ΠΑΡΑΡΤΗΜΑ 3 στους Όρους χρήσης Συμφωνία επεξεργασίας δεδομένων

Ισχύει από 26 Νοεμβρίου 2025

Η παρούσα Συμφωνία επεξεργασίας δεδομένων ισχύει μεταξύ του χρήστη και της ESET κάθε φορά που ο χρήστης επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ως υπεύθυνος επεξεργασίας δεδομένων μέσω της χρήσης των υπηρεσιών της ESET που παρέχονται σύμφωνα με τους Όρους και η ESET επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα για λογαριασμό του χρήστη ως εκτελούντος την επεξεργασία δεδομένων.

Σύμφωνα με τις απαιτήσεις του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (ΓΚΠΔ), η ESET (ο «Εκτελών την επεξεργασία») και ο Χρήστης (ο «Υπεύθυνος επεξεργασίας») συνάπτουν μια συμβατική σχέση επεξεργασίας δεδομένων προκειμένου να καθοριστούν οι όροι και οι προϋποθέσεις για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, τον τρόπο προστασίας τους, καθώς και για να καθοριστούν άλλα δικαιώματα και υποχρεώσεις και των δύο συμβαλλόμενων στην επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων για λογαριασμό του Υπεύθυνου επεξεργασίας κατά τη διάρκεια εκτέλεσης του αντικειμένου των παρόντων Όρων ως βασική σύμβαση.

1. Δεδομένα προσωπικού χαρακτήρα επεξεργασία. Οι Υπηρεσίες που παρέχονται σε συμμόρφωση με τους παρόντες Όρους περιλαμβάνουν την επεξεργασία πληροφοριών που σχετίζονται με ένα ταυτοποιημένο ή δυνάμενο να ταυτοποιηθεί φυσικό πρόσωπο για λογαριασμό του Υπεύθυνου επεξεργασίας, όπως ορίζεται στην Πολιτική απορρήτου («Δεδομένα προσωπικού χαρακτήρα»).

2. Εξουσιοδότηση. Ο Υπεύθυνος επεξεργασίας εξουσιοδοτεί τον Εκτελούντα την επεξεργασία να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα, που συμπεριλαμβάνουν τις ακόλουθες οδηγίες:

(i) «Σκοπός της επεξεργασίας» σημαίνει την παροχή υπηρεσιών σε συμμόρφωση με τους παρόντες Όρους και την Τεκμηρίωση. Ο Εκτελών την επεξεργασία επιτρέπεται να επεξεργάζεται τα Δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου επεξεργασίας μόνο σε σχέση με την παροχή των υπηρεσιών που ζητούνται από τον Υπεύθυνο επεξεργασίας. Όλες οι πληροφορίες που συλλέγονται για πρόσθετους σκοπούς υποβάλλονται σε επεξεργασία εκτός της συμβατικής σχέσης του Υπεύθυνου επεξεργασίας-Εκτελούντα την επεξεργασία.

(ii) «Περίοδος επεξεργασίας» σημαίνει την περίοδο από τη συνομολόγηση της συνεργασίας σύμφωνα με τους παρόντες Όρους έως τον τερματισμό της,

(iii) Πεδίο εφαρμογής και κατηγορίες δεδομένων προσωπικού χαρακτήρα σημαίνει τυχόν δεδομένα προσωπικού χαρακτήρα που παρέχονται ή καθίστανται διαθέσιμα από τον Υπεύθυνο επεξεργασίας κατά την παροχή υπηρεσιών. Οι Υπηρεσίες προορίζονται μόνο για την επεξεργασία γενικών δεδομένων προσωπικού χαρακτήρα. Ωστόσο, ο Υπεύθυνος επεξεργασίας είναι αποκλειστικά υπεύθυνος για τον καθορισμό του πεδίου εφαρμογής των δεδομένων προσωπικού χαρακτήρα.

(iv) «Υποκείμενο των δεδομένων» σημαίνει το φυσικό πρόσωπο που είναι εξουσιοδοτημένος χρήστης των συσκευών του Υπεύθυνου επεξεργασίας για τις οποίες παρέχονται Υπηρεσίες,

(v) Οι δραστηριότητες επεξεργασίας είναι κάθε λειτουργία και όλες οι λειτουργίες μαζί που απαιτούνται για το σκοπό της επεξεργασίας,

(vi) «Τεκμηριωμένες οδηγίες» σημαίνει τις οδηγίες που περιγράφονται στους παρόντες Όρους, στα παραρτήματά τους, στην Πολιτική απορρήτου και στην Τεκμηρίωση. Ο Υπεύθυνος επεξεργασίας ευθύνεται για την αντικειμενική νομιμότητα της επεξεργασίας των Δεδομένων προσωπικού χαρακτήρα από τον Εκτελούντα την επεξεργασία αναφορικά με τις αντίστοιχες ισχύουσες διατάξεις του νόμου περί προστασίας δεδομένων.

3. Υποχρεώσεις του Εκτελών την επεξεργασία. Ο Εκτελών την επεξεργασία οφείλει:

i) επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο βάσει τεκμηριωμένων εντολών και σε συμμόρφωση με τον σκοπό της επεξεργασίας,

(ii) να καθοδηγεί τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα Δεδομένα προσωπικού χαρακτήρα (τα «Εξουσιοδοτημένα Πρόσωπα») σχετικά με τα δικαιώματα και τις υποχρεώσεις τους σύμφωνα με τον ΓΚΠΔ, σχετικά με την ευθύνη τους σε περίπτωση παραβίασης και να διασφαλίσει ότι τα Εξουσιοδοτημένα Πρόσωπα έχουν δεσμευτεί για εμπιστευτικότητα και ακολουθούν τις Τεκμηριωμένες οδηγίες,

iii) να λαμβάνει όλα τα μέτρα που σχετίζονται με την ασφάλεια της επεξεργασίας, όπως απαιτείται σύμφωνα με το άρθρο 32 του ΓΚΠΔ, λαμβάνοντας υπόψη τις τελευταίες τεχνολογίες, τα έξοδα υλοποίησης και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τον κίνδυνο ποικίλης πιθανότητας και κρισιμότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, να διασφαλίζει ένα κατάλληλο για τον κίνδυνο επίπεδο ασφάλειας κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του Υπεύθυνου επεξεργασίας,

(iv) λαμβάνοντας υπόψη τη φύση της επεξεργασίας, να επικουρεί τον Υπεύθυνο επεξεργασίας στην απόκριση σε αιτήματα των Υποκειμένων των δεδομένων που σχετίζονται με τα δικαιώματά τους. Ο Εκτελών την επεξεργασία οφείλει να μην διορθώνει, καταργεί ή περιορίζει την επεξεργασία Δεδομένων προσωπικού χαρακτήρα χωρίς την εντολή του Υπεύθυνου επεξεργασίας. Όλα τα αιτήματα του Υποκειμένου των δεδομένων που σχετίζονται με Δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό του Υπεύθυνου επεξεργασίας θα διαβιβάζονται στον Υπεύθυνο επεξεργασίας χωρίς καθυστέρηση.

(v) να επικουρεί τον Υπεύθυνο επεξεργασίας στην ειδοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή και στο Υποκείμενο των δεδομένων, Ο Εκτελών την επεξεργασία ενημερώνει τον Υπεύθυνο επεξεργασίας για οποιαδήποτε παραβίαση της επεξεργασίας Δεδομένων προσωπικού χαρακτήρα ή της ασφάλειας των δεδομένων προσωπικού χαρακτήρα αμέσως μετά την ανακάλυψη. Ο Εκτελών την επεξεργασία συνεργάζεται σε εύλογο βαθμό στη διερεύνηση και αποκατάσταση της εν λόγω παραβίασης και λαμβάνει εύλογα μέτρα για τον περιορισμό περαιτέρω αρνητικών επιπτώσεων.

(vi) κατ' επιλογή του Υπεύθυνου επεξεργασίας, να καταργεί ή να επιστρέφει όλα τα Δεδομένα προσωπικού χαρακτήρα στον Υπεύθυνο επεξεργασίας μετά τη λήξη της Περιόδου επεξεργασίας. Ο Υπεύθυνος επεξεργασίας αναλαμβάνει να ενημερώσει τον Εκτελούντα την επεξεργασία σχετικά με την απόφασή του εντός δέκα (10) ημερών από τη λήξη της Περιόδου επεξεργασίας. Η παρούσα διάταξη δεν θίγει το δικαίωμα του Εκτελούντος την επεξεργασία να διατηρεί τα Δεδομένα προσωπικού χαρακτήρα στον αναγκαίο βαθμό για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής έρευνας, στατιστικούς σκοπούς ή για σκοπούς θεμελίωσης, άσκησης ή υπεράσπισης νομικών αξιώσεων.

(vii) να διατηρεί ενημερωμένο μητρώο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που έχει διενεργήσει για λογαριασμό του Υπεύθυνου επεξεργασίας,

(viii) να θέτει στη διάθεση του Υπεύθυνου επεξεργασίας όλες τις πληροφορίες που απαιτούνται για την απόδειξη της συμμόρφωσης ως μέρος των Όρων, των Παραρτημάτων τους, της Πολιτικής απορρήτου και της Τεκμηρίωσης. Σε περίπτωση ελέγχου ή ελέγχου της επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα από την πλευρά του Υπευθύνου επεξεργασίας, ο Υπεύθυνος επεξεργασίας υποχρεούται να ενημερώσει εγγράφως τον Εκτελούντα την επεξεργασία τουλάχιστον τριάντα (30) ημέρες πριν από τον προγραμματισμένο έλεγχο.

4. Απασχόληση άλλου Εκτελών την επεξεργασία. Ο Εκτελών την επεξεργασία δικαιούται γενικά να απασχολήσει και άλλον εκτελούντα την επεξεργασία για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας, όπως η παροχή χώρου αποθήκευσης σε cloud και η υποδομή για την παροχή της Υπηρεσίας σε συμμόρφωση με τους Όρους, τα Παραρτήματά τους, την Πολιτική απορρήτου και την Τεκμηρίωση. Ακόμα και σε αυτή την περίπτωση, ο Εκτελών την επεξεργασία θα παραμένει το μόνο σημείο επικοινωνίας και ο συμβαλλόμενος που ευθύνεται για τη συμμόρφωση. Ο Εκτελών την επεξεργασία αναλαμβάνει δια του παρόντος να ενημερώνει τον Υπεύθυνο επεξεργασίας σχετικά με οποιαδήποτε προσθήκη ή αντικατάσταση άλλου εκτελούντος την επεξεργασία για σκοπούς δυνατότητας εναντίωσης στην εν λόγω αλλαγή. Οι δευτερεύοντες εκτελούντες την επεξεργασία που εμπλέκονται επί του παρόντος καθορίζονται στην Πολιτική απορρήτου του Εκτελούντος την επεξεργασία.

5. Επικράτεια επεξεργασίας. Ο Εκτελών την επεξεργασία διασφαλίζει ότι η επεξεργασία θα λαμβάνει χώρα στον Ευρωπαϊκό Οικονομικό Χώρο ή σε μια χώρα που καθορίζεται ως ασφαλής με απόφαση της Ευρωπαϊκής Επιτροπής, με βάση την απόφαση του Υπεύθυνου επεξεργασίας. Σε περίπτωση μεταβιβάσεων και επεξεργασίας εκτός του Ευρωπαϊκού Οικονομικού Χώρου ή μιας χώρας που καθορίζεται ως ασφαλής με απόφαση της Ευρωπαϊκής Επιτροπής, θα ισχύουν οι Τυποποιημένες συμβατικές ρήτρες εφόσον ζητηθεί από τον Υπεύθυνο επεξεργασίας.

6. Ασφάλεια. Ο Εκτελών την επεξεργασία έχει πιστοποιηθεί κατά ISO 27001 και χρησιμοποιεί το πλαίσιο του προτύπου ISO 27001 για την υλοποίηση μιας στρατηγικής ασφάλειας άμυνας επιπέδων κατά την εφαρμογή ελέγχων ασφαλείας στο επίπεδο διεργασιών δικτύου, λειτουργικών συστημάτων, βάσεων δεδομένων, εφαρμογών, προσωπικού και λειτουργίας. Η συμμόρφωση με τις κανονιστικές και συμβατικές απαιτήσεις αξιολογείται τακτικά και αναθεωρείται με παρόμοιο τρόπο με άλλη υποδομή και άλλες λειτουργίες του Εκτελούντα την επεξεργασία, και λαμβάνονται τα απαραίτητα μέτρα ώστε να υπάρχει συμμόρφωση σε συνεχή βάση. Ο Εκτελών την επεξεργασία έχει οργανώσει την ασφάλεια δεδομένων χρησιμοποιώντας ISMS με βάση το ISO 27001. Η τεκμηρίωση ασφάλειας περιλαμβάνει κυρίως έγγραφα πολιτικών για την ασφάλεια πληροφοριών, τη φυσική ασφάλεια και την ασφάλεια του εξοπλισμού, τη διαχείριση συμβάντων, το χειρισμό διαρροών δεδομένων και συμβάντων ασφαλείας, κ.λπ.

7. Τεχνικά και οργανωτικά μέτρα. Ο Εκτελών την επεξεργασία προστατεύει τα Δεδομένα προσωπικού χαρακτήρα από περιστασιακή και παράνομη ζημία και καταστροφή, περιστασιακή απώλεια, αλλαγή, μη εξουσιοδοτημένη πρόσβαση και αποκάλυψη. Για τον σκοπό αυτό, ο Εκτελών την επεξεργασία λαμβάνει επαρκή τεχνικά και οργανωτικά μέτρα που αντιστοιχούν στον τρόπο επεξεργασίας και στον κίνδυνο που παρουσιάζει η επεξεργασία για τα δικαιώματα των Υποκειμένων των Δεδομένων σύμφωνα με τις απαιτήσεις του ΓΚΠΔ. Στην Πολιτική Ασφαλείας αναφέρεται λεπτομερής περιγραφή των τεχνικών και οργανωτικών μέτρων.

8. Πληροφορίες επικοινωνίας του Εκτελών την επεξεργασία. Όλες οι ειδοποιήσεις, τα αιτήματα, οι απαιτήσεις και άλλη επικοινωνία που αφορά την προστασία προσωπικών δεδομένων θα απευθύνεται στην ESET, spol. s.r.o., υπόψη: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.