Σύμβαση Επεξεργασίας Δεδομένων

Συνάπτεται βάσει του άρθρου 28 παρ. 3 ΓΚΠΔ. Αποτελεί αναπόσπαστο μέρος των Όρων Παροχής Υπηρεσιών και ισχύει αυτόματα για κάθε πελάτη του WorkAist Cloud.

Ισχύει από: 2026-07-10

Το παρόν έγγραφο δημοσιεύεται σε πολλές γλώσσες. Σε περίπτωση οποιασδήποτε απόκλισης, υπερισχύει η αγγλική έκδοση.

1. Μέρη και ρόλοι

Η παρούσα Σύμβαση Επεξεργασίας Δεδομένων («DPA») συνάπτεται μεταξύ του πελάτη που προσδιορίζεται στον λογαριασμό WorkAist (ο «Υπεύθυνος Επεξεργασίας») και της ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (ο «Εκτελών την Επεξεργασία»).

Όσον αφορά τα Δεδομένα Πελάτη που υφίστανται επεξεργασία στο WorkAist Cloud, ο Υπεύθυνος Επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας και ο Εκτελών την Επεξεργασία επεξεργάζεται για λογαριασμό του Υπευθύνου Επεξεργασίας. Όπου ο Υπεύθυνος Επεξεργασίας είναι ο ίδιος εκτελών την επεξεργασία για τρίτο, ο Υπεύθυνος Επεξεργασίας εγγυάται ότι διαθέτει την εξουσία να συνάψει την παρούσα DPA και ότι οι εντολές που δίνει αντικατοπτρίζουν τις εντολές αυτού του τρίτου.

Η παρούσα DPA δεν εφαρμόζεται στο WorkAist Self-Hosted, όπου τα Δεδομένα Πελάτη δεν φτάνουν στα συστήματα του Εκτελούντος την Επεξεργασία, ούτε σε δεδομένα για τα οποία ο Εκτελών την Επεξεργασία είναι ο ίδιος υπεύθυνος επεξεργασίας, τα οποία διέπονται από την Πολιτική Απορρήτου.

2. Σειρά προτεραιότητας

Όπου η παρούσα DPA έρχεται σε αντίθεση με τους Όρους Παροχής Υπηρεσιών, η παρούσα DPA υπερισχύει σε θέματα προστασίας δεδομένων. Όπου έρχεται σε αντίθεση με ατομικά διαπραγματευθέν έντυπο παραγγελίας ή με υπογεγραμμένη σύμβαση επεξεργασίας δεδομένων, υπερισχύει εκείνο το έγγραφο.

3. Αντικείμενο, διάρκεια, φύση και σκοπός

Αντικείμενο είναι η παροχή του WorkAist Cloud. Η φύση και ο σκοπός της επεξεργασίας είναι η φιλοξενία, αποθήκευση, διαβίβαση και αυτοματοποιημένη επεξεργασία των Δεδομένων Πελάτη ώστε να μπορούν να εκτελούνται οι διαμορφωμένοι πράκτορες, connectors και διαδικασίες του Υπευθύνου Επεξεργασίας, μαζί με τις δραστηριότητες υποστήριξης, ασφάλειας, μέτρησης και χρέωσης που είναι απαραίτητες για την παροχή της Υπηρεσίας.

Η επεξεργασία διαρκεί για όσο χρόνο ισχύει η σύμβαση του Υπευθύνου Επεξεργασίας για το WorkAist Cloud, πλέον των περιόδων διαγραφής της ενότητας 11.

4. Κατηγορίες υποκειμένων των δεδομένων και δεδομένων προσωπικού χαρακτήρα

Ο Υπεύθυνος Επεξεργασίας αποφασίζει τι ανεβάζει. Συνήθως η επεξεργασία αφορά:

Κατηγορίες υποκειμένων των δεδομένωνΚατηγορίες δεδομένων προσωπικού χαρακτήρα
Οι εργαζόμενοι και οι εξουσιοδοτημένοι χρήστες του Υπευθύνου ΕπεξεργασίαςΌνομα, εργασιακό email, ρόλος, δεδομένα αυθεντικοποίησης, καταχωρήσεις αρχείου ελέγχου
Οι πελάτες, leads και επαφές του Υπευθύνου ΕπεξεργασίαςΌνομα, email, τηλέφωνο, εταιρεία, αλληλογραφία, εγγραφές CRM, οποιοδήποτε αναγνωριστικό επιλέξει να συγχρονίσει ο Υπεύθυνος Επεξεργασίας
Οι προμηθευτές και συνεργάτες του Υπευθύνου ΕπεξεργασίαςΣτοιχεία επικοινωνίας, δεδομένα σύμβασης και τιμολόγησης
Κάθε υποκείμενο δεδομένων που εμφανίζεται σε έγγραφα ή μηνύματα που επεξεργάζεται ο Υπεύθυνος ΕπεξεργασίαςΟποιαδήποτε δεδομένα προσωπικού χαρακτήρα περιέχονται σε αρχεία, email, απομαγνητοφωνήσεις, εικόνες ή μηνύματα που υποβάλλει ο Υπεύθυνος Επεξεργασίας στην Υπηρεσία

Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 9 ΓΚΠΔ και δεδομένα προσωπικού χαρακτήρα σχετικά με ποινικές καταδίκες και αδικήματα βάσει του άρθρου 10 ΓΚΠΔ δεν επιτρέπεται να υποβάλλονται σε επεξεργασία στην Υπηρεσία, εκτός εάν τα μέρη έχουν συμφωνήσει εκ των προτέρων εγγράφως πρόσθετες διασφαλίσεις.

Προέλευση των δεδομένων

Τα Δεδομένα Πελάτη φτάνουν στην Υπηρεσία επειδή ο Υπεύθυνος Επεξεργασίας συνδέει εξωτερικά συστήματα, ανεβάζει αρχεία, ή αναθέτει στους πράκτορές του να τα ανακτήσουν. Μόνο ο Υπεύθυνος Επεξεργασίας επιλέγει αυτές τις πηγές και καθορίζει τι εισάγεται.

Ο Υπεύθυνος Επεξεργασίας εγγυάται ότι διαθέτει νόμιμη βάση βάσει του άρθρου 6 ΓΚΠΔ — και, όπου εφαρμόζεται, του άρθρου 9 — για τη συλλογή αυτών των δεδομένων προσωπικού χαρακτήρα και για τη διαβίβασή τους στον Εκτελούντα την Επεξεργασία, και ότι έχει τηρηθεί κάθε απαιτούμενη στο σύστημα προέλευσης ειδοποίηση ή συγκατάθεση. Ο Εκτελών την Επεξεργασία δεν έχει πρόσβαση στα συστήματα προέλευσης του Υπευθύνου Επεξεργασίας, δεν τα επιλέγει, και ούτε επαληθεύει ούτε είναι σε θέση να επαληθεύσει αν αυτά συμμορφώνονται με τη νομοθεσία προστασίας δεδομένων. Η διαπίστωση αυτού αποτελεί υποχρέωση του Υπευθύνου Επεξεργασίας υπό την ιδιότητά του ως υπευθύνου επεξεργασίας.

5. Επεξεργασία βάσει τεκμηριωμένων εντολών

Ο Εκτελών την Επεξεργασία επεξεργάζεται τα Δεδομένα Πελάτη μόνο βάσει τεκμηριωμένων εντολών του Υπευθύνου Επεξεργασίας, συμπεριλαμβανομένων όσων αφορούν διαβιβάσεις σε τρίτες χώρες, εκτός εάν υποχρεούται να πράξει διαφορετικά βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους στο οποίο υπόκειται ο Εκτελών την Επεξεργασία. Στην περίπτωση αυτή, ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας για αυτήν τη νομική απαίτηση πριν από την επεξεργασία, εκτός εάν ο νόμος το απαγορεύει για σοβαρούς λόγους δημοσίου συμφέροντος.

Οι Όροι Παροχής Υπηρεσιών, η παρούσα DPA, και η διαμόρφωση και χρήση της Υπηρεσίας από τον Υπεύθυνο Επεξεργασίας συνιστούν τις πλήρεις τεκμηριωμένες εντολές του Υπευθύνου Επεξεργασίας. Κάθε πρόσθετη εντολή πρέπει να είναι έγγραφη και, εάν απαιτεί προσπάθεια πέραν της τυπικής λειτουργικότητας της Υπηρεσίας, ενδέχεται να υπόκειται σε εύλογη χρέωση συμφωνημένη εκ των προτέρων.

Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση εάν, κατά την κρίση του, μια εντολή παραβιάζει τον ΓΚΠΔ ή άλλη ενωσιακή ή εθνική νομοθεσία προστασίας δεδομένων κράτους μέλους.

6. Εμπιστευτικότητα

Ο Εκτελών την Επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα Δεδομένα Πελάτη έχουν αναλάβει δέσμευση εμπιστευτικότητας ή υπόκεινται σε κατάλληλη νόμιμη υποχρέωση εμπιστευτικότητας, και ότι η πρόσβαση περιορίζεται σε όσους τη χρειάζονται για την εκτέλεση της σύμβασης.

7. Ασφάλεια της επεξεργασίας

Λαμβάνοντας υπόψη την τεχνολογική στάθμη, το κόστος εφαρμογής, καθώς και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, όπως και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο Εκτελών την Επεξεργασία εφαρμόζει τα ακόλουθα τεχνικά και οργανωτικά μέτρα βάσει του άρθρου 32 ΓΚΠΔ.

Παράρτημα II — Τεχνικά και οργανωτικά μέτρα

ΜέτροΕφαρμογή
Κρυπτογράφηση κατά τη μεταφοράΌλη η κίνηση προς και από την Υπηρεσία εξυπηρετείται μέσω TLS με πιστοποιητικά που ανανεώνονται αυτόματα. Η εσωτερική κίνηση μεταξύ υπηρεσιών δεν εξέρχεται από το δίκτυο του host.
Κρυπτογράφηση μυστικώνΤα διαπιστευτήρια πελατών και τα μυστικά connector είναι κρυπτογραφημένα κατά την αποθήκευση με AES-256-GCM υπό κλειδί που τηρείται εκτός της βάσης δεδομένων της εφαρμογής.
ΨευδωνυμοποίησηΟι καταχωρήσεις τηλεμετρίας και μέτρησης αναφέρονται σε μισθωτές (tenants) και πράκτορες μέσω αναγνωριστικού και όχι ονόματος ή email, όπου το αναγνωριστικό επαρκεί.
Εμπιστευτικότητα — έλεγχος πρόσβασηςΈλεγχος πρόσβασης βάσει ρόλων ανά χώρο εργασίας. Κάθε πράκτορας περιορίζεται στο δικό του πρόθεμα αποθήκευσης και στο δικό του σχήμα βάσης δεδομένων· η διαμισθωτική (cross-tenant) πρόσβαση απορρίπτεται στο επίπεδο δεδομένων, όχι μόνο στη διεπαφή χρήστη.
Εμπιστευτικότητα — προσωπικόΔιοικητική πρόσβαση ελάχιστου προνομίου, χορηγούμενη ατομικά και επανεξεταζόμενη σε κάθε αλλαγή ρόλου. Όλες οι διοικητικές ενέργειες καταγράφονται σε αρχείο ελέγχου προσαρτήσεων μόνο (append-only).
ΑκεραιότηταΕπικύρωση εισόδου και παραμετροποιημένα ερωτήματα (parameterised queries) σε όλο το σύστημα. Κάθε μεταβολή μέσω του operations API καταγράφει γραμμή αρχείου ελέγχου που προσδιορίζει τον δράστη.
Διαθεσιμότητα και ανθεκτικότηταΔιαχειριζόμενη φιλοξενία σε κέντρο δεδομένων κλάσης Tier III στη Γερμανία. Αυτοματοποιημένα ημερήσια αντίγραφα ασφαλείας της βάσης δεδομένων, κρυπτογραφημένα και διαχωρισμένα από την παραγωγή.
ΑποκατάστασηΤεκμηριωμένη διαδικασία αποκατάστασης από το πιο πρόσφατο αντίγραφο ασφαλείας· η αποκατάσταση δοκιμάζεται στο πλαίσιο αλλαγών υποδομής.
Δοκιμές και αξιολόγησηΣάρωση ευπαθειών εξαρτήσεων στη συνεχή ενσωμάτωση (CI), επισκόπηση κώδικα πριν από τη συγχώνευση, και περιοδική επανεξέταση αυτών των μέτρων τουλάχιστον ετησίως και σε κάθε ουσιώδη αλλαγή της Υπηρεσίας.
Ελαχιστοποίηση δεδομένων εκ σχεδιασμούΟι connectors συγχρονίζουν μόνο τα πεδία που ενεργοποιεί ο Υπεύθυνος Επεξεργασίας. Ο Υπεύθυνος Επεξεργασίας μπορεί να διαγράψει οποιονδήποτε συγχρονισμένο πίνακα ανά πάσα στιγμή.

Ο Εκτελών την Επεξεργασία μπορεί να επικαιροποιεί αυτά τα μέτρα καθώς εξελίσσεται η τεχνολογία, υπό την προϋπόθεση ότι το επίπεδο προστασίας δεν μειώνεται. Η τρέχουσα έκδοση είναι πάντα αυτή που δημοσιεύεται στην παρούσα σελίδα.

8. Υποεκτελούντες την επεξεργασία

Ο Υπεύθυνος Επεξεργασίας παρέχει στον Εκτελούντα την Επεξεργασία γενική έγγραφη εξουσιοδότηση να χρησιμοποιεί υποεκτελούντες την επεξεργασία. Ο Εκτελών την Επεξεργασία επιβάλλει συμβατικά σε κάθε υποεκτελούντα την επεξεργασία υποχρεώσεις προστασίας δεδομένων εξίσου προστατευτικές με αυτές της παρούσας DPA, και παραμένει πλήρως υπεύθυνος έναντι του Υπευθύνου Επεξεργασίας για την εκτέλεση του υποεκτελούντος την επεξεργασία.

Παράρτημα III — Εξουσιοδοτημένοι υποεκτελούντες την επεξεργασία

Οι ακόλουθοι υποεκτελούντες την επεξεργασία χρησιμοποιούνται για κάθε πελάτη του WorkAist Cloud, διότι αποτελούν μέρος της υποδομής στην οποία λειτουργεί η Υπηρεσία.

Υποεκτελών την επεξεργασίαΣκοπόςΤοποθεσίαΔιασφάλιση διαβίβασης
Hetzner Online GmbHΦιλοξενία διακομιστών εφαρμογών, βάσης δεδομένων και αντιγράφων ασφαλείαςΓερμανία (ΕΕ)Δεν εφαρμόζεται
Cloudflare, Inc.DNS, reverse proxy, τερματισμός TLS, προστασία DDoSΠαγκόσμιο δίκτυο edge, συμπεριλαμβανομένης της ΕΕSCCs· EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Επεξεργασία πληρωμών και συνδρομώνΙρλανδία (ΕΕ)SCCs για περαιτέρω διαβιβάσεις εντός ομίλου· EU-US Data Privacy Framework
Resend, Inc.Παράδοση συναλλακτικών emailΗνωμένες ΠολιτείεςSCCs

Πάροχοι μοντέλων

Οι πάροχοι μεγάλων γλωσσικών μοντέλων αντιμετωπίζονται διαφορετικά, διότι τους επιλέγει ο Υπεύθυνος Επεξεργασίας.

  • Εάν ο Υπεύθυνος Επεξεργασίας παρέχει τα δικά του διαπιστευτήρια παρόχου, αυτός ο πάροχος χρησιμοποιείται από τον Υπεύθυνο Επεξεργασίας, βάσει των εντολών του Υπευθύνου Επεξεργασίας και βάσει της δικής του σύμβασης μαζί του. Δεν είναι υποεκτελών την επεξεργασία του Εκτελούντος την Επεξεργασία. Ο Εκτελών την Επεξεργασία απλώς διαβιβάζει το αίτημα χρησιμοποιώντας τα παρεχόμενα διαπιστευτήρια και δεν παρέχει καμία εγγύηση ως προς την ασφάλεια, τον τόπο επεξεργασίας, τις πρακτικές εκπαίδευσης ή τη συμμόρφωση αυτού του παρόχου.
  • Εάν ο Υπεύθυνος Επεξεργασίας χρησιμοποιεί τη διαχειριζόμενη χρέωση tokens του Εκτελούντος την Επεξεργασία, ο Εκτελών την Επεξεργασία επιλέγει τον πάροχο και αυτός αποτελεί υποεκτελούντα την επεξεργασία του Εκτελούντος την Επεξεργασία. Ο πάροχος που χρησιμοποιείται επί του παρόντος υπό αυτήν την ιδιότητα είναι η Anthropic PBC (Ηνωμένες Πολιτείες), για συμπερασματολογία μεγάλων γλωσσικών μοντέλων, βάσει Τυποποιημένων Συμβατικών Ρητρών και με συμβατική απαγόρευση εκπαίδευσης με τα δεδομένα που της αποστέλλονται.

Ο Υπεύθυνος Επεξεργασίας μπορεί να δει ποιον πάροχο μοντέλων χρησιμοποιεί κάθε πράκτοράς του, και να τον αλλάξει, ανά πάσα στιγμή εντός της Υπηρεσίας.

Αλλαγές υποεκτελούντων την επεξεργασία

Ο Εκτελών την Επεξεργασία ειδοποιεί τον Υπεύθυνο Επεξεργασίας τουλάχιστον 30 ημέρες νωρίτερα μέσω email πριν προσθέσει ή αντικαταστήσει υποεκτελούντα την επεξεργασία. Ο Υπεύθυνος Επεξεργασίας μπορεί να αντιταχθεί για εύλογους λόγους προστασίας δεδομένων εντός αυτών των 30 ημερών. Εάν τα μέρη δεν καταφέρουν να επιλύσουν την αντίρρηση, ο Υπεύθυνος Επεξεργασίας μπορεί να καταγγείλει το επηρεαζόμενο τμήμα της Υπηρεσίας χωρίς ποινή και να λάβει αναλογική επιστροφή προπληρωμένων τελών.

9. Συνδρομή στα δικαιώματα υποκειμένων των δεδομένων

Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, ο Εκτελών την Επεξεργασία συνδράμει τον Υπεύθυνο Επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι εφικτό, για την εκπλήρωση της υποχρέωσης του Υπευθύνου Επεξεργασίας να ανταποκρίνεται σε αιτήματα άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων βάσει του Κεφαλαίου III του ΓΚΠΔ.

Η Υπηρεσία παρέχει στον Υπεύθυνο Επεξεργασίας απευθείας πρόσβαση στα Δεδομένα Πελάτη ώστε να μπορεί να εντοπίζει, να εξάγει, να διορθώνει και να διαγράφει ο ίδιος δεδομένα προσωπικού χαρακτήρα. Όπου ένα αίτημα απαιτεί ωστόσο την εμπλοκή του Εκτελούντος την Επεξεργασία, ο Εκτελών την Επεξεργασία απαντά χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 10 εργάσιμων ημερών. Εάν ένα υποκείμενο δεδομένων επικοινωνήσει απευθείας με τον Εκτελούντα την Επεξεργασία σχετικά με Δεδομένα Πελάτη, ο Εκτελών την Επεξεργασία δεν απαντά επί της ουσίας· διαβιβάζει το αίτημα στον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση.

10. Συνδρομή σχετικά με τα άρθρα 32 έως 36

Ο Εκτελών την Επεξεργασία συνδράμει τον Υπεύθυνο Επεξεργασίας στη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις των άρθρων 32 έως 36 ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του ο Εκτελών την Επεξεργασία — ιδίως όσον αφορά την ασφάλεια της επεξεργασίας, την κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα, την ανακοίνωση στα υποκείμενα των δεδομένων, τις εκτιμήσεις αντικτύπου σχετικά με την προστασία δεδομένων και την προηγούμενη διαβούλευση.

Παραβίαση δεδομένων προσωπικού χαρακτήρα

Ο Εκτελών την Επεξεργασία ειδοποιεί τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση, και σε κάθε περίπτωση εντός 48 ωρών, αφότου λάβει γνώση παραβίασης δεδομένων προσωπικού χαρακτήρα που επηρεάζει τα Δεδομένα Πελάτη. Η ειδοποίηση περιγράφει τη φύση της παραβίασης, τις κατηγορίες και τον κατά προσέγγιση αριθμό των επηρεαζόμενων υποκειμένων δεδομένων και εγγραφών, τις πιθανές συνέπειες, τα μέτρα που λήφθηκαν ή προτείνονται, καθώς και ένα σημείο επικοινωνίας. Όπου δεν είναι διαθέσιμες όλες οι πληροφορίες ταυτόχρονα, παρέχονται σταδιακά χωρίς περαιτέρω αδικαιολόγητη καθυστέρηση. Ο Εκτελών την Επεξεργασία δεν ειδοποιεί εποπτική αρχή ή υποκείμενα δεδομένων για λογαριασμό του Υπευθύνου Επεξεργασίας, εκτός εάν του δοθεί σχετική εντολή.

11. Διαγραφή και επιστροφή Δεδομένων Πελάτη

Κατ' επιλογή του Υπευθύνου Επεξεργασίας, ο Εκτελών την Επεξεργασία διαγράφει ή επιστρέφει όλα τα Δεδομένα Πελάτη μετά τη λήξη της παροχής υπηρεσιών σχετικών με την επεξεργασία, και διαγράφει τα υπάρχοντα αντίγραφα, εκτός εάν το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους απαιτεί τη διατήρηση των δεδομένων προσωπικού χαρακτήρα.

  • Για 30 ημέρες μετά τη λήξη της σύμβασης, ο Υπεύθυνος Επεξεργασίας μπορεί να εξάγει τα Δεδομένα Πελάτη από την Υπηρεσία, ή να ζητήσει την επιστροφή τους σε δομημένη, ευρέως χρησιμοποιούμενη, μηχανικά αναγνώσιμη μορφή.
  • Ο Εκτελών την Επεξεργασία διαγράφει τα Δεδομένα Πελάτη από τα ενεργά συστήματα εντός 30 ημερών μετά το κλείσιμο αυτού του διαστήματος εξαγωγής.
  • Τα κρυπτογραφημένα αντίγραφα ασφαλείας που περιέχουν Δεδομένα Πελάτη αντικαθίστανται κατά την κανονική τους εναλλαγή (rotation) και σε κάθε περίπτωση εντός 90 ημερών από τη διαγραφή τους από τα ενεργά συστήματα.
  • Κατόπιν έγγραφου αιτήματος, ο Εκτελών την Επεξεργασία επιβεβαιώνει εγγράφως τη διαγραφή.

12. Έλεγχοι και πληροφορίες

Ο Εκτελών την Επεξεργασία θέτει στη διάθεση του Υπευθύνου Επεξεργασίας όλες τις πληροφορίες που είναι απαραίτητες για την απόδειξη της συμμόρφωσης με το άρθρο 28 ΓΚΠΔ, και επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων επιθεωρήσεων, που διενεργούνται από τον Υπεύθυνο Επεξεργασίας ή άλλον ελεγκτή εξουσιοδοτημένο από τον Υπεύθυνο Επεξεργασίας.

Στην πράξη, ο Εκτελών την Επεξεργασία παρέχει καταρχάς την τρέχουσα τεκμηρίωσή του σχετικά με τα τεχνικά και οργανωτικά μέτρα, τον κατάλογο υποεκτελούντων την επεξεργασία, και έγγραφες απαντήσεις σε ερωτηματολόγιο ασφαλείας. Όπου αυτό δεν επαρκεί για την απόδειξη της συμμόρφωσης, ο Υπεύθυνος Επεξεργασίας μπορεί να διενεργήσει έλεγχο επιτόπου ή εξ αποστάσεως, κατόπιν έγγραφης ειδοποίησης 30 ημερών, όχι περισσότερο από μία φορά ανά ημερολογιακό έτος, εκτός εάν έχει συμβεί παραβίαση δεδομένων προσωπικού χαρακτήρα ή εποπτική αρχή το απαιτεί. Οι έλεγχοι διεξάγονται κατά τις ώρες εργασίας, δεν πρέπει να διαταράσσουν αδικαιολόγητα τη λειτουργία του Εκτελούντος την Επεξεργασία, και υπόκεινται σε εμπιστευτικότητα. Ο Υπεύθυνος Επεξεργασίας επιβαρύνεται με τα δικά του έξοδα ελέγχου· ο Εκτελών την Επεξεργασία επιβαρύνεται με τα δικά του, εκτός εάν ο έλεγχος αποκαλύψει ουσιώδη παράβαση της παρούσας DPA.

13. Διεθνείς διαβιβάσεις

Ο Εκτελών την Επεξεργασία αποθηκεύει τα Δεδομένα Πελάτη κατά την ηρεμία (at rest) στη Γερμανία. Οι διαβιβάσεις σε υποεκτελούντες την επεξεργασία εκτός του Ευρωπαϊκού Οικονομικού Χώρου, όπως αναφέρονται στο Παράρτημα III, πραγματοποιούνται βάσει των Τυποποιημένων Συμβατικών Ρητρών της Ευρωπαϊκής Επιτροπής (Εκτελεστική απόφαση (ΕΕ) 2021/914), Ενότητα Τρία (Module Three), όπου ο Εκτελών την Επεξεργασία ενεργεί ως εκτελών την επεξεργασία που χρησιμοποιεί υποεκτελούντα την επεξεργασία, συμπληρωμένων όπου απαιτείται με πρόσθετες διασφαλίσεις, και — όπου ο αποδέκτης είναι πιστοποιημένος — βάσει της απόφασης επάρκειας για το EU-US Data Privacy Framework.

Συνάπτοντας την παρούσα DPA, ο Υπεύθυνος Επεξεργασίας εξουσιοδοτεί τον Εκτελούντα την Επεξεργασία να συνάψει αυτές τις Τυποποιημένες Συμβατικές Ρήτρες με κάθε υποεκτελούντα την επεξεργασία στο όνομα και για λογαριασμό του Υπευθύνου Επεξεργασίας.

14. Ευθύνη

Η ευθύνη βάσει της παρούσας DPA διέπεται από τον περιορισμό ευθύνης των Όρων Παροχής Υπηρεσιών, με εξαίρεση ότι τίποτα δεν περιορίζει την ευθύνη οποιουδήποτε μέρους έναντι υποκειμένου δεδομένων βάσει του άρθρου 82 ΓΚΠΔ ή έναντι εποπτικής αρχής.

15. Διάρκεια, εφαρμοστέο δίκαιο και επικοινωνία

Η παρούσα DPA τίθεται σε ισχύ όταν αρχίζει η σύμβαση του Υπευθύνου Επεξεργασίας για το WorkAist Cloud και παραμένει σε ισχύ για όσο διάστημα ο Εκτελών την Επεξεργασία επεξεργάζεται Δεδομένα Πελάτη. Διέπεται από το δίκαιο της Πορτογαλίας, και τα δικαστήρια της Λισαβόνας έχουν αποκλειστική δικαιοδοσία, με την επιφύλαξη του άρθρου 79 ΓΚΠΔ.

Επικοινωνία για κάθε θέμα βάσει της παρούσας DPA: [email protected].