Gegevensverwerkingsovereenkomst

Tussen

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, DUITSLAND

– hierna te noemen “Verwerker”–

en

de contractant van de Raamovereenkomst

– hierna te noemen “Verwerkingsverantwoordelijke” –

Verwerker en Verantwoordelijke kunnen hierna ook afzonderlijk worden aangeduid als een “Partij” of samen als de “Partijen”.

§ 1 Onderwerp van de Overeenkomst

(1) Deze gegevensverwerkingsovereenkomst (“DPA”) wordt aangegaan tussen de Partijen met betrekking tot de verwerking van persoonsgegevens onder de Master Agreement (hierna “Master Agreement”). Om Verwerkingsverantwoordelijke de diensten onder de Hoofdovereenkomst (“Diensten”) te verlenen, is verwerking van gegevens vereist. Indien en voor zover dergelijke gegevens bestaan ​​uit of persoonsgegevens bevatten in de zin van de wetgeving inzake gegevensbescherming, treedt Verwerker op als verwerker met betrekking tot die gegevens, terwijl Verwerkingsverantwoordelijke de verwerkingsverantwoordelijke blijft met betrekking tot die gegevens in de zin van art. 28 van de Algemene Verordening Gegevensbescherming (hierna “AVG”).

(2) De Diensten worden door Verwerker op een zodanige manier geleverd dat Verwerkingsverantwoordelijke zijn eigen gegevens aanbrengt, de overdracht van dergelijke gegevens aan Verwerker regelt en, wanneer de Diensten worden geleverd in een Software as a Service-model, het gebruik ervan rechtstreeks afhandelt. gegevens die naar de Services zijn geüpload. Verwerkingsverantwoordelijke stemt ermee in en begrijpt dat Verwerker de gegevens van Verwerkingsverantwoordelijke of het gebruik van dergelijke gegevens door Verwerkingsverantwoordelijke niet zal controleren, tenzij Verwerkingsverantwoordelijke een uitdrukkelijk schriftelijk verzoek indient bij Verwerker om toegang te krijgen tot de gegevens van Verwerkingsverantwoordelijke. Het is daarom de enige verantwoordelijkheid en aansprakelijkheid van de Verwerkingsverantwoordelijke om ervoor te zorgen dat de gegevens van de Verwerkingsverantwoordelijke worden verzameld en doorgegeven aan de Verwerker in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en, in het bijzonder,

(3) Verwerker zal, handelend als verwerker, persoonsgegevens namens Verwerkingsverantwoordelijke alleen verwerken in overeenstemming met de bepalingen van deze DPA en de gedocumenteerde instructies ontvangen van Verwerkingsverantwoordelijke. Als Verwerker verplicht is persoonsgegevens te verwerken op een andere manier dan door u is opgedragen op grond van de wetgeving van de Unie of de lidstaat waaraan hij is onderworpen, zal hij Verwerkingsverantwoordelijke op de hoogte stellen voordat een dergelijke verwerking plaatsvindt, tenzij de wet die dergelijke verwerking vereist, Verwerker verbiedt om Verwerkingsverantwoordelijke op een belangrijke grond te informeren van algemeen belang, in welk geval Verwerker Verantwoordelijke op de hoogte stelt zodra de wet dit toelaat. Verwerker zal ervoor zorgen en regelmatig controleren dat, in zijn verantwoordelijkheidsgebied, inclusief eventuele subverwerkers die in overeenstemming met deze DPA,

§ 2 Details van de Verwerking

(1) De details van de verwerking worden uiteengezet in de volgende paragrafen. naast de Raamovereenkomst Gezien de verantwoordelijkheden van Verwerkingsverantwoordelijke als verwerkingsverantwoordelijke, blijft ook de verantwoordelijkheid om eventuele nadere specificatie van de bepalingen van de Raamovereenkomst te vragen bij Verwerkingsverantwoordelijke.

(2) Verwerker zal persoonsgegevens verwerken om de Diensten te leveren zoals nader gespecificeerd in de Master Agreement.

(3) Verwerker zal in het algemeen persoonsgegevens verwerken voor de duur van de Master Agreement en deze DPA, tenzij schriftelijk anders is overeengekomen.

§ 3 Plaats van de Verwerking; Overdracht naar derde landen

(1) De persoonsgegevens van de verwerkingsverantwoordelijke worden door de verwerker verwerkt in zijn eigen gebouwen of in de gebouwen van zijn gemachtigde onderaannemer. Doorgaans zullen eventuele verwerkingen dus plaatsvinden in de lidstaten van de Europese Unie of in een andere staat die partij is bij de Overeenkomst betreffende de Europese Economische Ruimte.

(2) Elke verwerking van persoonsgegevens buiten de EU/EER is alleen toegestaan ​​na voorafgaande toestemming van de partijen, en alleen als de voorwaarden van Art 44 en volgende. van de AVG wordt voldaan.

§ 4 instructies van de controller

(1) Partijen komen overeen, en Verwerkingsverantwoordelijke begrijpt dat de bepalingen van deze DPA de algemene instructies van Verwerkingsverantwoordelijke omvatten met betrekking tot de verwerking van persoonsgegevens onder de Hoofdovereenkomst.

(2) Individuele instructies die afwijken van de bepalingen van deze DPA of die aanvullende eisen stellen, vereisen de voorafgaande toestemming van Verwerker en worden gemaakt in overeenstemming met de wijzigingsprocedure die is overeengekomen in de eventuele Master Agreement.

(3) Verwerkingsverantwoordelijke zorgt ervoor dat de specifieke instructies van Verwerkingsverantwoordelijke met betrekking tot persoonsgegevens voldoen aan de wetgeving inzake gegevensbescherming, en dat de verwerking van persoonsgegevens in overeenstemming met de instructies van Verwerkingsverantwoordelijke er niet toe zal leiden dat Verwerker de wetten inzake gegevensbescherming schendt en, in het bijzonder, van de AVG. Indien Verwerker van mening is dat een toelaatbare specifieke instructie in strijd is met de toepasselijke wetgeving inzake gegevensbescherming, stelt zij Verwerkingsverantwoordelijke hiervan zo spoedig mogelijk op de hoogte. Verder is Verwerker gerechtigd de uitvoering van de opdracht op te schorten totdat Verantwoordelijke de opdracht bevestigt.

(4) Specifieke instructies van Verwerkingsverantwoordelijke zullen in principe schriftelijk of in ieder geval in tekstvorm worden gegeven door de personen van Verwerkingsverantwoordelijke die daartoe bevoegd zijn in overeenstemming met deze DPA. Mondelinge instructies moeten onmiddellijk schriftelijk of in tekstvorm door Verwerkingsverantwoordelijke worden bevestigd om effectief te zijn.

§ 5 Vertegenwoordigingen van de Verwerker

(1) Medewerkers van Verwerker (a) die toegang hebben tot persoonsgegevens hebben zich verplicht tot geheimhouding of hebben een passende wettelijke geheimhoudingsplicht; (b) persoonsgegevens alleen verwerken volgens de instructies van de verwerker, tenzij anders vereist door de wetgeving inzake gegevensbescherming; en (c) indien nodig van tijd tot tijd, maar niet minder dan één keer per jaar, training krijgen met betrekking tot de verplichtingen van de Verwerker onder deze DPA, de gegevensbeschermingswetten en, in het bijzonder, de AVG.

(2) Verwerker zal geen kopieën of duplicaten van persoonsgegevens maken zonder voorafgaande toestemming van Verantwoordelijke. Kopieën zijn hiervan echter uitgezonderd, voor zover deze noodzakelijk zijn voor een goede gegevensverwerking en een goede levering van de Diensten (waaronder databack-ups), alsmede voor zover kopieën noodzakelijk zijn om te voldoen aan wettelijke bewaarplichten.

(3) Verwerker zal een bevoegde en betrouwbare functionaris voor gegevensbescherming aanstellen indien en zolang aan de wettelijke vereisten voor een aanstellingsplicht wordt voldaan. De contactgegevens van een dergelijke functionaris voor gegevensbescherming worden aan de verwerkingsverantwoordelijke verstrekt.

§ 6 Technische en Organisatorische Maatregelen

(1) Voorafgaand aan de aanvang van de verwerking zal Verwerker de technische en organisatorische maatregelen nemen die zijn vermeld onder www.fitness-nation.com/support/tom.html en deze handhaven gedurende de looptijd van deze DPA. Dit zijn maatregelen voor gegevensbeveiliging om een ​​op het risico afgestemd beschermingsniveau met betrekking tot de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen te waarborgen. De stand van de techniek, de uitvoeringskosten en het type, de omvang en de doeleinden van de verwerking, evenals de variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen in de zin van art. 32 par. 1 AVG moet in acht worden genomen.

(2) Aangezien de technische en organisatorische maatregelen onderhevig zijn aan technische vooruitgang en technologische ontwikkeling, is het Verwerker toegestaan ​​alternatieve en adequate maatregelen te treffen, mits het veiligheidsniveau van de maatregelen zoals vermeld onder www.fitness-nation.com/support/tom. html wordt niet gecompromitteerd.

§ 7 Benoeming van subverwerkers

(1) Verwerker mag verwerkingsactiviteiten op grond van de Raamovereenkomst niet uitbesteden zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke verleent hierbij toestemming aan Verwerker om verwerkingsactiviteiten uit te besteden aan de subverwerkers die worden vermeld op www.fitness-nation.com/support/subunternehmer.html. (2) Verwerker zal verplichtingen op het gebied van privacy, vertrouwelijkheid en gegevensbeveiliging opleggen aan elke subverwerker die minstens even streng zijn als die uiteengezet in deze DPA. Indien een subverwerker zijn verplichtingen inzake gegevensbescherming met betrekking tot de verwerking van persoonsgegevens niet nakomt, blijft Verwerker volledig aansprakelijk jegens Verantwoordelijke voor de nakoming van de verplichtingen van die subverwerker.

(3) Verwerker zal Verantwoordelijke schriftelijk op de hoogte stellen van de benoeming van een nieuwe subverwerker. Indien Verwerkingsverantwoordelijke binnen dertig (30) dagen na ontvangst van die kennisgeving Verwerker schriftelijk op de hoogte stelt van enig redelijk bezwaar tegen de voorgestelde benoeming, zullen de Partijen te goeder trouw onderhandelen over een wederzijds aanvaardbaar alternatief. Indien binnen twee (2) maanden na het bezwaar geen dergelijk alternatief wordt overeengekomen, heeft Verwerkingsverantwoordelijke het recht om de Hoofdovereenkomst te beëindigen voor zover deze betrekking heeft op Diensten waarvoor het gebruik van de voorgestelde subverwerker vereist is.

(4) The Parties agree that ancillary service providers are no processors within the meaning of data protection laws; this includes in particular transport services of postal or courier companies, cash transport services, telecommunication services, security services and cleaning services. However, Processor shall enter into customary confidentiality agreements with such service providers.

(5) De bepalingen in deze § 7 zijn ook van toepassing als de verwerker een subverwerker in een derde land aanwijst. Afhankelijk van de toestemming van de Verwerkingsverantwoordelijke met de aanstelling van een dergelijke subverwerker, machtigt de Verwerkingsverantwoordelijke hierbij Verwerker om namens de Verwerkingsverantwoordelijke een overeenkomst aan te gaan, met inbegrip van de EU-modelcontractbepalingen voor de overdracht van persoonsgegevens aan verwerkers in derde landen van 5 februari 2010 of , indien van toepassing, standaardbepalingen inzake gegevensbescherming die later zijn uitgegeven door de Europese Commissie of de bevoegde toezichthoudende autoriteit, waarbij een dergelijke subverwerker in een derde land is gevestigd.

§ 8 Assistentie van Verwerkingsverantwoordelijke

(1) Op schriftelijk verzoek van Verantwoordelijke zal Verwerker Verantwoordelijke bijstaan ​​in geval van een onderzoek door of verzoek van een toezichthoudende autoriteit, indien en voor zover een dergelijk onderzoek of verzoek betrekking heeft op de Diensten. Verwerker zal stappen ondernemen die redelijkerwijs door Verantwoordelijke worden gevraagd om Verantwoordelijke te helpen bij het voldoen aan eventuele verplichtingen in verband met een dergelijk onderzoek of verzoek. Indien een onderzoek door of een verzoek van een toezichthoudende autoriteit Verwerker zelf treft, stelt zij Verwerkingsverantwoordelijke hiervan indien toegestaan ​​onverwijld op de hoogte en zal zij meewerken aan een dergelijk onderzoek of verzoek.

(2) Verwerker zal Verwerkingsverantwoordelijke onverwijld informeren indien hij een schending van de bescherming van persoonsgegevens constateert in verband met de verwerking op grond van deze DPA. Indien Verwerkingsverantwoordelijke wettelijk verplicht is om informatie te verstrekken vanwege een risico voor de rechten en vrijheden van natuurlijke personen als gevolg van een dergelijke (met name maar niet beperkt tot de informatieplichten volgens art. 33, 34 van de AVG), verwerker zal de Verwerkingsverantwoordelijke bijstaan ​​bij het vervullen van zijn taken om op verzoek van laatstgenoemde informatie te verstrekken voor zover redelijk en noodzakelijk; voor zover Verwerker geen schuld treft aan het incident, wordt ondersteuning verleend tegen een vergoeding te berekenen conform de Raamovereenkomst.

(3) De verwerker zal samenwerken en de verwerkingsverantwoordelijke assisteren bij eventuele gegevensbeschermingseffectbeoordelingen waarnaar wordt verwezen in art. 35 AVG of met enig regelgevend overleg dat de Verwerkingsverantwoordelijke wettelijk verplicht is te maken met betrekking tot een dergelijke gegevensbeschermingseffectbeoordeling in overeenstemming met Art. 36 AVG, rekening houdend met de aard van de verwerking en de aan Verwerker ter beschikking gestelde informatie. Dergelijke bijstand wordt onderworpen aan een vergoeding die wordt berekend in overeenstemming met de Master Agreement.

(4) Verwerker zal Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van elke klacht, mededeling of verzoek die Verwerker rechtstreeks van een betrokkene heeft ontvangen en die betrekking heeft op zijn of haar persoonsgegevens, zonder op dat verzoek te reageren, tenzij Verwerker anders door Verwerker is gemachtigd om dit te doen controleur. Verwerker zal Verwerkingsverantwoordelijke redelijke bijstand verlenen met betrekking tot elke klacht, communicatie of verzoek ontvangen van een betrokkene, tegen een vergoeding die zal worden berekend in overeenstemming met de Master Agreement.

§ 9 Teruggave of verwijdering van persoonlijke gegevens

(1) Op schriftelijk verzoek van Verwerkingsverantwoordelijke gedurende de looptijd van de Hoofdovereenkomst of bij beëindiging of afloop van de Hoofdovereenkomst, en wanneer Verwerker niet langer verplicht is alle of een deel van de persoonsgegevens te bewaren om de Diensten te verlenen, zal Verwerker, na respectievelijke instructie van Verwerkingsverantwoordelijke, dergelijke persoonsgegevens retourneren of vernietigen. Indien gegevensbeschermingswetten waaraan Verwerker onderworpen is, verhindert dat Verwerker alle of een deel van de persoonsgegevens teruggeeft of vernietigt, garandeert Verwerker dat hij de vertrouwelijkheid van persoonsgegevens zal garanderen en niet meer actief persoonsgegevens zal verwerken, en de teruggave of vernietiging van persoonsgegevens zoals gevraagd door Verwerkingsverantwoordelijke wanneer de wettelijke verplichting om de persoonsgegevens niet terug te geven of te vernietigen niet langer van kracht is.

(2) Verwerker stelt een rapport op over het wissen of vernietigen van persoonsgegevens, dat op verzoek aan Verantwoordelijke wordt voorgelegd.

§ 10 controlerechten

(1) Tijdens de normale kantooruren (maandag t/m vrijdag van 9.00 tot 17.00 uur) is Verantwoordelijke gerechtigd de bedrijfsruimten van Verwerker waar persoonsgegevens worden verwerkt in opdracht van Verantwoordelijke, op eigen kosten, zonder verstoring van de bedrijfsvoering en met strikte vertrouwelijkheid te betreden. van de handelsgeheimen van Verwerker, om de naleving van deze DPA te controleren. Verantwoordelijke stelt Verwerker tijdig (in het algemeen minimaal twee weken van tevoren) op de hoogte van alle omstandigheden die verband houden met de uitvoering van een audit.

(2) Verwerkingsverantwoordelijke mag in de regel één inspectie per kalenderjaar uitvoeren. Dit laat onverlet het recht van Verwerkingsverantwoordelijke om bij bijzondere incidenten nadere audits uit te voeren.

(3) Indien Verantwoordelijke een derde opdracht geeft om de audit uit te voeren, dient Verantwoordelijke deze derde schriftelijk te verplichten op dezelfde wijze als Verantwoordelijke op grond van deze Wbp jegens Verwerker verplicht is. Daarnaast is Verwerkingsverantwoordelijke verplicht de derde tot geheimhouding en geheimhouding te verplichten, tenzij op de derde een beroepsgeheim rust. Verwerkingsverantwoordelijke verstrekt op verzoek van Verwerker onverwijld de met de derde gesloten geheimhoudingsovereenkomsten. Verwerkingsverantwoordelijke mag geen concurrent van Verwerker aanwijzen om de inspectie uit te voeren.

(4) In plaats van audits ter plaatse kan het aantonen van de naleving van deze DPA ook worden geverifieerd door naleving van een goedgekeurde gedragscode in overeenstemming met Art. 40 AVG, een certificering in overeenstemming met een goedgekeurd certificeringsmechanisme in overeenstemming met Art. 42 AVG en de presentatie van geschikte, actuele certificaten, rapporten of uittreksels van rapporten van onafhankelijke instanties (bijv. auditor, revisie, functionaris voor gegevensbescherming, IT-beveiligingsafdeling, auditors voor gegevensbescherming of kwaliteitsauditors), of door een geschikte certificering na een IT-beveiligings- of gegevensbeschermingsaudit – bijv. volgens ISO 27001 – (“Auditrapport”), indien en voor zover het Auditrapport Verantwoordelijke in staat stelt zich op passende wijze te overtuigen van de naleving door Verwerker van deze DPA.

(5) Indien en voor zover Verwerker niet door schuld een audit heeft afgedwongen, zal ondersteuning bij een dergelijke audit worden verleend tegen een overeenkomstig de Master Agreement te berekenen vergoeding.

§ 11 Diverse bepalingen

(1) De huidige DPA zal worden beheerst door hetzelfde recht als de Master Agreement, en de bevoegde rechtbanken die tussen de Partijen zijn overeengekomen onder de Master Agreement hebben de exclusieve jurisdictie met betrekking tot alle conflicten die voortkomen uit of in verband staan ​​met de huidige DPA. .

(2) Geen enkele wijziging of wijziging van deze DPA zal van kracht zijn tenzij schriftelijk.

(3) Als een bepaling in deze DPA door de bevoegde rechtbank als ongeldig of niet-afdwingbaar wordt beschouwd, blijven alle andere bepalingen volledig van kracht.

(4) Deze DPA zal van kracht worden vanaf de ingangsdatum van de Master Agreement en zal er integraal deel van uitmaken. Niettegenstaande het verstrijken van de looptijd van de Hoofdovereenkomst, blijft deze van kracht tot, en vervalt automatisch na, verwijdering van alle persoonsgegevens door Verwerker en/of eventuele toepasselijke subverwerkers.