Umowa o realizację zamówienia

Między

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, NIEMCY

- zwany dalej "przetwarzającym" -

oraz

firma wymieniona w umowie głównej

- zwana dalej "osobą odpowiedzialną" -

Podmiot przetwarzający i osoba odpowiedzialna zwani są dalej indywidualnie „stroną” lub łącznie „stronami”.

§ 1 przedmiot umowy

(1) Niniejsza umowa o przetwarzanie umowy („OWU”) zawierana jest między stronami w odniesieniu do przetwarzania danych osobowych w ramach umowy głównej (zwanej dalej „umową główną”). Świadczenie usług w ramach umowy głównej („Usługi”) wymaga przetwarzania danych. Jeżeli i w zakresie, w jakim dane te składają się lub zawierają dane osobowe, podmiot przetwarzający będzie działał jako podmiot przetwarzający w odniesieniu do tych danych, natomiast osoba odpowiedzialna za te dane pozostaje zgodnie z Art. 28 Ogólnego Rozporządzenia o Ochronie Danych (dalej „ RODO”).

(2) Usługi są świadczone przez podmiot przetwarzający w taki sposób, że osoba odpowiedzialna dostarcza własne dane, kontroluje ich przekazywanie podmiotowi przetwarzającemu oraz, w przypadku modeli oprogramowania jako usługi, bezpośrednio kontroluje obsługę takich danych przesłanych do usługi . Administrator zgadza się i rozumie, że podmiot przetwarzający nie monitoruje danych administratora ani sposobu, w jaki administrator postępuje z tymi danymi, chyba że administrator wyraźnie wyśle ​​podmiotowi przetwarzającemu żądanie dostępu do tych danych. Dlatego wyłączną odpowiedzialnością i obowiązkiem administratora jest zapewnienie, że dane administratora są gromadzone i przesyłane zgodnie z obowiązującymi przepisami o ochronie danych oraz,

(3) Jako podmiot przetwarzający, podmiot przetwarzający będzie przetwarzał dane osobowe osoby odpowiedzialnej wyłącznie zgodnie z postanowieniami niniejszego AVV i udokumentowanymi instrukcjami osoby odpowiedzialnej. Jeżeli podmiot przetwarzający jest zobowiązany na mocy prawa Unii lub prawa państwa członkowskiego, któremu podmiot przetwarzający podlega dalszemu przetwarzaniu danych osobowych, podmiot przetwarzający poinformuje administratora o tych wymogach prawnych przed przetwarzaniem, jeżeli dane prawo nie przekazanie takiego powiadomienia zakazuje ważnego interesu publicznego; W tym ostatnim przypadku podmiot przetwarzający poinformuje osobę odpowiedzialną o dalszym przetwarzaniu, gdy tylko będzie to prawnie dopuszczalne.

§ 2 szczegóły przetwarzania

(1) Szczegóły przetwarzania są opisane w poniższych postanowieniach oraz w umowie głównej. Mając na uwadze swoje obowiązki jako osoby odpowiedzialnej, osoba odpowiedzialna poinformuje przetwarzającego o konieczności uzupełnienia postanowień umowy głównej.

(2) Podmiot przetwarzający będzie przetwarzał dane osobowe zgodnie ze szczegółowym opisem w umowie głównej.

(3) Podmiot przetwarzający będzie zasadniczo przetwarzał dane osobowe przez okres obowiązywania umowy głównej i niniejszych OWU, o ile nie uzgodniono inaczej na piśmie.

§ 3 miejsce przetwarzania danych; Przekazywanie do krajów trzecich

(1) Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie we własnym miejscu lub w siedzibie upoważnionych podwykonawców przetwarzania. Zgodnie z tym wszystkie operacje przetwarzania są zazwyczaj przeprowadzane w państwach członkowskich Unii Europejskiej lub w innym państwie będącym stroną Traktatu o Europejskim Obszarze Gospodarczym.

(2) Jakiekolwiek przetwarzanie danych osobowych poza UE / EOG jest dozwolone tylko po uprzednim uzgodnieniu między stronami i tylko wtedy, gdy spełnione są wymogi Art. 44 i następne RODO.

§ 4 Polecenia osoby odpowiedzialnej

(1) Strony zgadzają się, że niniejsze OWU zawierają ogólne instrukcje osoby odpowiedzialnej w zakresie przetwarzania danych osobowych w imieniu przetwarzającego.

(2) Specjalne polecenia osoby odpowiedzialnej, które odbiegają od postanowień niniejszych OWU lub nakładają na przetwarzającego nowe, dodatkowe obowiązki, wymagają dla swej skuteczności zgody przetwarzającego. W przypadku takich instrukcji specjalnych strony zastosują procedurę zmiany, która mogła zostać uzgodniona w umowie głównej.

(3) Obowiązkiem osoby odpowiedzialnej jest zapewnienie, że wydane przez nią instrukcje dotyczące przetwarzania danych osobowych w imieniu umowy są zgodne z obowiązującymi przepisami o ochronie danych, a podmiot przetwarzający może przetwarzać dane osobowe zgodnie z instrukcją bez naruszania przepisów o ochronie danych obowiązujących przetwarzającego, w szczególności do naruszenia RODO. Jeżeli podmiot przetwarzający uzna, że ​​polecenie administratora narusza obowiązujące przepisy o ochronie danych, podmiot przetwarzający zawiadomi o tym administratora. W takich przypadkach przetwarzający ma prawo odmówić wykonania dyspozycji do czasu potwierdzenia dyspozycji przez administratora.

(4) Specjalne instrukcje osoby odpowiedzialnej są wydawane na piśmie lub przynajmniej w formie tekstowej przez osoby upoważnione do tego ze strony osoby odpowiedzialnej. Dyspozycje ustne muszą być niezwłocznie potwierdzone przez jedną z uprawnionych osób i co najmniej w formie tekstowej, aby były skuteczne.

§ 5 Zapewnienia przetwarzającego

(1) Pracownicy przetwarzającego: (i) są, w zakresie, w jakim są upoważnieni do przetwarzania danych osobowych, zobowiązani do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności; (ii) będzie przetwarzać dane osobowe wyłącznie zgodnie z instrukcjami podmiotu przetwarzającego, chyba że zgodnie z obowiązującymi przepisami o ochronie danych istnieje obowiązek innego przetwarzania; oraz (iii) są w regularnych odstępach czasu informowane o obowiązkach wynikających z niniejszych OWU oraz obowiązujących przepisów prawa o ochronie danych, w szczególności RODO.

(2) Procesor nie może wykonywać kopii ani duplikatów danych osobowych przetwarzanych w zamówieniu bez uprzedniej zgody osoby odpowiedzialnej. Wyjątkiem są jednak kopie, o ile są one niezbędne do zapewnienia prawidłowego przetwarzania danych i prawidłowego świadczenia usług (w tym tworzenia kopii zapasowych danych), a także kopie niezbędne do spełnienia ustawowych wymogów przechowywania.

(3) Podmiot przetwarzający wyznaczy kompetentnego i wiarygodnego inspektora ochrony danych, jeżeli i tak długo, jak istnieją wymogi prawne dotyczące powołania inspektora ochrony danych. Podmiot przetwarzający przekaże administratorowi dane kontaktowe powołanego w ten sposób inspektora ochrony danych.

§ 6 Środki techniczne i organizacyjne

(1) Przed rozpoczęciem przetwarzania podmiot przetwarzający musi wdrożyć środki techniczne i organizacyjne określone na stronie www.fitness-nation.com/support/tom.html i utrzymywać je przez okres obowiązywania niniejszego OWU. Są to środki techniczne i organizacyjne zapewniające poziom ochrony odpowiedni do ryzyka w odniesieniu do poufności, integralności, dostępności i odporności systemów. Stan techniki, koszty wdrożenia oraz rodzaj, zakres, okoliczności i cele przetwarzania, a także różne prawdopodobieństwo wystąpienia i wagę zagrożenia dla praw i wolności osób fizycznych w rozumieniu Art. 32 ust. .1 RODO musi być brane pod uwagę.

(2) Ponieważ środki techniczne i organizacyjne podlegają postępowi technicznemu i rozwojowi technologicznemu, podmiot przetwarzający może wdrożyć alternatywne i odpowiednie środki, jeśli skutkuje to standardem bezpieczeństwa środków określonych na stronie www.fitness-nation.com/support/ tom.html nie spadł poniżej.

§ 7 Zaangażowanie podprzetwarzających

(1) Podmiot przetwarzający może angażować podwykonawców przetwarzania w zakresie przetwarzania danych osobowych w imieniu administratora danych wyłącznie za uprzednią zgodą osoby odpowiedzialnej. Osoba odpowiedzialna następnie wyraża zgodę na wykorzystanie podwykonawców przetwarzania wymienionych na stronie www.fitness-nation.com/support/subunternehmer.html.

(2) Podmiot przetwarzający nałoży na każdego podwykonawcę przetwarzania obowiązki w zakresie ochrony danych, poufności i bezpieczeństwa danych, które są co najmniej tak rygorystyczne, jak obowiązki podmiotu przetwarzającego wobec administratora określone w niniejszych OWU. Jeżeli podprzetwarzający nie przestrzega tych obowiązków, przetwarzający ponosi odpowiedzialność za te naruszenia tak, jakby to była jego wina.

(3) Przetwarzający powiadomi administratora na piśmie o każdym nowym przydziale podprzetwarzającego. Jeżeli osoba odpowiedzialna zawiadomi w ciągu trzydziestu (30) dni od otrzymania takiego zawiadomienia, podając zrozumiałą przyczynę, że sprzeciwia się operacji, strony będą szukać rozwiązania polubownego. Jeżeli w takim przypadku nie jest możliwe osiągnięcie polubownego rozwiązania w ciągu dwóch (2) miesięcy, osoba odpowiedzialna ma prawo rozwiązać umowę główną w odniesieniu do takich usług, dla których konieczne jest skorzystanie z proponowanego podwykonawcy przetwarzania.

(4) Strony zgadzają się, że dostawcy usług pomocniczych nie są podmiotami przetwarzającymi w rozumieniu przepisów o ochronie danych; obejmuje to w szczególności usługi pocztowe lub kurierskie, a także usługi transportu gotówki, usługi telekomunikacyjne, usługi ochrony oraz usługi sprzątania. Niezależnie od tego, przetwórca zawrze umowy o zachowaniu tajemnicy z takimi podwykonawcami, którzy są zwyczajowo w branży.

(5) Przepisy zawarte w niniejszym § 7 mają również zastosowanie, jeśli podwykonawca przetwarzania jest zaangażowany w państwie trzecim poza UE lub EOG. Jeżeli administrator wyraził zgodę na korzystanie z podwykonawcy przetwarzania, administrator niniejszym upoważnia podmiot przetwarzający do zawarcia w imieniu administratora umowy z podprzetwarzającym, który przetwarza dane administratora poza UE lub EOG, w tym standardowe klauzule umowne UE do zawierania standardowych klauzul ochrony danych wydanych przez Komisję UE lub właściwy organ nadzorczy w zakresie przekazywania danych osobowych podmiotom przetwarzającym w państwach trzecich od dnia 05.02.2010 r. lub ewentualnie później.

§ 8 Obowiązki wsparcia osoby odpowiedzialnej

(1) Na pisemny wniosek administratora podmiot przetwarzający udzieli mu wsparcia w odpowiednim zakresie w przypadku dochodzenia lub wniosku organu nadzorującego ochronę danych, o ile to dochodzenie lub wniosek dotyczy usług. Podmiot przetwarzający będzie wspierał administratora w rozsądnym zakresie w wypełnianiu wszystkich obowiązków w związku z takim dochodzeniem lub wnioskiem. Jeżeli organ nadzorczy ds. ochrony danych wszczyna dochodzenie bezpośrednio z podmiotem przetwarzającym lub kieruje odpowiedni wniosek do podmiotu przetwarzającego, podmiot przetwarzający niezwłocznie poinformuje osobę odpowiedzialną, o ile jest mu to dozwolone, i będzie współpracować w kontekście tego dochodzenia lub wniosku.

(2) Podmiot przetwarzający niezwłocznie poinformuje osobę odpowiedzialną, jeżeli stwierdzi naruszenie ochrony danych osobowych w związku z przetwarzaniem danych osobowych na podstawie niniejszych OWU. Jeżeli w wyniku takiego zgłoszenia administrator danych jest zobowiązany do zgłoszenia organom nadzorczym ds. ochrony danych i/lub osobom, których dane dotyczą (w szczególności z art. 33, 34 RODO), podmiot przetwarzający wesprze administratora w wypełnianiu tych obowiązków sprawozdawczych w odpowiednim i niezbędnym zakresie. Jeżeli podmiot przetwarzający nie ponosi winy za podlegający zgłoszeniu incydent ochrony danych, podmiot przetwarzający jest uprawniony do naliczenia wydatków za usługi wsparcia zgodnie ze stawkami wynagrodzenia uzgodnionymi w umowie głównej.

(3) Podmiot przetwarzający będzie wspierać administratora, biorąc pod uwagę rodzaj przetwarzania i informacje dostępne podmiotowi przetwarzającemu, we wszelkich ocenach skutków dla ochrony danych, które mają być przeprowadzone przez podmiot przetwarzający w odniesieniu do przetwarzania danych osobowych, w tym, w przypadku gdy konieczne, konsultacje z właściwym organem nadzorczym ds. ochrony danych (art. 35, 36 RODO). Przetwarzający jest uprawniony do kalkulacji kosztów usług wsparcia zgodnie z ustalonymi w umowie głównej stawkami wynagrodzenia.

(4) Przetwarzający niezwłocznie poinformuje osobę odpowiedzialną, jeśli osoba, której dane dotyczą, powinna skontaktować się bezpośrednio z przetwarzającym w celu złożenia skargi, wniosku lub w celu skorzystania z przysługujących jej praw. Przetwarzający nie odpowie sam na żądanie, chyba że osoba odpowiedzialna wyraźnie udzieliła przetwarzającemu odpowiedniej instrukcji. Przetwarzający wesprze osobę odpowiedzialną w odpowiedzi na takie skargi, zapytania i wnioski osób, których dane dotyczą, w odpowiednim zakresie. Przetwarzający jest uprawniony do kalkulacji kosztów usług wsparcia zgodnie z ustalonymi w umowie głównej stawkami wynagrodzenia.

§ 9 Zwrot lub usunięcie Zwrot danych osobowych

(1) Postępując zgodnie z instrukcjami osoby odpowiedzialnej w okresie obowiązywania niniejszych OWU lub po jego wygaśnięciu lub po zakończeniu przetwarzania danych osobowych na podstawie odpowiedniej umowy indywidualnej, podmiot przetwarzający zniszczy lub usunie dane przetwarzane w imieniu tej osoby odpowiedzialny lub zwrócić go osobie odpowiedzialnej. Jeżeli obowiązujące przepisy prawa zabraniają przetwarzającemu zniszczenia, usunięcia lub zwrotu danych osobowych przetwarzanych w imieniu przetwarzającego, przetwarzający nie będzie już aktywnie przetwarzał tych danych, a jedynie w celu przestrzegania przepisów ustawowych,

(2) Przetwarzający utworzy rejestr każdego dokonanego zniszczenia lub usunięcia danych osobowych, który na żądanie zostanie udostępniony osobie odpowiedzialnej.

§ 10 praw do audytu

(1) Osoba odpowiedzialna jest uprawniona, w normalnych godzinach pracy (od poniedziałku do piątku od 9:00 do 17:00) na własny koszt, bez zakłócania procesu operacyjnego i przy zachowaniu ścisłej poufności przetwarzania i prowadzenia działalności tajemnice podmiotu przetwarzającego, lokalu podmiotu przetwarzającego, w którym przetwarzane są dane administratora danych, aby przekonać się o przestrzeganiu niniejszych OWU. Osoba odpowiedzialna zazwyczaj ogłasza taką kontrolę na miejscu z odpowiednim wyprzedzeniem (z co najmniej dwutygodniowym wyprzedzeniem).

(2) Z reguły osoba odpowiedzialna jest uprawniona do kontroli na miejscu w rozumieniu poprzedniego ustępu za rok kalendarzowy. Prawo osoby odpowiedzialnej do przeprowadzenia dalszych kontroli na miejscu w przypadku wystąpienia szczególnych zdarzeń pozostaje nienaruszone.

(3) Jeżeli osoba odpowiedzialna zleca przeprowadzenie kontroli osobie trzeciej, osoba odpowiedzialna musi również zobowiązać osobę trzecią na piśmie, tak jak osoba odpowiedzialna jest zobowiązana wobec przetwarzającego na podstawie niniejszych OWU. Ponadto osoba odpowiedzialna musi zobowiązać osobę trzecią do zachowania poufności i tajemnicy, chyba że osoba trzecia podlega zawodowemu obowiązkowi zachowania tajemnicy. Na żądanie przetwarzającego osoba odpowiedzialna musi niezwłocznie przedłożyć przetwarzającemu umowy zobowiązania zawarte ze stroną trzecią. Osoba odpowiedzialna nie może powierzyć kontroli żadnemu konkurentowi osoby odpowiedzialnej.

(4) Dowód zgodności z niniejszymi OWU można przedstawić zamiast kontroli na miejscu poprzez przestrzeganie zatwierdzonych zasad postępowania zgodnie z Art. 40 RODO, certyfikację zgodnie z zatwierdzoną procedurą certyfikacji zgodnie z Art. 42 RODO oraz przedłożenie odpowiedniego, aktualnych zaświadczeń, raportów lub wyciągów z raportów niezależnych organów (np. audytorów, audytorów, inspektorów ochrony danych, działów bezpieczeństwa IT, audytorów ochrony danych czy audytorów jakości) lub odpowiedniej certyfikacji poprzez audyty bezpieczeństwa IT lub ochrony danych – np. zgodnie z ISO 27001 - („raport z audytu”), jeżeli raport z audytu umożliwia osobie odpowiedzialnej w odpowiedni sposób przekonanie się o przestrzeganiu niniejszych OWU.

(5) Jeżeli i w zakresie, w jakim kontrola na miejscu nie stała się konieczna z powodu niewłaściwego postępowania przetwórcy, przetwórca jest uprawniony do naliczenia kosztów kontroli na miejscu zgodnie ze stawkami wynagrodzenia uzgodnionymi w główna umowa.

§ 11 Inne postanowienia

(1) Niniejsze OWU podlegają temu samemu prawu, co umowa główna, a dla wszelkich sporów wynikających z niniejszych OWU i w związku z nimi właściwe są tylko te sądy, co do których strony uzgodniły w umowie głównej.

(2) Zmiany lub uzupełnienia niniejszych OWU są skuteczne tylko wtedy, gdy zostały sporządzone na piśmie.

(3) W przypadku uznania przez właściwy sąd postanowienia niniejszych OWU za nieskuteczne lub niewykonalne, pozostałe postanowienia pozostają w mocy bez ograniczeń.

(4) Niniejsze OWU wchodzą w życie jako integralna część umowy głównej. Niezależnie od zakończenia okresu obowiązywania umowy głównej, obowiązuje ona do momentu, w którym wszystkie dane osobowe zostaną usunięte przez podmiot przetwarzający i/lub wszystkich wykorzystywanych podwykonawców przetwarzania, i automatycznie wygasa.