Συμφωνία για την επεξεργασία παραγγελιών (AVV]
σύμφωνα με το άρθρο 28 παρ. 3 GDPR
§ 1 Αντικείμενο και Διάρκεια της Εντολής
(1] Η παρούσα συμφωνία ρυθμίζει τα δικαιώματα και τις υποχρεώσεις των μερών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εντολοδόχο (εκτελών την επεξεργασία] για λογαριασμό του πελάτη (υπεύθυνος επεξεργασίας]. Εφαρμόζεται σε όλες τις δραστηριότητες στις οποίες οι υπάλληλοι του εντολοδόχου ή τρίτοι που έχουν ανατεθεί από αυτόν ενδέχεται να έρθουν σε επαφή με δεδομένα προσωπικού χαρακτήρα του υπευθύνου επεξεργασίας.
(2] Η διάρκεια ισχύος της παρούσας συμφωνίας εξαρτάται από τη διάρκεια ισχύος της κύριας σύμβασης για τη χρήση του λογισμικού "BusWay". Λήγει αυτόματα με τη λήξη της κύριας σύμβασης, εκτός εάν υπάρχουν νομικές υποχρεώσεις διατήρησης.
§ 2 Είδος και σκοπός της επεξεργασίας
(1] Ο εκτελών την επεξεργασία θέτει στη διάθεση του υπευθύνου μια πλατφόρμα Software-as-a-Service (SaaS]. Η επεξεργασία περιλαμβάνει τη συλλογή, αποθήκευση, αξιολόγηση και παροχή δεδομένων για την υποστήριξη των λειτουργικών διαδικασιών.
(2] Σκοπός της επεξεργασίας είναι η ψηφιακή καθοδήγηση Route/Line, η πλοήγηση του προσωπικού οδήγησης, η διαχείριση των πληροφοριών διαδρομής καθώς και η τεχνική διασφάλιση της λειτουργίας του λογισμικού.
§ 3 Είδος των δεδομένων και κύκλος των ενδιαφερομένων
(1] Κατηγορίες των ενδιαφερομένων προσώπων: Εργαζόμενοι του πελάτη (οδηγοί, διαχειριστές, διαχειριστές συστήματος].
(2] Είδος των επεξεργασμένων προσωπικών δεδομένων:
- Δεδομένα αναγνώρισης (όνομα χρήστη, διεύθυνση ηλεκτρονικού ταχυδρομείου, όνομα και επώνυμο].
- Δεδομένα τοποθεσίας και κίνησης (συντεταγμένες GPS κατά τη διάρκεια της ενεργού χρήσης της εφαρμογής, ιστορικά διαδρομών].
- Μεταδεδομένα συσκευής (διεύθυνση IP, αναγνωριστικό συσκευής, έκδοση λειτουργικού συστήματος, έκδοση εφαρμογής].
- Δεδομένα χρήσης (χρονοσφραγίδα των συνδέσεων, δημιουργημένες ή διανυθείσες διαδρομές, αρχεία καταγραφής συγχρονισμού].
§ 4 Υποχρεώσεις του εκτελούντος την επεξεργασία
(1] Ο εκτελών την επεξεργασία επεξεργάζεται προσωπικά δεδομένα αποκλειστικά στο πλαίσιο των συναφθεισών συμφωνιών και σύμφωνα με τις οδηγίες του υπευθύνου, εκτός εάν υποχρεούται σε άλλη επεξεργασία από νομικές διατάξεις.
(2] Ο εκτελών την επεξεργασία διασφαλίζει ότι όλα τα άτομα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα έχουν δεσμευτεί να τηρούν την εμπιστευτικότητα ή υπόκεινται σε μια κατάλληλη νομική υποχρέωση εχεμύθειας.
(3] Ο εκτελών την επεξεργασία λαμβάνει όλα τα απαραίτητα μέτρα σύμφωνα με το άρθρο 32 ΓΚΠΔ (ασφάλεια της επεξεργασίας], προκειμένου να διασφαλίσει ένα επίπεδο προστασίας ανάλογο προς τον κίνδυνο.
(4] Ο εκτελών την επεξεργασία υποστηρίζει τον υπεύθυνο κατά την τήρηση των υποχρεώσεων που αναφέρονται στα άρθρα 32 έως 36 ΓΚΠΔ (π.χ. αναφορά παραβιάσεων της προστασίας προσωπικών δεδομένων] με τον καλύτερο δυνατό τρόπο.
§ 5 Υποχρεώσεις του υπευθύνου
(1] Ο υπεύθυνος φέρει την αποκλειστική ευθύνη για την αξιολόγηση του επιτρεπτού της επεξεργασίας σύμφωνα με το άρθρο 6 παράγραφος 1 ΓΚΠΔ καθώς και για τη διασφάλιση των δικαιωμάτων των ενδιαφερομένων προσώπων (π.χ. ενημέρωση των εργαζομένων σχετικά με τον εντοπισμό GPS].
(2] Ο υπεύθυνος παρέχει τις οδηγίες του συνήθως μέσω της χρήσης των λειτουργιών του λογισμικού (π.χ. δημιουργία ή διαγραφή χρηστών]. Οι προφορικές οδηγίες πρέπει να επιβεβαιώνονται αμέσως εγγράφως ή σε μορφή κειμένου (ηλεκτρονικό ταχυδρομείο].
§ 6 Τεχνικά και οργανωτικά μέτρα (TOM]
(1] Ο εκτελών την επεξεργασία έχει λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων από μη εξουσιοδοτημένη πρόσβαση, απώλεια ή αλλαγή.
- Εμπιστευτικότητα: Κρυπτογράφηση της μεταφοράς δεδομένων (SSL/TLS], προστασία με κωδικό πρόσβασης (Hashing], έλεγχοι πρόσβασης.
- Ακεραιότητα: Έλεγχος εισαγωγής, καταγραφή των προσβάσεων στο σύστημα, διαχωρισμός των δεδομένων πελατών (λογικός διαχωρισμός].
- Διαθεσιμότητα: Τακτικά αντίγραφα ασφαλείας, πλεονάζουσα υποδομή διακομιστών, σχέδια έκτακτης ανάγκης (Disaster Recovery].
- Ανθεκτικότητα: Χρήση κλιμακούμενων υποδομών Cloud και τακτικός έλεγχος της ασφάλειας του συστήματος.
§ 7 Υπεργολαβικές σχέσεις
(1] Ο υπεύθυνος παρέχει στον εκτελούντα την επεξεργασία τη γενική άδεια να προσλάβει άλλους εκτελούντες την επεξεργασία (υπεργολάβους] για την εκπλήρωση των συμβατικών υποχρεώσεων.
(2] Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο για κάθε σκοπούμενη αλλαγή σχετικά με την πρόσληψη ή την αντικατάσταση άλλων εκτελούντων την επεξεργασία. Ο υπεύθυνος έχει δικαίωμα ένστασης.
(3] Οι τρέχοντες υπεργολάβοι αναφέρονται στο παράρτημα της παρούσας σύμβασης.
§ 8 Δικαιώματα ελέγχου
(1] Ο υπεύθυνος έχει το δικαίωμα να ελέγξει την τήρηση των νομικών διατάξεων και των ρυθμίσεων της παρούσας σύμβασης από τον εκτελούντα την επεξεργασία σε εύλογο βαθμό. Δεδομένου ότι πρόκειται για μια λύση SaaS, η απόδειξη μπορεί να παρασχεθεί κατά προτεραιότητα μέσω πιστοποιητικών ή βεβαιώσεων ανεξάρτητων τρίτων.
§ 9 Διαγραφή και επιστροφή δεδομένων
(1] Μετά την ολοκλήρωση της παροχής των υπηρεσιών επεξεργασίας, ο εκτελών την επεξεργασία διαγράφει όλα τα προσωπικά δεδομένα ή τα επιστρέφει στον υπεύθυνο, εκτός εάν υπάρχει νομική υποχρέωση αποθήκευσης.
§ 10 Τελικές διατάξεις
(1] Εάν μεμονωμένα μέρη της παρούσας συμφωνίας είναι άκυρα, αυτό δεν θίγει την εγκυρότητα των υπόλοιπων διατάξεων.
(2] Ισχύει το δίκαιο της Ομοσπονδιακής Δημοκρατίας της Γερμανίας. Αρμόδιο δικαστήριο είναι η έδρα του εκτελούντος την επεξεργασία.
Ο εκτελών την επεξεργασία χρησιμοποιεί τους ακόλουθους παρόχους υπηρεσιών για την εκπλήρωση της υπηρεσίας του:
| Υπηρεσία | Πάροχος υπηρεσιών | Τοποθεσία διακομιστή |
|---|---|---|
| Φιλοξενία, βάση δεδομένων & Backend | Strato AG | Βερολίνο / Καρλσρούη, DE |
| Δεδομένα χαρτών & Γεωκωδικοποίηση | Google Cloud EMEA | Δουβλίνο, IE (ΕΕ] |
| Μεταπωλητής / Έμπορος Record | Paddle.com Market Ltd | Λονδίνο, UK (Απόφαση επάρκειας] |