Accordo sul trattamento dei dati

Tra

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, GERMANY

– di seguito denominato “Responsabile”–

e

la parte contraente dell'accordo quadro

– di seguito denominato “Titolare” –

Responsabile e Titolare possono di seguito essere indicati anche singolarmente come “Parte” o congiuntamente come le “Parti”.

§ 1 Oggetto dell'accordo

(1) Il presente Accordo sul trattamento dei dati ("DPA") è stipulato tra le Parti in merito al trattamento dei dati personali ai sensi dell'Accordo quadro (di seguito "Accordo quadro"). La fornitura al Titolare dei servizi ai sensi del Master Agreement ("Servizi") richiede il trattamento dei dati. Se e nella misura in cui tali dati sono costituiti o contengono dati personali ai sensi delle leggi sulla protezione dei dati, il Responsabile agirà in qualità di responsabile del trattamento di tali dati, mentre il Titolare rimane il responsabile del trattamento di tali dati ai sensi dell'art. 28 del Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”).

(2) I Servizi sono forniti dal Responsabile in modo tale che il Titolare porti i propri dati, controlli il trasferimento di tali dati al Responsabile e, laddove i Servizi siano resi in un modello Software as a Service, gestisca direttamente l'uso di tali dati che ha stato caricato sui Servizi. Il Titolare accetta e comprende che il Responsabile non controllerà i dati del Titolare o l'utilizzo da parte del Titolare di tali dati, a meno che il Titolare non invii un'esplicita richiesta scritta al Responsabile per accedere ai dati del Titolare. È, pertanto, esclusiva responsabilità e onere del Titolare assicurare che i dati del Titolare siano raccolti e trasmessi al Responsabile nel rispetto delle leggi vigenti in materia di protezione dei dati e, in particolare, disporre di una base giuridica per il loro trattamento e informare adeguatamente gli interessati di la raccolta e il trattamento dei propri dati personali.

(3) In qualità di responsabile del trattamento, il Responsabile tratterà i dati personali per conto del Titolare solo in conformità con le disposizioni del presente DPA e le istruzioni documentate ricevute dal Titolare. Se il Responsabile è tenuto a trattare i dati personali diversamente da quanto indicato dall'utente ai sensi del diritto dell'Unione o dello Stato membro a cui è soggetto, ne informa il Titolare prima che si verifichi tale trattamento, a meno che la legge che richiede tale trattamento non vieti al Responsabile di informare il Titolare su un motivo importante di interesse pubblico, nel qual caso il Responsabile informerà il Titolare non appena tale legge glielo consentirà. Il Responsabile deve garantire e controllare regolarmente che, nella sua area di responsabilità, che comprende eventuali sub-responsabili impiegati ai sensi del presente DPA, il trattamento dei dati personali sia effettuato in conformità con le disposizioni del presente DPA, con la protezione dei dati applicabile leggi, e in particolare con il GDPR.

§ 2 Dettagli del Trattamento

(1) I dettagli del trattamento sono illustrati nelle sezioni seguenti. oltre al Master Agreement In considerazione delle responsabilità del Titolare in qualità di titolare del trattamento, resta al Titolare anche la responsabilità di richiedere ogni ulteriore specificazione delle clausole del Master Agreement.

(2) Il Responsabile tratterà i dati personali per fornire i Servizi come ulteriormente specificato nell'Accordo quadro.

(3) Il Responsabile tratterà generalmente i dati personali per la durata dell'Accordo quadro e del presente DPA, salvo diverso accordo scritto.

§ 3 Luogo del Trattamento; Trasferimento in Paesi Terzi

(1) I dati personali del Titolare saranno trattati dal Responsabile presso le sedi proprie o di un suo subappaltatore autorizzato. Di norma, eventuali attività di trattamento saranno, quindi, svolte negli Stati membri dell'Unione Europea o in un altro Stato aderente all'Accordo sullo Spazio Economico Europeo.

(2) Qualsiasi trattamento di dati personali al di fuori dell'UE/SEE è consentito solo previo accordo delle Parti, e solo se ricorrono le condizioni di cui agli artt. 44 e ss. del GDPR sono soddisfatte.

§ 4 Istruzioni per il controllore

(1) Le Parti concordano e il Titolare comprende che le disposizioni del presente DPA comprendono le istruzioni generali del Titolare relative al trattamento dei dati personali ai sensi del Master Agreement.

(2) Le istruzioni individuali che si discostano dalle disposizioni del presente DPA o che impongono requisiti aggiuntivi richiedono il previo consenso del Responsabile e sono effettuate in conformità con la procedura di modifica concordata nell'eventuale accordo quadro.

(3) Il Titolare deve garantire che le istruzioni specifiche del Titolare in relazione ai dati personali siano conformi alle leggi sulla protezione dei dati e che il trattamento dei dati personali in conformità con le istruzioni del Titolare non comporti una violazione da parte del Responsabile delle leggi sulla protezione dei dati e, in particolare, del GDPR . Se il Responsabile ritiene che un'istruzione specifica consentita violi le leggi sulla protezione dei dati applicabili, ne informerà il Titolare il prima possibile. Inoltre, il Responsabile ha il diritto di sospendere l'esecuzione dell'istruzione fino a quando il Titolare non conferma l'istruzione.

(4) Specifiche istruzioni del Titolare saranno, in linea di massima, impartite per iscritto o comunque in forma testuale dalle persone del Titolare a ciò autorizzate ai sensi del presente DPA. Le istruzioni orali devono essere immediatamente confermate per iscritto o in forma testuale dal Titolare per essere efficaci.

§ 5 Dichiarazioni del Responsabile

(1) I dipendenti del Responsabile (a) che hanno accesso ai dati personali si sono impegnati alla riservatezza o sono soggetti a un adeguato obbligo legale di riservatezza; (b) tratterà i dati personali solo secondo le istruzioni del Responsabile, se non diversamente richiesto dalle leggi sulla protezione dei dati; e (c) deve essere fornita la formazione necessaria di volta in volta, ma non meno di una volta all'anno, in relazione agli obblighi del Responsabile ai sensi del presente DPA, alle leggi sulla protezione dei dati e, in particolare, ai sensi del GDPR.

(2) Il Responsabile non effettuerà alcuna copia o duplicazione dei dati personali senza il previo consenso del Titolare. Tuttavia, le copie sono escluse da ciò, nella misura in cui sono necessarie per garantire il corretto trattamento dei dati e per fornire correttamente i Servizi (compresi i backup dei dati), nonché nella misura in cui le copie sono necessarie per adempiere agli obblighi di conservazione previsti dalla legge.

(3) Il Responsabile nomina un responsabile della protezione dei dati competente e affidabile se e finché sono soddisfatti i requisiti legali per un obbligo di nomina. I dati di contatto di tale responsabile della protezione dei dati saranno forniti al Titolare.

§ 6 Misure tecniche e organizzative

(1) Prima dell'inizio del trattamento, il Processore attuerà le misure tecniche e organizzative elencate in www.fitness-nation.com/support/tom.html e le manterrà per tutta la durata del presente DPA. Si tratta di misure di sicurezza dei dati per garantire un livello di protezione adeguato al rischio relativo alla riservatezza, integrità, disponibilità e resilienza dei sistemi. Lo stato dell'arte, i costi di attuazione e il tipo, l'ambito e le finalità del trattamento, nonché la diversa probabilità e gravità per i diritti e le libertà delle persone fisiche ai sensi dell'art. 32 par. 1 GDPR deve essere preso in considerazione.

(2) Poiché le misure tecniche e organizzative sono soggette al progresso tecnico e allo sviluppo tecnologico, il Processore è autorizzato a implementare misure alternative e adeguate, a condizione che il livello di sicurezza delle misure specificato in www.fitness-nation.com/support/tom.html non sia compromesso.

§ 7 Nomina dei sub-responsabili

(1) Il Responsabile non può subappaltare le operazioni di elaborazione ai sensi dell'Accordo quadro senza il previo consenso scritto del Titolare. Con la presente il Titolare concede l'autorizzazione al Responsabile a subappaltare le operazioni di elaborazione ai sub-responsabili elencati in www.fitness-nation.com/support/subunternehmer.html. (2) Il Responsabile impone obblighi di privacy, riservatezza e sicurezza dei dati a qualsiasi sub-responsabile che siano almeno altrettanto rigorosi di quelli stabiliti nel presente DPA. Qualora un sub-responsabile non adempia ai propri obblighi in materia di protezione dei dati in relazione al trattamento dei dati personali, il Responsabile resta pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi di tale sub-responsabile.

(3) Il Responsabile darà comunicazione scritta al Titolare della nomina di un nuovo sub-responsabile. Se, entro trenta (30) giorni dal ricevimento di tale avviso, il Titolare notifica per iscritto al Responsabile qualsiasi ragionevole obiezione alla nomina proposta, le Parti negozieranno in buona fede un'alternativa reciprocamente accettabile. Se tale alternativa non viene concordata entro due (2) mesi dall'obiezione, il Titolare avrà il diritto di rescindere l'Accordo quadro nella misura in cui si riferisce a Servizi che richiedono l'uso del sub-responsabile proposto.

(4) Le Parti concordano che i fornitori di servizi ausiliari non sono responsabili del trattamento ai sensi delle leggi sulla protezione dei dati; ciò include in particolare i servizi di trasporto delle società postali o di corriere, i servizi di trasporto di contanti, i servizi di telecomunicazione, i servizi di sicurezza e i servizi di pulizia. Tuttavia, il Responsabile stipulerà accordi di riservatezza consueti con tali fornitori di servizi.

(5) Le disposizioni del presente § 7 si applicano anche se il Responsabile nomina un sub-responsabile in un paese terzo. Subordinatamente al consenso del Titolare con la nomina di tale sub-responsabile, il Titolare autorizza il Responsabile a stipulare un accordo per conto del Titolare, comprese le clausole contrattuali standard dell'UE per il trasferimento di dati personali a responsabili del trattamento in paesi terzi datate 5 febbraio 2010 o , se applicabile, clausole tipo di protezione dei dati emesse successivamente dalla Commissione UE o dall'autorità di controllo competente, con tale sub-responsabile situato in un paese terzo.

§ 8 Assistenza del Titolare

(1) Su richiesta scritta del Titolare, il Responsabile assisterà il Titolare in caso di indagine o richiesta da parte di un'autorità di controllo, se e nella misura in cui tale indagine o richiesta si riferisce ai Servizi. Il Responsabile adotterà le misure ragionevolmente richieste dal Titolare per assistere il Titolare nell'adempimento di eventuali obblighi in relazione a tale indagine o richiesta. Se un'indagine o una richiesta da parte di un'autorità di controllo riguarda lo stesso Responsabile, ne informa il Titolare senza indebito ritardo, se consentito, e collabora nel corso di tale indagine o richiesta.

(2) Il Responsabile informa senza indugio il Titolare qualora riscontri una violazione della protezione dei dati personali in relazione al trattamento ai sensi del presente DPA. Se il Titolare è obbligato per legge a fornire informazioni a causa di un rischio per i diritti e le libertà delle persone fisiche in conseguenza di tale (in particolare ma non limitato agli obblighi di informazione di cui agli artt. 33, 34 del GDPR), Responsabile assiste il Titolare nell'adempimento dei suoi doveri di fornire informazioni nella misura ragionevole e necessaria su richiesta di quest'ultimo; nella misura in cui il Responsabile non è responsabile dell'incidente, il supporto sarà fornito dietro un compenso da calcolare in conformità con l'Accordo Quadro.

(3) Il Responsabile coopererà e assisterà il Titolare in tutte le valutazioni di impatto sulla protezione dei dati di cui all'art. 35 GDPR o con le eventuali consultazioni normative che il Titolare è legalmente tenuto ad effettuare in relazione a tale valutazione di impatto sulla protezione dei dati ai sensi dell'art. 36 GDPR, tenuto conto della natura del trattamento e delle informazioni messe a disposizione del Responsabile. Tale assistenza sarà assoggettata a una remunerazione da calcolarsi in conformità all'Accordo Quadro.

(4) Il Responsabile notificherà al Titolare senza ingiustificato ritardo qualsiasi reclamo, comunicazione o richiesta ricevuta direttamente dal Responsabile da un interessato e riguardante i suoi dati personali, senza rispondere a tale richiesta, a meno che il Responsabile non sia stato diversamente autorizzato a farlo dal Titolare. Il Responsabile fornirà al Titolare un'assistenza ragionevole in relazione a qualsiasi reclamo, comunicazione o richiesta ricevuta da un interessato, soggetta a un compenso da calcolare in conformità con l'Accordo Quadro.

§ 9 Restituzione o cancellazione dei dati personali

(1) Su richiesta scritta del Titolare durante la durata dell'Accordo quadro o alla risoluzione o scadenza dell'Accordo quadro, e quando il Responsabile non è più tenuto a conservare tutti o parte dei dati personali al fine di fornire i Servizi, il Responsabile, su rispettiva istruzione di Titolare del trattamento, restituire o distruggere tali dati personali. Se le leggi sulla protezione dei dati a cui è soggetto il Responsabile impediscono al Responsabile di restituire o distruggere tutti o parte dei dati personali, il Responsabile garantisce che garantirà la riservatezza dei dati personali e non tratterà più attivamente i dati personali e garantirà la restituzione o la distruzione di dati personali come richiesto dal Titolare quando viene meno l'obbligo legale di non restituire o distruggere i dati personali.

(2) Il Responsabile redige una relazione sull'eventuale cancellazione o distruzione dei dati personali, che deve essere presentata al Titolare su richiesta.

§ 10 Diritti di revisione

(1) Durante il normale orario lavorativo (dal lunedì al venerdì dalle 9:00 alle 17:00), il Titolare ha il diritto di entrare nei locali aziendali del Responsabile in cui i dati personali vengono elaborati per conto del Titolare, a proprie spese, senza interrompere le operazioni e con la massima riservatezza del commercio del Responsabile segreti, al fine di verificare la conformità al presente DPA. Il Titolare informerà il Responsabile in tempo utile (generalmente con almeno due settimane di anticipo) di tutte le circostanze relative all'esecuzione di un audit.

(2) Di norma, il Titolare può effettuare un'ispezione per anno solare. Ciò non pregiudica il diritto del Titolare di effettuare ulteriori verifiche in caso di incidenti speciali.

(3) Se il Titolare incarica una terza parte di eseguire l'audit, il Titolare deve obbligare la terza parte per iscritto allo stesso modo in cui il Titolare è obbligato nei confronti del Responsabile sulla base del presente DPA. Inoltre, il Titolare deve obbligare il terzo al segreto e alla riservatezza, a meno che il terzo non sia soggetto a un obbligo professionale di segretezza. Su richiesta del Responsabile, il Titolare trasmette a quest'ultimo senza indugio gli accordi di riservatezza conclusi con il terzo. Il Titolare non deve nominare un concorrente del Responsabile per l'esecuzione dell'ispezione.

(4) In luogo degli audit in sede, la dimostrazione del rispetto del presente DPA può essere verificata anche mediante l'adesione a un codice di condotta approvato ai sensi dell'art. 40 GDPR, una certificazione secondo un meccanismo di certificazione approvato ai sensi dell'art. 42 GDPR e la presentazione di certificati, rapporti o estratti di rapporti appropriati e aggiornati di organismi indipendenti (ad es. revisore, revisione, responsabile della protezione dei dati, dipartimento della sicurezza informatica, revisori della protezione dei dati o revisori della qualità) o da un'adeguata certificazione dopo una verifica della sicurezza informatica o della protezione dei dati, ad es secondo la ISO 27001 – (“Rapporto di Audit”), se e in quanto il Rapporto di Audit consente al Titolare di convincersi in modo appropriato della conformità del Responsabile al presente DPA.

(5) Se e nella misura in cui il Processore non ha forzato un audit per colpa, il supporto durante tale audit sarà fornito contro un compenso da calcolare in conformità con l'Accordo Quadro.

§ 11 Disposizioni varie

(1) Il presente DPA sarà disciplinato dalla stessa legge dell'Accordo quadro e i tribunali competenti concordati tra le Parti ai sensi dell'Accordo quadro avranno la giurisdizione esclusiva anche in merito a tutti i conflitti derivanti o connessi al presente DPA.

(2) Nessuna modifica o emendamento del presente DPA sarà efficace se non per iscritto.

(3) Se una qualsiasi disposizione del presente DPA è ritenuta non valida o inapplicabile dal tribunale competente, tutte le altre disposizioni rimarranno pienamente in vigore ed efficaci.

(4) Il presente DPA entrerà in vigore dalla data di entrata in vigore del Master Agreement e ne costituirà parte integrante. Nonostante la scadenza del termine dell'Accordo quadro, rimarrà in vigore fino alla cancellazione di tutti i dati personali da parte del Responsabile e/o di eventuali subincaricati applicabili e scadrà automaticamente.