Skip to main content
Αυτή η σελίδα εμφανίζεται με χρήση αυτόματης μετάφρασης. Προβολή στα Αγγλικά;

Προσάρτημα Προστασίας Δεδομένων Συνεργατών

Το ακόλουθο Προσάρτημα Προστασίας Δεδομένων Συνεργατών αποτελεί μέρος της Συμφωνίας Προγράμματος Συνεργατών και καθορίζει τους όρους σχετικά με την επεξεργασία προσωπικών δεδομένων.

1. ΓΕΝΙΚΌΣ

Αυτό το Προσάρτημα Προστασίας Δεδομένων Συνεργατών (»DPA») αποτελεί μέρος της Συμφωνίας Προγράμματος Συνεργατών (»Συμφωνία») και καθορίζει τους πρόσθετους όρους σχετικά με την επεξεργασία προσωπικών δεδομένων. Οι όροι με κεφαλαία γράμματα έχουν την έννοια που ορίζεται στην επόμενη Ενότητα αυτού του εγγράφου ή αλλού στη Συμφωνία. Εάν υπάρχει σύγκρουση μεταξύ των όρων της παρούσας DPA και οποιωνδήποτε άλλων όρων της Συμφωνίας, η παρούσα DPA θα υπερισχύει. Για τους σκοπούς της παρούσας DPA, ως «Πάροχος» νοείται ο Συνεργάτης.

2. ΟΡΙΣΜΟΊ

  • (α) «Εφαρμόσιμος νόμος περί προστασίας δεδομένων» σημαίνει όλο το εφαρμοστέο δίκαιο που σχετίζεται με την Επεξεργασία Προσωπικών Δεδομένων βάσει της Συμφωνίας, συμπεριλαμβανομένου, ενδεικτικά, (i) για Προσωπικά Δεδομένα που προέρχονται από εξουσιοδοτημένο φορέα εντός του ΕΟΧ, του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (»GDPR») και (ii) για Προσωπικά Δεδομένα που προέρχονται από εξουσιοδοτημένη οντότητα που βρίσκεται στο Ηνωμένο Βασίλειο, το GDPR του Ηνωμένου Βασιλείου και τον Νόμο περί Προστασίας Δεδομένων του Ηνωμένου Βασιλείου 2018.
  • (β) «Εξουσιοδοτημένη οντότητα» σημαίνει κάθε οντότητα (συμπεριλαμβανομένης της Siemens και των εταιρειών του ομίλου της) που ενεργεί ως Controller και δικαιούται από τη Συμφωνία να έχει άμεση ή έμμεση πρόσβαση ή χρήση Υπηρεσιών.
  • (γ) «Controller» σημαίνει το φυσικό ή νομικό πρόσωπο το οποίο, μόνο του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
  • δ) «Χώρα με απόφαση επάρκειας» σημαίνει κάθε χώρα για την οποία η Επιτροπή της ΕΕ έχει αποφασίσει ότι η εν λόγω χώρα διασφαλίζει επαρκές επίπεδο προστασίας δεδομένων και για δεδομένα προσωπικού χαρακτήρα που προέρχονται από το Ηνωμένο Βασίλειο, οποιαδήποτε χώρα για την οποία έχουν θεσπιστεί κανονισμοί επάρκειας του Ηνωμένου Βασιλείου σύμφωνα με τις ενότητες 17Α ή 74Α του νόμου περί προστασίας δεδομένων του 2018.
  • (ε) «Παραβίαση δεδομένων» σημαίνει οποιαδήποτε παραβίαση της ασφάλειας (i) που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε Προσωπικά Δεδομένα που διαβιβάζονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο ή (ii) θα απαιτούσε κοινοποίηση τέτοιου γεγονότος σε οποιονδήποτε τρίτο σύμφωνα με την ισχύουσα νομοθεσία.
  • στ) «ΕΟΧ» σημαίνει τον Ευρωπαϊκό Οικονομικό Χώρο.
  • ζ) «Τυποποιημένες συμβατικές ρήτρες της ΕΕ» σημαίνει τις Τυπικές Συμβατικές Ρήτρες (ΕΕ) 2021/914.
  • (η) «Περιοχή προέλευσης» σημαίνει τον ΕΟΧ, το Ηνωμένο Βασίλειο, την Ελβετία και κάθε χώρα με παρόμοιες απαιτήσεις επάρκειας όπως αυτές περιέχονται στα άρθρα 45 επ. GDPR.
  • (i) «Προσωπικά Δεδομένα» σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο· ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο το οποίο μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως με αναφορά σε αναγνωριστικό στοιχείο, όπως όνομα, αριθμό αναγνώρισης, δεδομένα τοποθεσίας, ηλεκτρονικό αναγνωριστικό ή έναν ή περισσότερους παράγοντες που αφορούν τη φυσική, φυσιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα αυτού του φυσικού προσώπου.
  • (ι) «Επεξεργασία» (και άλλες μορφές της όπως Διαδικασία, Διαδικασίες, Επεξεργασία) σημαίνει οποιαδήποτε λειτουργία ή σύνολο πράξεων που εκτελείται σε Προσωπικά Δεδομένα ή σε σύνολα Προσωπικών Δεδομένων, είτε με αυτοματοποιημένα μέσα, όπως συλλογή, καταγραφή, οργάνωση, δομή, αποθήκευση, προσαρμογή ή αλλοίωση, ανάκτηση, διαβούλευση, χρήση, αποκάλυψη μέσω μετάδοσης, διάδοσης ή άλλης διάθεσης, ευθυγράμμιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή.
  • (κ) «Επεξεργαστής» σημαίνει φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοδήποτε άλλο φορέα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό ενός Controller.
  • (l) «Δεσμευτικοί Εταιρικοί Κανόνες Επεξεργαστή» σημαίνει δεσμευτικούς εταιρικούς κανόνες για τους εκτελούντες την επεξεργασία οι οποίοι έχουν εγκριθεί από την αρμόδια εποπτική αρχή.
  • (μ) «Περιορισμένα Προσωπικά Δεδομένα» σημαίνει οποιαδήποτε Προσωπικά Δεδομένα που προέρχονται από εξουσιοδοτημένη οντότητα που βρίσκεται σε μια Περιοχή Προέλευσης.
  • (ν) «Περιορισμένη μεταφορά (ες)» σημαίνει οποιαδήποτε Επεξεργασία (συμπεριλαμβανομένων των διαβιβάσεων, διεθνούς πρόσβασης και περαιτέρω διαβιβάσεων) Περιορισμένων Προσωπικών Δεδομένων από τον Πάροχο ή οποιονδήποτε από τους Υπερεπεξεργαστές του εκτός της σχετικής Περιοχής Προέλευσης.
  • (o) «Υπηρεσίες» σημαίνει τις Υπηρεσίες βάσει της Συμφωνίας που παρέχονται από τον Πάροχο που ενεργεί στο ρόλο του ως Εκτελούντος την Επεξεργασία κατά την έννοια του παρόντος DPA.
  • (p) «Τυποποιημένες συμβατικές ρήτρες» σημαίνει τις τυποποιημένες συμβατικές ρήτρες της ΕΕ και τις τυποποιημένες συμβατικές ρήτρες του Ηνωμένου Βασιλείου.
  • (q) «Υπερεπεξεργαστής (-οί)» σημαίνει κάθε περαιτέρω Επεξεργαστή που ασχολείται με την εκτέλεση των Υπηρεσιών.
  • (r) «Διασφάλιση (-ες) μεταβίβασης» σημαίνει κατάλληλες διασφαλίσεις για περιορισμένες διαβιβάσεις όπως απαιτείται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων, συμπεριλαμβανομένων ενδεικτικά τυχόν κατάλληλων διασφαλίσεων που απαιτούνται από το άρθρο 46 του ΓΚΠΔ.
  • (ες) «GDPR του Ηνωμένου Βασιλείου» σημαίνει τον ΓΚΠΔ όπως έχει ενσωματωθεί στη νομοθεσία του Ηνωμένου Βασιλείου δυνάμει της Ενότητας 3 του Νόμου για την Ευρωπαϊκή Ένωση (Αποχώρηση) του Ηνωμένου Βασιλείου 2018.
  • (τ) «Τυποποιημένες συμβατικές ρήτρες του Ηνωμένου Βασιλείου» σημαίνει τέτοιες τυποποιημένες ρήτρες προστασίας δεδομένων που υιοθετούνται κατά καιρούς από το Γραφείο Επιτρόπων Πληροφοριών του Ηνωμένου Βασιλείου (ICO) σύμφωνα με το άρθρο 46 παράγραφος 2 του GDPR του Ηνωμένου Βασιλείου, συμπεριλαμβανομένων, ενδεικτικά, της διεθνούς συμφωνίας μεταφοράς δεδομένων (UK IDTA) και των τυποποιημένων συμβατικών ρητρών της ΕΕ όπως τροποποιήθηκε από το Πρόσθετο Διεθνούς Μεταφοράς Δεδομένων της ICO στις Τυπικές Συμβατικές Ρήτρες της Επιτροπής της ΕΕ (»Προσθήκη του Ηνωμένου Βασιλείου»). [1]

1 Βλέπω https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

3. ΣΥΜΜΌΡΦΩΣΗ ΜΕ ΤΗΝ ΙΣΧΎΟΥΣΑ ΝΟΜΟΘΕΣΊΑ ΠΕΡΊ ΠΡΟΣΤΑΣΊΑΣ ΔΕΔΟΜΈΝΩΝ

Τα μέρη τηρούν την ισχύουσα νομοθεσία περί προστασίας δεδομένων όπως ισχύει για αυτά και όπως απαιτείται στο παρόν. Κατά την παροχή Υπηρεσιών, ο Πάροχος συμμορφώνεται ειδικότερα με τις διατάξεις του Εφαρμοστέου Νόμου περί Προστασίας Δεδομένων σχετικά με την Επεξεργασία Προσωπικών Δεδομένων ως Εκτελούντος την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα.

4. ΠΕΔΊΟ ΕΦΑΡΜΟΓΉΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΊΑΣ

Ο Πάροχος θα επεξεργάζεται Προσωπικά Δεδομένα μόνο (α) σύμφωνα με τους όρους της παρούσας DPA και της Συμφωνίας ή (β) με άλλες τεκμηριωμένες οδηγίες της Siemens. Ο Πάροχος δεν θα επεξεργάζεται Προσωπικά Δεδομένα για δικούς του σκοπούς ούτε θα τα διαβιβάζει σε τρίτους, εκτός εάν επιτρέπεται από την παρούσα DPA. Ο Πάροχος ενημερώνει αμέσως τη Siemens εάν, κατά τη γνώμη του, μια οδηγία της Siemens παραβιάζει την Εφαρμοστέα Νομοθεσία περί Προστασίας Δεδομένων.

5. ΛΕΠΤΟΜΈΡΕΙΕΣ ΣΧΕΤΙΚΆ ΜΕ ΤΙΣ ΠΑΡΕΧΌΜΕΝΕΣ ΕΡΓΑΣΊΕΣ ΕΠΕΞΕΡΓΑΣΊΑΣ

Οι λεπτομέρειες των πράξεων επεξεργασίας που παρέχονται από τον Πάροχο - ιδίως το αντικείμενο της Επεξεργασίας, η φύση και ο σκοπός της Επεξεργασίας, τα είδη των Προσωπικών Δεδομένων που υποβάλλονται σε επεξεργασία και οι κατηγορίες των ενδιαφερομένων υποκειμένων των δεδομένων - καθορίζονται στην Παράρτημα Ι σε αυτό το DPA.

6. ΤΕΧΝΙΚΆ ΚΑΙ ΟΡΓΑΝΩΤΙΚΆ ΜΈΤΡΑ

Λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της Επεξεργασίας, καθώς και τον κίνδυνο ποικίλης πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο Πάροχος εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσει επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο, συμπεριλαμβανομένων, ενδεικτικά: (α) της ψευδωνυμοποίησης και κρυπτογράφησης των Προσωπικών Δεδομένων, β) τη δυνατότητα εξασφάλισης συνεχής εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα Συστήματα και υπηρεσίες επεξεργασίας, (γ) τη δυνατότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης στα Προσωπικά Δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος, (δ) μια διαδικασία τακτικής δοκιμής, αξιολόγησης και αξιολόγησης της αποτελεσματικότητας τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της Επεξεργασίας. Με την επιφύλαξη της γενικότητας της προηγούμενης πρότασης, ο Πάροχος εφαρμόζει ανά πάσα στιγμή τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που περιγράφονται στο Παράρτημα ΙΙσε αυτό το DPA.

1 Βλέπω https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

7. ΔΈΣΜΕΥΣΗ ΓΙΑ ΕΜΠΙΣΤΕΥΤΙΚΌΤΗΤΑ

Ο πάροχος περιορίζει την πρόσβαση του προσωπικού του στα Προσωπικά Δεδομένα σε βάση την ανάγκη γνώσης. Ο πάροχος παρέχει λεπτομερή ειδοποίηση στο προσωπικό του σχετικά με τις ισχύουσες νομοθετικές και συμβατικές διατάξεις σχετικά με την προστασία των δεδομένων. Ο Πάροχος υποχρεώνει το προσωπικό του να συμμορφώνεται με αυτές τις διατάξεις και, ειδικότερα, να διατηρεί απόρρητα τα Προσωπικά Δεδομένα και να μην επεξεργάζεται Προσωπικά Δεδομένα εκτός από τις οδηγίες της Siemens. Η υποχρέωση τήρησης του απορρήτου θα συνεχίσει να ισχύει μετά τη λήξη της παρούσας Συμφωνίας και τη συμβατική σχέση του προσωπικού με τον Πάροχο. Ο πάροχος θα παράσχει απόδειξη αυτής της υποχρέωσης κατόπιν αιτήματος.

8. ΥΠΕΡΕΠΕΞΕΡΓΑΣΤΈΣ

  • (α) Ο πάροχος έχει τη γενική άδεια της Siemens για την ανάθεση Υπερεπεξεργαστών. Ένας τρέχων κατάλογος των Υπερεπεξεργαστών που έχουν ανατεθεί από τον Πάροχο περιλαμβάνεται στο Παράρτημα ΙΙΙ σε αυτό το DPA.
  • (β) Ο Πάροχος ενημερώνει ρητά γραπτώς τη Siemens για τυχόν προβλεπόμενες αλλαγές σε αυτόν τον κατάλογο μέσω της προσθήκης ή αντικατάστασης Υπερεπεξεργαστών τουλάχιστον 30 ημέρες νωρίτερα. Ο πάροχος θα παρέχει στη Siemens τις απαραίτητες πληροφορίες για να μπορέσει η Siemens να ασκήσει το δικαίωμα αντίρρησης. Εάν η Siemens δεν προβάλει αντιρρήσεις εντός αυτής της περιόδου των 30 ημερών, τότε αυτό θεωρείται ως έγκριση του νέου Υπερεπεξεργαστή. Εάν η Siemens προβάλει αντιρρήσεις, ο Πάροχος - προτού εξουσιοδοτήσει τον Υπερεκτελούντα την επεξεργασία να έχει πρόσβαση σε Προσωπικά Δεδομένα - θα καταβάλει εύλογες προσπάθειες για να αντιμετωπίσει τις ανησυχίες και τις επιφυλάξεις που εκφράζει η Siemens και (i) θα απέχει από τη χρήση του Υπερεπεξεργαστή ή (ii) θα προτείνει στη Siemens εύλογη αλλαγή στις Υπηρεσίες ή στη διαμόρφωση ή χρήση των Υπηρεσιών από την Siemens προκειμένου να αποφευχθεί η Επεξεργασία Προσωπικών Δεδομένων από τον νέο Υπεύθυνο Επεξεργαστή. Εάν ο Πάροχος δεν είναι σε θέση να εξαλείψει τους λόγους ένστασης της Siemens, η Siemens δικαιούται να τερματίσει τις επηρεαζόμενες Υπηρεσίες χωρίς καμία ζημία ή κυρώσεις. Σε περίπτωση τερματισμού από τη Siemens, ο Πάροχος θα επιστρέψει τυχόν προπληρωμένα ποσά για την ισχύουσα Υπηρεσία σε αναλογική βάση.
  • (γ) Όταν ο Πάροχος προσλαμβάνει έναν Υπερεκτελούντα την επεξεργασία για τη διεξαγωγή συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό της Siemens και/ή των Εξουσιοδοτημένων Φορέων), θα το πράξει μέσω γραπτής σύμβασης που προβλέπει, κατ' ουσίαν, τις ίδιες υποχρεώσεις προστασίας δεδομένων με εκείνες που δεσμεύουν τον Πάροχο βάσει της παρούσας DPA.
  • (δ) Ο Πάροχος παρέχει, κατόπιν αιτήματος της Siemens, αντίγραφο της εν λόγω σύμβασης υπεργολαβίας και τυχόν μεταγενέστερων τροποποιήσεων στη Siemens. Στο βαθμό που είναι απαραίτητο για την προστασία επιχειρηματικών μυστικών ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των προσωπικών δεδομένων, ο Πάροχος μπορεί να επεξεργαστεί το κείμενο της σύμβασης πριν κοινοποιήσει ένα αντίγραφο.
  • (ε) Ο πάροχος ελέγχει επαρκώς και τακτικά τον υπεργολαβητή όσον αφορά τη συμμόρφωση με τις απαιτήσεις αυτές και τεκμηριώνει τα αποτελέσματα των εν λόγω ελέγχων.
  • (στ) Ο Πάροχος παραμένει πλήρως υπεύθυνος έναντι της Siemens για την εκπλήρωση των υποχρεώσεων του Υπερεπεξεργαστή βάσει της σύμβασής του με τον Πάροχο. Ο Πάροχος ενημερώνει τη Siemens για τυχόν παράλειψη εκ μέρους του υπεργολαβητή να εκπληρώσει τις υποχρεώσεις του βάσει της εν λόγω σύμβασης.

9. ΔΙΕΘΝΉΣ ΕΠΕΞΕΡΓΑΣΊΑ ΔΕΔΟΜΈΝΩΝ

Σε περίπτωση Περιορισμένων Μεταβιβάσεων στον Πάροχο, ο Πάροχος διασφαλίζει ότι η εν λόγω Περιορισμένη Μεταβίβαση καλύπτεται από επαρκείς διασφαλίσεις μεταφοράς όπως ορίζονται στην παρούσα Τμήμα 9 και Παράρτημα ΙΙΙ σε αυτό το DPA.

  • (α) Τυποποιημένες συμβατικές ρήτρες. Τα ακόλουθα ισχύουν εάν η διασφάλιση μεταφοράς βασίζεται στις τυποποιημένες συμβατικές ρήτρες:

    • ΕΟΧ-Πάροχοι. Εάν ο Πάροχος βρίσκεται εντός του ΕΟΧ, ο Πάροχος θα συνάψει τις Τυπικές Συμβατικές Ρήτρες (Ενότητα 3) με τον Υπερεκτελούντα την Επεξεργασία του. Τμήμα 9 στοιχείο α) σημείο vii) («Εφαρμοστέο Δίκαιο»), 9 (α) (viii) («Επιλογή φόρουμ και δικαιοδοσίας»), 9 στοιχείο α) (ix) (β) («Μέρος 1 της προσθήκης του Ηνωμένου Βασιλείου»), και το δεύτερη πρόταση του τμήματος 9 στοιχείο α) (x) («Εξουσιοδοτημένες οντότητες σε άλλες χώρες») του παρόντος DPA δεν ισχύει εάν ο Πάροχος βρίσκεται στον ΕΟΧ.
    • Πάροχοι εκτός ΕΟΧ. Εάν ο Πάροχος βρίσκεται εκτός του ΕΟΧ, η Περιορισμένη Μεταφορά διέπεται από τις Ενότητες 2 και 3 των Τυπικών Συμβατικών Ρητρών. Οι σχετικές διατάξεις που περιέχονται στις Τυπικές Συμβατικές Ρήτρες ενσωματώνονται μέσω παραπομπής και αποτελούν αναπόσπαστο μέρος αυτής της DPA. Οι πληροφορίες που απαιτούνται για τους σκοπούς των παραρτημάτων των τυποποιημένων συμβατικών ρητρών παρατίθενται στο Παραρτήματα Ι έως ΙΙΙσε αυτό το DPA.
    • Ρήτρα σύνδεσης. Η επιλογή βάσει της ρήτρας 7 των τυποποιημένων συμβατικών ρητρών δεν ισχύει.
    • Μεταβιβάσεις προς τα εμπρός. Οποιαδήποτε περαιτέρω μεταβίβαση πρέπει να συμμορφώνεται με τις ρήτρες 8 και 9 της ισχύουσας Ενότητας των Τυπικών Συμβατικών Ρητρών. Σε περίπτωση που η Siemens βρίσκεται εκτός του ΕΟΧ και ενεργεί ως εισαγωγέας δεδομένων βάσει Τυπικών Συμβατικών Ρητρών με Εξουσιοδοτημένες Φορείς, η ρήτρα δικαιούχου τρίτου μέρους που ορίζεται από τη ρήτρα 9 (ε) των Τυποποιημένων Συμβατικών Ρητρών θα είναι υπέρ αυτού του Εξουσιοδοτημένου Οντέα.
    • Χρήση ΥπερεπεξεργαστώνΙσχύει η επιλογή 2 βάσει της ρήτρας 9 των τυποποιημένων συμβατικών ρητρών. Για τους σκοπούς της ρήτρας 9 (α) των Τυποποιημένων Συμβατικών Ρητρών, ο Πάροχος έχει τη γενική εξουσιοδότηση της Siemens να προσλαμβάνει Υπερεπεξεργαστές σύμφωνα με Τμήμα 8 αυτού του DPA.
    • Επανόρθωση. Σε περίπτωση που ο Πάροχος προσφέρει στα υποκείμενα των δεδομένων τη δυνατότητα να υποβάλουν καταγγελία σε ανεξάρτητο φορέα επίλυσης διαφορών (βλ. Επιλογή στη ρήτρα 11 των Τυποποιημένων Συμβατικών Ρητρών), ο Πάροχος ενημερώνει γραπτώς τη Siemens για το αρμόδιο όργανο διαιτησίας και συμμορφώνεται με τις ισχύουσες απαιτήσεις που περιέχονται στη Ρήτρα 11 των Τυποποιημένων Συμβατικών Ρητρών και τους ισχύοντες κανόνες διαιτησίας.
    • Εφαρμοστέο Δίκαιο. Το εφαρμοστέο δίκαιο για τους σκοπούς της ρήτρας 17 των τυποποιημένων συμβατικών ρητρών είναι ο νόμος που ορίζεται στο τμήμα του εφαρμοστέου δικαίου της Συμφωνίας. Εάν η Συμφωνία δεν διέπεται από το δίκαιο κράτους μέλους της ΕΕ, οι τυποποιημένες συμβατικές ρήτρες της ΕΕ διέπονται από τη νομοθεσία της Γερμανίας.
    • Επιλογή φόρουμ και δικαιοδοσίας. Τα δικαστήρια βάσει της ρήτρας 18 των τυποποιημένων συμβατικών ρητρών θα είναι εκείνα που ορίζονται στο τμήμα του τόπου διεξαγωγής της Συμφωνίας. Εάν η Συμφωνία δεν ορίζει δικαστήριο κράτους μέλους της ΕΕ ως αποκλειστική δικαιοδοσία για την επίλυση οποιασδήποτε διαφοράς ή αγωγής που προκύπτει από ή σε σχέση με τη Συμφωνία, τα μέρη συμφωνούν ότι τα δικαστήρια της Γερμανίας θα έχουν αποκλειστική δικαιοδοσία για την επίλυση οποιασδήποτε διαφοράς που προκύπτει από τις Τυπικές Συμβατικές Ρήτρες της ΕΕ.
    • Εξουσιοδοτημένες οντότητες στο Ηνωμένο Βασίλειο. Σε περίπτωση που οι περιορισμένες μεταβιβάσεις προέρχονται από εξουσιοδοτημένες οντότητες εγκατεστημένες στο Ηνωμένο Βασίλειο, ισχύουν τα ακόλουθα:

      • Προσθήκη του Ηνωμένου Βασιλείου. Η προσθήκη του Ηνωμένου Βασιλείου θα χρησιμοποιείται, εκτός εάν συμφωνηθεί διαφορετικά γραπτώς από τη Siemens.
      • Μέρος 1 της προσθήκης του Ηνωμένου Βασιλείου. Το μέρος 1 της προσθήκης του Ηνωμένου Βασιλείου εφαρμόζεται ως εξής:

        1. Πίνακας 1: Τα στοιχεία των μερών και τα βασικά στοιχεία επικοινωνίας περιέχονται στο Παράρτημα Ι σε αυτό το DPA.
        2. Πίνακας 2: Η έκδοση των εγκεκριμένων SCC της ΕΕ (όπως ορίζεται από το προσάρτημα του Ηνωμένου Βασιλείου) στην οποία επισυνάπτεται η προσθήκη του Ηνωμένου Βασιλείου, είναι οι Τυπικές Συμβατικές Ρήτρες της ΕΕ με τις Ενότητες και τις Ρήτρες που έχουν επιλεγεί παραπάνω στο Τμήμα 9 στοιχείο α) αυτού του DPA. Κανένα προσωπικό δεδομένο που λαμβάνεται από τον Εισαγωγέα δεν συνδυάζεται με τα προσωπικά δεδομένα που συλλέγει ο Εξαγωγέας.
        3. Πίνακας 3: Οι πληροφορίες του προσαρτήματος, όπως απαιτείται από τον πίνακα 3 της προσθήκης του Ηνωμένου Βασιλείου περιέχονται στο Παραρτήματα Ι έως ΙΙΙ σε αυτό το DPA.
        4. Πίνακας 4: Κανένα μέρος δεν μπορεί να τερματίσει την προσθήκη του Ηνωμένου Βασιλείου όταν αλλάξει η εγκεκριμένη προσθήκη (όπως ορίζεται στην προσθήκη του Ηνωμένου Βασιλείου).
    • Εξουσιοδοτημένες οντότητες σε άλλες χώρες. Σε περίπτωση που οι Τυπικές Συμβατικές Ρήτρες προστατεύουν τις Περιορισμένες Μεταβιβάσεις από Εξουσιοδοτημένες Φορείς που βρίσκονται εκτός του ΕΟΧ και του Ηνωμένου Βασιλείου (π.χ. Ελβετία), (1) οι γενικές και ειδικές αναφορές στις Τυπικές Συμβατικές Ρήτρες στον ΓΚΠΔ ή στο δίκαιο της ΕΕ ή του κράτους μέλους έχουν την ίδια έννοια με την αντίστοιχη αναφορά στους Εφαρμοστέους Νόμους περί Προστασίας Δεδομένων της χώρας όπου βρίσκεται ο Εξουσιοδοτημένος Φορέας, κατά περίπτωση και (2) οι αναφορές στην «αρμόδια εποπτική αρχή» ερμηνεύονται ως αναφορές στην αρμόδια εποπτική αρχή Προστασία δεδομένων εξουσία σε μια τέτοια χώρα. Το εφαρμοστέο δίκαιο, η επιλογή του φόρουμ και η δικαιοδοσία διέπονται από Τμήμα 9 στοιχείο α) σημείο vii) και (viii) του παρόντος DPA, εκτός εάν απαιτείται διαφορετικά από τους νόμους που ισχύουν για την αντίστοιχη εξουσιοδοτημένη οντότητα, οπότε οι Τυπικές Συμβατικές Ρήτρες διέπονται από τη νομοθεσία της χώρας στην οποία βρίσκεται η Εξουσιοδοτημένη Οντότητα και τυχόν παραπομπές στα αρμόδια «δικαστήρια» θα ερμηνεύονται ως παραπομπές σε αρμόδια δικαστήρια της εν λόγω χώρας.
  • Επεξεργαστής Binding Corporate Rules. Τα ακόλουθα ισχύουν εάν η διασφάλιση μεταφοράς βασίζεται στους δεσμευτικούς εταιρικούς κανόνες της επεξεργασίας: Ο πάροχος δεσμεύει συμβατικά τον εν λόγω Υπεύθυνο Επεξεργαστή να συμμορφώνεται με τους Binding Corporate Rules του Επεξεργαστή όσον αφορά τα Προσωπικά Δεδομένα που υποβάλλονται σε επεξεργασία βάσει της παρούσας DPA.
  • Πρόσθετες διασφαλίσεις μεταφοράς. Σε περίπτωση που οι εγγυήσεις μεταφοράς δεν βασίζονται σε Τυπικές Συμβατικές Ρήτρες, οι ρήτρες 14 και 15 των Τυπικών Συμβατικών Ρητρών θα ισχύουν mutatis-mutandis στις Περιορισμένες Μεταβιβάσεις στο πλαίσιο αυτής της άλλης Διασφάλισης Μεταφοράς, εκτός εάν η αντίστοιχη διασφάλιση μεταφοράς περιέχει ουσιαστικά τα ίδια δικαιώματα και υποχρεώσεις σχετικά με (i) τους τοπικούς νόμους και πρακτικές που επηρεάζουν τη συμμόρφωση με τις διασφαλίσεις μεταφοράς και (ii) υποχρεώσεις σε περίπτωση πρόσβασης από δημόσιες αρχές όπως περιλαμβάνονται στις ρήτρες 14 και 15 των Τυποποιημένων Συμβατικών Ρητρών.
  • Άλλο. Ο Πάροχος συμφωνεί και κατανοεί ότι ο τοπικός Εφαρμοστέος Νόμος περί Προστασίας Δεδομένων, ενδέχεται να περιέχει παρόμοιους ή πρόσθετους περιορισμούς μεταφοράς όπως περιέχονται σε αυτό Τμήμα 9. Σε αυτή την περίπτωση ο Πάροχος συμφωνεί να καταβάλει εύλογες προσπάθειες και να συνεργαστεί καλόπιστα με τη Siemens για την αντιμετώπιση αυτών των απαιτήσεων.

10. ΒΟΉΘΕΙΑ ΠΑΡΌΧΟΥ

Ο Πάροχος θα βοηθά εύλογα τη Siemens στη διασφάλιση της συμμόρφωσης με την Ισχύουσα Νομοθεσία περί Προστασίας Δεδομένων, ιδίως βοηθώντας τη Siemens ως εξής:

  • (α) Διόρθωση, διαγραφή ή περιορισμός της επεξεργασίας. Ο Πάροχος θα παρέχει είτε (i) τη δυνατότητα διόρθωσης, διαγραφής ή περιορισμού της Επεξεργασίας Προσωπικών Δεδομένων μέσω των λειτουργιών των Υπηρεσιών ή (ii) διορθώνει, διαγράφει ή περιορίζει την Επεξεργασία Προσωπικών Δεδομένων σύμφωνα με τις οδηγίες της Siemens.
  • (β) Πρόσβαση σε Προσωπικά Δεδομένα. Στο βαθμό που οι πληροφορίες σχετικά με ένα υποκείμενο των δεδομένων δεν είναι προσβάσιμες μέσω της Υπηρεσίας, ο Πάροχος, εφόσον είναι απαραίτητο για να μπορέσει η Siemens και οι Εξουσιοδοτημένες Φορείς να εκπληρώσουν τις υποχρεώσεις της σύμφωνα με τους ισχύοντες Νόμους περί Προστασίας Δεδομένων, θα παρέχει βοήθεια για τη διάθεση των πληροφοριών αυτών στη Siemens ή/και στους Εξουσιοδοτημένους Φορείς.
  • (γ) Αιτήματα Υποκειμένου Δεδομένων και Αρχών. Ο Πάροχος θα ενημερώνει αμέσως τη Siemens σχετικά με: (i) οποιοδήποτε αίτημα ή παράπονα που λαμβάνει ή οποιεσδήποτε ειδοποιήσεις έρευνας από επιβολή του νόμου, κυβερνητική ή ρυθμιστική αρχή ή οργανισμό και (ii) οποιοδήποτε αίτημα που λαμβάνεται απευθείας από οποιοδήποτε υποκείμενο των δεδομένων σχετικά με τα Προσωπικά Δεδομένα του. Όσον αφορά τα (i) και (ii) ανωτέρω, ο Πάροχος δεν θα απαντήσει χωρίς οδηγίες της Siemens. Εφόσον δοθεί σχετική εντολή, ο Πάροχος θα υποστηρίζει εύλογα τη Siemens στην απάντηση τέτοιων αιτημάτων.
  • (δ) Φορητότητα δεδομένων. Κατόπιν αιτήματος της Siemens και εφόσον απαιτείται βάσει του Ισχύμενου Νόμου περί Προστασίας Δεδομένων, ο Πάροχος είτε (i) θα παρέχει τη δυνατότητα εξαγωγής Προσωπικών Δεδομένων με αναφορά σε συγκεκριμένο υποκείμενο δεδομένων σύμφωνα με τις λειτουργίες της Υπηρεσίας ή (ii) θα διαθέσει το σχετικό σύνολο δεδομένων στη Siemens ή/και στον αντίστοιχο Εξουσιοδοτημένο Φορέα, σε κάθε περίπτωση σε δομημένη, κοινώς χρησιμοποιούμενη και αναγνώσιμη από μηχανή μορφή.
  • (ε) Αξιολογήσεις επιπτώσεων στην προστασία δεδομένων. Εφόσον ζητηθεί από τη Siemens, ο Πάροχος θα παρέχει όλες τις πληροφορίες και την εύλογη υποστήριξη για τη διενέργεια εκτιμήσεων επιπτώσεων στην προστασία δεδομένων σύμφωνα με τους ισχύοντες νόμους περί προστασίας δεδομένων.

11. ΤΕΡΜΑΤΙΣΜΌΣ ΤΗΣ ΣΧΈΣΗΣ ΕΠΕΞΕΡΓΑΣΊΑΣ ΔΕΔΟΜΈΝΩΝ

Με τη λήξη της σχέσης επεξεργασίας δεδομένων, εκτός εάν διατυπωθεί διαφορετική εντολή από τη Siemens ή ορίζεται στο παρόν, ο Πάροχος θα επιστρέψει στη Siemens όλα τα Προσωπικά Δεδομένα που διατίθενται στον Πάροχο ή αποκτήθηκαν ή δημιουργήθηκαν από τον Πάροχο σε σχέση με τις συμβατικά συμφωνημένες Υπηρεσίες και θα διαγράψει ή καταστρέφει αμετάκλητα τυχόν εναπομείναντα δεδομένα. Η διαγραφή ή η καταστροφή θα επιβεβαιώνεται από τον Πάροχο γραπτώς κατόπιν αιτήματος.

12. ΥΠΟΧΡΕΏΣΕΙΣ ΚΟΙΝΟΠΟΊΗΣΗΣ

  • (α) Ο Πάροχος θα ειδοποιήσει τη Siemens αμέσως αλλά σε κάθε περίπτωση εντός 48 ωρών σε περίπτωση που ο Πάροχος ανακαλύψει ή εύλογα υποπτεύεται οποιαδήποτε Παραβίαση Δεδομένων.
  • (β) Στην κοινοποίηση προς τη Siemens, ο Πάροχος παρέχει στη Siemens τις ακόλουθες πληροφορίες: (i) στοιχεία ενός σημείου επαφής από το οποίο (ή από ποιον) μπορούν να ληφθούν περισσότερες πληροφορίες, (ii) περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, ονομάτων, κατηγοριών και κατά προσέγγιση αριθμού ενδιαφερομένων υποκειμένων των δεδομένων και αρχείων προσωπικών δεδομένων), (iii) τις πιθανές συνέπειες και τα μέτρα που λαμβάνονται ή προτείνονται για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων, όπου ενδείκνυται, μέτρων για τον μετριασμό της παραβίασης. τις πιθανές δυσμενείς επιπτώσεις της. Εάν και στον βαθμό που δεν είναι δυνατή η ταυτόχρονη παροχή όλων των πληροφοριών, η αρχική κοινοποίηση περιλαμβάνει τις πληροφορίες που ήταν στη συνέχεια διαθέσιμες και περαιτέρω πληροφορίες, μόλις καταστούν διαθέσιμες, παρέχονται στη συνέχεια χωρίς αδικαιολόγητη καθυστέρηση.
  • (γ) Οποιεσδήποτε ειδοποιήσεις βάσει αυτού Τμήμα 12 αποστέλλεται (i) στο αντίστοιχο σημείο επαφής που προσδιορίζεται στη συμφωνία και (ii) dataprotection@siemens.com.
  • (δ) Ο Πάροχος, με κόστος και δαπάνη του Παρόχου, (i) συνεργάζεται πλήρως με τη Siemens για τη διερεύνηση παραβίασης δεδομένων, (ii) βοηθά και συνεργάζεται με τη Siemens για τυχόν νομικά απαιτούμενες κοινοποιήσεις ή αποκαλύψεις σε ενδιαφερόμενα πρόσωπα (με ατομική επικοινωνία, δημόσια επικοινωνία μέσω μέσων ενημέρωσης ή με παρόμοια μέτρα), επιβολή του νόμου, ρυθμιστικές αρχές ή/και άλλα τρίτα μέρη και (iii) λαμβάνει οποιαδήποτε άλλη ενέργεια η Siemens κρίνει απαραίτητη σχετικά με την παραβίαση δεδομένων και οποιαδήποτε διαφορά, έρευνα ή αξίωση που αφορά την παραβίαση δεδομένων.
  • (ε) Εκτός εάν η ισχύουσα νομοθεσία ή εντολή αρμόδιας ρυθμιστικής αρχής απαιτεί κάτι διαφορετικό, η Siemens θα αποφασίσει τελικά, κατά την απόλυτη διακριτική της ευχέρεια, (i) εάν μια παραβίαση δεδομένων απαιτεί κοινοποίηση και (ii) τον τρόπο κοινοποίησης. Σε περίπτωση που ο Πάροχος παρέχει τέτοιες ειδοποιήσεις σχετικά με παραβίαση δεδομένων, οποιαδήποτε τέτοια ειδοποίηση πρέπει να εγκριθεί εκ των προτέρων από τη Siemens.
  • (στ) Ο πάροχος λαμβάνει με κόστος τα κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων, συμπεριλαμβανομένων μέτρων για τον μετριασμό των δυσμενών επιπτώσεών της (συμπεριλαμβανομένων μέτρων για την προστασία του λειτουργικού περιβάλλοντος). Ο Πάροχος θα λάβει επίσης άμεσα μέτρα σχεδιασμένα για να αποτρέψει την επανάληψη οποιασδήποτε Παραβίασης Δεδομένων, συμπεριλαμβανομένης οποιασδήποτε ενέργειας που απαιτείται από τον Εφαρμοστέο Νόμο περί Προστασίας Δεδομένων.
  • (ζ) Ο Πάροχος θα αποζημιώσει στη Siemens όλα τα έξοδα και τα έξοδα που προκλήθηκαν για την παραβίαση δεδομένων που προκλήθηκε από τον Πάροχο, συμπεριλαμβανομένων, ενδεικτικά, του κόστους παροχής πιστωτικής παρακολούθησης στα άτομα των οποίων τα Προσωπικά Δεδομένα επηρεάστηκαν από την Παραβίαση Δεδομένων. Οι περιορισμοί ευθύνης υπέρ του Παρόχου βάσει της Συμφωνίας δεν ισχύουν από αυτή την άποψη.

13. ΤΕΚΜΗΡΊΩΣΗ ΚΑΙ ΈΛΕΓΧΟΙ

  • (α) Ο Πάροχος (i) παρακολουθεί, με κατάλληλα μέσα, τη συμμόρφωσή του με τις υποχρεώσεις προστασίας δεδομένων που απορρέουν από τον παρόντα DPA και τον Εφαρμοστέο Νόμο περί Προστασίας Δεδομένων· (ii) δημιουργεί σχετικές περιοδικές (τουλάχιστον ετήσιες) και περιστασιακές εκθέσεις (καθεμία α»Αναφορά») και (iii) να θέσουν τις Εκθέσεις στη διάθεση της Siemens και των Εξουσιοδοτημένων Φορέων κατόπιν αιτήματος. Όταν ένα πρότυπο ελέγχου και ένα πλαίσιο ελέγχου που εφαρμόζει ο Πάροχος προβλέπει ελέγχους, οι έλεγχοι αυτοί θα εκτελούνται σύμφωνα με τα πρότυπα και τους κανόνες του ρυθμιστικού φορέα ή του φορέα διαπίστευσης για κάθε ισχύον πρότυπο ή πλαίσιο ελέγχου.
  • (β) Εάν απαιτείται να ανταποκριθεί επαρκώς στα ελεγκτικά δικαιώματα και τις υποχρεώσεις του σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας δεδομένων, τις ισχύουσες διασφαλίσεις μεταφοράς ή εάν ζητηθεί από αρμόδια αρχή προστασίας δεδομένων ή άλλη αρμόδια κυβερνητική αρχή ή οργανισμό, ο Πάροχος θέτει στη διάθεση της Siemens και των εξουσιοδοτημένων φορέων - εκτός από τις Εκθέσεις - όλες τις περαιτέρω πληροφορίες που ζητούνται εύλογα και επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τη Siemens ή εξουσιοδοτημένες οντότητες ή άλλους ελεγκτές της Siemens ή εξουσιοδοτημένους φορείς. Για το σκοπό αυτό, η Siemens, οι εξουσιοδοτημένες οντότητες ή άλλος ελεγκτής εξουσιοδοτημένος από τη Siemens ή εξουσιοδοτημένες οντότητες έχουν επίσης το δικαίωμα να διενεργούν επιτόπιες επιθεωρήσεις κατά τις κανονικές εργάσιμες ώρες, χωρίς να διαταράσσουν τις επιχειρηματικές δραστηριότητες του Παρόχου και μετά από εύλογη προηγούμενη ειδοποίηση.

14. ΧΡΉΣΗ ΤΩΝ COOKIES

Εάν η Υπηρεσία χρησιμοποιεί cookies ή παρόμοιες τεχνολογίες, ισχύουν τα ακόλουθα: Ο Πάροχος, εκτός εάν συμφωνηθεί διαφορετικά από τη Siemens σε σχέση με αυτό Τμήμα 14, να αποθηκεύουν πληροφορίες μόνο (π.χ. γράφοντας ένα cookie) ή να αποκτήσουν πρόσβαση σε πληροφορίες που έχουν ήδη αποθηκευτεί στον τερματικό εξοπλισμό ενός χρήστη της Υπηρεσίας (π.χ. μέσω ενός cookie) με μοναδικό σκοπό τη διεξαγωγή της μετάδοσης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή όπως είναι απολύτως απαραίτητο προκειμένου ο Πάροχος να παρέχει τις βασικές λειτουργίες των Υπηρεσιών.

15. ΔΙΆΦΟΡΑ

Ο Πάροχος κατανοεί και συμφωνεί ότι οι απαιτήσεις του παρόντος DPA αποτελούν αναπόσπαστο μέρος της Συμφωνίας και, μια ουσιαστική παραβίαση οποιασδήποτε από αυτές τις απαιτήσεις θα θεωρείται ουσιαστική παραβίαση από τον Πάροχο της Συμφωνίας, δίνοντας τη Siemens δικαίωμα σε ουσιώδη μέσα που σχετίζονται με παραβίαση που περιέχονται στη Συμφωνία.

16. ΠΡΌΣΘΕΤΕΣ ΑΠΑΙΤΉΣΕΙΣ ΣΧΕΤΙΚΆ ΜΕ ΤΑ ΔΕΔΟΜΈΝΑ ΤΗΣ SIEMENS

Εάν και στον βαθμό που ο Πάροχος έχει πρόσβαση στα Προσωπικά Δεδομένα που λαμβάνει από εταιρεία του ομίλου Siemens εγκατεστημένη στις Ηνωμένες Πολιτείες της Αμερικής (»Εταιρεία Siemens ΗΠΑ») ή υποκειμένου δεδομένων που είναι κάτοικος των Ηνωμένων Πολιτειών της Αμερικής, τότε εκτός από τα παραπάνω, ο Πάροχος: (i) θα συμμορφώνεται με τους ομοσπονδιακούς, πολιτειακούς και τοπικούς νόμους των ΗΠΑ σχετικά με τα Προσωπικά Δεδομένα που ισχύουν για τον Πάροχο, τα εν λόγω Προσωπικά Δεδομένα και τους ιδιοκτήτες ή τους υπεύθυνους επεξεργασίας αυτών των Προσωπικών Δεδομένων· όταν ισχύουν τα ανωτέρω, ο όρος «Ισχύος Νόμος Προστασίας Δεδομένων» όπως χρησιμοποιείται εδώ θα περιλαμβάνει τους προηγούμενους νόμους, (ii) εκτός εάν προβλέπεται συγκεκριμένα στο παρόν ή η Συμφωνία δεν πωλεί, μοιράζεται, ενοικιάζει, δημοσιεύει, γνωστοποιεί, διαδίδει ή καθιστά διαθέσιμη Προσωπικά Δεδομένα σε τρίτους και δεν θα συνδυάζουν τα Προσωπικά Δεδομένα με άλλες πληροφορίες· (iii) θα ειδοποιεί τη Siemens εάν ο Πάροχος αποφασίσει ότι ο Πάροχος δεν μπορεί πλέον να εκπληρώσει τις υποχρεώσεις του βάσει του παρόντος, (iv) θα διασφαλίσει ότι κάθε άτομο που επεξεργάζεται Προσωπικά Δεδομένα υπόκειται σε υποχρέωση εμπιστευτικότητας όσον αφορά τα Προσωπικά Δεδομένα· (v) θα θεωρείται και θα ενεργεί ως «πάροχος υπηρεσιών» σύμφωνα με τον Ισχύοντα Νόμο περί Προστασίας Δεδομένων των Καταναλωτών (συμπεριλαμβανομένου του Νόμου περί Προστασίας Προσωπικών Δεδομένων της Καλιφόρνιας), τους εκτελεστικούς κανονισμούς του και τυχόν τροποποιήσεις τους) · και (vii) πιστοποιεί ότι κατανοεί τους περιορισμούς που περιέχονται στο παρόν και θα συμμορφωθεί με αυτούς.

Παράρτημα Ι της DPA (και, κατά περίπτωση, τις τυποποιημένες συμβατικές ρήτρες)

Α. ΚΑΤΆΛΟΓΟΣ ΤΩΝ ΜΕΡΏΝ

Αποδέκτης υπηρεσιών/εξαγωγέας δεδομένων:

Όνομα:

Η οντότητα της Siemens προσδιορίζεται στο έντυπο εκτέλεσης

Διεύθυνση:

Όπως αναφέρεται στο έντυπο εκτέλεσης

Όνομα επικοινωνίας, θέση και στοιχεία επικοινωνίας

Γραφείο Υπεύθυνου Προστασίας Δεδομένων της Siemens

Werner-von-Siemens-straße 1, 80333 Μόναχο, Γερμανία

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ: datapotection@siemens.com

Δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται/υποβάλλονται σε επεξεργασία

Ο Συνεργάτης θα παρέχει υπηρεσίες επιτυχίας πελατών ή/και συντήρηση και υποστήριξη στους Πελάτες όπως αναφέρεται στη Φόρμα Εξουσιοδότησης Συνεργάτη σύμφωνα με τη Συμφωνία. Κατά την εκτέλεση αυτών των υπηρεσιών, ο Συνεργάτης μπορεί επίσης να έχει πρόσβαση σε συστήματα και δίκτυα τελικών πελατών της Siemens και η πρόσβαση σε προσωπικά δεδομένα δεν μπορεί να αποκλειστεί.

Ρόλος (Ελεγκτής/Επεξεργαστής)

Η Siemens ενεργεί ως Controller για τις δραστηριότητες επεξεργασίας που παρέχονται από τον Πάροχο έναντι της Siemens και ως Επεξεργαστής σύμφωνα με τις οδηγίες των Εξουσιοδοτημένων Φορέων της για δραστηριότητες επεξεργασίας που παρέχονται από τον Πάροχο έναντι των Εξουσιοδοτημένων Οντειών.

Πάροχος/εισαγωγέας δεδομένων:

Όνομα:

Οντότητα παρόχου που καθορίζεται στη Φόρμα Εκτέλεσης

Διεύθυνση:

Όπως αναφέρεται στο έντυπο εκτέλεσης

Όνομα επικοινωνίας, θέση και στοιχεία επικοινωνίας

Όπως παρέχεται στη Φόρμα Εξουσιοδότησης Συνεργάτη

Δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται/υποβάλλονται σε επεξεργασία

Δείτε τον παραπάνω πίνακα

Ρόλος (Ελεγκτής/Επεξεργαστής)

Ο Πάροχος ενεργεί ως Επεξεργαστής Επεξεργάζεται Προσωπικά Δεδομένα για λογαριασμό της Siemens και, ανάλογα με την περίπτωση, των Εξουσιοδοτημένων Φορέων.

Β. ΠΕΡΙΓΡΑΦΉ ΤΩΝ ΠΡΆΞΕΩΝ ΜΕΤΑΒΊΒΑΣΗΣ/ΕΠΕΞΕΡΓΑΣΊΑΣ

Κατηγορίες υποκειμένων των δεδομένων των οποίων τα Προσωπικά Δεδομένα μεταβιβάζονται/υποβάλλονται σε επεξεργασία:

☒ Υπάλληλοι και προσωπικό (συμπεριλαμβανομένων των αιτούντων, τακτικών, προσωρινών, μερικής απασχόλησης, ασκούμενων, εργολάβων και πρακτόρων)

☒ Υπεύθυνοι επικοινωνίας σε επιχειρηματικούς εταίρους, προμηθευτές, προμηθευτές και άλλους συνεργάτες συνεργασίας

☒ Πελάτης ή/και οι υπάλληλοι και το προσωπικό τους (συμπεριλαμβανομένων των αιτούντων, τακτικών, προσωρινών, μερικής απασχόλησης, ασκούμενων, εργολάβων και αντιπροσώπων)

☒ Χρήστες προϊόντων/υπηρεσιών λογισμικού της Siemens

☐ Άλλο, παρακαλώ αναφέρετε:

Περαιτέρω επηρεάζονται υποκείμενα των δεδομένων των οποίων τα προσωπικά δεδομένα περιέχονται σε εφαρμογή ή σύστημα πληροφορικής που εμπίπτει στο πεδίο εφαρμογής των παρεχόμενων Υπηρεσιών.

Κατηγορίες Προσωπικών Δεδομένων που διαβιβάζονται/υποβάλλονται σε επεξεργασία

☒ Στοιχεία επικοινωνίας (όπως όνομα, διεύθυνση, αριθμός τηλεφώνου ή φαξ, διεύθυνση ηλεκτρονικού ταχυδρομείου κ.λπ.)

☒ Οργανωτική οργάνωση (όπως θέση εργασίας, τμήμα κ.λπ.)

☒ Δεδομένα τοποθεσίας (όπως GPS κ.λπ.)

☐ Κυβερνητικά και προσωπικά αναγνωριστικά (όπως αριθμός κοινωνικής ασφάλισης, αριθμός άδειας οδήγησης, αριθμός κοινωνικής ασφάλισης κ.λπ.)

☐ Οικονομικά δεδομένα (όπως εισόδημα, αρχεία δανείων, συναλλαγές, πιστωτικές πληροφορίες, συνήθειες αγοράς και κατανάλωσης, κατάσταση αφερεγγυότητας κ.λπ.)

☐ Δεδομένα απασχόλησης (όπως δεδομένα πρόσληψης και προσόντα, δεδομένα αποζημίωσης και μισθοδοσίας, δεδομένα αναγνώρισης εργαζομένων, κατάσταση υπαλλήλου, δεδομένα παρακολούθησης, δεδομένα ιστορικού εργασίας κ.λπ.)

☒ Δεδομένα λογαριασμού χρήστη (όπως όνομα χρήστη/αναγνωριστικό και κωδικός πρόσβασης κ.λπ.)

☒ Πληροφορίες σχετικά με τη χρήση στοιχείων πληροφορικής από το υποκείμενο των δεδομένων (όπως διεύθυνση IP, στοιχεία σύνδεσης, διαπιστευτήρια κ.λπ.)

☐ Πληροφορίες χρηματοοικονομικού λογαριασμού (όπως στοιχεία τραπεζικών/πιστωτικών καρτών, αριθμοί λογαριασμών, αριθμοί πιστωτικών καρτών κ.λπ.)

☐ Άλλο. Παρακαλώ αναφέρετε:

Οποιαδήποτε περαιτέρω προσωπικά δεδομένα περιέχονται σε εφαρμογή ή σύστημα πληροφορικής που εμπίπτει στο πεδίο εφαρμογής των παρεχόμενων Υπηρεσιών.

Ειδικές κατηγορίες Προσωπικών Δεδομένων προς πρόσβαση ή επεξεργασία

☐ Πληροφορίες σχετικά με τη φυλετική ή εθνοτική καταγωγή

☐ Πληροφορίες σχετικά με τις πολιτικές απόψεις

☐ Πληροφορίες για θρησκευτικές ή φιλοσοφικές πεποιθήσεις

☐ Πληροφορίες σχετικά με την ένταξη σε συνδικαλιστικές οργανώσεις

☐ Πληροφορίες σχετικά με τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό

☐ Βιομετρικά δεδομένα

☐ Γενετικά δεδομένα

☐ Δεδομένα υγείας (όπως ψυχικές ή σωματικές αναπηρίες, οικογενειακό ιατρικό ιστορικό, προσωπικό ιατρικό ιστορικό, ιατρικά αρχεία, συνταγές κ.λπ.)

☐ Άλλο. Παρακαλώ αναφέρετε:

Οι περιορισμοί ή οι εγγυήσεις που εφαρμόζονται σε αυτά τα ευαίσθητα Προσωπικά Δεδομένα περιγράφονται στο Παράρτημα ΙΙ σε αυτό το DPA

Η συχνότητα της μεταφοράς (πρόσβαση/επεξεργασία)

☐ Ο Πάροχος φιλοξενεί Προσωπικά Δεδομένα για λογαριασμό της Siemens και, ανάλογα με την περίπτωση, των Εξουσιοδοτημένων Φορέων

☒ Ο πάροχος έχει απομακρυσμένη πρόσβαση στα Προσωπικά Δεδομένα κατά την παροχή των υπηρεσιών

☒ σε εφάπαξ βάση

☒ σε συνεχή βάση

☐ Ο Πάροχος επεξεργάζεται διαφορετικά Προσωπικά Δεδομένα κατά την παροχή των υπηρεσιών

☐ σε εφάπαξ βάση

☐ σε συνεχή βάση

Φύση της Επεξεργασίας

☐ Συλλογή

☒ Καταγραφή

☒ Οργάνωση

☒ Δομή

☐ Αποθήκευση

☒ Προσαρμογή ή αλλοίωση

☐ Ανάκτηση

☒ Διαβούλευση

☒ Χρήση

☐ Γνωστοποίηση μέσω διαβίβασης

☐ Διάδοση

☐ Διαφορετικά διάθεση

☐ Ευθυγράμμιση ή συνδυασμός

☐ Περιορισμός

☐ Διαγραφή ή καταστροφή δεδομένων

☒ Απομακρυσμένη πρόσβαση

☐ Άλλο:

Σκοπή/δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται/υποβάλλονται σε επεξεργασία

☒ Ο πάροχος παρέχει υπηρεσίες συντήρησης και υποστήριξης και μπορεί να έχουν πρόσβαση, συμπεριλαμβανομένης της απομακρυσμένης πρόσβασης σε Προσωπικά Δεδομένα.

☐ Ο πάροχος παρέχει επαγγελματικές υπηρεσίες με την εκτέλεση υπηρεσιών σε σχέση με μια εφαρμογή/σύστημα ή δίκτυο όπως: εγκατάσταση, διαμόρφωση ή μετεγκατάσταση δεδομένων ή άλλες σχετικές υπηρεσίες πληροφορικής και ενδέχεται να έχετε πρόσβαση, συμπεριλαμβανομένης της απομακρυσμένης πρόσβασης σε Προσωπικά Δεδομένα.

☐ Ο πάροχος παρέχει διαχειριζόμενες υπηρεσίες, συμπεριλαμβανομένης της διαχείρισης κέντρων δεδομένων και υποδομής, της διαχείρισης δημιουργίας αντιγράφων ασφαλείας και ανάκτησης και ενδέχεται να έχει πρόσβαση, συμπεριλαμβανομένης της απομακρυσμένης πρόσβασης σε Προσωπικά Δεδομένα.

☐ Ο πάροχος παρέχει XaaS (Λογισμικό, Πλατφόρμα ή Υποδομή ως υπηρεσία) παρέχοντας υπηρεσίες φιλοξενίας, λειτουργίας, διαχείρισης και συντήρησης και υποστήριξης.

☒ Άλλο: Ο Πάροχος παρέχει υπηρεσίες επιτυχίας πελατών και μπορεί να έχει πρόσβαση, συμπεριλαμβανομένης της απομακρυσμένης πρόσβασης, σε Προσωπικά Δεδομένα.

Διάρκεια

☐ Τα Προσωπικά Δεδομένα θα διατηρούνται για την περίοδο ισχύος της Συμφωνίας.

☐ Τα Προσωπικά Δεδομένα θα διατηρούνται για περίοδο:

☒ Άλλο: Τα Προσωπικά Δεδομένα θα διατηρούνται για την περίοδο της Παραγγελίας, εκτός εάν διατυπωθεί διαφορετικά.

Για τις διαβιβάσεις σε υπεργολάβους επεξεργασίας, προσδιορίστε επίσης το αντικείμενο, τη φύση και τη διάρκεια της Επεξεργασίας

Το αντικείμενο, η φύση και η διάρκεια της επεξεργασίας καθορίζονται ανά Υπεύθυνο Επεξεργαστή Παράρτημα ΙΙΙ σε αυτό το DPA.

Γ. ΑΡΜΌΔΙΑ ΕΠΟΠΤΙΚΉ ΑΡΧΉ

Όταν η Siemens είναι εγκατεστημένη σε κράτος μέλος της ΕΕ, η εποπτική αρχή που είναι αρμόδια για τη διασφάλιση της συμμόρφωσης της Siemens με τον ΓΚΠΔ όσον αφορά τη μεταφορά δεδομένων ενεργεί ως αρμόδια εποπτική αρχή. Για τη Siemens Aktiengesellschaft, Γερμανία, η εποπτική αρχή είναι:

Περιφέρεια της Βαγερίας για την Προστασία Δεδομένων (BayLDA)

Περίπατος 18

91522 Άνσμπαχ

Γερμανία

Όταν η Siemens δεν είναι εγκατεστημένη σε κράτος μέλος της ΕΕ, αλλά εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ σύμφωνα με το άρθρο 3 παράγραφος 2 του ΓΚΠΔ, η εποπτική αρχή του κράτους μέλους στο οποίο είναι εγκατεστημένος ο αντιπρόσωπος κατά την έννοια του άρθρου 27 παράγραφος 1 ΓΚΠΔ ενεργεί ως αρμόδια εποπτική αρχή και συγκεκριμένα:

Περιφέρεια της Βαγερίας για την Προστασία Δεδομένων (BayLDA)

Περίπατος 18

91522 Άνσμπαχ

Γερμανία

Παράρτημα II της DPA (και, κατά περίπτωση, τις τυποποιημένες συμβατικές ρήτρες)

Τεχνικά και οργανωτικά μέτρα (συμπεριλαμβανομένων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας των δεδομένων)

Τα ακόλουθα μέτρα ισχύουν μόνο για τον Πάροχο, εφόσον τα υποκείμενα συστήματα πληροφορικής, δίκτυα και εφαρμογές αποτελούν ευθύνη και/ή υπό την επιμέλεια ή τον έλεγχο του Παρόχου. Περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που εφαρμόζει ο Πάροχος και ο Υπεύθυνος Επεξεργαστής του:

#

Μέτρα

ΣφΕΡΑ

Αναγνωριστικό κανόνα

Φυσική και Περιβαλλοντική Ασφάλεια

Ο πάροχος εφαρμόζει κατάλληλα μέτρα για να αποτρέψει την πρόσβαση μη εξουσιοδοτημένων ατόμων στον εξοπλισμό επεξεργασίας δεδομένων (συγκεκριμένα, διακομιστές βάσεων δεδομένων και εφαρμογών και σχετικό υλικό). Αυτό επιτυγχάνεται με:

καθιέρωση ζωνών ασφαλείας ·

προστασία και περιορισμός των διαδρομών πρόσβασης·

την εξασφάλιση του αποκεντρωμένου εξοπλισμού επεξεργασίας δεδομένων και των προσωπικών υπολογιστών·

τη θέσπιση αδειών πρόσβασης για υπαλλήλους και τρίτους, συμπεριλαμβανομένης της αντίστοιχης τεκμηρίωσης·

κανονισμοί σχετικά με τις κάρτες πρόσβασης·

περιορισμοί στις κάρτες πρόσβασης ·

κάθε πρόσβαση στο κέντρο δεδομένων όπου φιλοξενούνται τα Προσωπικά Δεδομένα θα καταγράφεται, θα παρακολουθείται και θα παρακολουθείται.

το κέντρο δεδομένων όπου φιλοξενούνται τα Προσωπικά Δεδομένα διασφαλίζεται με περιορισμένους ελέγχους πρόσβασης και άλλα κατάλληλα μέτρα ασφαλείας, και

η συντήρηση και η επιθεώρηση του υποστηρικτικού εξοπλισμού σε περιοχές πληροφορικής και κέντρα δεδομένων πρέπει να πραγματοποιούνται μόνο από εξουσιοδοτημένο προσωπικό.

11.1.1-02

Έλεγχος πρόσβασης (συστήματα πληροφορικής ή/και εφαρμογή πληροφορικής)

Ο πάροχος εφαρμόζει μια έννοια ρόλων και ευθυνών.

06.1.1-01

Ο πάροχος εφαρμόζει ένα πλαίσιο εξουσιοδότησης και ελέγχου ταυτότητας που περιλαμβάνει, ενδεικτικά, τα ακόλουθα στοιχεία:

εφαρμοζόμενοι έλεγχοι πρόσβασης βάσει ρόλος·

διαδικασία δημιουργίας, τροποποίησης και διαγραφής λογαριασμών που έχουν εφαρμοστεί.

η πρόσβαση σε συστήματα και εφαρμογές ΤΠ προστατεύεται από μηχανισμούς ελέγχου ταυτότητας·

χρησιμοποιούνται κατάλληλες μέθοδοι ελέγχου ταυτότητας βάσει των χαρακτηριστικών και των τεχνικών επιλογών του συστήματος ή της εφαρμογής ΤΠ·

η πρόσβαση σε συστήματα και εφαρμογές ΤΠ απαιτεί, τουλάχιστον, έλεγχο ταυτότητας δύο παραγόντων για προνομιούχους λογαριασμούς,

κάθε πρόσβαση στα Προσωπικά Δεδομένα καταγράφεται, παρακολουθείται και παρακολουθείται.

εφαρμογή μέτρων εξουσιοδότησης και καταγραφής για τις εισερχόμενες συνδέσεις δικτύου σε συστήματα και εφαρμογές ΤΠ (συμπεριλαμβανομένων των τείχους προστασίας που επιτρέπουν ή απορρίπτουν εισερχόμενες συνδέσεις δικτύου) ·

τα δικαιώματα προνομιακής πρόσβασης σε συστήματα πληροφορικής, εφαρμογές και υπηρεσίες δικτύου χορηγούνται μόνο σε άτομα που τα χρειάζονται για την εκπλήρωση των καθηκόντων τους (αρχή του ελάχιστου προνομίου) ·

τα δικαιώματα προνομιακής πρόσβασης σε συστήματα και εφαρμογές ΤΠ τεκμηριώνονται και ενημερώνονται,

τα δικαιώματα πρόσβασης σε συστήματα και εφαρμογές ΤΠ επανεξετάζονται και επικαιροποιούνται σε τακτική βάση·

εφαρμογή πολιτικής κωδικού πρόσβασης, συμπεριλαμβανομένων απαιτήσεων σχετικά με την πολυπλοκότητα του κωδικού πρόσβασης, το ελάχιστο μήκος και τη λήξη μετά από επαρκή χρονική περίοδο, μη επαναχρησιμοποίηση των κωδικών πρόσβασης που χρησιμοποιήθηκαν πρόσφατα.

Τα συστήματα και οι εφαρμογές πληροφορικής επιβάλλουν τεχνικά την πολιτική κωδικού πρόσβασης·

τα δικαιώματα πρόσβασης των εργαζομένων και του εξωτερικού προσωπικού σε συστήματα και εφαρμογές ΤΠ καταργούνται αμέσως μετά τη λήξη της εργασίας ή της σύμβασης· και

εξασφαλίζεται η χρήση ασφαλών πιστοποιητικών ελέγχου ταυτότητας τελευταίας τεχνολογίας.

09.1.1-02

09.1.1-03

09.2.3-01

09.4.2-02

Τα συστήματα πληροφορικής και οι εφαρμογές κλειδώνουν αυτόματα ή τερματίζουν τη συνεδρία μετά την υπέρβαση ενός εύλογου καθορισμένου χρονικού ορίου αδράνειας.

11.2.9-03

11.2.9-04

Ο πάροχος περιορίζει την προνομιακή πρόσβαση σε στοιχεία cloud σε μεμονωμένες ή συγκεκριμένες περιοχές διευθύνσεων IP.

ΣΤ002-0008

Η προνομιακή πρόσβαση σε περιουσιακά στοιχεία cloud γίνεται μέσω ενός κεντρικού υπολογιστή προμαχώνων.

ΣΤ002-0009

Ο πάροχος διατηρεί διαδικασίες σύνδεσης σε συστήματα πληροφορικής με διασφαλίσεις έναντι ύποπτης δραστηριότητας σύνδεσης (π.χ. από επιθέσεις βίαιης βίας και εικασίας κωδικού πρόσβασης).

09.4.2-02

Έλεγχος διαθεσιμότητας

Ο πάροχος προστατεύει τα συστήματα και τις εφαρμογές από κακόβουλο λογισμικό εφαρμόζοντας κατάλληλες και υπερσύγχρονες λύσεις κατά του κακόβουλου λογισμικού.

12.2.1-01

Ο πάροχος ορίζει, τεκμηριώνει και υλοποιεί μια αντίληψη δημιουργίας αντιγράφων ασφαλείας για συστήματα πληροφορικής, συμπεριλαμβανομένων των ακόλουθων τεχνικών και οργανωτικών στοιχείων:

τα μέσα αποθήκευσης αντιγράφων ασφαλείας προστατεύονται από μη εξουσιοδοτημένη πρόσβαση και περιβαλλοντικές απειλές (π.χ. θερμότητα, υγρασία, πυρκαγιά)

καθορισμένα διαστήματα δημιουργίας αντιγράφων ασφαλείας και

η αποκατάσταση δεδομένων από αντίγραφα ασφαλείας ελέγχεται τακτικά με βάση την κρισιμότητα του συστήματος πληροφορικής ή της εφαρμογής.

12.3.1-01

Ο πάροχος αποθηκεύει αντίγραφα ασφαλείας σε φυσική τοποθεσία διαφορετική από τη θέση όπου φιλοξενείται το παραγωγικό σύστημα.

ΣΤ002-0013

Τα συστήματα πληροφορικής και οι εφαρμογές σε περιβάλλοντα εκτός παραγωγής διαχωρίζονται λογικά ή φυσικά από τα συστήματα πληροφορικής και τις εφαρμογές σε περιβάλλοντα παραγωγής.

12.1.4-01

Τα κέντρα δεδομένων στα οποία αποθηκεύονται ή υποβάλλονται σε επεξεργασία Προσωπικά Δεδομένα προστατεύονται από φυσικές καταστροφές, φυσικές επιθέσεις ή ατυχήματα.

11.1.4-02

Ο υποστηρικτικός εξοπλισμός σε περιοχές πληροφορικής και κέντρα δεδομένων, όπως καλώδια, ηλεκτρικό ρεύμα, τηλεπικοινωνιακές εγκαταστάσεις, παροχή νερού ή συστήματα κλιματισμού προστατεύονται από διαταραχές και μη εξουσιοδοτημένο χειρισμό.

11.1.4-02

Ασφάλεια Επιχειρήσεων

Ο Πάροχος διατηρεί και εφαρμόζει ένα Πλαίσιο Ασφάλειας Πληροφοριών που αντικατοπτρίζει τα μέτρα που περιγράφονται στο παρόν, το οποίο επανεξετάζεται και ενημερώνεται τακτικά.

05.1.1-01

Ο πάροχος καταγράφει συμβάντα που σχετίζονται με την ασφάλεια, όπως δραστηριότητες διαχείρισης χρηστών (π.χ. δημιουργία, διαγραφή), αποτυχημένες συνδέσεις, αλλαγές στη διαμόρφωση ασφαλείας του συστήματος σε συστήματα και εφαρμογές πληροφορικής.

12.4.1-01

Ο πάροχος αναλύει συνεχώς τα αντίστοιχα συστήματα πληροφορικής και τα δεδομένα καταγραφής εφαρμογών για ανωμαλίες, παρατυπίες, δείκτες συμβιβασμού και άλλες ύποπτες δραστηριότητες.

12.4.1-03

Ο πάροχος σαρώνει και δοκιμάζει συστήματα πληροφορικής και εφαρμογές για ευπάθειες ασφαλείας σε τακτική βάση.

12.6.1-01

Ο πάροχος εφαρμόζει και διατηρεί μια διαδικασία διαχείρισης αλλαγών για συστήματα και εφαρμογές πληροφορικής.

12.1.2-01

Ο πάροχος διατηρεί μια διαδικασία ενημέρωσης και εφαρμογής διορθώσεων ασφαλείας προμηθευτή και ενημερώσεων στα αντίστοιχα συστήματα και εφαρμογές πληροφορικής.

12.6.1-03

Ο πάροχος διαγράφει ανεπανόρθωτα δεδομένα ή καταστρέφει φυσικά τα μέσα αποθήκευσης δεδομένων πριν από τη διάθεση ή επαναχρησιμοποίηση ενός συστήματος πληροφορικής.

11.2.7-01

Έλεγχοι μετάδοσης

Ο πάροχος τεκμηριώνει και ενημερώνει τις τοπολογίες δικτύου και τις απαιτήσεις ασφαλείας του σε τακτική βάση.

13.1.1-02

Ο πάροχος παρακολουθεί συνεχώς και συστηματικά συστήματα πληροφορικής, εφαρμογές και σχετικές ζώνες δικτύου για τον εντοπισμό κακόβουλης και μη φυσιολογικής δραστηριότητας δικτύου μέσω

Τείχη προστασίας (π.χ. τείχη προστασίας με κατάσταση, τείχη προστασίας εφαρμογών).

Διακομιστές μεσολάβησης.

Συστήματα ανίχνευσης εισβολών (IDS) και/ή συστήματα πρόληψης εισβολής (IPS) ·

Φιλτράρισμα διευθύνσεων URL και

Συστήματα διαχείρισης πληροφοριών και συμβάντων ασφαλείας (SIEM).

13.1.1-06

Ο πάροχος διαχειρίζεται συστήματα πληροφορικής και εφαρμογές χρησιμοποιώντας κρυπτογραφημένες συνδέσεις τελευταίας τεχνολογίας.

13.1.3-09

Ο πάροχος προστατεύει την ακεραιότητα του περιεχομένου κατά τη μετάδοση μέσω πρωτοκόλλων δικτύου τελευταίας τεχνολογίας, όπως το TLS.

13.2.3-05

Ο Πάροχος κρυπτογραφεί ή επιτρέπει στους Παρόχους του να κρυπτογραφούν τα δεδομένα του Παρόχου που μεταδίδονται μέσω δημόσιων δικτύων.

ΣΤ002-0017

Ο πάροχος χρησιμοποιεί ασφαλή συστήματα διαχείρισης κλειδιών (KMS) για την αποθήκευση μυστικών κλειδιών στο σύννεφο.

ΣΤ002-0018

Περιστατικά Ασφαλείας

Ο πάροχος διατηρεί και εφαρμόζει μια διαδικασία διαχείρισης συμβάντων, συμπεριλαμβανομένων ενδεικτικά:

αρχεία παραβιάσεων της ασφάλειας·

Διαδικασίες γνωστοποίησης παρόχου, και

σύστημα αντιμετώπισης συμβάντων για την αντιμετώπιση των ακόλουθων ζητημάτων κατά τη στιγμή του συμβάντος: i) ρόλοι, αρμοδιότητες και στρατηγικές επικοινωνίας και επαφής σε περίπτωση συμβιβασμού ii) ειδικές διαδικασίες αντιμετώπισης συμβάντων και iii) κάλυψη και ανταπόκριση όλων των κρίσιμων στοιχείων του συστήματος.

06.1.3-01

Διαχείριση περιουσιακών στοιχείων, απόκτηση συστημάτων, ανάπτυξη και συντήρηση

Ο πάροχος προσδιορίζει και τεκμηριώνει τις απαιτήσεις ασφάλειας πληροφοριών πριν από την ανάπτυξη και απόκτηση νέων συστημάτων και εφαρμογών πληροφορικής, καθώς και πριν προβεί σε βελτιώσεις σε υπάρχοντα συστήματα και εφαρμογές πληροφορικής.

14.1.1-01

Ο πάροχος καθιερώνει μια επίσημη διαδικασία για τον έλεγχο και την εκτέλεση αλλαγών σε αναπτυγμένες εφαρμογές.

14.2.2-01

Ο πάροχος σχεδιάζει και ενσωματώνει δοκιμές ασφαλείας στον Κύκλο Ζωής Ανάπτυξης Συστήματος των συστημάτων και εφαρμογών πληροφορικής.

14.2.8-01

Ο πάροχος εφαρμόζει μια κατάλληλη διαδικασία επιδιόρθωσης ασφαλείας που περιλαμβάνει:

παρακολούθηση των συνιστωσών για πιθανές αδυναμίες (CVE) ·

βαθμολογία προτεραιότητας της επιδιόρθωσης.

την έγκαιρη εφαρμογή της επιδιόρθωσης· και

λήψη ενημερώσεων κώδικα από αξιόπιστες πηγές.

88.1.1-01

ΠΡ001-0001

Ασφάλεια Ανθρώπινου Δυναμικού

Ο πάροχος εφαρμόζει τα ακόλουθα μέτρα στον τομέα της ασφάλειας των ανθρώπινων πόρων:

οι εργαζόμενοι με πρόσβαση στα Προσωπικά Δεδομένα δεσμεύονται από υποχρεώσεις εμπιστευτικότητας και

οι εργαζόμενοι με πρόσβαση στα Προσωπικά Δεδομένα εκπαιδεύονται τακτικά σχετικά με τους ισχύοντες νόμους και κανονισμούς προστασίας δεδομένων.

07.1.1-01

Ο πάροχος εφαρμόζει μια διαδικασία αποβίβασης για υπαλλήλους του Παρόχου και εξωτερικούς προμηθευτές.

07.3.1-02

88.1.4-01

Κρυπτογραφία (σχετική με το DP στο πλαίσιο των υπηρεσιών δικτύου)

Ο πάροχος χρησιμοποιεί ασφαλή πιστοποιητικά τελευταίας τεχνολογίας και εφαρμόζει τα ακόλουθα:

τα ψηφιακά πιστοποιητικά γίνονται αποδεκτά και αξιόπιστα μόνο εάν το ψηφιακό πιστοποιητικό εκδόθηκε από αξιόπιστη αρχή πιστοποίησης·

τα πιστοποιητικά χρησιμοποιούνται και κατανέμονται σε ειδικά συστήματα πληροφορικής και εφαρμογές, και

επαληθεύεται η εγκυρότητα των ψηφιακών πιστοποιητικών.

07.1.1-01

Ο πάροχος εφαρμόζει μια διαδικασία για τη διαχείριση και την εφαρμογή κρυπτογραφικών κλειδιών, συμπεριλαμβανομένων κανόνων και απαιτήσεων για τη δημιουργία, αποθήκευση, δημιουργία αντιγράφων ασφαλείας, διανομή και ανάκληση κρυπτογραφικών κλειδιών.

07.3.1-02

88.1.4-01

Παράρτημα III της DPA (και, κατά περίπτωση, τις τυποποιημένες συμβατικές ρήτρες)

ΛΊΣΤΑ ΤΩΝ ΥΠΟΕΠΕΞΕΡΓΑΣΤΏΝ ΚΑΙ ΤΩΝ ΤΟΠΟΘΕΣΙΏΝ ΚΈΝΤΡΩΝ ΔΕΔΟΜΈΝΩΝ

Η «Φόρμα Εξουσιοδότησης Συνεργάτη» καθορίζει το

Φορείς (συμπεριλαμβανομένων των Συνεργατών και των υπερεκτελούντων την επεξεργασία) που ασχολούνται με την αποθήκευση/φιλοξενία προσωπικών δεδομένων,

Εφαρμόσιμες τοποθεσίες κέντρων δεδομένων,

Υπεύθυνοι επεξεργασίας που ασχολούνται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς μη αποθήκευσης/φιλοξενίας,

που ενσωματώνονται στο παρόν με αυτήν την αναφορά.

Ο Πάροχος δεν θα διαβιβάζει Προσωπικά Δεδομένα από την αντίστοιχη Τοποθεσία Κέντρου Δεδομένων χωρίς τη συγκατάθεση της Siemens. Ο μηχανισμός κοινοποίησης και αντίρρησης που περιέχεται στο Τμήμα 8 δεν εφαρμόζονται από την άποψη αυτή.