Accord de traitement des données

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, GERMANY

– ci-après dénommé «Processeur»–

et

la partie contractante du contrat-cadre

– ci-après dénommé le «Contrôleur» –

Le Sous-traitant et le Contrôleur peuvent également être ci-après dénommés individuellement une «Partie» ou ensemble les «Parties».

§ 1 Objet de l'Accord

(1) Le présent accord de traitement des données (« DPA ») est conclu entre les parties concernant le traitement des données personnelles dans le cadre du contrat-cadre (ci-après « le contrat-cadre »). La fourniture au Contrôleur des services en vertu du Contrat-cadre (« Services ») nécessite le traitement des données. Si et dans la mesure où ces données consistent en ou contiennent des données personnelles au sens des lois sur la protection des données, le sous-traitant agira en tant que sous-traitant concernant ces données, tandis que le responsable du traitement reste le responsable du traitement concernant ces données au sens de l'art. 28 du Règlement général sur la protection des données (ci-après « RGPD »).

(2) Les services sont fournis par le processeur de telle manière que le contrôleur apporte ses propres données, contrôle le transfert de ces données au processeur et, lorsque les services sont rendus dans un modèle de logiciel en tant que service, gère directement l'utilisation de ces données qui ont été téléchargé sur les Services. Le contrôleur accepte et comprend que le processeur ne surveillera pas les données du contrôleur ou l'utilisation de ces données par le contrôleur, à moins que le contrôleur ne soumette une demande écrite explicite au processeur pour accéder aux données du contrôleur. Il est donc de la seule responsabilité du Contrôleur de s'assurer que les données du Contrôleur sont collectées et transmises au Sous-traitant conformément aux lois applicables en matière de protection des données et, en particulier, d'avoir une base légale pour leur traitement et d'informer correctement les personnes concernées de la collecte et le traitement de leurs données personnelles.

(3) Agissant en tant que sous-traitant, le Sous-traitant traitera les données personnelles au nom du Contrôleur uniquement conformément aux dispositions du présent DPA et aux instructions documentées reçues du Contrôleur. Si le Sous-traitant est tenu de traiter des données personnelles autrement que selon vos instructions en vertu du droit de l'Union ou de l'État membre auquel il est soumis, il en informera le Responsable du traitement avant qu'un tel traitement n'ait lieu, à moins que la loi exigeant un tel traitement n'interdise au Sous-traitant d'informer le Responsable du traitement pour un motif important d'intérêt public, auquel cas le Sous-traitant en informera le Responsable du traitement dès que cette loi le lui permettra. Le sous-traitant doit s'assurer et vérifier régulièrement que, dans son domaine de responsabilité, qui comprend tout sous-traitant ultérieur employé conformément au présent APD, le traitement des données personnelles est effectué conformément aux dispositions du présent APD, avec la protection des données applicable lois, et notamment avec le RGPD.

§ 2 Détails du traitement

(1) Les détails du traitement sont présentés dans les sections suivantes. en plus du contrat-cadre En considération des responsabilités du contrôleur en tant que contrôleur, la responsabilité de demander toute spécification supplémentaire des stipulations du contrat-cadre incombe également au contrôleur.

(2) Le sous-traitant traitera les données personnelles pour fournir les services comme spécifié plus en détail dans le contrat-cadre.

(3) Le sous-traitant traitera généralement les données personnelles pendant la durée du contrat-cadre et du présent ATD, sauf convention contraire écrite.

§ 3 Lieu du traitement ; Transfert vers des pays tiers

(1) Les données personnelles du responsable du traitement seront traitées par le sous-traitant dans ses propres locaux ou dans les locaux de son sous-traitant autorisé. En règle générale, toute activité de traitement sera donc effectuée dans les États membres de l'Union européenne ou dans un autre État partie à l'Accord sur l'Espace économique européen.

(2) Tout traitement de données personnelles en dehors de l'UE/EEE n'est autorisé qu'avec l'accord préalable des Parties, et uniquement si les conditions des articles 44 et suivants. du RGPD sont respectées.

§ 4 Instructions du contrôleur

(1) Les parties conviennent et le contrôleur comprend que les dispositions du présent DPA comprennent les instructions générales du contrôleur concernant le traitement des données personnelles en vertu du contrat-cadre.

(2) Les instructions individuelles qui s'écartent des dispositions du présent DPA ou qui imposent des exigences supplémentaires nécessitent le consentement préalable du Sous-traitant et sont effectuées conformément à la procédure de modification convenue dans le Contrat-cadre, le cas échéant.

(3) Le responsable du traitement doit s'assurer que les instructions spécifiques du responsable du traitement concernant les données personnelles sont conformes aux lois sur la protection des données et que le traitement des données à caractère personnel conformément aux instructions du responsable du traitement n'entraînera pas une violation des lois sur la protection des données et, en particulier, du RGPD. . Si le Sous-traitant est d'avis qu'une instruction spécifique autorisée enfreint les lois applicables en matière de protection des données, il en informera le Responsable du traitement dans les plus brefs délais. En outre, le Sous-traitant a le droit de suspendre l'exécution de l'instruction jusqu'à ce que le Responsable du traitement confirme l'instruction.

(4) Les instructions spécifiques du Contrôleur sont en principe émises par écrit ou au moins sous forme de texte par les personnes du Contrôleur autorisées à le faire conformément au présent DPA. Les instructions orales doivent être confirmées immédiatement par écrit ou sous forme de texte par le contrôleur pour être efficaces.

§ 5 Représentations du processeur

(1) Les employés du sous-traitant (a) qui ont accès aux données personnelles se sont engagés à la confidentialité ou sont soumis à une obligation légale appropriée de confidentialité ; (b) ne traitera les données personnelles que conformément aux instructions du sous-traitant, à moins que les lois sur la protection des données ne l'exigent autrement ; et (c) recevront une formation si nécessaire de temps à autre, mais pas moins d'une fois par an, en ce qui concerne les obligations du Sous-traitant en vertu du présent ATD, en vertu des lois sur la protection des données et, en particulier, du RGPD.

(2) Le sous-traitant ne fera aucune copie ou duplicata de données personnelles sans le consentement préalable du responsable du traitement. Toutefois, les copies en sont exclues, dans la mesure où elles sont nécessaires pour assurer le bon traitement des données et pour fournir correctement les Services (y compris les sauvegardes de données), ainsi que dans la mesure où les copies sont nécessaires pour se conformer aux obligations légales de conservation.

(3) Le sous-traitant doit nommer un délégué à la protection des données compétent et fiable si et aussi longtemps que les exigences légales pour une obligation de nomination sont remplies. Les coordonnées de ce responsable de la protection des données seront fournies au responsable du traitement.

§ 6 Mesures techniques et organisationnelles

(1) Avant le début du traitement, le Sous-traitant doit mettre en œuvre les mesures techniques et organisationnelles énumérées sous www.fitness-nation.com/support/tom.html et les maintenir pendant la durée du présent APD. Il s'agit de mesures de sécurité des données permettant d'assurer un niveau de protection adapté au risque concernant la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes. L'état de la technique, les coûts de mise en œuvre et le type, l'étendue et les finalités du traitement ainsi que la probabilité et la gravité variables pour les droits et libertés des personnes physiques au sens de l'art. 32 par. 1 RGPD doit être pris en compte.

(2) Étant donné que les mesures techniques et organisationnelles sont soumises au progrès technique et au développement technologique, le processeur est autorisé à mettre en œuvre des mesures alternatives et adéquates, à condition que le niveau de sécurité des mesures spécifiées sous www.fitness-nation.com/support/tom.html ne soit pas compromis.

§ 7 Nomination de sous-traitants

(1) Le Sous-traitant ne peut pas sous-traiter les opérations de traitement en vertu du Contrat-cadre sans le consentement écrit préalable du Responsable du traitement. Le responsable du traitement autorise le sous-traitant à sous-traiter les opérations de traitement aux sous-traitants répertoriés sous www.fitness-nation.com/support/subunternehmer.html. (2) Le sous-traitant imposera à tout sous-traitant des obligations en matière de respect de la vie privée, de confidentialité et de sécurité des données qui sont au moins aussi strictes que celles énoncées dans le présent APD. Lorsqu'un sous-traitant ne respecte pas ses obligations en matière de protection des données en ce qui concerne le traitement des données à caractère personnel, le sous-traitant reste entièrement responsable envers le contrôleur de l'exécution des obligations de ce sous-traitant.

(3) Le sous-traitant doit aviser le contrôleur par écrit de la nomination de tout nouveau sous-traitant secondaire. Si, dans les trente (30) jours suivant la réception de cet avis, le Contrôleur informe le Sous-traitant par écrit de toute objection raisonnable à la nomination proposée, les Parties négocieront de bonne foi une alternative mutuellement acceptable. Si aucune alternative n'est convenue dans les deux (2) mois suivant l'objection, le Contrôleur aura le droit de résilier le Contrat-cadre dans la mesure où il se rapporte aux Services qui nécessitent l'utilisation du sous-traitant proposé.

(4) Les Parties conviennent que les prestataires de services auxiliaires ne sont pas des sous-traitants au sens des lois sur la protection des données ; cela comprend notamment les services de transport des entreprises postales ou de messagerie, les services de transport d'espèces, les services de télécommunication, les services de sécurité et les services de nettoyage. Cependant, le Sous-traitant doit conclure des accords de confidentialité habituels avec ces fournisseurs de services.

(5) Les dispositions du présent § 7 s'appliquent également si le Sous-traitant désigne un sous-traitant secondaire dans un pays tiers. Sous réserve du consentement du contrôleur avec la nomination d'un tel sous-traitant, le contrôleur autorise le processeur à conclure un accord au nom du contrôleur, y compris les clauses contractuelles types de l'UE pour le transfert de données personnelles à des processeurs dans des pays tiers en date du 5 février 2010 ou , le cas échéant, les clauses types de protection des données émises ultérieurement par la Commission européenne ou l'autorité de contrôle compétente, avec ce sous-traitant ultérieur situé dans un pays tiers.

§ 8 Assistance du contrôleur

(1) Sur demande écrite du Responsable du traitement, le Sous-traitant assistera le Responsable du traitement en cas d'enquête ou de demande d'une autorité de surveillance, si et dans la mesure où cette enquête ou demande concerne les Services. Le sous-traitant prendra les mesures raisonnablement demandées par le contrôleur pour aider le contrôleur à se conformer à toute obligation liée à une telle enquête ou demande. Si une enquête ou une demande d'une autorité de surveillance affecte le Sous-traitant lui-même, celui-ci en informera le Contrôleur sans retard injustifié si cela est autorisé et coopérera au cours de cette enquête ou demande.

(2) Le sous-traitant informera sans délai le responsable du traitement s'il découvre une violation de la protection des données personnelles dans le cadre du traitement en vertu du présent DPA. Si le responsable du traitement est tenu par la loi de fournir des informations en raison d'un risque pour les droits et libertés des personnes physiques à la suite d'un tel (en particulier, mais sans s'y limiter, les obligations d'information conformément aux articles 33, 34 du RGPD), le sous-traitant assiste le Contrôleur dans l'accomplissement de ses obligations de fournir des informations dans la mesure raisonnable et nécessaire à la demande de ce dernier ; dans la mesure où le Sous-traitant n'est pas responsable de l'incident, l'assistance sera fournie contre une rémunération à calculer conformément au Contrat-cadre.

(3) Le sous-traitant coopérera et assistera le responsable du traitement dans toutes les évaluations d'impact sur la protection des données visées à l'art. 35 GDPR ou avec toute consultation réglementaire que le contrôleur est légalement tenu de faire en ce qui concerne une telle évaluation d'impact sur la protection des données conformément à l'art. 36 RGPD, compte tenu de la nature du traitement et des informations mises à la disposition du Sous-traitant. Cette assistance est subordonnée à une rémunération à calculer conformément à l'Accord-cadre.

(4) Le Sous-traitant doit informer le Responsable du traitement sans retard injustifié de toute plainte, communication ou demande reçue directement par le Sous-traitant de la part d'une personne concernée et concernant ses données personnelles, sans répondre à cette demande, à moins que le Sous-traitant n'ait été autrement autorisé à le faire par le Responsable du traitement. Le sous-traitant fournira au contrôleur une assistance raisonnable en ce qui concerne toute plainte, communication ou demande reçue d'une personne concernée, sous réserve d'une rémunération à calculer conformément à l'accord-cadre.

§ 9 Retour ou suppression des données personnelles

(1) À la demande écrite du contrôleur pendant la durée du contrat-cadre ou à la résiliation ou à l'expiration du contrat-cadre, et lorsque le sous-traitant n'est plus tenu de conserver tout ou partie des données personnelles afin de fournir les services, le sous-traitant doit, sur instruction respective de Contrôleur, restituer ou détruire ces données personnelles. Si les lois sur la protection des données auxquelles le sous-traitant est soumis empêchent le sous-traitant de retourner ou de détruire tout ou partie des données personnelles, le sous-traitant garantit qu'il garantira la confidentialité des données personnelles et ne traitera plus activement les données personnelles, et garantira le retour ou la destruction de données personnelles demandées par le contrôleur lorsque l'obligation légale de ne pas restituer ou détruire les données personnelles n'est plus en vigueur.

(2) Le sous-traitant établira un rapport sur tout effacement ou destruction de données personnelles, qui sera soumis au responsable du traitement sur demande.

§ 10 Droits de vérification

(1) Pendant les heures normales de bureau (du lundi au vendredi de 9h à 17h), le Responsable du traitement a le droit d'entrer dans les locaux commerciaux du Sous-traitant dans lesquels les données personnelles sont traitées pour le compte du Responsable du traitement, aux frais du Responsable du traitement, sans perturber les opérations et avec la stricte confidentialité du commerce du Sous-traitant. secrets, afin de vérifier la conformité avec le présent DPA. Le Responsable du traitement informera le Sous-traitant en temps utile (généralement au moins deux semaines à l'avance) de toutes les circonstances relatives à l'exécution d'un audit.

(2) En règle générale, le Contrôleur peut effectuer une inspection par année civile. Cela n'affecte pas le droit du contrôleur d'effectuer d'autres audits en cas d'incidents particuliers.

(3) Si le Contrôleur charge un tiers d'effectuer l'audit, le Contrôleur doit obliger le tiers par écrit de la même manière que le Contrôleur est obligé envers le Processeur sur la base du présent DPA. En outre, le Responsable du traitement doit obliger le tiers au secret et à la confidentialité, à moins que le tiers ne soit soumis à une obligation professionnelle de secret. À la demande du Sous-traitant, le Responsable du traitement fournira sans délai à ce dernier les accords de confidentialité conclus avec le tiers. Le contrôleur ne doit pas nommer un concurrent du transformateur pour effectuer l'inspection.

(4) Au lieu d'audits sur site, la démonstration du respect du présent DPA peut également être vérifiée par le respect d'un code de conduite approuvé conformément à l'art. 40 GDPR, une certification conformément à un mécanisme de certification approuvé conformément à l'art. 42 GDPR et la présentation de certificats, rapports ou extraits de rapport appropriés et à jour d'organismes indépendants (par exemple, auditeur, révision, délégué à la protection des données, service de sécurité informatique, auditeurs de protection des données ou auditeurs qualité), ou par une certification appropriée après un audit de sécurité informatique ou de protection des données – par exemple conformément à la norme ISO 27001 – (« Rapport d'audit »), si et dans la mesure où le rapport d'audit permet au Responsable du traitement de se convaincre de manière appropriée de la conformité du Sous-traitant au présent DPA.

(5) Si et dans la mesure où le Sous-traitant n'a pas forcé un audit par faute, l'assistance au cours de cet audit sera fournie contre une rémunération à calculer conformément au Contrat-cadre.

§ 11 Provisions diverses

(1) Le présent DPA sera régi par la même loi que le Contrat-cadre, et les tribunaux compétents convenus entre les Parties en vertu du Contrat-cadre seront seuls compétents pour tous les conflits découlant du présent DPA ou en relation avec celui-ci.

(2) Aucune modification ou amendement du présent DPA n'aura d'effet à moins d'être écrit.

(3) Si une disposition du présent DPA est jugée invalide ou inapplicable par le tribunal compétent, toutes les autres dispositions resteront pleinement en vigueur.

(4) Le présent DPA entrera en vigueur à la date d'entrée en vigueur du Contrat-cadre et en fera partie intégrante. Nonobstant l'expiration de la durée de l'Accord-cadre, il restera en vigueur jusqu'à, et expirera automatiquement lors de la suppression de toutes les données personnelles par le Sous-traitant et/ou tout sous-traitant concerné.