«Δίκαιο περί Προστασίας Δεδομένων» σημαίνει όλους τους εφαρμοστέους νόμους και κανονισμούς που σχετίζονται με την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα που μπορεί να υπάρχουν στις σχετικές δικαιοδοσίες, συμπεριλαμβανομένων, χωρίς περιορισμό, του...
Σύμβαση Επεξεργασίας Δεδομένων
ΣΚΟΠΟΣ ΚΑΙ ΣΕΙΡΑ ΠΡΟΤΕΡΑΙΟΤΗΤΑΣ
Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων, μαζί με τα παραρτήματά της και οποιοδήποτε έγγραφο που αναφέρεται ρητά (η «ΣΕΔ»), θεωρείται μέρος της σύμβασης παροχής υπηρεσιών μεταξύ της Iron Mountain και του Πελάτη (η «Σύμβαση»). Οι όροι και οι προϋποθέσεις της Σύμβασης ισχύουν για, και διέπουν, τα δικαιώματα και τις υποχρεώσεις των μερών βάσει της παρούσας ΣΕΔ.
Εάν οποιοιδήποτε όροι και προϋποθέσεις που περιέχονται στην παρούσα ΣΕΔ αντιτίθενται στους όρους και τις προϋποθέσεις που ορίζονται στη Σύμβαση, οι όροι και οι προϋποθέσεις που ορίζονται στην παρούσα ΣΕΔ θα είναι οι ελέγχοντες όροι και προϋποθέσεις σχετικά με το αντικείμενο της παρούσας ΣΕΔ. Η παρούσα ΣΕΔ υπερισχύει και αντικαθιστά οποιεσδήποτε και όλες τις προηγούμενες συμφωνίες επεξεργασίας δεδομένων ή ρήτρες προστασίας δεδομένων ή ιδιωτικού απορρήτου μεταξύ των μερών όσον αφορά στις Υπηρεσίες που παρέχονται βάσει της Σύμβασης.
ΓΕΝΙΚΟΙ ΟΡΟΙ
1. ΟΡΙΣΜΟΙ
Εκτός εάν ορίζεται συγκεκριμένα στην παρούσα, όλοι οι όροι με αρχικό κεφαλαίο θα έχουν τις ίδιες έννοιες με αυτές που τους αποδίνονται στη Σύμβαση.
«Υπεύθυνος Επεξεργασίας» σημαίνει το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή έναν άλλο φορέα που από μόνος ή από κοινού με άλλους καθορίζει τους σκοπούς και τα μέσα της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα·
«Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη» είναι τα Δεδομένα Προσωπικού Χαρακτήρα που ανήκουν σε ή συλλέγονται από τον Πελάτη ή τις συνδεδεμένες εταιρείες του, τα οποία υποβάλλονται σε επεξεργασία ως μέρος των Υπηρεσιών·
«Υποκείμενο δεδομένων» σημαίνει ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο·
«Δίκαιο περί Προστασίας Δεδομένων» σημαίνει όλους τους εφαρμοστέους νόμους και κανονισμούς που σχετίζονται με την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα που μπορεί να υπάρχουν στις σχετικές δικαιοδοσίες, συμπεριλαμβανομένων, χωρίς περιορισμό, του ΓΚΠΔ της ΕΕ (Κανονισμός (ΕΕ) 2016/679), του ΓΚΠΔ του Η.Β. (ο ΓΚΠΔ όπως εφαρμόζεται ως μέρος του εγχώριου δικαίου του X.Β. δυνάμει της ενότητας 3 του Νόμου περί Αποχώρησης (ΕΕ) του 2018 και όπως τροποποιήθηκε από τους Κανονισμούς περί Προστασίας Δεδομένων, Ιδιωτικού Απορρήτου και Ηλεκτρονικών Επικοινωνιών (Τροποποιήσεις κ.λπ.) (Έξοδος από την ΕΕ) του 2019 (όπως τροποποιήθηκαν)), του Νόμου περί Προστασίας Δεδομένων του 2018, του FADP (Ελβετικός Ομοσπονδιακός Νόμος για την Προστασία Δεδομένων), των Πολιτειακών Νόμων περί Ιδιωτικού Απορρήτου των ΗΠΑ, του LGPD (Γενικός Νόμος για την Προστασία Δεδομένων της Βραζιλίας), του PIPL (Νόμος περί Προστασίας Προσωπικών Πληροφοριών της Λαϊκής Δημοκρατίας της Κίνας) και οποιωνδήποτε νόμων ή/και κανονισμών που εφαρμόζονται ή θεσπίζονται σύμφωνα με αυτούς ή που τροποποιούν, αντικαθιστούν, επαναθεσπίζουν ή ενοποιούν οποιουσδήποτε από αυτούς, συμπεριλαμβανομένων, όπου ισχύει, της οδηγίας και των κωδίκων πρακτικής που εκδίδονται από εποπτικές αρχές·
«Δεδομένα Προσωπικού Χαρακτήρα» σημαίνει οποιεσδήποτε πληροφορίες που σχετίζονται με ένα Υποκείμενο Δεδομένων·
«Εκτελών την επεξεργασία δεδομένων» είναι ένα φυσικό ή νομικό πρόσωπο, μία δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για λογαριασμό του Υπεύθυνου Επεξεργασίας Δεδομένων·
«Επεξεργασία» σημαίνει οποιαδήποτε λειτουργία ή σύνολο λειτουργιών που εκτελείται επί των Δεδομένων Προσωπικού Χαρακτήρα ή σε σύνολα Δεδομένων Προσωπικού Χαρακτήρα, είτε μέσω αυτοματοποιημένων μέσων είτε όχι, όπως η συλλογή, καταγραφή, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, γνωστοποίηση μέσω μετάδοσης, διάδοσης ή με άλλο τρόπο διάθεσης, η ευθυγράμμιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·
27 Ιουνίου 2023 1
«Παραβίαση Ασφαλείας» σημαίνει οποιαδήποτε τυχαία ή παράνομη ζημία, καταστροφή, απώλεια, αλλοίωση ή μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα των Πελατών που επεξεργάζεται η Iron Mountain, το προσωπικό της ή οι υπεργολάβοι της κατά την παροχή των Υπηρεσιών·
«Υπηρεσίες» είναι οποιεσδήποτε υπηρεσίες παρέχονται από την Iron Mountain ή τις συνδεδεμένες εταιρείες της στον Πελάτη ή τις συνδεδεμένες εταιρείες του βάσει της Σύμβασης·
«Νόμοι περί Ιδιωτικού Απορρήτου των ΗΠΑ» είναι όλοι οι νόμοι περί ιδιωτικού απορρήτου και προστασίας δεδομένων των Ηνωμένων Πολιτειών που ισχύουν για την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα βάσει της Σύμβασης, συμπεριλαμβανομένων, χωρίς περιορισμό και όπως μπορεί να τροποποιηθούν ή αντικατασταθούν κατά καιρούς των εξής: (1) Νόμος περί Ιδιωτικού Απορρήτου Καταναλωτών της Καλιφόρνιας, όπως τροποποιήθηκε από τον Νόμο περί Δικαιωμάτων Ιδιωτικού Απορρήτου της Καλιφόρνιας και οποιουσδήποτε εφαρμοστέους κανονισμούς που σχετίζονται με αυτόν (συλλήβδην ο «CCPA»), (2) Νόμος περί Ιδιωτικού Απορρήτου του Κολοράντο («CPA»), (3) Νόμος περί Προστασίας Δεδομένων Καταναλωτών της Βιρτζίνια («CDPA»), (4) Νόμος περί Ιδιωτικού Απορρήτου Καταναλωτών της Γιούτα («UCPA») και (5) Νόμος περί Απορρήτου Δεδομένων του Κονέκτικατ («CTDPA»).
2. ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΚΑΙ ΛΕΠΤΟΜΕΡΕΙΕΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
2.1 Η παρούσα ΣΕΔ θα ισχύει για τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη που υποβάλλονται σε επεξεργασία από την Iron Mountain ως Εκτελών την επεξεργασία κατά τη διάρκεια της παροχής των Υπηρεσιών, σύμφωνα με τη Σύμβαση για λογαριασμό του Πελάτη.
2.2 Η Iron Mountain μπορεί να συλλέγει και να επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα των υπαλλήλων του Πελάτη και των συνδεδεμένων εταιρειών του ως Υπεύθυνος Επεξεργασίας για νομότυπους επιχειρηματικούς σκοπούς, όπως η διαχείριση συμβάσεων και πελατειακών σχέσεων και σύμφωνα με τους Νόμους Προστασίας Δεδομένων και τη δήλωση ιδιωτικού απορρήτου της Iron Mountain που διατίθεται στους ιστότοπους της Iron Mountain και άλλες ισχύουσες πολιτικές ιδιωτικού απορρήτου. Οι υποχρεώσεις της Iron Mountain που καθορίζονται στην παρούσα ΣΕΔ δεν θα ισχύουν για την επεξεργασία των εν λόγω Δεδομένων Προσωπικού Χαρακτήρα.
2.3 Το αντικείμενο της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα είναι η εκτέλεση των Υπηρεσιών. Τα δικαιώματα και οι υποχρεώσεις του Xxxxxx και της Iron Mountain είναι όπως ορίζονται στην παρούσα ΣΕΔ. Το Παράρτημα 1 της παρούσας ΣΕΔ καθορίζει τη φύση, τη διάρκεια και τον σκοπό της Επεξεργασίας, τους τύπους των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη που επεξεργάζεται η Iron Mountain και τις κατηγορίες των Υποκειμένων των Δεδομένων των οποίων τα Δεδομένα Προσωπικού Χαρακτήρα υποβάλλονται σε Επεξεργασία.
2.4 Όταν η Iron Mountain επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα Πελατών κατά τη διάρκεια της παροχής των Υπηρεσιών, η Iron Mountain:
2.4.1 Θα επεξεργάζεται τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη μόνο σύμφωνα με τις τεκμηριωμένες οδηγίες του Xxxxxx. Εάν η Iron Mountain υποχρεούται να επεξεργαστεί τα Δεδομένα Προσωπικού Χαρακτήρα Πελατών για οποιονδήποτε άλλο σκοπό βάσει νόμων στους οποίους υπόκειται η Iron Mountain, η Iron Mountain θα ενημερώσει πρώτα τον Πελάτη για αυτήν την απαίτηση, εκτός εάν ο εν λόγω νόμος (ή νόμοι) το απαγορεύει(ουν) για σημαντικούς λόγους δημόσιου συμφέροντος· και
2.4.2 Θα συμμορφώνεται σε κάθε στιγμή με τους εφαρμοστέους Νόμους περί Προστασίας Δεδομένων και θα ενημερώνει αμέσως τον Πελάτη εάν, κατά τη γνώμη της Iron Mountain, μία οδηγία για την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη που παρέχεται από τον Πελάτη παραβιάζει τους εφαρμοστέους Νόμους περί Προστασίας Δεδομένων.
2.5 Οι οδηγίες του Xxxxxx θα είναι δεσμευτικές για την Iron Mountain, εκτός εάν η ολοκλήρωση των οδηγιών απαιτεί την παροχή μίας υπηρεσίας βάσει της Σύμβασης και ο Πελάτης δεν συμφωνεί να πληρώσει τις χρεώσεις υπηρεσιών για τις εν λόγω υπηρεσίες.
2.6 Η Iron Mountain θα διασφαλίσει ότι το προσωπικό που απαιτείται για την πρόσβαση στα Δεδομένα Προσωπικού Χαρακτήρα των Πελατών υπόκειται σε δεσμευτικό καθήκον εμπιστευτικότητας σχετικά με τα εν λόγω Δεδομένα Προσωπικού Χαρακτήρα των Πελατών και θα λάβει εύλογα μέτρα για να διασφαλίσει την αξιοπιστία και την αρμοδιότητα του προσωπικού της Iron Mountain που έχει πρόσβαση στα Δεδομένα Προσωπικού Χαρακτήρα των Πελατών.
3. ΠΑΡΟΧΗ ΒΟΗΘΕΙΑΣ ΣΤΟΥΣ ΠΕΛΑΤΕΣ
3.1 Η Iron Mountain θα παρέχει βοήθεια στον Πελάτη, λαμβάνοντας πάντα υπόψη τη φύση της επεξεργασίας:
3.1.1 με τα κατάλληλα τεχνικά και οργανωτικά μέτρα και στο μέτρο του δυνατού, για την εκπλήρωση των υποχρεώσεων του Πελάτη να ανταποκρίνεται σε αιτήματα Υποκειμένων των Δεδομένων που ασκούν τα δικαιώματά τους·
3.1.2 για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις του Πελάτη (όπως η ασφάλεια της επεξεργασίας, η κοινοποίηση μίας παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στην εποπτική
αρχή, η κοινοποίηση μίας παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Υποκείμενο των Δεδομένων, η εκτίμηση του αντικτύπου της προστασίας δεδομένων και η εκ των προτέρων διαβούλευση με τις εποπτικές αρχές όπου η Επεξεργασία θα είχε ως αποτέλεσμα υψηλό κίνδυνο ελλείψει μέτρων από τον Υπεύθυνο Επεξεργασίας για τον μετριασμό του κινδύνου), λαμβάνοντας υπόψη τις πληροφορίες που είναι διαθέσιμες στην Iron Mountain· και
3.1.3 θέτοντας στη διάθεση του Xxxxxx όλες τις πληροφορίες τις οποίες ο Xxxxxxx xxxx εύλογα για να μπορέσει να αποδείξει ότι έχουν εκπληρωθεί οι υποχρεώσεις του όσον αφορά στην επιλογή και το διορισμό της Iron Mountain.
4. ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ
4.1 Λαμβάνοντας υπόψη τις συνήθεις λειτουργικές διαδικασίες, το κόστος υλοποίησης και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, η Iron Mountain θα εφαρμόζει κατάλληλα και εύλογα τεχνικά και οργανωτικά μέτρα, σχεδιασμένα για την προστασία της εμπιστευτικότητας, την ακεραιότητα και τη διαθεσιμότητα των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη και την προστασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή, ζημιά, τροποποίηση, ή αποκάλυψη. Τα πρότυπα ασφαλείας της Iron Mountain καθορίζονται στο Παράρτημα 2 της παρούσας ΣΕΔ.
4.2 Αποτελεί αποκλειστική ευθύνη του Xxxxxx να αξιολογήσει εάν τα εν λόγω τεχνικά και οργανωτικά μέτρα πληρούν τις απαιτήσεις του Πελάτη.
5. ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟΥΣ ΝΟΜΟΥΣ
Ο Xxxxxxx και οι συνδεδεμένες εταιρείες του: (i) θα επεξεργάζονται τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη σύμφωνα με τους Νόμους περί Προστασίας Δεδομένων, (ii) θα είναι εξουσιοδοτημένοι να παρέχουν γραπτές οδηγίες στην Iron Mountain σχετικά με την Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη σε σχέση με τις Υπηρεσίες (συμπεριλαμβανομένων εκ μέρους οποιουδήποτε τρίτου νομικού προσώπου που είναι Υπεύθυνος Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη) και (iii) θα διατηρούν σε κάθε στιγμή τον έλεγχο και την εξουσία επί των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη σε σχέση με την επεξεργασία.
6. ΥΠΟ-ΕΠΕΞΕΡΓΑΣΙΑ
6.1 Ο Πελάτης αναγνωρίζει και συμφωνεί ότι η Iron Mountain μπορεί να εμπλέξει τη μητρική της εταιρεία, τις συνδεδεμένες εταιρείες της και άλλους τρίτους υπεργολάβους επεξεργασίας (συμπεριλαμβανομένων τρίτων υπεργολάβων επεξεργασίας που απασχολούνται από τις συνδεδεμένες εταιρείες της Iron Mountain ή τη μητρική της εταιρεία) για σκοπούς Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα των Πελατών σύμφωνα με την παρούσα ΣΕΔ, με την επιφύλαξη της ρήτρας 6.2 παρακάτω.
6.2 Μία λίστα των υπεργολάβων επεξεργασίας που είχαν εγκριθεί από τον Πελάτη έως την ημερομηνία της παρούσας ΣΕΔ διατίθεται εδώ1. Η Iron Mountain μπορεί σε οποιαδήποτε στιγμή να αντικαταστήσει ή να διορίσει έναν νέο υπεργολάβο επεξεργασίας, υπό την προϋπόθεση ότι ο Πελάτης έχει λάβει εκ των προτέρων γραπτή ειδοποίηση δεκαπέντε (15) ημερών και ο Πελάτης δεν αντιτίθεται στις εν λόγω αλλαγές για λόγους που μπορεί να επιδειχθεί ότι σχετίζονται με την προστασία δεδομένων εντός του εν λόγω χρονικού πλαισίου. Για να λαμβάνει αυτές τις ειδοποιήσεις μέσω email, ο Xxxxxxx θα εγγραφεί και θα διαχειρίζεται οποιαδήποτε υπάρχουσα συνδρομή στην υπηρεσία ειδοποιήσεων της Iron Mountain μέσω αυτής της ιστοσελίδας2.
6.3 Εάν ο Πελάτης δεν εγγραφεί σε αυτήν την υπηρεσία ειδοποίησης, η Iron Mountain δεν θα είναι υπεύθυνη για την έλλειψη ειδοποίησης από τον Υπεργολάβο επεξεργασίας και όλοι οι εν λόγω διορισμοί θα θεωρούνται εξουσιοδοτημένοι από τον Πελάτη. Εάν ο Πελάτης αντιταχθεί γραπτώς βάσει επιδείξιμων λόγων που σχετίζονται με την προστασία δεδομένων στον διορισμό ενός αντικαταστάτη ή νέου Υπεργολάβου επεξεργασίας εντός δεκαπέντε (15) ημερών πριν από την έγγραφη ειδοποίηση, τότε η Iron Mountain θα καταβάλει εύλογες προσπάθειες για να καταστήσει διαθέσιμη για τον Πελάτη μία αλλαγή στις Υπηρεσίες ή θα προτείνει μία αλλαγή στη διαμόρφωση ή τη χρήση των Υπηρεσιών από τον Πελάτη, σε κάθε περίπτωση για να αποφευχθεί η Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη από τον απορριφθέντα Υπεργολάβο επεξεργασίας, προς εξέταση και έγκριση του Πελάτη. Εάν ο Xxxxxxx δεν εγκρίνει οποιεσδήποτε τέτοιες αλλαγές που προτείνονται από την Iron Mountain εντός δεκαπέντε (15) ημερών, η Iron Mountain μπορεί, παρέχοντας γραπτή ειδοποίηση στον Πελάτη, να τερματίσει αμέσως την Υπηρεσία ή μέρος της Υπηρεσίας που δεν μπορεί να παρασχεθεί από την Iron Mountain χωρίς τη χρήση του απορριφθέντος Υπεργολάβου επεξεργασίας. Ο εν λόγω τερματισμός θα πραγματοποιείται με την επιφύλαξη οποιωνδήποτε συσσωρευμένων δικαιωμάτων και υποχρεώσεων των μερών, υπό την προϋπόθεση ότι δεν θα καταβληθούν αμοιβές, έξοδα ή άλλες
1 xxxxx://xxx.xxxxxxxxxxxx.xxx/-/xxxxx/xxxxx/Xxxxxxx/Xxxxx/XXXXXX-Xxxxxxxx-Xxxx-Xxxxxxxxxxxxx-Xxxx.xxxx?xxxxx
2xxxxx://xxxxxxxxxx.xxxxxxxxxx.xxx/x0/xxx?xxxxxxx-0X xxxxx.xxxxxxxxxxxx.xxx_LegalSubprocessorSubscription&d=DwMFaQ&
c=jxhwBfk-KSV6FFIot0PGng&r=JTlzF2zjI-gYEq5GmWmZcbgd--hqyVuIeEIP9Eu7Nvw&m=NB4wIISphmYGgqvrtYNU-28S8Aa U6-YibdZ3Yg_2F68&s=xNzeKIzw6XbGZ_loyLbqEap2144HRDTflVtNiXKr6M4&e=
αποζημιώσεις τερματισμού από την Iron Mountain ή τις συνδεδεμένες εταιρείες της Iron Mountain σχετικά με τον εν λόγω τερματισμό και ο Πελάτης θα αναλάβει αμέσως την κατοχή περιουσιακών στοιχείων που παρείχε στην Iron Mountain ως μέρος των Υπηρεσιών που έχουν τερματιστεί, με την επιφύλαξη των όρων της Σύμβασης και με έξοδα του Πελάτη.
6.4 Η Iron Mountain θα διασφαλίσει ότι οποιαδήποτε σύμβαση με υπεργολάβους επεξεργασίας στο πλαίσιο της παρούσας ΣΕΔ περιέχει διατάξεις που είναι, από κάθε ουσιώδη άποψη, ίδιες με αυτές της παρούσας ΣΕΔ και όπως απαιτείται από τους εφαρμοστέους Νόμους περί Προστασίας Δεδομένων. Όταν ένας Υπεργολάβος επεξεργασίας της Iron Mountain προκαλεί την Iron Mountain να παραβιάσει τις υποχρεώσεις της βάσει της παρούσας ΣΕΔ ή οποιωνδήποτε εφαρμοστέων Νόμων περί Προστασίας Δεδομένων, η Iron Mountain θα παραμείνει πλήρως υπεύθυνη έναντι του Πελάτη για την εκπλήρωση των υποχρεώσεων της Iron Mountain βάσει αυτών των όρων.
7. ΠΑΡΑΒΙΑΣΕΙΣ ΑΣΦΑΛΕΙΑΣ
7.1 Σε περίπτωση υποψίας παραβίασης ασφάλειας, η Iron Mountain:
7.1.1 θα προβεί άμεσα σε ενέργειες για τη διερεύνηση της εικαζόμενης Παραβίασης Ασφαλείας και για τον εντοπισμό, την πρόληψη και τον μετριασμό των επιπτώσεων της εικαζόμενης Παραβίασης Ασφαλείας και για την αποκατάσταση της Παραβίασης Ασφαλείας·
7.1.2 θα ενημερώσει τον Πελάτη χωρίς αδικαιολόγητη καθυστέρηση μόλις έχει εύλογη βεβαιότητα ότι έχει συμβεί μια Παραβίαση Ασφαλείας και θα παρέχει στον Πελάτη λεπτομερή περιγραφή της Παραβίασης Ασφαλείας, συμπεριλαμβανομένων των πληροφοριών που είναι εύλογα απαραίτητες για την εκπλήρωση των υποχρεώσεων αναφοράς σύμφωνα με τους Νόμους περί Προστασίας Δεδομένων.
7.2 Ο Πελάτης συμφωνεί ότι η Iron Mountain μπορεί να παρέχει τις πληροφορίες της ρήτρας 7.1.2 σε φάσεις. Σε περιπτώσεις όπου η Iron Mountain δεν έχει πρόσβαση ή δεν μπορεί να παράσχει ορισμένες πληροφορίες που αναφέρονται στη ρήτρα 7.1.2 στον Πελάτη, η Iron Mountain θα ενημερώσει σχετικά τον Πελάτη και η Iron Mountain δεν θα φέρει καμία ευθύνη για παράλειψη παροχής αυτών των πληροφοριών.
8. ΕΛΕΓΧΟΙ
Η Iron Mountain θα επιτρέψει στον Πελάτη και τους αντίστοιχους ελεγκτές ή εξουσιοδοτημένους εκπροσώπους του, μετά από ειδοποίηση τουλάχιστον δέκα (10) εργάσιμων ημερών στην Iron Mountain, τη διεξαγωγή ελέγχων ή επιθεωρήσεων κατά τη διάρκεια ισχύος της Σύμβασης, υπό την προϋπόθεση ότι η Iron Mountain δεν θα υποχρεούται να παρέχει ή να επιτρέπει την πρόσβαση σε πληροφορίες που αφορούν: (i) άλλους πελάτες της Iron Mountain, (ii) οποιαδήποτε από τις μη δημόσιες εξωτερικές εκθέσεις της Iron Mountain και (iii) οποιεσδήποτε εσωτερικές αναφορές που έχουν συνταχθεί από το τμήμα εσωτερικού ελέγχου ή συμμόρφωσης της Iron Mountain. Οι σκοποί ενός ελέγχου ή επιθεώρησης σύμφωνα με την παρούσα ρήτρα θα περιορίζονται στην επαλήθευση ότι η Iron Mountain επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα Πελατών σύμφωνα με τις υποχρεώσεις της βάσει της παρούσας ΣΕΔ. Εκτός από τις περιπτώσεις όπου έχει σημειωθεί Παραβίαση Ασφαλείας, δεν θα διεξαχθεί πάνω από ένας τέτοιος έλεγχος σε οποιαδήποτε περίοδο δώδεκα (12) μηνών.
9. ΔΙΕΘΝΕΙΣ ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ (ΠΕΡΙΟΡΙΣΜΕΝΕΣ ΔΙΑΒΙΒΑΣΕΙΣ)
9.1 Στον βαθμό που ισχύει, ο Πελάτης συναινεί και εξουσιοδοτεί δια της παρούσας τις διεθνείς διαβιβάσεις Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη σε νομικά πρόσωπα, όπως ορίζεται στην Ενότητα 6.2 και σύμφωνα με το Παράρτημα 3 για την παροχή των Υπηρεσιών και ο Xxxxxxx και η Iron Mountain συμφωνούν:
9.1.1 να συμμορφώνονται με τους εφαρμοστέους Νόμους περί Προστασίας Δεδομένων σχετικά με τις εν λόγω διαβιβάσεις·
9.1.2 ότι έχουν, λαμβάνοντας υπόψη, χωρίς περιορισμό, i) τις κατηγορίες των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη, ii) τις χώρες των οποίων η εθνική νομοθεσία ενδέχεται να μην παρέχει επίπεδο προστασίας για τα Δεδομένα Προσωπικού Χαρακτήρα που να είναι συγκρίσιμο με εκείνο των νόμων της ΕΕ/του Η.Β. («Τρίτη Χώρα») στο πεδίο εφαρμογής, iii) τα σχετικά τεχνικά και οργανωτικά μέτρα που ορίζονται στις Ενότητες 7 και iv) τα σχετικά μέρη που συμμετέχουν στην επεξεργασία των εν λόγω Δεδομένων Προσωπικού Χαρακτήρα των Πελατών, διεξαγάγει αξιολόγηση της καταλληλότητας του σχετικού μηχανισμού διαβίβασης που υιοθετείται βάσει της παρούσας, όπου απαιτείται από τον νόμο και έχει καθορίσει ότι ο εν λόγω μηχανισμός διαβίβασης έχει σχεδιαστεί κατάλληλα για να διασφαλίζει ότι τα Δεδομένα Προσωπικού Χαρακτήρα που διαβιβάζονται σύμφωνα με την παρούσα ΣΕΔ έχουν επίπεδο προστασίας στη χώρα προορισμού που είναι ουσιαστικά ισοδύναμο με αυτό που είναι εγγυημένο βάσει των Νόμων περί Προστασίας Δεδομένων.
10. ΝΟΜΙΚΗ ΕΥΘΥΝΗ ΚΑΙ ΑΠΟΖΗΜΙΩΣΗ
10.1 Παρά οτιδήποτε περί του αντιθέτου στη Σύμβαση, σε περίπτωση Παραβίασης Ασφαλείας που προκαλείται απευθείας από παράβαση των υποχρεώσεων της Iron Mountain βάσει της παρούσας ΣΕΔ, η Iron Mountain θα αποζημιώσει τον Πελάτη στον βαθμό που επιτρέπεται από το εφαρμοστέο δίκαιο για απευθείας, επαληθεύσιμα, απαραίτητα και εύλογα πραγματοποιηθέντα έξοδα του Πελάτη για (α) τη διερεύνηση της εν λόγω Παραβίασης Ασφάλειας, (β) την προετοιμασία και αποστολή ειδοποιήσεων στα Υποκείμενα Δεδομένων και στις κανονιστικές αρχές, όπως απαιτείται από τους Νόμους περί Προστασίας Δεδομένων, (γ) την παροχή υπηρεσιών παρακολούθησης της πιστοληπτικής φερεγγυότητας στα εν λόγω άτομα, όπως απαιτείται από τον νόμο, για χρονικό διάστημα που δεν υπερβαίνει τους δώδεκα (12) μήνες, και (δ) την πληρωμή του μέρους των κανονιστικών προστίμων, ποινών ή κυρώσεων που επιβάλλονται από μία εποπτική αρχή για τις οποίες η εποπτική αρχή δηλώνει ότι η Iron Mountain είναι απευθείας υπεύθυνη.
10.2 Σε περίπτωση που ένα Υποκείμενο Δεδομένων εγείρει απαίτηση κατά ενός ή και των δύο μερών για εικαζόμενη παράβαση των Νόμων περί Προστασίας Δεδομένων («Αξιώσεις Υποκειμένων Δεδομένων») όπου αυτό επιτρέπεται, κάθε συμβαλλόμενο μέρος θα ελέγχει τη δική του υπεράσπιση σε οποιαδήποτε τέτοια αξίωση (ή το δικό του τμήμα της υπεράσπισης) και θα παραμένει αποκλειστικά υπεύθυνο για τα δικά του έξοδα, κόστη και υποχρεώσεις που σχετίζονται με αυτά, συμπεριλαμβανομένων νομικών αμοιβών ή οποιωνδήποτε ποσών που επιδικασθούν εναντίον του από ένα δικαστήριο ή διακανονιστούν από αυτό, υπό την προϋπόθεση, ωστόσο, ότι όταν κάθε μέρος είναι υπεύθυνο για ένα μέρος ή οποιοδήποτε μέρος είναι υπεύθυνο για το πλήρες ποσό των ζημιών που υπέστη ένα Υποκείμενο Δεδομένων για το ίδιο περιστατικό ή σειρά περιστατικών και το Υποκείμενο Δεδομένων έχει ανακτήσει πλήρη αποζημίωση από ένα μόνο μέρος (το «Αποζημιώνον Μέρος»), τότε το Αποζημιώνον Μέρος θα δικαιούται να απαιτήσει από το άλλο μέρος το μέρος της αποζημίωσης που αντιστοιχεί στη ζημία που προκλήθηκε από το εν λόγω άλλο μέρος. Το Αποζημιώνον Μέρος μπορεί να εγείρει την αξίωσή του προς το άλλο μέρος εντός 12 μηνών μετά το περιστατικό, στον βαθμό που επιτρέπεται από τους εφαρμοστέους νόμους.
10.3 Στον μέγιστο βαθμό που επιτρέπεται από τους εφαρμοστέους νόμους, οι περιορισμοί ευθύνης και οποιεσδήποτε εξαιρέσεις ζημιών που ορίζονται στη Σύμβαση διέπουν τη συνολική ευθύνη για όλες τις απαιτήσεις του Πελάτη που προκύπτουν από ή σχετίζονται με την παρούσα ΣΕΔ ή/και τη Σύμβαση κατά της Iron Mountain. Αυτοί οι περιορισμοί ευθύνης και οι εξαιρέσεις ζημιών ισχύουν για όλες τις αξιώσεις, είτε προκύπτουν από σύμβαση, αδικοπραξία ή οποιαδήποτε άλλη θεωρία ευθύνης και οποιαδήποτε αναφορά στην ευθύνη της Iron Mountain σημαίνει τη συνολική ευθύνη της Iron Mountain και όλων των συγγενών εταιρειών της Iron Mountain συλλογικά για αξιώσεις από τον Xxxxxx και όλες τις άλλες συνδεδεμένες εταιρείες του Πελάτη. Στον βαθμό που απαιτείται από τους εφαρμοστέους νόμους, αυτή η ενότητα δεν έχει σκοπό (i) να τροποποιήσει ή να περιορίσει την ευθύνη των μερών για αξιώσεις Υποκειμένων Δεδομένων που κατατίθενται κατά ενός μέρους όπου υπάρχει κοινή και εις ολόκληρον ευθύνη ή (ii) να περιορίσει την ευθύνη οποιουδήποτε μέρους να πληρώσει κυρώσεις που επιβάλλονται στο εν λόγω μέρος από μία κανονιστική αρχή.
10.4 Οι ρήτρες 10.1 έως 10.3 αναφέρουν τη μοναδική και αποκλειστική αποκατάσταση κάθε μέρους και τη μοναδική ευθύνη κάθε μέρους για οποιαδήποτε απώλεια, ζημία, δαπάνη ή ευθύνη σε σχέση με την παρούσα ΣΕΔ.
11. ΑΙΤΗΜΑΤΑ ΔΗΜΟΣΙΩΝ ΑΡΧΩΝ
11.1 Στον βαθμό που επιτρέπεται από τον νόμο και με την επιφύλαξη των ρητρών 11.2 έως 11.5 παρακάτω, η Iron Mountain συμφωνεί να ειδοποιήσει τον Xxxxxx εάν:
11.1.1 λάβει νομικά δεσμευτικό αίτημα από μία δημόσια αρχή, συμπεριλαμβανομένων των δικαστικών αρχών, σύμφωνα με τους νόμους της χώρας προορισμού για τη γνωστοποίηση των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη που διαβιβάζονται σύμφωνα με τη Σύμβαση ή
11.1.2 λάβει γνώση οποιασδήποτε απευθείας πρόσβασης από τις δημόσιες αρχές στα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη που διαβιβάζονται σύμφωνα με τη Σύμβαση, σύμφωνα με τους νόμους της χώρας προορισμού.
11.2 Εάν η Iron Mountain απαγορεύεται να ειδοποιήσει τον Πελάτη σύμφωνα με τους νόμους της χώρας προορισμού, η Iron Mountain συμφωνεί να καταβάλει κάθε δυνατή προσπάθεια για να εξασφαλίσει μία αποποίηση της απαγόρευσης, με σκοπό την κοινοποίηση όσο το δυνατόν περισσότερων πληροφοριών το συντομότερο δυνατό.
11.3 Η Iron Mountain συμφωνεί να εξετάσει τη νομιμότητα του αιτήματος γνωστοποίησης, ιδίως εάν παραμένει εντός των εξουσιών που χορηγούνται στην αιτούσα δημόσια αρχή και να αμφισβητήσει το αίτημα εάν συμπεραίνεται ότι υπάρχουν εύλογοι λόγοι να ληφθεί υπόψη ότι το αίτημα είναι παράνομο σύμφωνα με τους νόμους της χώρας προορισμού. Δεν θα γνωστοποιήσει τα Δεδομένα Προσωπικού Χαρακτήρα που ζητήθηκαν έως ότου αυτό ζητηθεί από τους ισχύοντες διαδικαστικούς κανόνες.
11.4 Η Iron Mountain συμφωνεί να παρέχει την ελάχιστη επιτρεπόμενη ποσότητα πληροφοριών όταν απαντά σε ένα αίτημα γνωστοποίησης, με βάση μία εύλογη ερμηνεία του αιτήματος.
11.5 Η Iron Mountain συμφωνεί να διατηρήσει τις πληροφορίες σύμφωνα με τη ρήτρα για όλη τη διάρκεια της Σύμβασης και να τις καταστήσει διαθέσιμες στην αρμόδια εποπτική αρχή κατόπιν αιτήματος.
12. ΔΙΑΦΟΡΟΙ ΟΡΟΙ
12.1 Με την επιφύλαξη της φύσης των Υπηρεσιών που παρέχονται από την Iron Mountain, κατά την καταγγελία/λήξη της Σύμβασης, με βάση τις συγκεκριμένες οδηγίες του Xxxxxx και με την επιφύλαξη των όρων της Σύμβασης, η Iron Mountain είτε θα διαγράψει/καταστρέψει είτε θα επιστρέψει στον Πελάτη ή σε τρίτο μέρος που έχει οριστεί από τον Xxxxxx, όλα τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη. Οποιαδήποτε Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη που περιέχονται στο περιουσιακό στοιχείο του Πελάτη που έχει αποθηκευτεί από την Iron Mountain για λογαριασμό του Xxxxxx, θα επιστραφούν στον Πελάτη σύμφωνα με ένα συμφωνημένο σχέδιο εξόδου ή διακίνησης και με την επιφύλαξη των συμφωνηθέντων εξόδων, όπως ορίζεται στη Σύμβαση ή σε άλλο ισχύον συμβατικό έγγραφο. Σε όλες τις άλλες περιπτώσεις, εάν η Σύμβαση είναι σιωπηρή ως προς τη διαγραφή/καταστροφή ή την επιστροφή των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη και ο Xxxxxxx δεν δώσει οποιεσδήποτε οδηγίες σχετικά με τη διαγραφή/καταστροφή ή την επιστροφή των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη εντός δεκαπέντε (15) ημερών από την καταγγελία/λήξη της Σύμβασης, η Iron Mountain θα στείλει γραπτή ειδοποίηση στον Πελάτη ζητώντας να λάβει, εντός 15 (δεκαπέντε) ημερών, συγκεκριμένες οδηγίες για το εάν θα διαγράψει/καταστρέψει ή θα επιστρέψει τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη και θα ενημερώσει τον Πελάτη για όλα τα εφαρμοστέα κόστη της ασφαλούς καταστροφής ή για άλλες χρεώσεις πληρωτέες από τον Πελάτη. Εάν ο Πελάτης δεν παράσχει γραπτές οδηγίες εντός του εν λόγω χρονικού πλαισίου των δεκαπέντε (15) ημερών και πληρώσει τις εφαρμοστέες χρεώσεις εντός της ίδιας περιόδου, τότε ο Πελάτης εξουσιοδοτεί δια της παρούσας την Iron Mountain να προχωρήσει σε περαιτέρω επεξεργασία, διαγραφή, καταστροφή όλων των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη μετά τη λήξη της Σύμβασης, κατ' επιλογή της Iron Mountain και με έξοδα του Πελάτη.
12.2 Παρά την Παράγραφο 12.1, η Iron Mountain δεν θα παραβεί τις υποχρεώσεις της όσον αφορά στη διαγραφή των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη που διατηρούνται σε εφεδρικές ταινίες, εφόσον οι εν λόγω εφεδρικές ταινίες παρακαμφθούν (και συνεπώς διαγραφούν τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη) κατά τη συνήθη πορεία των εργασιών.
12.3 Εκτός από τις Τυποποιημένες Συμβατικές Ρήτρες (όπως ορίζονται στο Παράρτημα 3 της παρούσας ΣΕΔ), η παρούσα ΣΕΔ και οποιαδήποτε διαφορά, απαίτηση ή αντιδικία που προκύπτει από ή σχετίζεται με την παρούσα ΣΕΔ ή η παραβίαση, καταγγελία ή εγκυρότητα αυτής, διέπονται από την επιλογή της διάταξης του νόμου της Σύμβασης και οποιαδήποτε αντιδικία, αντιπαράθεση ή απαίτηση που προκύπτει από ή σε σχέση με την παρούσα ΣΕΔ θα επιδιώκεται κυρίως να επιλυθεί μέσω οποιασδήποτε καθορισμένης διαδικασίας επίλυσης αντιδικιών που περιέχεται στη Σύμβαση.
12.4 Κάθε μέρος μπορεί να ενημερώνει το έτερο μέρος γραπτώς κατά καιρούς για οποιεσδήποτε τροποποιήσεις στην παρούσα ΣΕΔ που το συμβαλλόμενο μέρος θεωρεί εύλογα απαραίτητες για την αντιμετώπιση των απαιτήσεων των Νόμων περί Προστασίας Δεδομένων ή οποιασδήποτε απόφασης εποπτικής αρχής ή αρμόδιου δικαστηρίου. Οποιεσδήποτε τέτοιες τροποποιήσεις θα τίθενται σε ισχύ μόνο εάν και στον βαθμό που ορίζεται σε μία αμοιβαία συμφωνημένη τροποποίηση της παρούσας ΣΕΔ που υπογράφεται από αμφότερα τα μέρη, εκτός εάν ένα μέρος ενημερώσει το έτερο μέρος για οποιαδήποτε νέα νομική απαίτηση και στείλει μία τέτοια τροποποίηση που περιλαμβάνει μόνο τις απαραίτητες αλλαγές και η οποία μπορεί να γίνει αποδεκτή χωρίς επίσημη συμφωνία με αυτήν, δηλαδή, μέσω μη έγερσης οποιασδήποτε ένστασης εντός ορισμένης προθεσμίας, θα θεωρούνται αμοιβαία συμφωνημένες τροποποιήσεις της παρούσας ΣΕΔ.
ΠΑΡΑΡΤΗΜΑ 1
Λεπτομέρειες επεξεργασίας και διαβίβασης δεδομένων (εάν ισχύει) Α. ΛΙΣΤΑ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ:
Τα συμβαλλόμενα μέρη της παρούσας ΣΕΔ και οι ρόλοι του Εξαγωγέα Δεδομένων και του Εισαγωγέα Δεδομένων καθορίζονται στη Σύμβαση και στο Παράρτημα 3 (Διεθνείς Διαβιβάσεις Δεδομένων), κατά περίπτωση.
Β. ΠΕΡΙΓΡΑΦΗ ΕΠΕΞΕΡΓΑΣΙΑΣ/ ΔΙΑΒΙΒΑΣΗΣ (εάν ισχύει):
Κατηγορίες Υποκειμένων Δεδομένων των οποίων τα Δεδομένα Προσωπικού Χαρακτήρα υποβάλλονται σε επεξεργασία/διαβιβάζονται:
Ανάλογα με τη φύση των Υπηρεσιών της Iron Mountain και την επιχείρηση του Πελάτη, ο Πελάτης μπορεί να υποβάλει Δεδομένα Προσωπικού Χαρακτήρα που ανήκουν σε διάφορες κατηγορίες Υποκειμένων Δεδομένων στην Iron Mountain, η έκταση των οποίων καθορίζεται και ελέγχεται από τον Πελάτη κατά την απόλυτη διακριτική του ευχέρεια. Ως εκ τούτου, στις κατηγορίες Υποκειμένων Δεδομένων μπορεί να περιλαμβάνονται οι εξής: πρώην και νυν υπάλληλοι, πρώην και νυν εργολάβοι ή σύμβουλοι, εργολάβοι ή σύμβουλοι που παρέχονται από υπηρεσίες και εξωτερικούς αποσπασθέντες, αιτούντες εργασία και υποψηφίους, σπουδαστές και εθελοντές, άτομα που προσδιορίζονται από υπαλλήλους ή συνταξιούχους ως δικαιούχοι, σύζυγοι, αστικοί σύντροφοι, εξαρτώμενα μέλη και επαφές έκτακτης ανάγκης, συνταξιούχοι, πρώην και νυν διευθυντές και στελέχη, μέτοχοι, ομολογιούχοι, κάτοχοι λογαριασμών, τελικοί χρήστες / καταναλωτές (ενήλικες, παιδιά), ασθενείς (ενήλικες, παιδιά), περαστικοί (κάμερες CCTV), και χρήστες του xxxxxxxxx.
Κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα που υποβάλλονται σε επεξεργασία/διαβιβάζονται:
Ανάλογα με τη φύση των Υπηρεσιών της Iron Mountain και την επιχείρηση του Πελάτη, ο Πελάτης μπορεί να υποβάλει Δεδομένα Προσωπικού Χαρακτήρα που ανήκουν σε διάφορες κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα στην Iron Mountain, η έκταση των οποίων καθορίζεται και ελέγχεται από τον Πελάτη κατά την απόλυτη διακριτική του ευχέρεια. Ως εκ τούτου, οι κατηγορίες μπορεί να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τον Xxxxxx ή/και τους πελάτες, τους υπαλλήλους κ.λπ. του Πελάτη.
Διαβιβαζόμενα ευαίσθητα δεδομένα (εάν ισχύει):
Ανάλογα με τη φύση των υπηρεσιών της Iron Mountain και την επιχείρηση του Πελάτη, ο Πελάτης μπορεί να υποβάλει ευαίσθητα δεδομένα στην Iron Mountain, η έκταση των οποίων καθορίζεται και ελέγχεται από τον Πελάτη κατά την απόλυτη διακριτική του ευχέρεια.
Κατά περίπτωση, συχνότητα της διαβίβασης (π.χ. εάν τα δεδομένα διαβιβάζονται σε μεμονωμένη ή συνεχή βάση):
Η διαβίβαση πραγματοποιείται σε συνεχή βάση.
Χαρακτήρας της επεξεργασίας:
Συλλογή, καταγραφή, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, γνωστοποίηση μέσω μετάδοσης, διάδοση ή διάθεση με άλλον τρόπο, ευθυγράμμιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή.
Σκοπός(οί) της επεξεργασίας/διαβίβασης (κατά περίπτωση) και περαιτέρω επεξεργασίας:
Η παροχή των Υπηρεσιών όπως ορίζεται στη Σύμβαση.
Διατήρηση δεδομένων:
Τα Δεδομένα Προσωπικού Χαρακτήρα θα διατηρούνται από την Iron Mountain για όλη τη διάρκεια των Υπηρεσιών που προσφέρονται στον Πελάτη και έως ότου τα Δεδομένα Προσωπικού Χαρακτήρα επιστραφούν ή καταστραφούν, όπως καθορίζεται σύμφωνα με τη ρήτρα 12.1 της παρούσας ΣΕΔ.
Εάν ισχύει, για διαβιβάσεις σε (υπο) Εργολάβους Επεξεργασίας, προσδιορίστε επίσης το αντικείμενο, τη φύση και τη διάρκεια της επεξεργασίας:
Για όλη τη διάρκεια της Σύμβασης με τον Xxxxxx, οι Υπεργολάβοι επεξεργασίας παρέχουν, μεταξύ άλλων, υπηρεσίες τεχνολογίας πληροφοριών (IT) και συμβουλευτικές υπηρεσίες, συμπεριλαμβανομένης της παγκόσμιας υποστήριξης IT, των υπηρεσιών αναφοράς συμβάντων και διαχείρισης.
Γ. ΑΡΜΟΔΙΑ ΕΠΟΠΤΙΚΗ ΑΡΧΗ
Όπως ορίζεται στο Παράρτημα 3 (Διεθνείς Διαβιβάσεις Δεδομένων), κατά περίπτωση.
ΠΑΡΑΡΤΗΜΑ 2
ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ («ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ»)
1. ΠΡΟΓΡΑΜΜΑ ΚΑΙ ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ
Η Iron Mountain θα διατηρεί ένα πρόγραμμα ασφάλειας πληροφοριών με κατάλληλους φυσικούς, τεχνικούς και διαχειριστικούς ελέγχους, που έχουν σχεδιαστεί για να πληρούν τα κλαδικά πρότυπα. Στο πρόγραμμα ασφάλειας πληροφοριών θα περιλαμβάνονται:
1.1 Τεκμηρίωση, εσωτερική δημοσίευση και κοινοποίηση των πολιτικών, προτύπων και διαδικασιών ασφάλειας πληροφοριών της Iron Mountain·
1.2. Τεκμηριωμένη, σαφής ανάθεση ευθυνών και εξουσιών για την καθιέρωση και διατήρηση του προγράμματος ασφάλειας πληροφοριών·
1.3 Τακτική δοκιμή των βασικών ελέγχων, συστημάτων και διαδικασιών του προγράμματος ασφάλειας πληροφοριών·
1.4 Διοικητικά, τεχνικά και λειτουργικά μέτρα, σχεδιασμένα για την προστασία όλων των Δεδομένων Προσωπικού Χαρακτήρα των Πελατών, χρησιμοποιώντας τις πρακτικές, τις διαδικασίες και τις διεργασίες που περιγράφονται στο παρόν Παράρτημα Ασφαλείας, στον βαθμό που είναι σχετικά και ισχύουν για τη μορφή με την οποία διατηρούνται τα Δεδομένα Προσωπικού Χαρακτήρα των Πελατών.
2. ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΟΥ
Η Iron Mountain πρέπει να διατηρεί ένα πρόγραμμα αξιολόγησης κινδύνων ασφαλείας πληροφοριών, σχεδιασμένο για τον εντοπισμό και την αξιολόγηση εύλογα προβλέψιμων εσωτερικών και εξωτερικών κινδύνων και τρωτών σημείων που θα μπορούσαν να επηρεάσουν την ασφάλεια, την εμπιστευτικότητα ή/και την ακεραιότητα των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη. Η Iron Mountain θα αξιολογεί και θα ενημερώνει, όπου είναι απαραίτητο, εύλογο και κατάλληλο, την αποτελεσματικότητα του τρέχοντος προγράμματος ασφάλειας πληροφοριών για τον περιορισμό αυτών των κινδύνων, σε ετήσια βάση ή κάθε φορά που υπάρχει ουσιώδης αλλαγή στον κίνδυνο ή τις ευπάθειες των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη.
3. ΔΙΑΧΕΙΡΙΣΗ ΤΩΝ ΠΕΡΙΟΥΣΙΑΚΩΝ ΣΤΟΙΧΕΙΩΝ ΚΑΙ ΤΩΝ ΦΥΣΙΚΩΝ ΜΕΣΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ
3.1 Διαχείριση των περιουσιακών στοιχείων επεξεργασίας πληροφοριών. Η Iron Mountain διατηρεί ένα πρόγραμμα διαχείρισης αποθέματος περιουσιακών στοιχείων για τη διαχείριση των φυσικών, τεχνικών και διοικητικών ελέγχων που σχετίζονται με τα περιουσιακά στοιχεία επεξεργασίας πληροφοριών της Iron Mountain (όπως υπολογιστές, διακομιστές, συσκευές αποθήκευσης, δίκτυα επικοινωνιών, προσωπικοί υπολογιστές, φορητοί υπολογιστές και περιφερειακές συσκευές).
Το πρόγραμμα διαχείρισης αποθέματος περιουσιακών στοιχείων περιλαμβάνει τα εξής:
3.1.1 Τεκμηριωμένη εκχώρηση της κυριότητας των περιουσιακών στοιχείων στο προσωπικό της Iron Mountain για να διασφαλιστεί η κατάλληλη ταξινόμηση των πληροφοριών, ο προσδιορισμός των περιορισμών πρόσβασης και η ανασκόπηση των ελέγχων πρόσβασης.
3.1.2 Απολύμανση των περιουσιακών στοιχείων πριν την απόρριψή τους σύμφωνα με το πρότυπο NIST 800-88.
3.1.3 Απαίτηση εξουσιοδότησης διαχείρισης πριν από την αφαίρεση εξοπλισμού ή λογισμικού που δεν έχει εκχωρηθεί σε ένα συγκεκριμένο άτομο από τις εγκαταστάσεις της Iron Mountain.
3.2 Έλεγχοι. Οι έλεγχοι της Iron Mountain περιλαμβάνουν τους εξής:
3.2.1 Διαδικασίες λειτουργίας και τεχνικοί έλεγχοι που έχουν σχεδιαστεί για την προστασία εγγράφων, μέσων υπολογιστών, δεδομένων εισόδου/εξόδου/δημιουργίας αντιγράφων ασφαλείας και τεκμηρίωσης συστήματος από μη εξουσιοδοτημένη γνωστοποίηση, τροποποίηση και καταστροφή.
3.2.2 Διαδικασίες για την ασφαλή απόρριψη ηλεκτρονικών ή φυσικών μέσων που περιέχουν Δεδομένα Προσωπικού Χαρακτήρα Πελατών.
3.2.3 Μια καθιερωμένη διαδικασία για την παρακολούθηση όλων των φυσικών μέσων του Πελάτη από την αρχική φύλαξη στην Iron Mountain έως τη μόνιμη απόσυρση ή καταστροφή.
4. ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΕΡΓΑΤΙΚΟΥ ΔΥΝΑΜΙΚΟΥ
4.1 Εμπιστευτικότητα. Η Iron Mountain θα απαιτήσει εύλογα από όλους τους υπαλλήλους της Iron Mountain, συμπεριλαμβανομένων των προσωρινών και συμβασιούχων υπαλλήλων, να συμφωνήσουν να διατηρήσουν την εμπιστευτικότητα των Δεδομένων Προσωπικού Χαρακτήρα των Πελατών και να συμμορφώνονται με τις απαιτήσεις εσωτερικής ασφάλειας πληροφοριών και αποδεκτής χρήσης της Iron Mountain.
4.2 Πολιτική Διερεύνησης Ιστορικού. Η Iron Mountain διαθέτει μία πολιτική διερεύνησης ιστορικού και μία πολιτική δοκιμών ναρκωτικών (μόνο για τις ΗΠΑ) σε ισχύ για τους υπαλλήλους της. Η Iron Mountain θα συνεχίσει να διατηρεί αυτές τις πολιτικές για όλη τη διάρκεια της Σύμβασης. Οι απαιτήσεις της πολιτικής περιλαμβάνουν, χωρίς περιορισμό, τον έλεγχο ναρκωτικών (μόνο στις ΗΠΑ), την επαλήθευση ταυτότητας προσωπικού, τις αναζητήσεις ποινικού μητρώου, τις επαληθεύσεις απασχόλησης, τις
αναζητήσεις κρατικών/τρομοκρατικών καταλόγων παρακολούθησης, καθώς και τις επαληθεύσεις εκπαίδευσης για ορισμένους υπαλλήλους και το ιστορικό αδειών οδήγησης και παραβιάσεων για υποψήφιους οδηγούς και υφιστάμενους οδηγούς. Όταν εντοπίζονται υποτιμητικές πληροφορίες σε έναν έλεγχο ιστορικού, η Iron Mountain διεξάγει μία εξατομικευμένη αξιολόγηση, σύμφωνα με τους ισχύοντες εργασιακούς νόμους και τις βέλτιστες πρακτικές.
4.3 Εργασία με Υπεργολάβους. Η Iron Mountain θα απαιτήσει από οποιονδήποτε υπεργολάβο που εκτελεί Υπηρεσίες βάσει της Σύμβασης να συμμορφώνεται με παρόμοιους περιορισμούς με αυτούς που ορίζονται στην παρούσα Ενότητα σχετικά με οποιοδήποτε προσωπικό υπεργολάβου που θα εκτελεί Υπηρεσίες, βάσει της Σύμβασης, που περιλαμβάνει την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα Πελατών.
4.4 Εκπαίδευση επίγνωσης θεμάτων ασφαλείας. Τουλάχιστον μία φορά το χρόνο, η Iron Mountain θα διεξάγει εκπαίδευση γενικής επίγνωσης ασφαλείας και ειδική εκπαίδευση ασφαλείας που ισχύει για όλους τους υπαλλήλους της Iron Mountain με πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα Πελατών. Η Iron Mountain πρέπει να διατηρεί αρχεία που να δείχνουν τα ονόματα των εν λόγω υπαλλήλων της Iron Mountain που παρευρίσκονται και την ημερομηνία κάθε εκπαίδευσης επίγνωσης θεμάτων ασφαλείας. Η Iron Mountain θα εξετάζει και θα ενημερώνει τακτικά το εκπαιδευτικό της πρόγραμμα επίγνωσης θεμάτων ασφαλείας.
4.5 Αφαίρεση προσωπικού της Iron Mountain. Η Iron Mountain διατηρεί μία πειθαρχική διαδικασία που εφαρμόζεται στους υπαλλήλους της Iron Mountain που παραβιάζουν τις απαιτήσεις ασφαλείας της παρούσας.
4.6 Τερματισμός πρόσβασης κατά τον τερματισμό/επανανάθεση. Μετά τον τερματισμό ή την εκ νέου ανάθεση ενός ρόλου που δεν απαιτεί πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα των Πελατών, η πρόσβαση ενός υπαλλήλου της Iron Mountain σε Δεδομένα Προσωπικού Χαρακτήρα των Πελατών θα ανακληθεί αμέσως.
5. XXXXXX ΚΑΙ ΠΕΡΙΒΑΛΛΟΝΤΙΚΗ ΑΣΦΑΛΕΙΑ
5.1 Φυσικοί έλεγχοι ασφαλείας. Οι εγκαταστάσεις της Iron Mountain χρησιμοποιούν φυσικούς ελέγχους που περιορίζουν εύλογα την πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα των Πελατών, συμπεριλαμβανομένων, όπως η Iron Mountain θεωρεί κατάλληλο, των πρωτοκόλλων ελέγχου πρόσβασης, των φυσικών φραγμών, όπως κλειδωμένες εγκαταστάσεις και περιοχές, διακριτικά πρόσβασης υπαλλήλων, αρχεία καταγραφής επισκεπτών, διακριτικά πρόσβασης επισκεπτών, αναγνώστες καρτών, κάμερες παρακολούθησης βίντεο και συναγερμοί ανίχνευσης εισβολών. Όλοι οι επισκέπτες πρέπει να υπογράφουν κατά την είσοδό τους και να συνοδεύονται σε κάθε στιγμή.
5.2 Υποστηρικτικά βοηθητικά προγράμματα. Η Iron Mountain θα χρησιμοποιεί μέτρα σχεδιασμένα για την προστασία των εγκαταστάσεών της που περιέχουν Δεδομένα Προσωπικού Χαρακτήρα Πελατών και συστήματα από βλάβες στην παροχή ισχύος, τις τηλεπικοινωνίες, την παροχή νερού, τα λύματα, τη θέρμανση, τον εξαερισμό και τον κλιματισμό, κατά περίπτωση.
5.3 Ασφάλεια συστήματος μετάδοσης. Η Iron Mountain θα εφαρμόζει μέτρα σχεδιασμένα για την προστασία της φυσικής ασφάλειας της υποδομής του δικτύου της και των τηλεπικοινωνιακών συστημάτων της από υποκλοπή και ζημιά της μετάδοσης.
5.4 Εξοπλισμός εκτός τοποθεσίας. Σε περίπτωση που η Iron Mountain αναθέτει λειτουργίες που απαιτούν τη χρήση εξοπλισμού εκτός των εγκαταστάσεων για την υποστήριξη υπηρεσιών, οποιοσδήποτε εξοπλισμός εκτός των εγκαταστάσεων που αποθηκεύει Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη θα προστατεύεται από ασφάλεια ισοδύναμη με εκείνη που χρησιμοποιείται για εξοπλισμό εντός των εγκαταστάσεων που χρησιμοποιείται για τον ίδιο σκοπό.
5.5 Φυσική πρόσβαση στα περιουσιακά στοιχεία επεξεργασίας πληροφοριών. Η Iron Mountain θα διατηρεί αρχεία των υπαλλήλων της Iron Mountain που είναι εξουσιοδοτημένοι να έχουν φυσική πρόσβαση σε περιβάλλον(τα) υπολογιστών που ελέγχονται από την Iron Mountain και χρησιμοποιούνται από την Iron Mountain για την παροχή Υπηρεσιών για ένα έτος και κατόπιν αιτήματος του Πελάτη σχετικά με μία Παραβίαση Ασφαλείας και με την επιφύλαξη των πολιτικών ασφαλείας της Iron Mountain, θα παρέχει πρόσβαση στον Πελάτη για την προβολή ελεγχόμενων αρχείων των εν λόγω υπαλλήλων της Iron Mountain.
5.6 Περιορισμένη φυσική πρόσβαση. Η Iron Mountain θα περιορίσει τη φυσική πρόσβαση σε εγκαταστάσεις ελεγχόμενες από την Iron Mountain που επεξεργάζονται Δεδομένα Προσωπικού Χαρακτήρα Πελατών στους υπαλλήλους της Iron Mountain και σε εξουσιοδοτημένα άτομα που έχουν επιχειρηματική ανάγκη για τέτοια πρόσβαση. Η Iron Mountain θα διαθέτει μία διαδικασία έγκρισης για την έγκριση και την παρακολούθηση αιτημάτων για φυσική πρόσβαση σε τέτοιες εγκαταστάσεις.
5.7 Επισκευές και τροποποιήσεις. Η Iron Mountain θα καταγράφει όλες τις επισκευές και τροποποιήσεις που σχετίζονται με την ασφάλεια σε οποιαδήποτε φυσικά εξαρτήματα, συμπεριλαμβανομένων του υλικού, των τοίχων, των θυρών και των ασφαλειών ασφαλών χώρων εντός των εγκαταστάσεων όπου αποθηκεύονται Δεδομένα Προσωπικού Χαρακτήρα Πελατών.
5.8 Αρχεία. Διατηρείτε αρχείο των μετακινήσεων υλικού και ηλεκτρονικών μέσων και οποιουδήποτε υπεύθυνου ατόμου για αυτό.
6. ΔΙΑΧΕΙΡΙΣΗ ΛΕΙΤΟΥΡΓΙΩΝ ΕΠΙΚΟΙΝΩΝΙΑΣ ΚΑΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ
6.1 Πρότυπα διαμόρφωσης συσκευών. Η Iron Mountain θα δημιουργήσει, θα εφαρμόσει και θα διατηρήσει διαδικασίες διαχείρισης του συστήματος που πληρούν τα πρότυπα του κλάδου, συμπεριλαμβανομένων, χωρίς περιορισμό, της θωράκισης του συστήματος, της επιδιόρθωσης του συστήματος και των
συσκευών (λειτουργικό σύστημα και εφαρμογές) και της κατάλληλης εγκατάστασης και ενημερώσεων για την προστασία από ιούς.
6.2 Έλεγχος Αλλαγής Συστημάτων Επεξεργασίας Πληροφοριών. Η Iron Mountain θα διαθέτει μία εσωτερική επίσημη διαδικασία αίτησης διαχείρισης αλλαγών για συστήματα επεξεργασίας πληροφοριών και δικτύων επικοινωνιών και τα αιτήματα αλλαγών της Iron Mountain θα τεκμηριώνονται, δοκιμάζονται και εγκρίνονται πριν από την εφαρμογή οποιωνδήποτε νέων δυνατοτήτων επεξεργασίας πληροφοριών ή επικοινωνιών δικτύου, ενημερώσεων κώδικα συστήματος ή αλλαγών σε υφιστάμενα συστήματα.
6.3 Διαχωρισμός καθηκόντων. Η Iron Mountain πρέπει να διαχωρίζει τα καθήκοντα και τους τομείς ευθύνης, έτσι ώστε κανένα άτομο να μην έχει την αποκλειστική ικανότητα να τροποποιεί τα συστήματα επεξεργασίας πληροφοριών που έχουν πρόσβαση στα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη.
6.4 Διαχωρισμός Περιβάλλοντος Ανάπτυξης και Παραγωγής. Τα περιβάλλοντα ανάπτυξης, δοκιμών και παραγωγής της Iron Mountain για τα συστήματα επεξεργασίας πληροφοριών πρέπει να είναι λογικά ή φυσικά διαχωρισμένα.
6.5 Τεχνική διαχείριση αρχιτεκτονικής. Η Iron Mountain θα καθιερώσει μια διαδικασία διαχείρισης διαμόρφωσης για τον καθορισμό, τη διαχείριση και τον έλεγχο των στοιχείων του συστήματος επεξεργασίας πληροφοριών που χρησιμοποιούνται για την παροχή των Υπηρεσιών και της τεχνικής υποδομής των εν λόγω στοιχείων.
6.6 Ανίχνευση εισβολής. Η Iron Mountain θα παρακολουθεί συνεχώς τα συστήματα υπολογιστών και τις διαδικασίες για απόπειρες ή πραγματικές εισβολές ή παραβιάσεις ασφαλείας και θα ενημερώνει τον Πελάτη για οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα των Πελατών.
6.7 Ασφάλεια δικτύου. Η Iron Mountain θα διασφαλίσει ότι υπάρχουν τα ακόλουθα:
6.7.1 Όσον αφορά στο περιβάλλον(τα) που φιλοξενείται στην Iron Mountain και χρησιμοποιείται για την παροχή των Υπηρεσιών, το σύστημα ανίχνευσης εισβολών δικτύου («IDS») και οι αισθητήρες πρόληψης εισβολών («IPS») ειδοποιούν για συμβάντα που καταγράφονται, με καθημερινές αναφορές που εκδίδονται για έλεγχο (συλλήβδην γνωστές ως «IDS/IPS»)·
6.7.2 Όσον αφορά στο περιβάλλον(τα) που φιλοξενείται στην Iron Mountain και χρησιμοποιείται για την παροχή των Υπηρεσιών, τα IDS/IPS που ενημερώνονται όχι λιγότερο συχνά από εβδομαδιαία αλλά όσο το δυνατόν συντομότερα μετά τη λήψη των ενημερώσεων και την άμεση εκτέλεση των πιο πρόσφατων υπογραφών απειλών ή κανόνων·
6.7.3 Θύρες υψηλού κινδύνου σε εξωτερικά συστήματα δεν είναι προσβάσιμες από το διαδίκτυο·
6.7.4 Οι συνδέσεις δικτύου της Iron Mountain καταγράφονται σε αρχεία καταγραφής·
6.7.5 Ανάπτυξη τείχους προστασίας (ή τειχών) που έχουν σχεδιαστεί για την προστασία και την επιθεώρηση όλων των εισερχόμενων και εξερχόμενων υπηρεσιών δικτύου που κινούνται μεταξύ καθορισμένων σημείων δικτύου·
6.7.6 Πολιτικές θωράκισης για τον καθορισμό των θυρών εισερχόμενων και εξερχόμενων των δικτύων ή της κυκλοφορίας υπηρεσιών για όλα τα συστήματα που ανήκουν σε ή διαχειρίζεται η Iron Mountain και τεκμηριώνονται και εγκρίνονται στο πλαίσιο του προγράμματος ασφαλείας πληροφοριών·
6.7.7 Θύρες δικτύου και διαγνωστικού ελέγχου που είναι κατάλληλα ασφαλισμένες· και
6.7.8 Πολιτικές, διαδικασίες και τεχνικοί έλεγχοι που έχουν σχεδιαστεί για την πρόληψη, τον εντοπισμό και την αφαίρεση κακόβουλου κώδικα ή γνωστών επιθέσεων στα πληροφοριακά συστήματα της Iron Mountain.
6.8 Κρυπτογραφημένα διαπιστευτήρια επαλήθευσης ταυτότητας. Η Iron Mountain θα διασφαλίσει ότι τα διαπιστευτήρια επαλήθευσης ταυτότητας που μεταδίδονται μέσω των συσκευών δικτύου της Iron Mountain είναι κρυπτογραφημένα κατά τη διακίνηση.
6.9 Ασφαλής διαχείριση δικτύου. Η διαχείριση και ο έλεγχος των δικτύων της Iron Mountain θα πρέπει να γίνεται σε εύλογο βαθμό για την προστασία από γνωστές απειλές και για τη διατήρηση της ασφάλειας για όλες τις εφαρμογές και τα δεδομένα που διαχειρίζεται η Iron Mountain στο δίκτυο ή κατά τη διακίνηση μέσω του δικτύου. Θα εφαρμόζονται τεχνικοί έλεγχοι και ασφαλή πρωτόκολλα επικοινωνίας για την απαγόρευση απεριόριστων συνδέσεων σε μη αξιόπιστα δίκτυα ή δημόσια προσβάσιμους διακομιστές.
6.10 Προστασία από ιούς. Η Iron Mountain θα εφαρμόζει και θα διατηρεί ένα πρόγραμμα διαχείρισης κατά των ιών, συμπεριλαμβανομένης της προστασίας από κακόβουλο λογισμικό, των ενημερωμένων αρχείων υπογραφών ή της εναλλακτικής προστασίας από αναδυόμενες απειλές, διορθώσεις κώδικα και ορισμούς ιών, για διακομιστές και σταθμούς εργασίας που χρησιμοποιούνται για τη φιλοξενία ή την πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα Πελατών.
6.11 Ιστότοπος - Κρυπτογράφηση πελάτη. Η Iron Mountain θα διασφαλίσει ότι για κάθε έναν από τους ιστότοπούς της είναι ενεργοποιημένη η υπηρεσία Secure Sockets Layering (SSL) και περιέχει ένα έγκυρο πιστοποιητικό SSL που απαιτεί ελέγχους εμπιστευτικότητας, ελέγχου ταυτότητας ή εξουσιοδότησης.
6.12 Αντίγραφο ασφαλείας πληροφοριών. Η Iron Mountain θα παράγει κατάλληλα αντίγραφα ασφαλείας των αρχείων του συστήματος. Επιπλέον, η Iron Mountain θα αναπτύξει και θα διατηρεί διαδικασίες αποκατάστασης από καταστροφή. Ανατρέξτε στην ενότητα «Ανάκτηση από καταστροφή» παρακάτω για περισσότερες λεπτομέρειες.
6.13 Ηλεκτρονικές πληροφορίες σε διακίνηση. Η Iron Mountain θα χρησιμοποιεί κρυπτογράφηση με έναν αλγόριθμο κλαδικού προτύπου με ελάχιστο μήκος κλειδιού 128 bit για την προστασία των Δεδομένων Προσωπικού Χαρακτήρα Πελατών που μεταδίδονται σε δημόσια δίκτυα όταν προέρχονται από υποδομές που φιλοξενούνται από την Iron Mountain.
6.14 Κρυπτογραφικοί έλεγχοι. Η Iron Mountain θα ακολουθεί τεκμηριωμένη πολιτική σχετικά με τη χρήση κρυπτογραφικών ελέγχων. Οι κρυπτογραφικοί έλεγχοι της Iron Mountain:
6.14.1 Έχουν σχεδιαστεί για την εύλογη προστασία της εμπιστευτικότητας και ακεραιότητας των Δεδομένων Προσωπικού Χαρακτήρα των Πελατών που υποβάλλονται σε επεξεργασία, διαβιβάζονται ή αποθηκεύονται από την Iron Mountain σε οποιοδήποτε κοινόχρηστο περιβάλλον δικτύου σύμφωνα με τους όρους της Σύμβασης·
6.14.2 Εφαρμόζονται, σε περιβάλλον(τα) που φιλοξενεί η Iron Mountain και χρησιμοποιούνται για την παροχή υπηρεσιών, σε Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη που διακινούνται μέσω ή σε «μη αξιόπιστα» δίκτυα (δηλαδή δίκτυα που η Iron Mountain δεν ελέγχει νόμιμα), συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται για την αποστολή δεδομένων στο εταιρικό δίκτυο του Πελάτη από το δίκτυο της Iron Mountain, με την επιφύλαξη, σε κάθε περίπτωση, της συνεργασίας του Πελάτη στη διαχείριση των κλειδιών κρυπτογράφησης που είναι απαραίτητα για την αποκρυπτογράφηση των μεταδόσεων που λαμβάνει ο Πελάτης και
6.14.3 Περιλαμβάνουν τεκμηριωμένες πρακτικές διαχείρισης κλειδιών κρυπτογράφησης για την υποστήριξη της ασφάλειας των κρυπτογραφικών τεχνολογιών.
6.14.4 Συμπεριλαμβάνουν την κρυπτογράφηση όλων των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη σε φορητούς υπολογιστές ή άλλες φορητές συσκευές.
6.15 Απαιτήσεις καταγραφής. Η Iron Mountain θα διασφαλίσει τα ακόλουθα:
6.15.1 Τα σημαντικά συμβάντα ασφάλειας και συστημάτων καταγράφονται και εξετάζονται·
6.15.2 Τα αρχεία καταγραφής ελέγχου διατηρούνται για τουλάχιστον ένα έτος για συστήματα σε περιβάλλον(τα) που φιλοξενούνται στην Iron Mountain και χρησιμοποιούνται από την Iron Mountain για την παροχή υπηρεσιών·
6.15.3 Τα αρχεία καταγραφής ελέγχου του συστήματος εξετάζονται για οποιεσδήποτε ανωμαλίες· και
6.15.4 Οι πληροφορίες εγκαταστάσεων και συστημάτων καταγραφής προστατεύονται εύλογα από παραποίηση και μη εξουσιοδοτημένη πρόσβαση.
6.16 Συγχρονισμός ώρας δικτύου. Η Iron Mountain θα συγχρονίζει τα ρολόγια συστήματος όλων των συστημάτων επεξεργασίας πληροφοριών χρησιμοποιώντας μία κοινή έγκυρη πηγή ώρας.
6.17 Διαχωρισμός στα δίκτυα. Η Iron Mountain πρέπει να διαχωρίζει κατάλληλα τις σχετικές ομάδες υπηρεσιών πληροφοριών, τους χρήστες και τα συστήματα πληροφοριών στα δίκτυα.
7. ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ
7.1 Πολιτική Ελέγχου Πρόσβασης. Η Iron Mountain διατηρεί πολιτικές ελέγχου πρόσβασης σχετικά με τα περιουσιακά στοιχεία επεξεργασίας πληροφοριών που η Iron Mountain εγκρίνει, δημοσιεύει και εφαρμόζει επίσημα.
7.2 Εξουσιοδότηση λογικής πρόσβασης. Η Iron Mountain θα διαθέτει μια διαδικασία έγκρισης για λογικά αιτήματα πρόσβασης σε Δεδομένα Προσωπικού Χαρακτήρα Πελατών και αιτήματα για πρόσβαση σε συστήματα της Iron Mountain που προορίζονται για χρήση στις Υπηρεσίες.
7.3 Έλεγχος Πρόσβασης και Ανασκόπηση Πρόσβασης. Η Iron Mountain θα παρέχει πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα Πελατών μόνο σε ενεργούς υπαλλήλους της Iron Mountain, συμπεριλαμβανομένων προσωρινών και συμβασιούχων υπαλλήλων και λογαριασμών ενεργών χρηστών που χρειάζονται την εν λόγω πρόσβαση για να εκτελέσουν τα εργασιακά τους καθήκοντα. Κάθε προνομιακή πρόσβαση πρέπει να ελέγχεται και να επιβεβαιώνεται ότι συνάδει με τον τρέχοντα εργασιακό ρόλο και να τεκμηριώνεται, τουλάχιστον σε τριμηνιαία βάση.
7.4 Έλεγχος πρόσβασης τρίτων. Πριν από τη χορήγηση πρόσβασης σε εξωτερικά μέρη στα πληροφοριακά συστήματα της Iron Mountain που έχουν πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα Πελατών, η Iron Mountain θα διασφαλίσει ότι υπάρχουν οι κατάλληλοι έλεγχοι.
7.5 Έλεγχος πρόσβασης λειτουργικών συστημάτων. Η Iron Mountain θα ελέγχει την πρόσβαση σε λειτουργικά συστήματα (λειτουργικά συστήματα που βασίζονται τόσο σε λογισμικό όσο και σε υλικό) απαιτώντας μία ασφαλή διαδικασία σύνδεσης που θα προσδιορίζει με μοναδικό τρόπο το άτομο που έχει πρόσβαση στο λειτουργικό σύστημα.
7.6 Κινητές Υπολογιστικές Συσκευές. Η Iron Mountain θα διαθέτει μία πολιτική ή διαδικασία σχεδιασμένη για την προστασία των κινητών συσκευών πληροφορικής της Iron Mountain από μη εξουσιοδοτημένη πρόσβαση. Οι εν λόγω πολιτικές ή διαδικασίες θα αφορούν στη φυσική προστασία, τον έλεγχο πρόσβασης και τους ελέγχους ασφαλείας, όπως η κρυπτογράφηση, η προστασία από ιούς και η παραγωγή αντιγράφων ασφαλείας των συσκευών.
7.7 Απομόνωση συστημάτων πελατών. Η Iron Mountain, εντός του φιλοξενούμενου περιβάλλοντος(ων) της που χρησιμοποιείται για την παροχή των Υπηρεσιών, θα διαχωρίζει και απομονώνει λογικά τα Δεδομένα Προσωπικού Χαρακτήρα των Πελατών από όλες τις άλλες πληροφορίες.
7.8 Λογαριασμοί. Η Iron Mountain θα κάνει τα εξής όσον αφορά στους λογαριασμούς:
7.8.1 Θα απαιτεί επαλήθευση της ταυτότητας κάθε υπαλλήλου της Iron Mountain που αναζητά πρόσβαση σε συστήματα της Iron Mountain που επεξεργάζονται Δεδομένα Προσωπικού Χαρακτήρα Πελατών και θα απαγορεύει τη χρήση κοινόχρηστων λογαριασμών χρηστών ή λογαριασμών χρηστών με γενικά διαπιστευτήρια (δηλ. αναγνωριστικά), για πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα Πελατών ή συστήματα.
7.8.2 Θα απαιτεί να συνδέονται όλα τα αναγνωριστικά λογαριασμών χρηστών, συμπεριλαμβανομένων των προνομιακών λογαριασμών, απευθείας με ένα άτομο (σε αντίθεση με μία θέση).
7.8.3 Εάν οι προεπιλεγμένοι λογαριασμοί διαχείρισης δεν απενεργοποιηθούν ή αφαιρεθούν, απαιτείται η χρήση προσωρινών κωδικών πρόσβασης, η απόσυρση αναγνωριστικών ή παρόμοιων ελέγχων για την προεπιλεγμένη πρόσβαση στο λογαριασμό διαχείρισης.
7.8.4 Θα απαιτεί το κλείδωμα ή απενεργοποίηση ανενεργών τακτικών λογαριασμών μετά από 90 ημέρες αδράνειας.
7.8.5 Θα απαγορεύει την πρόσβαση σε έναν λογαριασμό μετά από πολλαπλές ανεπιτυχείς προσπάθειες πρόσβασης.
7.8.6 Θα απαιτεί μοναδικά αναγνωριστικά και ισχυρούς κωδικούς πρόσβασης που περιλαμβάνουν τουλάχιστον τα εξής: ελάχιστο αριθμό 8 χαρακτήρων, πρέπει να αλλάζουν κάθε 90 ημέρες και να έχουν απαιτήσεις πολυπλοκότητας.
7.8.7 Θα απαγορεύει στους υπαλλήλους να μοιράζονται ή να γράφουν σε έγγραφα κωδικούς πρόσβασης.
7.9 Έλεγχοι μη επιτηρούμενων συστημάτων. Η Iron Mountain θα χρησιμοποιεί προστασία οθόνης που προστατεύεται με κωδικό πρόσβασης για οποιαδήποτε συστήματα που αφήνονται χωρίς επιτήρηση και δεν είχαν καμία δραστηριότητα για 30 λεπτά.
8. ΑΝΑΠΤΥΞΗ ΚΑΙ ΣΥΝΤΗΡΗΣΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ
8.1 Ασφάλεια Ανάπτυξης Συστημάτων. Η Iron Mountain θα διασφαλίζει ότι η ασφάλεια αποτελεί μέρος όλων των διαδικασιών ανάπτυξης συστημάτων πληροφοριών και θα δημοσιεύει και τηρεί τις μεθοδολογίες εσωτερικής ασφαλούς κωδικοποίησης με βάση τα πρότυπα ασφάλειας ανάπτυξης εφαρμογών.
8.2 Διαχείριση ασφάλειας λογισμικού. Τα πληροφοριακά συστήματα της Iron Mountain (συμπεριλαμβανομένων των λειτουργικών συστημάτων, της υποδομής, των επιχειρηματικών εφαρμογών, των υπηρεσιών και των εφαρμογών που αναπτύσσονται από τους χρήστες) θα έχουν σχεδιαστεί ώστε να συμμορφώνονται με τα πρότυπα ασφάλειας πληροφοριών.
8.3 Διαγράμματα δικτύου. Η Iron Mountain θα αναπτύσσει, τεκμηριώνει και διατηρεί φυσικά και λογικά διαγράμματα των συσκευών δικτύωσης και κυκλοφορίας.
8.4 Αξιολογήσεις ευπάθειας εφαρμογών/Δεοντολογική παραβίαση. Η Iron Mountain θα πραγματοποιεί, τουλάχιστον ετησίως, αξιολογήσεις ευπάθειας σε εφαρμογές στα φιλοξενούμενα περιβάλλοντά της που χρησιμοποιούνται για την παροχή υπηρεσιών που επεξεργάζονται Δεδομένα Προσωπικού Χαρακτήρα Πελατών. Τα λεπτομερή αποτελέσματα είναι οι εμπιστευτικές και ιδιοκτησιακές πληροφορίες της Iron Mountain και δεν θα παρασχεθούν.
8.5 Δοκιμές και ανασκοπήσεις αλλαγών. Η Iron Mountain θα πρέπει να ανασκοπεί και να δοκιμάζει τις αλλαγές στις εφαρμογές και τα λειτουργικά συστήματα πριν από την ανάπτυξη, για να διασφαλίσει ότι δεν υπάρχουν δυσμενείς επιπτώσεις στα Δεδομένα Προσωπικού Χαρακτήρα ή στα συστήματα των πελατών.
9. ΑΝΑΚΤΗΣΗ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ
Η Iron Mountain θα διατηρεί ένα σχέδιο ανάκτησης από καταστροφή, συμπεριλαμβανομένης της αναπαραγωγής των συστημάτων και των ηλεκτρονικών δεδομένων που χρησιμοποιούνται για την υποστήριξη των Υπηρεσιών σε ένα εφεδρικό κέντρο δεδομένων. Η αντιγραφή των συστημάτων και των ηλεκτρονικών δεδομένων δεν περιλαμβάνει Δεδομένα Προσωπικού Χαρακτήρα Πελατών που αποθηκεύονται με φυσικό τρόπο σε εγκαταστάσεις της Iron Mountain. Η Iron Mountain θα διατηρεί ένα σχέδιο επιχειρησιακής συνέχειας για την αποκατάσταση κρίσιμων επιχειρηματικών λειτουργιών. Η Iron Mountain θα εκτελεί δοκιμές ανάκτησης από καταστροφή τουλάχιστον μία φορά κάθε δώδεκα (12) μήνες.
10. ΕΞΩΤΕΡΙΚΟΙ ΕΛΕΓΧΟΙ ΚΑΙ ΑΞΙΟΛΟΓΗΣΕΙΣ
Τα πρωτόκολλα ασφαλείας της Iron Mountain έχουν σχεδιαστεί ώστε να συνάδουν με τα κλαδικά πρότυπα. Η Iron Mountain θα παρέχει στον Πελάτη οποιεσδήποτε εκθέσεις ανεξάρτητων ελέγχων τρίτων μερών που έχει αναθέσει (π.χ. PCI, ISO27001, SOC2 κ.λπ.) σχετικά με τις Υπηρεσίες στην περιοχή όπου παρέχονται οι εν λόγω Υπηρεσίες («Έκθεση Ελέγχου»). Η Iron Mountain θα παρέχει όλες αυτές τις αναφορές που ανατίθενται με πρόθεση την ανάγνωσή τους από τους πελάτες, ανεξάρτητα από τα αποτελέσματα ων αναφορών. Η Iron Mountain δεν θα χρειαστεί να παράσχει αποτελέσματα εσωτερικού ελέγχου ή αποτελέσματα από άλλες ανεξάρτητες αξιολογήσεις που είχαν ανατεθεί με σκοπό να είναι εμπιστευτικές για την Iron Mountain. Ο Πελάτης
και οι εξωτερικοί ελεγκτές του θα λάβουν αντίγραφα της Έκθεσης Ελέγχου κατόπιν αιτήματος. Οποιαδήποτε Έκθεση Ελέγχου ή άλλο αποτέλεσμα που παράγεται μέσω των δοκιμών ή ελέγχων που απαιτούνται από την παρούσα ενότητα θα θεωρούνται «Εμπιστευτικές Πληροφορίες» της Iron Mountain. Ο Xxxxxxx θα έχει το δικαίωμα να παρέχει αντίγραφο της εν λόγω Έκθεσης Ελέγχου σε οποιουσδήποτε σχετικούς πελάτες ή κανονιστικές αρχές του Πελάτη, με την επιφύλαξη των διατάξεων περί εμπιστευτικότητας που είναι εξίσου περιοριστικές με αυτές της παρούσας. Κατόπιν αιτήματος του Πελάτη, η Iron Mountain θα επιβεβαιώσει γραπτώς ότι δεν έχουν υπάρξει αλλαγές στις σχετικές πολιτικές, διαδικασίες και εσωτερικούς ελέγχους από την ολοκλήρωση οποιασδήποτε τέτοιας Έκθεσης Ελέγχου, εντός χρονικού ορίου όχι άνω των τριών μηνών από το τέλος της περιόδου αναφοράς της Έκθεσης Ελέγχου.
ΠΑΡΑΡΤΗΜΑ 3
Διεθνείς διαβιβάσεις δεδομένων
1. ΟΡΙΣΜΟΙ
«Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ 2021» σημαίνει τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα σε τρίτες χώρες σύμφωνα με τον ΓΚΠΔ, που έχουν υιοθετηθεί από την Ευρωπαϊκή Επιτροπή με την εκτελεστική απόφαση (ΕΕ) 2021/914 της Επιτροπής, που διατίθεται εδώ3.
«Δεδομένα Προσωπικού Χαρακτήρα Πελατών της ΕΕ» σημαίνει την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα Πελατών για την οποία ίσχυαν οι νόμοι προστασίας δεδομένων της Ευρωπαϊκής Ένωσης ή ενός Κράτους Μέλους της Ευρωπαϊκής Ένωσης ή του Ευρωπαϊκού Οικονομικού Χώρου πριν από την επεξεργασία τους από την Iron Mountain.
«Προστατευόμενη Περιοχή» σημαίνει:
i. στην περίπτωση Δεδομένων Προσωπικού Χαρακτήρα Πελατών της ΕΕ, τα κράτη μέλη της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Οικονομικού Χώρου και οποιαδήποτε χώρα, επικράτεια, τομέας ή διεθνής οργανισμός σχετικά με τον οποίο ισχύει απόφαση επάρκειας σύμφωνα με το άρθρο 45 του ΓΚΠΔ·
ii. στην περίπτωση Δεδομένων Προσωπικού Χαρακτήρα Πελατών του Xxxxxxxx Xxxxxxxxx, το Ηνωμένο Βασίλειο και οποιαδήποτε χώρα, επικράτεια, τομέας ή διεθνής οργανισμός σχετικά με τον οποίο ισχύει απόφαση επάρκειας σύμφωνα με τους κανονισμούς επάρκειας του Xxxxxxxx Xxxxxxxxx·
iii. στην περίπτωση Δεδομένων Προσωπικού Χαρακτήρα Πελατών της Ελβετίας, οποιαδήποτε χώρα, περιοχή, τομέας ή διεθνής οργανισμός που αναγνωρίζεται ως επαρκής σύμφωνα με τους νόμους της Ελβετίας·
iv. στην περίπτωση οποιωνδήποτε άλλων Δεδομένων Προσωπικού Χαρακτήρα Πελατών που διαβιβάζονται εκτός δικαιοδοσίας που προσφέρει παρόμοιες προστασίες με αυτές των Δεδομένων Προσωπικού Χαρακτήρα Πελατών της ΕΕ, του Η.Β. ή της Ελβετίας, οποιαδήποτε χώρα, περιφέρεια, τομέας ή διεθνής οργανισμός που αναγνωρίζεται ως επαρκής σύμφωνα με τους νόμους της εν λόγω δικαιοδοσίας.
«Τυποποιημένες Συμβατικές Ρήτρες» σημαίνει, συλλήβδην, τις Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021 και την Προσθήκη του Xxxxxxxx Xxxxxxxxx του 2022.
«Δεδομένα Προσωπικού Χαρακτήρα Πελατών στην Ελβετία» είναι η Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα Πελατών για την οποία ίσχυαν οι νόμοι περί προστασίας δεδομένων της Ελβετίας πριν από την επεξεργασία από την Iron Mountain.
«Δεδομένα Προσωπικού Χαρακτήρα Πελατών στο Η.Β.» είναι η Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα Πελατών για την οποία ίσχυαν οι νόμοι περί προστασίας δεδομένων του Xxxxxxxx Xxxxxxxxx πριν από την επεξεργασία από την Iron Mountain.
2. ΔΙΑΦΟΡΟΙ ΟΡΟΙ
2.1 Το παρόν Παράρτημα 3 περιλαμβάνει τα ακόλουθα Μέρη: (i) Μέρος Α – Διαβιβάσεις Δεδομένων Προσωπικού Χαρακτήρα Πελατών της ΕΕ, (ii) Μέρος Β – Διαβιβάσεις Δεδομένων Προσωπικού Χαρακτήρα Πελατών της Ελβετίας, (iii) Μέρος Γ – Διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα Πελατών του Η.Β., τα οποία θα ισχύουν όπως αρμόζει για τη διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα Πελατών από την Iron Mountain σε σχέση με τις Υπηρεσίες της.
2.2 Οι Τυποποιημένες Συμβατικές Ρήτρες θα ισχύουν για την Iron Mountain και τις συνδεδεμένες εταιρείες της ως «εισαγωγείς δεδομένων» και για τον Πελάτη και τις συνδεδεμένες εταιρείες του ως «εξαγωγείς δεδομένων».
2.3 Η υπογραφή και η ημερομηνία της Σύμβασης θα αποτελούν όλες τις απαιτούμενες υπογραφές και ημερομηνίες για τις Τυποποιημένες Συμβατικές Ρήτρες.
2.4 Σε περίπτωση που τα μέρη διαβιβάσουν Δεδομένα Προσωπικού Χαρακτήρα Πελατών της ΕΕ, του Η.Β. ή της Ελβετίας εκτός της Προστατευόμενης Περιοχής και μία σχετική απόφαση της Ευρωπαϊκής Επιτροπής ή άλλη έγκυρη μέθοδος επάρκειας σύμφωνα με την ισχύουσα Νομοθεσία περί Προστασίας Δεδομένων στην οποία βασίστηκε η Iron Mountain για τη διαβίβαση δεδομένων θεωρηθεί άκυρη ή ότι οποιαδήποτε εποπτική αρχή απαιτεί την αναστολή διαβιβάσεων Δεδομένων Προσωπικού Χαρακτήρα που πραγματοποιούνται σύμφωνα με την εν λόγω απόφαση προς αναστολή, τότε τα μέρη θα συνεργαστούν και θα διευκολύνουν τη χρήση εναλλακτικού μηχανισμού διαβίβασης. Τα μέρη
3 xxxxx://xxx-xxx.xxxxxx.xx/xxx/xxx_xxxx/0000/000/xx
4 xxxxx://xxx.xxx.xx/xxxxx/xxx-xxxxxxxxxxxxx/xxxxxxxxx/0000000/xxxxxxxxxxxxx-xxxx-xxxxxxxx-xxxxxxxx.xxx
συμφωνούν επίσης ότι οι κατάλληλες διασφαλίσεις που χρησιμοποιούνται για τη διευκόλυνση των διεθνών διαβιβάσεων στο παρόν Παράρτημα 3 δεν είναι αποκλειστικές και ότι τα μέρη μπορούν να επιδιώξουν πρόσθετους μηχανισμούς διαβίβασης, όπως το Πλαίσιο Απορρήτου Δεδομένων ΕΕ-ΗΠΑ.
ΜΕΡΟΣ Α – ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΕΛΑΤΩΝ ΤΗΣ ΕΕ
Εάν και στον βαθμό που ο Πελάτης ή οι Συνδεδεμένες Εταιρείες του μεταφέρουν Δεδομένα Προσωπικού Χαρακτήρα Πελατών της ΕΕ εκτός της Προστατευόμενης Περιοχής στην Iron Mountain ή τις Συνδεδεμένες Εταιρείες της σε σχέση με τις Υπηρεσίες της Iron Mountain βάσει της Σύμβασης, θα ισχύει το παρόν Μέρος Α του Παραρτήματος 3 και τα Μέρη συμφωνούν ως εξής:
1. Επιλογές Τυποποιημένων Συμβατικών Ρητρών. Το κείμενο από την ΕΝΟΤΗΤΑ ΔΥΟ των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021 θα ισχύει όταν ο Πελάτης ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες του είναι Υπεύθυνος επεξεργασίας και η Iron Mountain ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες της είναι Εκτελών την επεξεργασία. Το κείμενο από την ΕΝΟΤΗΤΑ ΤΡΙΑ από τις Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021 θα ισχύει όταν ο Πελάτης ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες του είναι Εκτελών την επεξεργασία και η Iron Mountain ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες της είναι Υπεργολάβος επεξεργασίας. Οι σχετικές διατάξεις που περιέχονται στις Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021 ενσωματώνονται δι' αναφοράς στην παρούσα ΣΕΔ και αποτελούν αναπόσπαστο μέρος της παρούσας ΣΕΔ. Δεν θα ισχύουν άλλες ενότητες ή οποιεσδήποτε ρήτρες που επισημαίνονται ως προαιρετικές στις Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021. Οι πληροφορίες που απαιτούνται για τους σκοπούς των Παραρτημάτων των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ για το 2021 παρατίθενται στο Παράρτημα 1 - Περιγραφή της Επεξεργασίας/Διαβίβασης, στο Παράρτημα 2 - Τεχνικά και Οργανωτικά Μέτρα και στη ρήτρα 6.2 της ΣΕΔ - Λίστα Υπεργολάβων επεξεργασίας.
2. Χρήση Υπεργολάβων επεξεργασίας. Για τους σκοπούς της ρήτρας 9 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021, ισχύει η επιλογή 2 (Γενική Γραπτή Άδεια) για τη χρήση των Υπεργολάβων επεξεργασίας για την εκτέλεση των Υπηρεσιών. Ο Xxxxxxx αναγνωρίζει και συμφωνεί ότι η Iron Mountain μπορεί να προσλάβει νέους Υπεργολάβους επεξεργασίας μέσω του μηχανισμού που συμφωνείται στη ρήτρα 6 της παρούσας ΣΕΔ και ότι η χρονική περίοδος για την υποβολή αιτημάτων για αλλαγές σε Υπεργολάβους επεξεργασίας θα είναι δεκαπέντε (15) ημέρες.
3. Ισχύον δίκαιο και επιλογή φόρουμ. Για τους σκοπούς της ρήτρας 17 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021 (Διέπον Δίκαιο), ισχύει η επιλογή 2 που διέπει το δίκαιο και αυτές οι ρήτρες διέπονται από το δίκαιο του κράτους μέλους της ΕΕ στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων, στον βαθμό που επιτρέπει δικαιώματα τρίτων δικαιούχων. Για τους σκοπούς της ρήτρας 18 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021 (Επιλογή Φόρουμ και Δικαιοδοσίας), θα είναι τα δικαστήρια του κράτους μέλους της ΕΕ στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.
4. Πιστοποίηση διαγραφής. Για τους σκοπούς των Ρητρών 8.5 και 16(δ) των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ 2021, θα παρέχεται πιστοποίηση διαγραφής Δεδομένων Προσωπικού Χαρακτήρα από την Iron Mountain στον Πελάτη μόνο κατόπιν γραπτού αιτήματος του Πελάτη.
5. Παραβιάσεις δεδομένων προσωπικού χαρακτήρα.Για τους σκοπούς της ρήτρας 8.6(γ) των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021, οι παραβιάσεις δεδομένων προσωπικού χαρακτήρα αντιμετωπίζονται σύμφωνα με τον μηχανισμό που συμφωνείται στη ρήτρα 7 της ΣΕΔ.
6. Έλεγχοι. Για τους σκοπούς της ρήτρας 8.9 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021, οι έλεγχοι αυτών των ρητρών θα διεξάγονται σύμφωνα με τον μηχανισμό ελέγχου που έχει συμφωνηθεί στη Σύμβαση.
7. Παράπονα. Για τους σκοπούς της ρήτρας 11 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ 2021, η Iron Mountain θα ενημερώσει τον Πελάτη εάν λάβει ένα παράπονο από ένα Υποκείμενο Δεδομένων σχετικά με Δεδομένα Προσωπικού Χαρακτήρα Πελατών της ΕΕ και θα κοινοποιήσει το παράπονο στον Πελάτη σύμφωνα με τον μηχανισμό που έχει συμφωνηθεί στη Σύμβαση.
8. Εποπτική Αρχή. Για τις Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2022, η σχετική αρμόδια εποπτική αρχή θα καθορίζεται σύμφωνα με τη ρήτρα 13 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ.
ΜΕΡΟΣ Β – ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΕΛΑΤΩΝ ΤΗΣ ΕΛΒΕΤΙΑΣ
Εάν και στον βαθμό που ο Πελάτης ή οι συνδεδεμένες εταιρείες του μεταφέρουν Δεδομένα Προσωπικού Χαρακτήρα Πελατών της Ελβετίας εκτός της Προστατευόμενης Περιοχής στην Iron Mountain ή τις Συνδεδεμένες Εταιρείες της σε σχέση με τις Υπηρεσίες της Iron Mountain βάσει της Σύμβασης, θα ισχύει το παρόν Μέρος Β του Παραρτήματος 3 και τα Μέρη συμφωνούν ως εξής:
1. Επιλογές Τυποποιημένων Συμβατικών Ρητρών. Οι Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021 και οι σχετικές διατάξεις στο πλαίσιο του Μέρους Α θα ισχύουν όταν ο Πελάτης ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες του είναι Υπεύθυνος επεξεργασίας και η Iron Mountain ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες της είναι Εκτελών την επεξεργασία ή/και ο Πελάτης ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες του είναι Εκτελών την επεξεργασία και η Iron Mountain ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες της είναι Υπεργολάβος επεξεργασίας, εκτός από το ότι:
α. η αρμόδια εποπτική αρχή σύμφωνα με τη Ρήτρα 13 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ 2021 είναι η Ελβετική Ομοσπονδιακή Επιτροπή Προστασίας Δεδομένων και Πληροφοριών·
β. οι εφαρμοστέοι νόμοι για συμβατικές απαιτήσεις σύμφωνα με τη ρήτρα 17 των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021 θα είναι οι ελβετικοί νόμοι και ο τόπος δικαιοδοσίας για ενέργειες μεταξύ των μερών σύμφωνα με τη ρήτρα 18 (β) θα είναι τα ελβετικά δικαστήρια.
2. Οι αναφορές στον ΓΚΠΔ της ΕΕ στις Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021 πρέπει να νοούνται ως αναφορές στον FADP.
3. Ο όρος «κράτος μέλος» στις Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021 δεν θα ερμηνεύεται με τρόπο που να αποκλείει τα Υποκείμενα των Δεδομένων στην Ελβετία από τη δυνατότητα άσκησης μήνυσης για τα δικαιώματά τους στον τόπο συνήθους διαμονής τους (Ελβετία) σύμφωνα με τη Ρήτρα 18 (γ) των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ του 2021.
ΜΕΡΟΣ Γ – ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΕΛΑΤΩΝ ΤΟΥ XXXXXXXX XXXXXXXXX
Εάν και στον βαθμό που ο Xxxxxxx ή οι Συνδεδεμένες Εταιρείες του μεταφέρουν Δεδομένα Προσωπικού Χαρακτήρα του Η.Β. εκτός της Προστατευόμενης Περιοχής στην Iron Mountain ή τις Συνδεδεμένες Εταιρείες της σε σχέση με τις Υπηρεσίες της Iron Mountain βάσει της Σύμβασης, θα ισχύει το παρόν Μέρος Γ του Παραρτήματος 3 και τα Μέρη συμφωνούν ως εξής:
1. Επιλογές Τυποποιημένων Συμβατικών Ρητρών. Οι Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021, οι σχετικές διατάξεις στο πλαίσιο του Μέρους Α και η Προσθήκη του 2022 για το Η.Β. θα ισχύουν όταν ο Πελάτης ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες του είναι Υπεύθυνος επεξεργασίας και η Iron Mountain ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες της είναι Εκτελών την επεξεργασία ή/και ο Πελάτης ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες του είναι Εκτελών την επεξεργασία και η Iron Mountain ή οποιαδήποτε από τις Συνδεδεμένες Εταιρείες της είναι Υπεργολάβος επεξεργασίας.
2. Μέρος 1: Πίνακας 1 - 3 της Προσθήκης του 2022 του Η.Β.: Πληροφορίες σχετικά με τα Μέρη - Πίνακας 1, Επιλεγμένες SCC, Ενότητες και Επιλεγμένες Ρήτρες και Πληροφορίες Παραρτήματος, συμπεριλαμβανομένου του Παραρτήματος 1A: Λίστα Συμβαλλομένων Μερών, Παράρτημα 1B: Περιγραφή της Διαβίβασης και Παράρτημα 1Γ: Τα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων - Πίνακας 3, θα θεωρούνται συμπληρωμένα δι’ αναφοράς στο παρόν Παράρτημα 3, συμπεριλαμβανομένου του Μέρους Α, Πίνακας 4 της Προσθήκης για το Η.Β.: Ο Xxxxxxx και η Iron Mountain αναγνωρίζουν και συμφωνούν ότι η Προσθήκη του Η.Β. μπορεί να τερματιστεί από οποιοδήποτε Συμβαλλόμενο Μέρος.
3. Μέρος 2: Υποχρεωτικές Ρήτρες της Προσθήκης του Η.Β.: Ο Xxxxxxx και η Iron Mountain αναγνωρίζουν και συμφωνούν με τις Υποχρεωτικές Ρήτρες της Προσθήκης του X.Β.
4. Εποπτική Αρχή. Το Γραφείο του Επιτρόπου Πληροφοριών του X.Β. ενεργεί ως αρμόδια εποπτική αρχή.
ΜΕΡΟΣ Δ – ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΑΛΛΩΝ ΠΕΛΑΤΩΝ
Εάν και στον βαθμό που ο Xxxxxxx ή οι συνδεδεμένες εταιρείες του μεταφέρουν Δεδομένα Προσωπικού Χαρακτήρα Πελατών που δεν καλύπτονται από τα ΜΕΡΗ Α-Γ στην Iron Mountain ή τις συνδεδεμένες εταιρείες της σε σχέση με τις Υπηρεσίες της Iron Mountain βάσει της Σύμβασης, θα ισχύει το Μέρος Α του Παραρτήματος 3 στον βαθμό που είναι σχετικό και εφαρμοστέο βάσει των εφαρμοστέων Νόμων περί Προστασίας Δεδομένων. Διαφορετικά, στον βαθμό που απαιτούνται οποιεσδήποτε υποκατάστατες ή πρόσθετες κατάλληλες διασφαλίσεις ή μηχανισμοί διαβίβασης σύμφωνα με τους Νόμους περί Προστασίας Δεδομένων για τη διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα των Πελατών σε μία χώρα που δεν παρέχει επαρκές επίπεδο προστασίας Δεδομένων Προσωπικού Χαρακτήρα από την άποψη του εξαγωγέα των δεδομένων, τα μέρη συμφωνούν να τις εφαρμόσουν όσο το δυνατόν συντομότερα και να τεκμηριώνουν τις εν λόγω απαιτήσεις για εφαρμογή σε συνημμένο στην παρούσα ΣΕΔ.
ΠΑΡΑΡΤΗΜΑ 4
HIPAA – Σύμβαση Επιχειρηματικού Συνεργάτη («ΣΕΣ»)
Η παρούσα ΣΕΣ συμπληρώνει και τροποποιεί όλες τις τρέχουσες ή μελλοντικές Συμβάσεις που συνάπτονται μεταξύ της Iron Mountain και των συνδεδεμένων εταιρειών της και του Πελάτη και των συνδεδεμένων εταιρειών του, βάσει των οποίων η Iron Mountain ή οι συνδεδεμένες εταιρείες της παρέχουν ορισμένες Υπηρεσίες για τον Πελάτη ή τις συνδεδεμένες εταιρείες του, οι οποίες Υπηρεσίες απαιτούν από τον Επιχειρηματικό Συνεργάτη να χρησιμοποιεί ή/και να γνωστοποιεί τις PHI για λογαριασμό της Καλυπτόμενης Οντότητας. Εκτός από τον βαθμό που τροποποιείται στην παρούσα ΣΕΣ, όλοι οι όροι και οι προϋποθέσεις που ορίζονται στη Σύμβαση θα παραμείνουν σε πλήρη ισχύ και εφαρμογή και θα διέπουν τις Υπηρεσίες που παρέχονται από την Iron Mountain στον Πελάτη.
Η Iron Mountain και ο Πελάτης συνάπτουν την παρούσα ΣΕΣ, προκειμένου και οι δύο συμβαλλόμενοι να εκπληρώσουν τις αντίστοιχες υποχρεώσεις τους, καθώς θα τίθενται σε ισχύ και θα δεσμεύουν τους συμβαλλόμενους σύμφωνα με τους Κανόνες HIPAA περί Ιδιωτικού Απορρήτου, Ασφάλειας και Ειδοποίησης Παραβίασης, μαζί με οποιουσδήποτε κανονισμούς εφαρμογής, συμπεριλαμβανομένων εκείνων που εφαρμόζονται στο πλαίσιο του κανόνα Omnibus (συλλήβδην αναφέρονται ως «Κανόνες HIPAA»), στο πλαίσιο των οποίων ο Πελάτης και οι συνδεδεμένες εταιρείες του είναι «Καλυπτόμενη Οντότητα» ή «Επιχειρηματικός Συνεργάτης» και η Iron Mountain και οι συνδεδεμένες εταιρείες της είναι «Επιχειρηματικός Συνεργάτης» του Πελάτη. Για τους σκοπούς της παρούσας Σύμβασης, οποιεσδήποτε αναφορές εφεξής στον Επιχειρηματικό Συνεργάτη θα θεωρούνται αναφορές στην Iron Mountain ή την ισχύουσα συνδεδεμένη εταιρεία της.
1. ΟΡΙΣΜΟΙ
Οι όροι με κεφαλαία που χρησιμοποιούνται αλλά δεν ορίζονται διαφορετικά σε αυτήν την ΣΕΣ θα έχουν την ίδια έννοια με αυτούς που αποδίδονται στους Κανόνες HIPAA ή στη Σύμβαση, όπως ισχύει.
«Κανόνας Ειδοποίησης Παραβίασης» σημαίνει τον κανόνα για την Ειδοποίηση Παραβίασης για Μη Ασφαλείς Προστατευόμενες Πληροφορίες Υγείας στον 45 CFR §164, Υποενότητα Δ.
«Επιχειρηματικός Συνεργάτης» είναι η οντότητα του Επιχειρηματικού Συνεργάτη που προσδιορίζεται παραπάνω, στον βαθμό που λαμβάνει, διατηρεί ή μεταδίδει Προστατευμένες Ιατρικές Πληροφορίες κατά την παροχή Υπηρεσιών σε Πελάτες.
«HIPAA» σημαίνει τον Νόμο περί Φορητότητας και Λογοδοσίας Ασφάλισης Υγείας του 1996.
«Νόμος HITECH» σημαίνει τις εφαρμοστέες διατάξεις του Νόμου περί Τεχνολογίας Πληροφοριών Υγείας για την Οικονομική και Κλινική Υγεία, όπως ενσωματώνονται στον νόμο «American Recovery and Reinvestment Act» του 2009 και περιλαμβάνει οποιουσδήποτε κανονισμούς εφαρμογής.
Ο όρος «Κανόνας Ιδιωτικού Απορρήτου» σημαίνει τα Πρότυπα Ιδιωτικού Απορρήτου των Προσωπικά Ταυτοποιήσιμων Πληροφοριών Υγείας στον 45 CFR §160 και §164, Υποενότητες Α και Ε.
Οι «Προστατευόμενες Πληροφορίες Υγείας» ή «PHI» θα έχουν την ίδια έννοια με τον όρο «προστατευμένες πληροφορίες υγείας» στον 45 CFR §160.103 και θα περιορίζονται στις PHI που παράγονται από τον Επιχειρηματικό Συνεργάτη για λογαριασμό του Πελάτη ή λαμβάνονται από ή για λογαριασμό του Πελάτη σύμφωνα με τη Σύμβαση.
Ο όρος «Κανόνας Ασφαλείας» σημαίνει τα Πρότυπα Ασφαλείας για την Προστασία των Ηλεκτρονικών Προστατευμένων Ιατρικών Πληροφοριών στον 45 CFR §160 και §164, Υποενότητες Α και Γ.
2. ΥΠΟΧΡΕΩΣΕΙΣ ΚΑΙ ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΤΟΥ ΕΠΙΧΕΙΡΗΜΑΤΙΚΟΥ ΣΥΝΕΡΓΑΤΗ
2.1. Ο Επιχειρηματικός Συνεργάτης συμφωνεί να μη χρησιμοποιεί ή περαιτέρω να γνωστοποιεί PHI εκτός από αυτές που επιτρέπονται ή απαιτούνται από την παρούσα ΣΕΣ ή όπως απαιτείται από τους νόμους.
2.2. Ο Επιχειρηματικός Συνεργάτης συμφωνεί να χρησιμοποιεί τα κατάλληλα μέτρα προστασίας, και να συμμορφώνεται, κατά περίπτωση, με την Υποενότητα Γ του 45 CFR §164 σχετικά με τις ηλεκτρονικές PHI, για την αποτροπή των χρήσεων ή των γνωστοποιήσεων των PHI εκτός από αυτές που προβλέπονται από την παρούσα ΣΕΣ ή τη Σύμβαση, ωστόσο, τα μέρη αναγνωρίζουν και συμφωνούν ότι θα αποτελεί ευθύνη του Xxxxxx και όχι του Επιχειρηματικού Συνεργάτη να συμμορφώνεται με τις απαιτήσεις του 45 CFR §164.312 για την εφαρμογή μηχανισμών κρυπτογράφησης ή αποκρυπτογράφησης για ηλεκτρονικές PHI που διατηρούνται σε φυσικά μέσα (π.χ. ταινίες) που αποθηκεύονται από τον Πελάτη στον Επιχειρηματικό Συνεργάτη.
2.3. Ο Επιχειρηματικός Συνεργάτης συμφωνεί να αναφέρει αμέσως στον Πελάτη οποιοδήποτε Περιστατικό Ασφαλείας, Παραβίαση ή άλλη Χρήση ή Γνωστοποίηση των PHI για τις οποίες λαμβάνει γνώση ότι δεν επιτρέπεται ή απαιτείται από την παρούσα ΣΕΣ ή τη Σύμβαση. Σε περίπτωση Παραβίασης, η εν λόγω ειδοποίηση θα παρέχεται σύμφωνα με και όπως απαιτείται από τους Κανόνες HIPAA ενός επιχειρηματικού συνεργάτη, συμπεριλαμβανομένων, χωρίς περιορισμό, του 45 CFR 164.410, αλλά σε καμία περίπτωση περισσότερες από τρεις (3) εργάσιμες ημέρες μετά την ολοκλήρωση της εσωτερικής έρευνας από τον Επιχειρηματικό Συνεργάτη και την επιβεβαίωση της Παραβίασης όπως συνέβη. Ο
Επιχειρηματικός Συνεργάτης θα παρέχει εύλογη βοήθεια και συνεργασία στη διερεύνηση οποιασδήποτε τέτοιας Παραβίασης και θα τεκμηριώνει τις συγκεκριμένες Καταθέσεις που έχουν διακυβευτεί, την ταυτότητα οποιουδήποτε μη εξουσιοδοτημένου τρίτου μέρους που μπορεί να έχει προσπελάσει ή λάβει τις PHI, εάν είναι γνωστή, και οποιεσδήποτε ενέργειες στις οποίες έχει προβεί ο Επιχειρηματικός Συνεργάτης για τον μετριασμό των επιπτώσεων της εν λόγω Παραβίασης.
2.4. Ο Επιχειρηματικός Συνεργάτης, σύμφωνα με τον 45 CFR 164.502(e)(1)(ii) και 164.308(b)(2), κατά περίπτωση, θα διασφαλίσει ότι οποιοσδήποτε επιχειρηματικός συνεργάτης που είναι υπεργολάβος και παράγει, λαμβάνει, διατηρεί ή μεταδίδει PHI εκ μέρους του Επιχειρηματικού Συνεργάτη με σκοπό την παροχή Υπηρεσιών σύμφωνα με τη Σύμβαση, συμφωνεί με τους ίδιους περιορισμούς, προϋποθέσεις και απαιτήσεις που ισχύουν για τον Επιχειρηματικό Συνεργάτη σχετικά με τις εν λόγω PHI μέσω της παρούσας ΣΕΣ.
2.5. Εάν ο Επιχειρηματικός Συνεργάτης έχει την επιμέλεια των PHI σε ένα Καθορισμένο Σύνολο Αρχείων σχετικά με Φυσικά Πρόσωπα και εάν το ζητήσει ο Xxxxxxx, ο Επιχειρηματικός Συνεργάτης συμφωνεί να παρέχει πρόσβαση στις εν λόγω PHI στον Πελάτη μέσω ανάκτησης και παράδοσης των PHI σύμφωνα με τους όρους και τις προϋποθέσεις της Σύμβασης, έτσι ώστε ο Xxxxxxx να μπορεί να απαντήσει σε ένα Φυσικό Πρόσωπο για να ανταποκριθεί στις απαιτήσεις του 45 CFR §164.524.
2.6. Ο Επιχειρηματικός Συνεργάτης συμφωνεί ότι εάν απαιτείται τροποποίηση των PHI σε ένα Καθορισμένο Σύνολο Αρχείων υπό την επιμέλεια του Επιχειρηματικού Συνεργάτη και εάν ο Xxxxxxx δώσει εντολή στον Επιχειρηματικό Συνεργάτη να ανακτήσει τις εν λόγω PHI σύμφωνα με τη Σύμβαση, ο Επιχειρηματικός Συνεργάτης θα εκτελέσει την εν λόγω υπηρεσία, έτσι ώστε ο Xxxxxxx να μπορεί να προβεί σε οποιαδήποτε τροποποίηση των εν λόγω PHI όπως μπορεί να απαιτείται είτε από τον Πελάτη είτε από ένα Φυσικό Πρόσωπο, σύμφωνα με τον 45 CFR §164.526.
2.7. Ο Επιχειρηματικός Συνεργάτης συμφωνεί να τεκμηριώνει και να θέτει στη διάθεση του Πελάτη τις πληροφορίες που απαιτούνται για την παροχή μιας λογιστικής καταμέτρησης των PHI, υπό την προϋπόθεση ότι ο Xxxxxxx έχει παράσχει στον Επιχειρηματικό Συνεργάτη πληροφορίες που επαρκούν για να μπορέσει ο Επιχειρηματικός Συνεργάτης να καθορίσει ποια αρχεία ή δεδομένα, που λαμβάνονται από ή για λογαριασμό του Πελάτη από τον Επιχειρηματικό Συνεργάτη, περιέχουν PHI. Η τεκμηρίωση των γνωστοποιήσεων θα περιέχει τις πληροφορίες που θα απαιτούσε ο Xxxxxxx για να απαντήσει σε ένα αίτημα ενός Φυσικού Προσώπου για λογιστική καταγραφή των Γνωστοποιήσεων PHI σύμφωνα με τον 45 CFR §164.528 ή άλλες διατάξεις των Κανόνων HIPAA.
2.8. Εκτός εάν έχει συμφωνηθεί ρητά κάτι διαφορετικό στη Σύμβαση, ο Επιχειρηματικός Συνεργάτης θα ειδοποιεί αμέσως τον Πελάτη για οποιαδήποτε αιτήματα από Φυσικά Πρόσωπα για πρόσβαση ή γνώση ή διόρθωση των PHI, χωρίς να απαντήσει στα εν λόγω αιτήματα και ο Πελάτης θα είναι υπεύθυνος για τη λήψη και την ανταπόκριση σε οποιαδήποτε τέτοια αιτήματα από Φυσικά Πρόσωπα.
2.9. Στον βαθμό που ο Επιχειρηματικός Συνεργάτης πρόκειται να εκπληρώσει μία ή περισσότερες από τις υποχρεώσεις του Πελάτη σύμφωνα με την Υποενότητα Ε του 45 CFR §164, ο Επιχειρηματικός Συνεργάτης θα συμμορφώνεται με τις απαιτήσεις της Υποενότητας Ε που ισχύουν για τον Πελάτη κατά την εκπλήρωση της εν λόγω υποχρέωσης (ή υποχρεώσεων).
2.10. Ο Επιχειρηματικός Συνεργάτης συμφωνεί να καταστήσει τις εσωτερικές πρακτικές, τα βιβλία και τα αρχεία του διαθέσιμα στον Γραμματέα για τους σκοπούς του προσδιορισμού της συμμόρφωσης με τους Κανόνες HIPAA.
3. ΕΠΙΤΡΕΠΟΜΕΝΕΣ ΧΡΗΣΕΙΣ ΚΑΙ ΓΝΩΣΤΟΠΟΙΗΣΕΙΣ ΑΠΟ ΤΟΝ ΕΠΙΧΕΙΡΗΜΑΤΙΚΟ ΣΥΝΕΡΓΑΤΗ
3.1. Ο Επιχειρηματικός Συνεργάτης μπορεί να χρησιμοποιήσει ή να γνωστοποιήσει PHI όπως απαιτείται για την εκτέλεση των Υπηρεσιών που ορίζονται στη Σύμβαση.
3.2. Ο Επιχειρηματικός Συνεργάτης μπορεί να χρησιμοποιήσει ή να γνωστοποιήσει PHI όπως απαιτείται από τους νόμους.
3.3. Ο Επιχειρηματικός Συνεργάτης συμφωνεί να καταβάλλει εύλογες προσπάθειες για να περιορίσει τις PHI στο ελάχιστο αναγκαίο για την επίτευξη του σκοπού για τον οποίο προορίζεται η Χρήση, η Γνωστοποίηση ή ένα αίτημα.
3.4. Ο Επιχειρηματικός Συνεργάτης δεν επιτρέπεται να χρησιμοποιεί ή να γνωστοποιεί τις PHI με τρόπο που θα παραβίαζε την Υποενότητα Ε του 45 CFR §164, εάν είχε γίνει από τον Πελάτη.
3.5. Ο Επιχειρηματικός Συνεργάτης μπορεί να γνωστοποιήσει τις PHI για την κατάλληλη διαχείριση και διοίκηση του Επιχειρηματικού Συνεργάτη ή για την εκπλήρωση των νομικών ευθυνών του Επιχειρηματικού Συνεργάτη, υπό την προϋπόθεση ότι οι Γνωστοποιήσεις απαιτούνται από τον νόμο, ή ο Επιχειρηματικός Συνεργάτης λαμβάνει εύλογες διαβεβαιώσεις από το πρόσωπο στο οποίο γνωστοποιούνται οι πληροφορίες ότι οι πληροφορίες θα παραμείνουν εμπιστευτικές και θα χρησιμοποιηθούν ή θα γνωστοποιηθούν περαιτέρω μόνο όπως απαιτείται από τον νόμο ή για τους σκοπούς για τους οποίους γνωστοποιήθηκαν στο εν λόγω πρόσωπο και το εν λόγω πρόσωπο θα ειδοποιεί τον Επιχειρηματικό Συνεργάτη για οποιεσδήποτε περιπτώσεις για τις οποίες γνωρίζει ότι έχει παραβιαστεί η εμπιστευτικότητα των πληροφοριών.
4. ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΠΕΛΑΤΗ
4.1. Ο Xxxxxxx δεν θα κατευθύνει τον Επιχειρηματικό Συνεργάτη να ενεργήσει με τρόπο που δεν θα συμμορφωνόταν με τους Κανόνες HIPAA.
4.2. Ο Xxxxxxx θα ειδοποιεί τον Επιχειρηματικό Συνεργάτη για οποιονδήποτε περιορισμό(ούς) στην κοινοποίηση των πρακτικών ιδιωτικού απορρήτου του Πελάτη σύμφωνα με τον 45 CFR §164.520, στον
βαθμό που ο εν λόγω περιορισμός μπορεί να επηρεάσει τη Χρήση ή Γνωστοποίηση των PHI του Επιχειρηματικού Συνεργάτη.
4.3. Ο Xxxxxxx θα ειδοποιεί τον Επιχειρηματικό Συνεργάτη για οποιεσδήποτε αλλαγές ή ανάκληση της άδειας ενός Φυσικού Προσώπου να χρησιμοποιεί ή να γνωστοποιεί τις PHI του, στον βαθμό που οι εν λόγω αλλαγές μπορεί να επηρεάσουν τη χρήση ή γνωστοποίηση των PHI από τον Επιχειρηματικό Συνεργάτη.
4.4. Ο Xxxxxxx θα ειδοποιήσει τον Επιχειρηματικό Συνεργάτη εγγράφως για οποιονδήποτε περιορισμό στη Χρήση ή Γνωστοποίηση των PHI με τον οποίο περιορισμό έχει συμφωνήσει ο Xxxxxxx σύμφωνα με τον
45 CFR §164.522, στον βαθμό που ο εν λόγω περιορισμός μπορεί να επηρεάσει τη Χρήση ή τη Γνωστοποίηση των PHI από τον Επιχειρηματικό Συνεργάτη.
5. ΔΙΑΡΚΕΙΑ ΙΣΧΥΟΣ ΚΑΙ ΤΕΡΜΑΤΙΣΜΟΣ/ΚΑΤΑΓΓΕΛΙΑ
5.1. Η διάρκεια ισχύος της παρούσας ΣΕΣ θα ξεκινήσει από την Ημερομηνία Xxxxxxx Xxxxxx και θα τερματιστεί αυτόματα το αργότερο μετά από (i) τη λήξη της Σύμβασης ή (ii) όταν όλες οι PHI που παρέχονται από τον Πελάτη στον Επιχειρηματικό Συνεργάτη καταστραφούν ή επιστραφούν στον Πελάτη.
5.2. Με τη γνώση ενός συμβαλλόμενου μέρους για μία ουσιώδη παράβαση της ΣΕΣ από το άλλο συμβαλλόμενο μέρος, το μη παραβιάζον μέρος θα παρέχει τη δυνατότητα στο παραβιάζον μέρος να αποκαταστήσει την παράβαση. Εάν το παραβιάζον μέρος δεν αποκαταστήσει την παράβαση εντός τριάντα (30) ημερών, μετά την παραλαβή από το παραβιάζον μέρος μίας γραπτής ειδοποίησης από το μη παραβιάζον μέρος, που παραθέτει τις λεπτομέρειες της εν λόγω ουσιώδους παράβασης, τότε το μη παραβιάζον μέρος θα έχει το δικαίωμα να καταγγείλει την παρούσα ΣΕΣ και τη Σύμβαση σύμφωνα με τους όρους της Σύμβασης ή εάν η καταγγελία δεν είναι εφικτή, θα αναφέρει το πρόβλημα στον Γραμματέα ή σε οποιαδήποτε άλλη αρμόδια αρχή.
5.3. Συνέπεια καταγγελίας:
5.3.1.1. Εκτός από τα όσα προβλέπονται στην παράγραφο 5.3.2 παρακάτω, μετά τον τερματισμό της παρούσας ΣΕΣ για οποιονδήποτε λόγο, ο Επιχειρηματικός Συνεργάτης θα επιστρέψει ή θα καταστρέψει όλες τις PHI που έλαβε από τον Πελάτη σύμφωνα με τη Σύμβαση. Αυτή η διάταξη θα ισχύει για PHI που βρίσκονται στην κατοχή υπεργολάβων ή εκπροσώπων του Επιχειρηματικού Συνεργάτη. Ο Επιχειρηματικός Συνεργάτης δεν θα διατηρεί αντίγραφα των PHI.
5.3.1.2. Σε περίπτωση που ο Επιχειρηματικός Συνεργάτης καθορίσει ότι η επιστροφή ή η καταστροφή των PHI είναι ανέφικτη, ο Επιχειρηματικός Συνεργάτης θα παρέχει στον Πελάτη ειδοποίηση για τις συνθήκες που καθιστούν ανέφικτη την επιστροφή ή την καταστροφή. Κατόπιν ειδοποίησης στον Πελάτη, ο Επιχειρηματικός Συνεργάτης θα επεκτείνει την προστασία της παρούσας ΣΕΣ σε αυτές τις PHI και θα περιορίσει περαιτέρω χρήσεις και γνωστοποιήσεις αυτών των PHI στους σκοπούς που καθιστούν ανέφικτη την επιστροφή ή την καταστροφή, για όσο διάστημα ο Επιχειρηματικός Συνεργάτης διατηρεί τις εν λόγω PHI σύμφωνα με τους όρους της Σύμβασης.
6. ΔΙΑΦΟΡΟΙ ΟΡΟΙ
6.1. Αποζημίωση. Ο Επιχειρηματικός Συνεργάτης συμφωνεί να αποζημιώσει τον Xxxxxx από και έναντι οποιωνδήποτε προστίμων ή κυρώσεων που επιβάλλονται στον Πελάτη ως αποτέλεσμα οποιασδήποτε διαδικασίας επιβολής που ξεκίνησε από τον Γραμματέα ή οποιασδήποτε αστικής αγωγής που ασκήθηκε από τον Γενικό Εισαγγελέα της πολιτείας κατά του Πελάτη, η οποία διαδικασία ή ενέργεια προκύπτει απευθείας και αποκλειστικά από οποιαδήποτε πράξη ή παράλειψη του Επιχειρηματικού Συνεργάτη που αποτελεί είτε παράβαση των Κανόνων HIPAA, είτε ουσιώδη παράβαση της παρούσας ΣΕΣ («Απαίτηση»). Ο Επιχειρηματικός Συνεργάτης δεν υποχρεούται να αποζημιώσει τον Πελάτη για οποιοδήποτε μέρος των εν λόγω προστίμων ή ποινών που προκύπτουν από (i) την παράβαση των Κανόνων HIPAA ή της παρούσας ΣΕΣ από τον Πελάτη ή (ii) πράξεις αμέλειας ή εσκεμμένες παραλείψεις του Πελάτη. Η παραπάνω υποχρέωση αποζημίωσης εξαρτάται ρητά από την παραχώρηση του δικαιώματος στον Επιχειρηματικό Συνεργάτη, κατ' επιλογή και με έξοδα του Επιχειρηματικού Συνεργάτη και με δικηγόρο της επιλογής του, να ελέγχει ή να συμμετέχει στην υπεράσπιση οποιασδήποτε τέτοιας Απαίτησης, με την προϋπόθεση, ωστόσο, ότι στον βαθμό που οποιαδήποτε τέτοια Απαίτηση αποτελεί μέρος μίας μεγαλύτερης διαδικασίας ή αγωγής, το δικαίωμα του Επιχειρηματικού Συνεργάτη να ελέγχει ή να συμμετέχει θα περιορίζεται στην Απαίτηση και όχι στη μεγαλύτερη δικαστική διαδικασία ή αγωγή. Σε περίπτωση που ο Επιχειρηματικός Συνεργάτης ασκήσει το δικαίωμά του να ελέγξει την υπεράσπιση, τότε (i) ο Επιχειρηματικός Συνεργάτης δεν θα διακανονίσει οποιαδήποτε απαίτηση που απαιτεί οποιαδήποτε αποδοχή υπαιτιότητας εκ μέρους του Πελάτη χωρίς την εκ των προτέρων γραπτή συγκατάθεσή του, (ii) ο Xxxxxxx θα έχει το δικαίωμα να συμμετάσχει, με δικά του έξοδα, στην απαίτηση ή αγωγή και (iii) ο Xxxxxxx θα συνεργαστεί με τον Επιχειρηματικό Συνεργάτη όπως μπορεί εύλογα να ζητηθεί. Τα παραπάνω δηλώνουν τη μοναδική και αποκλειστική αποκατάσταση του Xxxxxx και την αποκλειστική ευθύνη του Επιχειρηματικού Συνεργάτη για οποιαδήποτε απώλεια, ζημία, δαπάνη ή ευθύνη του Πελάτη για οποιεσδήποτε Αξιώσεις σε σχέση με την παρούσα ΣΕΣ.
6.2. Ασφαλιστικά μέτρα αποκατάστασης. Ο Επιχειρηματικός Συνεργάτης αναγνωρίζει ότι οποιαδήποτε μη εξουσιοδοτημένη Χρήση ή Γνωστοποίηση των PHI από τον Επιχειρηματικό Συνεργάτη μπορεί να προκαλέσει ανεπανόρθωτη βλάβη στον Πελάτη, για την οποία ο Xxxxxxx θα δικαιούται, εάν το επιλέξει, να ζητήσει ασφαλιστικά μέτρα ή άλλη δίκαιη αποκατάσταση.
6.3. Κανονιστικές αναφορές. Μία αναφορά στην παρούσα ΣΕΣ σε μια ενότητα των Κανόνων HIPAA θα σημαίνει την εν λόγω ενότητα του HIPAA, του Κανόνα Ιδιωτικού Απορρήτου, του Κανόνα Ασφαλείας, της HITECH ACT ή τους τελικούς Κανόνες Omnibus όπως τροποποιήθηκαν και ισχύουν και για τους οποίους απαιτείται συμμόρφωση.
6.4. Τροποποίηση. Τα συμβαλλόμενα μέρη συμφωνούν να διαπραγματευτούν καλόπιστα οποιαδήποτε τροποποίηση της παρούσας ΣΕΣ που ενδέχεται να απαιτείται κατά καιρούς, όπως απαιτείται για τη συμμόρφωση του Πελάτη ή του Επιχειρηματικού Συνεργάτη με τις απαιτήσεις των Κανόνων HIPAA. Εάν τα μέρη δεν μπορούν να καταλήξουν σε αμοιβαία συμφωνία σχετικά με τους όρους οποιασδήποτε τέτοιας τροποποίησης εντός εξήντα (60) ημερών από την ημερομηνία παραλαβής οποιουδήποτε τέτοιου γραπτού αιτήματος από τον Πελάτη προς τον Επιχειρηματικό Συνεργάτη, τότε οποιοδήποτε συμβαλλόμενο μέρος θα έχει το δικαίωμα να καταγγείλει την παρούσα ΣΕΣ και τη Σύμβαση με την παροχή γραπτής ειδοποίησης τουλάχιστον τριάντα (30) ημερών προς το άλλο μέρος.
6.5. Κανένας τρίτος δικαιούχος. Τίποτα, ρητό ή σιωπηρό στην παρούσα ΣΕΣ δεν έχει σκοπό να εκχωρήσει, ούτε θα εκχωρήσει οτιδήποτε στην παρούσα, σε οποιοδήποτε πρόσωπο εκτός από τον Πελάτη, τον Επιχειρηματικό Συνεργάτη και τους αντίστοιχους διαδόχους ή εκδοχείς τους, οποιαδήποτε δικαιώματα, αποζημιώσεις, υποχρεώσεις ή ευθύνες.
6.6. Ανεξάρτητος Εργολάβος. Ο Επιχειρηματικός Συνεργάτης, συμπεριλαμβανομένων των μελών του Δ.Σ., των στελεχών, των υπαλλήλων και των πρακτόρων του, είναι ένας ανεξάρτητος εργολάβος και όχι ένας εκπρόσωπος (όπως ορίζεται από το ομοσπονδιακό κοινό δίκαιο εκπροσώπησης) του Πελάτη ή ενός μέλους του εργατικού δυναμικού του. Χωρίς περιορισμό της γενικότητας των προαναφερθέντων, ο Πελάτης δεν θα έχει κανένα δικαίωμα να ελέγχει, να κατευθύνει ή να επηρεάζει με άλλο τρόπο τη συμπεριφορά του Επιχειρηματικού Συνεργάτη κατά την εκτέλεση των υπηρεσιών, εκτός μέσω της επιβολής της παρούσας ΣΕΣ ή της Σύμβασης ή της αμοιβαίας τροποποίησης αυτών.
6.7. Προτεραιότητα, Πλήρης συμφωνία. Οποιαδήποτε ασάφεια στην παρούσα ΣΕΣ θα επιλυθεί για να επιτρέψει στα μέρη να συμμορφώνονται με τους Κανόνες HIPAA. Η παρούσα ΣΕΣ αποτελεί την πλήρη συμφωνία μεταξύ των μερών σχετικά με το αντικείμενο της παρούσας και θα αντικαθιστά όλες τις προηγούμενες επικοινωνίες, δηλώσεις, συμφωνίες και κατανοήσεις σχετικά με τους Κανόνες HIPAA, συμπεριλαμβανομένων οποιωνδήποτε και όλων των προηγούμενων συμφωνιών επιχειρηματικών συνεργατών μεταξύ των μερών.