7.2. Τα μέρη συνεργάζονται καλόπιστα για να θέτουν στη διάθεση του άλλου μέρους και των εποπτικών αρχών τις πληροφορίες που απαιτούνται για την απόδειξη της συμμόρφωσης με την εφαρμοστέα νομοθεσία περί προστασίας δεδομένων.
8. ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
8.1. Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, η Enartia επικουρεί τον Πελάτη με κατάλληλα τεχνικά και οργανωτικά μέτρα για την εκπλήρωση της υποχρέωσης του Πελάτη να ανταποκρίνεται σε αιτήματα για την άσκηση των δικαιωμάτων του Υποκειμένου των Δεδομένων.
8.2. Η Enartia θα παρέχει στον Πελάτη εύλογη συνδρομή και θα παρέχει τις πληροφορίες που μπορεί εύλογα να απαιτηθούν για τους σκοπούς της απάντησης στα Υποκείμενα Δεδομένων, προκειμένου να μπορέσει ο Πελάτης να συμμορφωθεί με τα καθήκοντά του σύμφωνα με την εφαρμοστέα νομοθεσία περί προστασίας δεδομένων σε σχέση με τα δικαιώματα του Υποκειμένου Δεδομένων. Ο Πελάτης αναγνωρίζει και συμφωνεί ότι σε περίπτωση που η εν λόγω συνδρομή απαιτεί σημαντικούς πόρους εκ μέρους του Εκτελούντος την Επεξεργασία, η συνδρομή αυτή θα χρεώνεται κατόπιν προηγούμενης ειδοποίησης και συμφωνίας με τον Πελάτη.
9. ΕΠΙΣΤΡΟΦΗ ΚΑΙ ΔΙΑΓΡΑΦΗ ΔΕΔΟΜΕΝΩΝ
9.1. Η Enartia θα επιστρέψει ή θα καταστρέψει, χωρίς κόστος για τον Πελάτη, τα Προσωπικά Δεδομένα του Πελάτη, κατόπιν αιτήματος του, μετά τη λήξη ή τη λύση του παρόντος ΣΕΔ, εκτός εάν η ισχύουσα νομοθεσία (συμπεριλαμβανομένων ενδεικτικά της εφαρμοστέας νομοθεσίας περί προστασίας δεδομένων ή αιτημάτων των αρχών επιβολής του νόμου, των κατευθυντήριων γραμμών και αποφάσεων των εποπτικών αρχών), εμποδίζουν την Enartia να το πράξει.
9.2. Όσον αφορά συγκεκριμένα αιτήματα του Πελάτη για επιστροφή των Προσωπικών Δεδομένων του, το αίτημα αυτό θα ικανοποιείται στο βαθμό που είναι εφικτό, με την επιφύλαξη εμπορικά εύλογων τεχνικών και οργανωτικών περιορισμών, οι οποίοι είναι ανάλογοι με τον όγκο και την κατηγοριοποίηση των Προσωπικών Δεδομένων που υποβάλλονται σε Επεξεργασία.
9.3. Τα Προσωπικά Δεδομένα του Πελάτη που επιστρέφονται σύμφωνα με την τυπική εσωτερική διαδικασία της Enartia επιστρέφονται χωρίς κόστος για τον Πελάτη. Σε περιπτώσεις, στις οποίες η επιστροφή απαιτεί υπερβολικούς πόρους, θα επιστρέφονται με εύλογο κόστος για τον Πελάτη, κατόπιν προηγούμενης συμφωνίας, εφόσον ο τελευταίος το επιθυμεί.
9.4. Σε περίπτωση που ο Πελάτης επιλέξει τη διαγραφή των προσωπικών δεδομένων του, η Enartia μπορεί να παράσχει δήλωση που να διασφαλίζει τη διαγραφή αυτή, κατόπιν αιτήματος.
9.5. Η Enartia μπορεί να διατηρήσει τα Προσωπικά Δεδομένα Πελάτη που αποθηκεύονται σύμφωνα με τακτικές διαδικασίες δημιουργίας αντιγράφων ασφαλείας σύμφωνα με τα πρωτόκολλα ανάκαμψης από καταστροφές και επιχειρησιακής συνέχειας της Enartia (βλ. άρθρο 12), υπό την προϋπόθεση ότι η Enartia δεν θα επεξεργάζεται τα εν λόγω Προσωπικά Δεδομένα Πελάτη για οποιονδήποτε άλλο σκοπό εκτός από την εκτέλεση της υπηρεσίας και δεν θα επιτρέπει στους υπεργολάβους της να επεξεργάζονται τα εν λόγω Προσωπικά Δεδομένα Πελάτη.
10. ΜΕΤΑΔΟΣΕΙΣ
10.1. Τα προσωπικά δεδομένα που διαβιβάζονται από την Enartia σε σχέση με την υπηρεσία μέσω του Διαδικτύου κρυπτογραφούνται. Τα μέρη αναγνωρίζουν, ωστόσο, ότι η ασφάλεια των μεταδόσεων μέσω του Διαδικτύου δεν μπορεί να διασφαλιστεί σε κάθε χρονική στιγμή. Η Enartia δεν θα είναι υπεύθυνη για την πρόσβαση του Πελάτη στο Διαδίκτυο, για οποιαδήποτε υποκλοπή ή διακοπή οποιασδήποτε επικοινωνίας μέσω του Διαδικτύου ή για μη εξουσιοδοτημένες αλλαγές ή απώλειες Προσωπικών Δεδομένων μέσω του Διαδικτύου.
10.2. Εάν υπάρχει υποψία παραβίασης προσωπικών δεδομένων, η Enartia μπορεί να αναστείλει αμέσως τη χρήση της υπηρεσίας εν αναμονή της έρευνας για το περιστατικό, υπό την προϋπόθεση ότι θα ειδοποιήσει για οποιαδήποτε τέτοια αναστολή το συντομότερο δυνατό και θα λάβει όλα τα εύλογα μέτρα για την άμεση αποκατάσταση της χρήσης της υπηρεσίας και θα συνεργαστεί με τον Πελάτη για τη συνέχιση της παροχής της υπηρεσίας μέσω ασφαλών διαύλων επικοινωνίας.
10.3. Ο Πελάτης λαμβάνει όλα τα κατάλληλα και εύλογα μέτρα που απαιτούνται για τη διατήρηση της εμπιστευτικότητας των ονομάτων και των κωδικών πρόσβασης του ιδίου και των προστηθέντων του για τις Υπηρεσίες. Ο Πελάτης είναι υπεύθυνος για τις συνέπειες οποιασδήποτε κακής χρήσης της Υπηρεσίας από οποιονδήποτε προστηθέντα του Πελάτη.
11. ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
11.1. Ο Πελάτης αναγνωρίζει και συμφωνεί ότι η Enartia δεν θεωρείται υπεύθυνη για παραβίαση προσωπικών δεδομένων που δεν οφείλεται σε αμέλεια της Enartia.
11.2. Εάν η Enartia αντιληφθεί παραβίαση προσωπικών δεδομένων, θα:
α) λάβει τα κατάλληλα μέτρα για τον περιορισμό και τον μετριασμό της εν λόγω Παραβίασης Προσωπικών Δεδομένων, συμπεριλαμβανομένης της ενημέρωσης του Πελάτη, χωρίς αδικαιολόγητη καθυστέρηση, ώστε ο Πελάτης να μπορέσει να αντιδράσει ταχέως. Η Enartia διατηρεί το δικαίωμα να καθορίζει τα μέτρα που θα λάβει για να συμμορφωθεί με την ισχύουσα νομοθεσία περί προστασίας δεδομένων ή για να προστατεύσει τα δικαιώματα και τα συμφέροντά της,
β) συνεργάζεται με τον Πελάτη για τη διερεύνηση: της φύσης, των κατηγοριών και του κατά προσέγγιση αριθμού των υποκειμένων δεδομένων που αφορά η παραβίαση, των κατηγοριών και του κατά προσέγγιση αριθμού των αρχείων δεδομένων προσωπικού χαρακτήρα που αφορά και των πιθανών συνεπειών οποιασδήποτε τέτοιας παραβίασης δεδομένων προσωπικού χαρακτήρα κατά τρόπο ανάλογο προς τη σοβαρότητά της και τις συνολικές επιπτώσεις της στον Πελάτη και στην παροχή της υπηρεσίας βάσει του παρόντος ΣΕΔ,
γ) όταν η εφαρμοστέα νομοθεσία περί προστασίας δεδομένων απαιτεί την κοινοποίηση στις σχετικές εποπτικές αρχές και στα επηρεαζόμενα υποκείμενα δεδομένων μιας τέτοιας παραβίασης δεδομένων προσωπικού χαρακτήρα, θα αναμένει και θα λαμβάνει οδηγίες από τον πελάτη, καθώς ο υπεύθυνος επεξεργασίας έχει το αποκλειστικό δικαίωμα να καθορίζει τα μέτρα που θα λάβει για να συμμορφωθεί με την εφαρμοστέα νομοθεσία περί προστασίας δεδομένων ή να αποκαταστήσει οποιονδήποτε κίνδυνο, συμπεριλαμβανομένων ενδεικτικά και όχι περιοριστικά:
(i) εάν πρέπει να ειδοποιηθούν οποιαδήποτε άτομα, ρυθμιστικές αρχές, υπηρεσίες επιβολής του νόμου, ενώσεις προστασίας καταναλωτών ή άλλοι, όπως απαιτείται από την εφαρμοστέα νομοθεσία περί Προστασίας Δεδομένων ή κατά τη διακριτική ευχέρεια του Πελάτη, και
(ii) το περιεχόμενο της εν λόγω ειδοποίησης, εάν μπορεί να επιτευχθεί αποκατάσταση της επίπτωσης της παραβίασης στα θιγόμενα υποκείμενα δεδομένων του Πελάτη, καθώς και τη φύση και την έκταση της εν λόγω αποκατάστασης.
12. ΕΥΘΥΝΗ
12.1. Η Enartia ευθύνεται έναντι του υποκειμένου των δεδομένων για κάθε υλική ή ηθική βλάβη που προκαλείται από την επεξεργασία μόνο εάν ο εκτελών την επεξεργασία δεν έχει εκπληρώσει τις υποχρεώσεις που προβλέπονται στην εφαρμοστέα νομοθεσία σχετικά με τους εκτελούντες την επεξεργασία ή έχει υπερβεί τις νόμιμες εντολές του υπευθύνου επεξεργασίας ή έχει ενεργήσει αντίθετα προς αυτές. Ο υπεύθυνος επεξεργασίας δικαιούται να ζητήσει από την Enartia την ανάκτηση μέρους της αποζημίωσης που καταβλήθηκε σε υποκείμενο των δεδομένων, που αντιστοιχεί στο μέρος της ευθύνης της Enartia για τη ζημία που προκλήθηκε σύμφωνα με τους όρους της παραγράφου 2 του άρθρου 82 του ΓΚΠΔ. Η Enartia απαλλάσσεται από την παραπάνω ευθύνη της, εάν αποδείξει ότι δεν ευθύνεται για το γεγονός που προκάλεσε τη ζημία. Η Enartia ευθύνεται έναντι του Υπεύθυνου Επεξεργασίας λόγω παράβασης των υποχρεώσεων που επιβάλλονται με το παρόν ΣΕΔ ή σε περιπτώσεις που ενήργησε αντίθετα προς τις οδηγίες του Υπεύθυνου Επεξεργασίας για κάθε θετική και άμεση ζημία και μόνο, μέχρι του ποσού της καθαρής αμοιβής που έλαβε η Enartia από τον Υπεύθυνο Επεξεργασίας μέχρι την ημερομηνία επέλευσης της ζημίας βάσει της Κύριας Σύμβασης και συνολικά, δηλαδή για κάθε θετική και άμεση ζημία που προκλήθηκε από κοινού και η οποία επήλθε καθ’ όλη τη διάρκεια της σύμβασης, μέχρι του ποσού της συνολικής καθαρής αμοιβής που έλαβε η Enartia σύμφωνα με την Κύρια Σύμβαση. Αυτός ο περιορισμός της ευθύνης δεν επηρεάζει σε καμία περίπτωση την ευθύνη της Enartia έναντι του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αυτή προκύπτει από το νόμο (άρθρο 82 του ΓΚΠΔ) και περιγράφεται ανωτέρω. Η ανωτέρω ευθύνη της Enartia δεν περιορίζει οποιοδήποτε δικαίωμα του υπευθύνου επεξεργασίας, σύμφωνα με το εφαρμοστέο δίκαιο, να ασκήσει ένδικα μέσα κατά του υποεκτελούντα την επεξεργασία.
12.2. Η κήρυξη οποιουδήποτε από τους όρους του παρόντος ως άκυρου, παράνομου ή ανύπαρκτου δεν επηρεάζει την εγκυρότητα του παρόντος και των υπόλοιπων όρων του.
13. ΣΧΕΔΙΟ ΑΠΟΚΑΤΑΣΤΑΣΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΕΣ ΚΑΙ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ
Η Enartia εφαρμόζει πρωτόκολλα ανάκαμψης από καταστροφές και επιχειρησιακής συνέχειας, τα οποία διαφέρουν μεταξύ κάθε παρεχόμενης υπηρεσίας. Αντίγραφο της περίληψης του σχεδίου αυτού είναι διαθέσιμο για εξέταση από τον Πελάτη κατόπιν αιτήματος. Η Enartia μπορεί να τροποποιήσει το εν λόγω σχέδιο ανά πάσα στιγμή, υπό την προϋπόθεση ότι δεν θα μειώσει την ικανότητα ανάκαμψης από καταστροφές που ισχύει σύμφωνα με το εν λόγω σχέδιο, όπως αυτό υφίσταται κατά την ημερομηνία έναρξης ισχύος.
14. ΥΠΟΧΡΕΩΣΗ
Με την αίτηση παροχής των υπηρεσιών της Enartia, ο πελάτης αποδέχεται το παρόν ΣΕΔ, συμπεριλαμβανομένων των παραρτημάτων 1, 2 και 3 και εξουσιοδοτεί ρητά την Enartia να εκτελεί για λογαριασμό του τις δραστηριότητες που περιγράφονται στην Κύρια Σύμβαση και στο παρόν. Η Enartia αποδέχεται την εντολή, η οποία θα εκτελεστεί χωρίς οικονομικό αντάλλαγμα, δεδομένου ότι συνδέεται με την υπηρεσία και δηλώνει ότι έχει διαβάσει και κατανοήσει τις οδηγίες που της έχουν δοθεί.
ΠΑΡΑΡΤΗΜΑ 1
1. ΥΠΟΚΕΙΜΕΝΑ ΔΕΔΟΜΕΝΩΝ
Φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνονται στην υπηρεσία που παρέχεται από τον εκτελούντα την επεξεργασία στον υπεύθυνο επεξεργασίας βάσει της Κύριας Συμφωνίας. Τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται ο Εκτελών την Επεξεργασία είναι όλα τα δεδομένα που ενδέχεται να περιέλθουν σε γνώση του κατά την παροχή των υπηρεσιών του Εκτελούντος την Επεξεργασία δυνάμει της Κύριας Συμφωνίας. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα μπορεί να περιλαμβάνουν, μεταξύ άλλων, τα ακόλουθα: Όνομα, επώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός τηλεφώνου, ρόλος στην εταιρεία.
2. ΠΡΑΞΕΙΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
Η παροχή των υπηρεσιών που περιγράφονται και προσδιορίζονται στην Κύρια Σύμβαση. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβάλλονται σε επεξεργασία μόνο για την παροχή της υπηρεσίας, όπως περιγράφεται στην Κύρια Σύμβαση.
3. ΦΎΣΗ ΤΗΣ ΕΠΕΞΕΡΓΑΣΊΑΣ
Η φύση των πράξεων επεξεργασίας ποικίλλει ανάλογα με τη συγκεκριμένη υπηρεσία που ενεργοποιείται μέσω της Κύριας Σύμβασης.
|
Υπηρεσία |
Φύση της επεξεργασίας |
|
Καταχώρηση ονόματος τομέα |
Συλλογή, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, χρήση, κοινοποίηση με διαβίβαση, διαγραφή |
|
Cookie Generator |
Συλλογή, αποθήκευση, ανάκτηση, κοινοποίηση με διαβίβαση, διαγραφή |
|
Διαδικτυακή φιλοξενία |
Συλλογή, αποθήκευση, ανάκτηση, κοινοποίηση με διαβίβαση, διαγραφή |
|
Διαχειριζόμενη φιλοξενία WordPress |
Συλλογή, αποθήκευση, ανάκτηση, κοινοποίηση με διαβίβαση, διαγραφή |
|
Πιστοποιητικά SSL |
Συλλογή, αποθήκευση, διαγραφή |
4. ΣΥΧΝΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
Η επεξεργασία συνεχίζεται για όσο διάστημα παρέχεται η αντίστοιχη υπηρεσία.
5. ΔΙΑΡΚΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΊΑΣ
Τα προσωπικά δεδομένα του Πελάτη θα διατηρούνται για όσο διάστημα παραμένει ενεργή η Υπηρεσία.
ΠΑΡΑΡΤΗΜΑ 2
Περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας
Η Enartia αναλαμβάνει την υποχρέωση να εφαρμόζει κατ’ ελάχιστο τα τεχνικά και οργανωτικά μέτρα που περιγράφονται κατωτέρω.
Πληροφορίες σχετικά με τα μέτρα ασφαλείας
Διαδικασίες ασφάλειας πληροφοριών
Εσωτερική οργάνωση
Έχουν καθοριστεί ξεχωριστοί ρόλοι και αρμοδιότητες για την ασφάλεια των πληροφοριών και έχουν ανατεθεί στα πρόσωπα της Εταιρείας που είναι υπεύθυνα για τις δραστηριότητες επεξεργασίας (εφεξής επίσης “χρήστες”), προκειμένου να αποφεύγεται η σύγκρουση συμφερόντων και να αποτρέπονται μη εξουσιοδοτημένες δραστηριότητες.
Διαδικασίες σχετικά με το ανθρώπινο δυναμικό
Κινητές συσκευές και τηλεργασία
Εφαρμόζεται πολιτική ασφαλείας για τη χρήση όλων των συσκευών της εταιρείας, ιδίως των φορητών συσκευών, και εφαρμόζονται επαρκείς έλεγχοι.
Λήξη ή αλλαγές στη σχέση εργασίας
Με τη λήξη της σχέσης εργασίας ενός χρήστη με την Enartia ή σε περίπτωση σημαντικής αλλαγής του ρόλου που έχει αναλάβει, τα δικαιώματα πρόσβασης επικαιροποιούνται άμεσα, ενώ τα επιχειρηματικά εργαλεία επιστρέφονται και επαναφέρονται στην αρχική τους κατάσταση.
Διαχείριση των πόρων των εταιρικών περιουσιακών στοιχείων
Ευθύνη των πόρων και των περιουσιακών στοιχείων της εταιρείας
Όλα τα εργαλεία και τα περιουσιακά στοιχεία της εταιρείας απογράφονται προσεκτικά και παρακολουθείται η κατανομή τους στους διάφορους χρήστες που είναι υπεύθυνοι για την ασφάλειά τους. Επιπλέον, έχει υιοθετηθεί πολιτική για την ορθή χρήση τους.
Ταξινόμηση των πληροφοριών
Όλες οι πληροφορίες ταξινομούνται και καταγράφονται από τους αντίστοιχους χρήστες σύμφωνα με τις απαιτήσεις ασφαλείας και τυγχάνουν ανάλογης επεξεργασίας.
Έλεγχος πρόσβασης
Επιχειρησιακές απαιτήσεις για τον έλεγχο πρόσβασης
Οι οργανωτικές απαιτήσεις για την παρακολούθηση της πρόσβασης στους πληροφοριακούς πόρους καταγράφονται σε πολιτική και εφαρμόζονται στην πράξη μέσω μιας διαδικασίας ελέγχου πρόσβασης, που σημαίνει ότι η πρόσβαση στο δίκτυο και στις συνδέσεις είναι ελεγχόμενη.
Διαχείριση πρόσβασης χρηστών
Η κατανομή των δικαιωμάτων πρόσβασης των χρηστών ελέγχεται από την αρχική εγγραφή του χρήστη έως την κατάργηση των δικαιωμάτων πρόσβασης όταν αυτά δεν είναι πλέον απαραίτητα, συμπεριλαμβανομένων των ειδικών περιορισμών για τα προνομιακά δικαιώματα πρόσβασης και τη διαχείριση των “ευαίσθητων πληροφοριών πιστοποίησης”. Η διαδικασία αυτή υπόκειται σε περιοδικές αναθεωρήσεις και ελέγχους, συμπεριλαμβανομένης της επικαιροποίησης των δικαιωμάτων πρόσβασης όταν είναι απαραίτητο. Στη διαχείριση της πρόσβασης, εφαρμόζεται το κριτήριο της ελαχιστοποίησης της πρόσβασης. Τα πρόσθετα δικαιώματα πρόσβασης απαιτούν ειδική εξουσιοδότηση.
Ευθύνη του χρήστη
Οι χρήστες έχουν επίγνωση των ευθυνών τους, για παράδειγμα επιλέγοντας έναν σύνθετο κωδικό πρόσβασης, η πολυπλοκότητα του οποίου επαληθεύεται από το σύστημα και διατηρώντας τον εμπιστευτικό.
Συστήματα και εφαρμογές για τον έλεγχο πρόσβασης
Η πρόσβαση στις πληροφορίες υπόκειται σε περιορισμούς σύμφωνα με την πολιτική ελέγχου πρόσβασης, μέσω ενός συστήματος ασφαλούς πρόσβασης και διαχείρισης κωδικών πρόσβασης, καθώς και ελέγχου των προνομιακών βοηθητικών προγραμμάτων και περιορισμένης πρόσβασης σε όλους τους πηγαίους κώδικες.
Κρυπτογράφηση
Κρυπτογραφικός έλεγχος
Υπάρχει πολιτική για τη χρήση της κρυπτογράφησης των μέσων και των δεδομένων των χρηστών. Οι πιστοποιήσεις ταυτότητας είναι κρυπτογραφημένες.
Φυσική και περιβαλλοντική ασφάλεια
Εφαρμόζονται μέτρα φυσικής και περιβαλλοντικής ασφάλειας για την αποτροπή παράνομης ή τυχαίας πρόσβασης, απώλειας ή διάδοσης δεδομένων.
Ασφαλείς περιοχές: Data Center
Οι υπηρεσίες της εταιρείας παρέχονται από και φιλοξενούνται σε διάφορα data centers σε όλη την Ευρώπη, με υψηλό επίπεδο ασφάλειας. Όλα τα data centers εντός της αλυσίδας εφοδιασμού προσφέρουν εφεδρείες όλων των ηλεκτρικών, ψυκτικών και δικτυακών κυκλωμάτων. Όλα τα data centers διαθέτουν περιμετρικό φωτισμό καθώς και σύστημα ανίχνευσης παρουσίας με κάμερες CCTV και οι πόρτες έκτακτης ανάγκης είναι εξοπλισμένες με συναγερμό. Όλοι οι συναγερμοί συγκεντρώνονται σε αίθουσες ελέγχου.
Η φυσική πρόσβαση ρυθμίζεται και ελέγχεται με διαδικασίες εξουσιοδότησης, αναγνώρισης και καταχώρισης και περιορίζεται, χάρη στο σύστημα ελέγχου πρόσβασης, στους χώρους για τους οποίους υπάρχει εξουσιοδότηση.
Εξοπλισμός
Υπάρχει πολιτική για την απόρριψη του εξοπλισμού που δεν χρειάζεται πλέον, ώστε να καταστρέφονται με ασφάλεια όλες οι πληροφορίες που περιέχονται σε αυτόν.
Ασφάλεια των εργασιών
Διαδικασίες και επιχειρησιακές ευθύνες
Οι επιχειρησιακές ευθύνες στη μηχανογράφηση καταγράφονται και οι αλλαγές στις εγκαταστάσεις και τα συστήματα ελέγχονται. Τα συστήματα ανάπτυξης, τα συστήματα επαλήθευσης και τα λειτουργικά συστήματα διαχωρίζονται. Υπάρχουν χρήστες που είναι υπεύθυνοι για την ορθή λειτουργία των διαδικασιών. Από την άλλη πλευρά, η διαχείριση της λογικής ασφάλειας των λειτουργικών συστημάτων και των εφαρμογών που εγκαθίστανται από τον πελάτη αποτελεί ευθύνη του πελάτη των επιμέρους υπηρεσιών.
Προστασία από κακόβουλο λογισμικό
Ο έλεγχος των ιών και του κακόβουλου λογισμικού εφαρμόζεται στις συσκευές της εταιρείας και υπάρχει η κατάλληλη ευαισθητοποίηση των χρηστών. Όσον αφορά τις υπηρεσίες Virtual Server ή Dedicated Server, ο πελάτης είναι υπεύθυνος για την εγκατάσταση λογισμικού κατά των ιών και του κακόβουλου λογισμικού και – εάν δεν έχει αγοραστεί η σχετική υπηρεσία – ενός τείχους προστασίας. Όσον αφορά την υπηρεσία φιλοξενίας, υπάρχει προστασία σε πραγματικό χρόνο στα μηχανήματα front–end.
Όσον αφορά την υπηρεσία ηλεκτρονικού ταχυδρομείου, η κίνηση αλληλογραφίας αναλύεται σε πραγματικό χρόνο, τόσο η εισερχόμενη όσο και η εξερχόμενη, για την ανίχνευση ιών, κακόβουλου λογισμικού και για τον εντοπισμό και το φιλτράρισμα των ανεπιθύμητων μηνυμάτων. Η ανάλυση είναι αυτοματοποιημένη και βασίζεται στη φύση του περιεχομένου, στην εξέταση διεθνών βάσεων δεδομένων και στη φήμη που αποκτάται λόγω μιας σειράς παραμέτρων.
Δημιουργία αντιγράφων ασφαλείας
Δημιουργούνται περιοδικά αντίγραφα ασφαλείας, με εξαίρεση τις υπηρεσίες για τις οποίες ο πελάτης είναι υπεύθυνος για τη διατήρηση και τη διαχείριση των αντιγράφων ασφαλείας (Dedicated Servers και Virtual Servers). Για τις υπηρεσίες Hosting και Post, εκτελούνται περιοδικά αντίγραφα ασφαλείας, στα οποία, μπορεί να έχει πρόσβαση και ο πελάτης. Πρόσθετα αντίγραφα ασφαλείας, στα οποία δεν έχουν πρόσβαση οι πελάτες, δημιουργούνται με αποκλειστικό σκοπό την αποκατάσταση καταστροφών.
Επαλήθευση και παρακολούθηση
Επαλήθευση και συγχρονισμός
Κάθε δραστηριότητα και συμβάν που σχετίζεται με την ασφάλεια των πληροφοριών από τους χρήστες του συστήματος και τους διαχειριστές/χειριστές λαμβάνει χώρα μετά την εισαγωγή των διαπιστευτηρίων πιστοποίησης ταυτότητας ή των πιστοποιητικών ταυτότητας. Τα ρολόγια όλου του εξοπλισμού συγχρονίζονται.
Έλεγχος του λογισμικού
Η εγκατάσταση λογισμικού στα λειτουργικά συστήματα ελέγχεται και παρακολουθείται.
Όσον αφορά τους Virtual Servers και τους Dedicated Servers, τα λειτουργικά συστήματα που διατίθενται στους πελάτες διατίθενται με επικαιροποιημένες εικόνες εγκατάστασης ακόμη και κατά την εγκατάσταση από τον πελάτη. Είναι επίσης ευθύνη του πελάτη να ενημερώνει το υλισμικό και τις εφαρμογές ή το λογισμικό που εγκαθιστά ο πελάτης.
Διαχείριση τεχνικών τρωτών σημείων
Διαχείριση διορθώσεων
Κάθε τεχνική ευπάθεια διορθώνεται με κατάλληλα διορθωτικά patches και προβλέπονται διαδικασίες για όλες τις φάσεις δοκιμών και για την επακόλουθη εγκατάσταση του λογισμικού και των ενημερώσεων, η οποία πραγματοποιείται μόνο όταν όλες οι δοκιμές είναι θετικές.
Σκέψεις για τον έλεγχο των πληροφοριακών συστημάτων
Πραγματοποιούνται περιοδικοί έλεγχοι προκειμένου να διαπιστωθεί ότι ελαχιστοποιούνται τυχόν αρνητικές επιπτώσεις στα συστήματα παραγωγής και ότι δεν υπάρχει μη εξουσιοδοτημένη πρόσβαση στα δεδομένα.
Ασφάλεια επικοινωνιών
Διαχείριση της ασφάλειας του δικτύου
Τα δίκτυα και οι επιγραμμικές υπηρεσίες διασφαλίζονται επίσης μέσω του διαχωρισμού τους.
Μεταφορά πληροφοριών
Ισχύουν συμφωνίες σχετικά με τη διαβίβαση πληροφοριών από και προς τρίτους.
Απόκτηση, ανάπτυξη και συντήρηση του συστήματος
Ασφάλεια στις διαδικασίες ανάπτυξης και υποστήριξης
Οι κανόνες που διέπουν την ασφάλεια της ανάπτυξης λογισμικού και συστημάτων ορίζονται σε Πολιτική. Οι αλλαγές στο σύστημα (τόσο για τις εφαρμογές όσο και για τα λειτουργικά συστήματα) ελέγχονται. Η ασφάλεια του συστήματος ελέγχεται και ορίζονται κριτήρια επιλεξιμότητας που περιλαμβάνουν πτυχές της ασφάλειας.
Σχέση με τους προμηθευτές
Ασφάλεια πληροφοριών στη σχέση με τους προμηθευτές
Υπάρχουν συμβάσεις που αποσκοπούν στην προστασία και τη ρύθμιση της επεξεργασίας των πληροφοριών της Εταιρείας και των πελατών, που είναι προσβάσιμες σε τρίτους προμηθευτές που αποτελούν μέρος της αλυσίδας εφοδιασμού.
Διαχείριση των υπηρεσιών που παρέχονται από τον προμηθευτή
Η παροχή υπηρεσιών που παρέχονται από τους προμηθευτές παρακολουθείται και ελέγχεται σε σχέση με τη σύμβαση. Κάθε αλλαγή στην υπηρεσία ελέγχεται.
Διαχείριση συμβάντων για πληροφορίες ασφαλείας
Διαχείριση περιστατικών ασφάλειας πληροφοριών και βελτιώσεις
Υπάρχουν συγκεκριμένες αρμοδιότητες και διαδικασίες που αποσκοπούν στη συνεκτική και αποτελεσματική διαχείριση όλων των γεγονότων και περιστατικών που σχετίζονται με την ασφάλεια των πληροφοριών.
Πτυχές της ασφάλειας των πληροφοριών που σχετίζονται με την επιχειρησιακή συνέχεια
Εφεδρείες
Όλες οι σημαντικές εγκαταστάσεις διαθέτουν εφεδρείες προκειμένου να ικανοποιούνται οι απαιτήσεις διαθεσιμότητας. Όπου δεν υπάρχει αυτή η δυνατότητα, εφαρμόζονται κατάλληλα μέτρα για να εξασφαλιστεί η συνέχεια της υπηρεσίας ή η ελαχιστοποίηση της απώλειας δεδομένων.
Συμμόρφωση
Συμμόρφωση με τις νομικές και συμβατικές απαιτήσεις
Η εταιρεία προσδιορίζει και τεκμηριώνει τις υποχρεώσεις της προς τις αρχές και άλλα τρίτα μέρη σε σχέση με την ασφάλεια των πληροφοριών, συμπεριλαμβανομένης της πνευματικής ιδιοκτησίας, της λογιστικής τεκμηρίωσης και των πληροφοριών για την προστασία της ιδιωτικής ζωής.
Ανασκόπηση της ασφάλειας των πληροφοριών
Τα σχέδια της Εταιρείας σχετικά με την ασφάλεια των πληροφοριών και τις πολιτικές ασφάλειας αναθεωρούνται και λαμβάνονται διορθωτικά μέτρα όπου είναι απαραίτητο.
ΠΑΡΑΡΤΗΜΑ 3
Το παράρτημα 3 (Κατάλογος υποεκτελούντων την επεξεργασία) μπορεί να ζητηθεί με αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου στη διεύθυνση: dpo@enartia.com