Acuerdo de procesamiento de datos

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, GERMANY

– en lo sucesivo denominado "Procesador"–

y

la parte contratante del Acuerdo Marco

– en lo sucesivo denominado "Responsable" –

En lo sucesivo, también se podrá hacer referencia al Procesador y al Controlador individualmente como una "Parte" o en conjunto como las "Partes".

§ 1 Objeto del acuerdo

(1) Este Acuerdo de procesamiento de datos ("DPA") se celebra entre las Partes en relación con el procesamiento de datos personales en virtud del Acuerdo marco (en adelante, el "Acuerdo marco"). Proporcionar al Controlador los servicios en virtud del Acuerdo Marco ("Servicios") requiere el procesamiento de datos. Si y en la medida en que dichos datos consistan en o contengan datos personales en el sentido de las leyes de protección de datos, el Procesador actuará como procesador con respecto a dichos datos, mientras que el Controlador sigue siendo el controlador con respecto a dichos datos en el sentido del Art. 28 del Reglamento General de Protección de Datos (en adelante, "RGPD").

(2) Los Servicios son proporcionados por el Procesador de tal manera que el Controlador trae sus propios datos, controla la transferencia de dichos datos al Procesador y, cuando los Servicios se prestan en un modelo de Software como Servicio, maneja directamente el uso de dichos datos que subido a los Servicios. El Controlador acepta y comprende que el Procesador no supervisará los datos del Controlador o el uso que el Controlador haga de dichos datos, a menos que el Controlador envíe una solicitud explícita por escrito al Procesador para acceder a los datos del Controlador. Por lo tanto, es responsabilidad exclusiva del Controlador garantizar que los datos del Controlador se recopilen y transmitan al Procesador de conformidad con las leyes de protección de datos aplicables y, en particular, para tener una base legal para su procesamiento e informar adecuadamente a los interesados sobre la recopilación y procesamiento de sus datos personales.

(3) Actuando como procesador, el Procesador procesará los datos personales en nombre del Controlador solo de acuerdo con las disposiciones del presente DPA y las instrucciones documentadas recibidas del Controlador. Si se requiere que el Procesador procese datos personales de otro modo que no sea el indicado por usted en virtud de la legislación de la Unión o de los Estados miembros a los que está sujeto, informará al Controlador antes de que se produzca dicho procesamiento, a menos que la ley que requiera dicho procesamiento prohíba al Procesador informar al Controlador sobre un motivo importante de interés público, en cuyo caso el Procesador notificará al Controlador tan pronto como la ley lo permita. El Encargado se asegurará y comprobará periódicamente que, en su área de responsabilidad, que incluye a los subprocesadores empleados de acuerdo con el presente DPA, el tratamiento de los datos personales se lleva a cabo de acuerdo con las disposiciones del presente DPA, con la protección de datos aplicable. leyes, y especialmente con el GDPR.

§ 2 Detalles del procesamiento

(1) Los detalles del procesamiento se describen en las siguientes secciones. Además del Acuerdo Marco En consideración de las responsabilidades del Controlador como controlador, también la responsabilidad de solicitar cualquier especificación adicional de las estipulaciones del Acuerdo Marco sigue siendo del Controlador.

(2) El Procesador procesará los datos personales para proporcionar los Servicios como se especifica en el Acuerdo Marco.

(3) El procesador generalmente procesará los datos personales durante la vigencia del Acuerdo Marco y el presente DPA, a menos que se acuerde lo contrario por escrito.

§ 3 Lugar del procesamiento; Transferencia a terceros países

(1) Los datos personales del controlador serán procesados por el procesador en sus propias instalaciones o en las de su subcontratista autorizado. Por lo general, cualquier actividad de procesamiento, por lo tanto, se llevará a cabo en los estados miembros de la Unión Europea o en otro estado que sea parte del Acuerdo sobre el Espacio Económico Europeo.

(2) Cualquier procesamiento de datos personales fuera de la UE / EEE se permitirá solo con el acuerdo previo de las Partes, y solo si las condiciones del Art 44 et seq. del RGPD.

§ 4 Instrucciones del controlador

(1) Las Partes acuerdan y el Controlador entiende que las disposiciones del presente DPA comprenden las instrucciones generales del Controlador con respecto al procesamiento de datos personales en virtud del Acuerdo Marco.

(2) Las instrucciones individuales que se desvían de las disposiciones de la presente DPA o que imponen requisitos adicionales requieren el consentimiento previo del Procesador y se realizan de acuerdo con el procedimiento de cambio acordado en el Acuerdo Marco, si lo hubiera.

(3) El controlador se asegurará de que las instrucciones específicas del controlador con relación a los datos personales cumplan con las leyes de protección de datos, y que el procesamiento de datos personales de acuerdo con las instrucciones del controlador no hará que el procesador infrinja las leyes de protección de datos y, en particular, el RGPD. . Si el Procesador opina que una instrucción específica permitida infringe las leyes de protección de datos aplicables, informará al Controlador de ello lo antes posible. Además, el procesador tiene derecho a suspender la ejecución de la instrucción hasta que el controlador la confirme.

(4) En principio, las instrucciones específicas del Controlador serán emitidas por escrito o al menos en forma de texto por las personas del Controlador autorizadas para hacerlo de conformidad con el presente DPA. Las instrucciones orales deben ser confirmadas inmediatamente por escrito o en forma de texto por parte del Controlador para que sean efectivas.

§ 5 Representaciones del procesador

(1) Los empleados del procesador (a) que tienen acceso a datos personales se han comprometido con la confidencialidad o están sujetos a una obligación legal de confidencialidad adecuada; (b) procesará los datos personales solo según las instrucciones del Procesador, a menos que las leyes de protección de datos lo requieran de otra manera; y (c) recibirá la capacitación necesaria de vez en cuando, pero no menos de una vez al año, con respecto a las obligaciones del Procesador según este DPA, según las leyes de protección de datos y, en particular, según el RGPD.

(2) El procesador no hará copias o duplicados de datos personales sin el consentimiento previo del controlador. Sin embargo, las copias están excluidas de esto, en la medida en que sean necesarias para garantizar el procesamiento adecuado de los datos y para proporcionar adecuadamente los Servicios (incluidas las copias de seguridad de los datos), así como en la medida en que se requieran copias para cumplir con las obligaciones legales de retención.

(3) El procesador nombrará un delegado de protección de datos competente y confiable siempre y cuando se cumplan los requisitos legales para una obligación de nombramiento. Los datos de contacto de dicho oficial de protección de datos se proporcionarán al Responsable.

§ 6 Medidas técnicas y organizativas

(1) Antes del comienzo del procesamiento, el Procesador implementará las medidas técnicas y organizativas enumeradas en www.fitness-nation.com/support/tom.html y las mantendrá durante la vigencia del presente DPA. Se trata de medidas de seguridad de los datos para garantizar un nivel de protección adecuado al riesgo de confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. El estado del arte, los costos de implementación y el tipo, alcance y propósitos del procesamiento, así como la variabilidad y severidad de los derechos y libertades de las personas físicas en el sentido del art. 32 párr. 1 GDPR debe tenerse en cuenta.

(2) Dado que las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo tecnológico, el Procesador puede implementar medidas alternativas y adecuadas, siempre que el nivel de seguridad de las medidas especificadas en www.fitness-nation.com/support/tom.html no sea comprometido.

§ 7 Designación de subprocesadores

(1) El Procesador no puede subcontratar operaciones de procesamiento bajo el Acuerdo Marco sin el consentimiento previo por escrito del Controlador. Por la presente, el controlador otorga autorización al procesador para subcontratar operaciones de procesamiento a los subprocesadores enumerados en www.fitness-nation.com/support/subunternehmer.html. (2) El procesador impondrá obligaciones de privacidad, confidencialidad y seguridad de los datos a cualquier subprocesador que sean al menos tan estrictas como las establecidas en el presente DPA. Cuando un subprocesador no cumpla con sus obligaciones de protección de datos con respecto al procesamiento de datos personales, el Procesador seguirá siendo totalmente responsable ante el Controlador por el cumplimiento de las obligaciones de ese subprocesador.

(3) El Procesador notificará por escrito al Controlador del nombramiento de cualquier nuevo subprocesador. Si, dentro de los treinta (30) días posteriores a la recepción de ese aviso, el Controlador notifica al Procesador por escrito de cualquier objeción razonable al nombramiento propuesto, las Partes negociarán de buena fe una alternativa mutuamente aceptable. Si no se acuerda dicha alternativa dentro de los dos (2) meses posteriores a la objeción, el Controlador tendrá derecho a rescindir el Acuerdo Marco en la medida en que se relacione con los Servicios que requieren el uso del subprocesador propuesto.

(4) Las Partes acuerdan que los proveedores de servicios auxiliares no son procesadores en el sentido de las leyes de protección de datos; esto incluye, en particular, los servicios de transporte de empresas postales o de mensajería, los servicios de transporte de efectivo, los servicios de telecomunicaciones, los servicios de seguridad y los servicios de limpieza. Sin embargo, el Procesador celebrará acuerdos de confidencialidad habituales con dichos proveedores de servicios.

(5) Las disposiciones de este § 7 también se aplicarán si el Procesador nombra un subprocesador en un tercer país. Condicional al consentimiento del Controlador con el nombramiento de dicho subprocesador, el Controlador autoriza al Procesador a celebrar un acuerdo en nombre del Controlador, incluidas las cláusulas contractuales estándar de la UE para la transferencia de datos personales a procesadores en terceros países con fecha del 5 de febrero de 2010 o , en su caso, cláusulas estándar de protección de datos emitidas posteriormente por la Comisión de la UE o la autoridad de control competente, con dicho subprocesador ubicado en un tercer país.

§ 8 Asistencia del controlador

(1) A solicitud por escrito del Controlador, el Procesador asistirá al Controlador en el caso de una investigación o solicitud de una autoridad supervisora, si y en la medida en que dicha investigación o solicitud se relacione con los Servicios. El Procesador tomará las medidas razonablemente solicitadas por el Controlador para ayudar al Controlador a cumplir con cualquier obligación en relación con dicha investigación o solicitud. Si una investigación o una solicitud de una autoridad supervisora afecta al Procesador mismo, informará al Controlador sin demora indebida si así se permite y cooperará en el curso de dicha investigación o solicitud.

(2) El Procesador informará al Controlador sin demora si descubre una violación de la protección de datos personales en relación con el procesamiento bajo el presente DPA. Si el Controlador está obligado por ley a proporcionar información debido a un riesgo para los derechos y libertades de las personas físicas como resultado de tal (en particular, pero no limitado a los deberes de información de acuerdo con el Art. 33, 34 del GDPR), Procesador asistirá al Controlador en el cumplimiento de sus deberes de proporcionar información en la medida razonable y necesaria a solicitud de este último; En la medida en que el Procesador no tenga la culpa del incidente, se proporcionará soporte contra una remuneración que se calculará de acuerdo con el Acuerdo Marco.

(3) El Procesador cooperará y asistirá al Controlador con cualquier evaluación de impacto de protección de datos a la que se hace referencia en el Art. 35 GDPR o con cualquier consulta regulatoria que el Controlador esté legalmente obligado a realizar con respecto a dicha evaluación de impacto de protección de datos de acuerdo con el Art. 36 GDPR, teniendo en cuenta la naturaleza del procesamiento y la información puesta a disposición del Procesador. Dicha asistencia estará sujeta a una remuneración que se calculará de acuerdo con el Acuerdo Marco.

(4) El Procesador notificará al Controlador sin demora indebida sobre cualquier queja, comunicación o solicitud recibida directamente por el Procesador de un sujeto de datos y relacionada con sus datos personales, sin responder a esa solicitud, a menos que el Procesador haya sido autorizado de otra manera por el Controlador. El Procesador proporcionará al Controlador asistencia razonable en relación con cualquier queja, comunicación o solicitud recibida de un sujeto de datos, sujeto a una remuneración que se calculará de acuerdo con el Acuerdo Marco.

§ 9 Devolución o eliminación de datos personales

(1) A solicitud por escrito del Controlador durante la vigencia del Acuerdo Marco o tras la rescisión o vencimiento del Acuerdo Marco, y cuando ya no se requiera que el Procesador retenga la totalidad o parte de los datos personales para proporcionar los Servicios, el Procesador deberá, según las instrucciones respectivas de Controlador, devolver o destruir dichos datos personales. Si las leyes de protección de datos a las que está sujeto el Procesador impiden que el Procesador devuelva o destruya la totalidad o parte de los datos personales, el Procesador garantiza que garantizará la confidencialidad de los datos personales y no procesará más activamente los datos personales, y garantizará la devolución o destrucción de datos personales solicitados por el Responsable del tratamiento cuando la obligación legal de no devolver o destruir los datos personales ya no esté en vigor.

(2) El Procesador elaborará un informe sobre cualquier borrado o destrucción de datos personales, que se enviará al Controlador cuando lo solicite.

§ 10 Derechos de auditoría

(1) Durante el horario comercial normal (de lunes a viernes de 9 a. M. A 5 p. M.), El Controlador tiene derecho a ingresar a las instalaciones comerciales del Procesador en las que los datos personales se procesan en nombre del Controlador, por cuenta del Controlador, sin interrumpir las operaciones y con estricta confidencialidad del comercio del Procesador. secretos, con el fin de auditar el cumplimiento de la presente DPA. El controlador informará al procesador con la suficiente antelación (generalmente con al menos dos semanas de antelación) de todas las circunstancias relacionadas con la ejecución de una auditoría.

(2) Como regla general, el Contralor puede realizar una inspección por año calendario. Esto no afecta el derecho del Contralor a realizar más auditorías en caso de incidentes especiales.

(3) Si el Controlador encarga a un tercero la realización de la auditoría, el Controlador debe obligar al tercero por escrito de la misma manera que el Controlador está obligado hacia el Procesador sobre la base del presente DPA. Además, el Controlador debe obligar al tercero al secreto y la confidencialidad, a menos que el tercero esté sujeto a una obligación profesional de secreto. A solicitud del Procesador, el Controlador proporcionará a este último sin demora los acuerdos de confidencialidad celebrados con el tercero. El controlador no debe designar a un competidor del procesador para que lleve a cabo la inspección.

(4) En lugar de auditorías in situ, la demostración del cumplimiento de la presente DPA también puede verificarse mediante la adhesión a un código de conducta aprobado de conformidad con el art. 40 GDPR, una certificación de acuerdo con un mecanismo de certificación aprobado de acuerdo con el Art. 42 GDPR y la presentación de certificados, informes o extractos de informes actualizados y apropiados de organismos independientes (por ejemplo, auditor, revisión, oficial de protección de datos, departamento de seguridad de TI, auditores de protección de datos o auditores de calidad), o por una certificación adecuada después una auditoría de protección de datos o seguridad de TI, p. ej. de acuerdo con ISO 27001 - ("Informe de auditoría"), siempre y cuando el Informe de auditoría permita al Controlador convencerse a sí mismo de una manera adecuada del cumplimiento del Procesador con el presente DPA.

(5) Si y en la medida en que el Procesador no forzó una auditoría por culpa, el apoyo durante dicha auditoría se proporcionará contra una remuneración que se calculará de acuerdo con el Acuerdo Marco.

§ 11 Otras disposiciones

(1) El presente DPA se regirá por la misma ley que el Acuerdo Marco, y los tribunales competentes acordados entre las Partes en virtud del Acuerdo Marco tendrán la jurisdicción exclusiva con respecto a todos los conflictos que surjan de o en conexión con el presente DPA también.

(2) Ninguna modificación o enmienda de la presente DPA será efectiva a menos que esté por escrito.

(3) Si el tribunal competente determina que alguna disposición de esta DPA es inválida o inaplicable, todas las demás disposiciones permanecerán en pleno vigor y efecto.

(4) Este DPA entrará en vigencia a partir de la fecha de vigencia del Acuerdo Marco y formará parte integral del mismo. Sin perjuicio de la expiración del plazo del Acuerdo Marco, permanecerá en vigor hasta, y expirará automáticamente después de la eliminación de todos los datos personales por parte del Procesador y / o cualquier subprocesador aplicable.