Umowa realizacji zamówienia

Między

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, NIEMCY

- dalej "przetwarzający" -

oraz

firma wymieniona w umowie głównej

– zwana dalej „osobą odpowiedzialną” –

Przetwarzający i Administrator zwani są dalej również indywidualnie „Stroną” lub łącznie „Stronami”.

§ 1 Przedmiot umowy

(1) Niniejsza Umowa o przetwarzanie danych ("AVV") jest zawierana między stronami w odniesieniu do przetwarzania danych osobowych w ramach umowy głównej (zwanej dalej "Umową główną"). Świadczenie usług w ramach umowy głównej („Usługi”) wymaga przetwarzania danych. Jeżeli i w zakresie, w jakim dane te składają się z danych osobowych lub je zawierają, podmiot przetwarzający będzie działał w odniesieniu do tych danych jako podmiot przetwarzający, natomiast osoba odpowiedzialna pozostaje odpowiedzialna za te dane zgodnie z art. 28 ogólnego rozporządzenia o ochronie danych (dalej „RODO”).

(2) Usługi są świadczone przez Procesora w taki sposób, że Administrator udostępnia własne dane, kontroluje ich przesyłanie do Procesora oraz, w przypadku modeli Software as a Service, bezpośrednio kontroluje postępowanie z takimi danymi przesłanymi do Usługi . Administrator zgadza się i rozumie, że Przetwarzający nie monitoruje danych Administratora ani sposobu, w jaki Administrator postępuje z tymi danymi, chyba że Administrator wyraźnie zażąda od Przetwarzającego dostępu do tych danych w tym zakresie. W związku z tym na Administratorze spoczywa wyłączna odpowiedzialność i obowiązek zapewnienia, że ​​dane Administratora są zbierane i przekazywane zgodnie z obowiązującymi przepisami o ochronie danych oraz,

(3) Jako podmiot przetwarzający, podmiot przetwarzający będzie przetwarzał dane osobowe osoby odpowiedzialnej wyłącznie zgodnie z postanowieniami niniejszego AVV i udokumentowanymi instrukcjami osoby odpowiedzialnej. Jeżeli Przetwarzający jest zobowiązany na mocy prawa Unii lub prawa państwa członkowskiego, któremu Przetwarzający podlega dalszemu przetwarzaniu Danych Osobowych, Przetwarzający powiadomi Administratora o tych wymogach prawnych przed przetwarzaniem, chyba że odpowiednie prawo wymaga takiego powiadomienia ze względu na ważny interes publiczny zakazuje; W tym ostatnim przypadku podmiot przetwarzający poinformuje osobę odpowiedzialną o dalszym przetwarzaniu, gdy tylko będzie to prawnie dopuszczalne.

§ 2 Szczegóły przetwarzania

(1) Szczegóły przetwarzania są opisane w poniższych postanowieniach oraz w umowie głównej. Mając na uwadze swoje obowiązki jako administratora, administrator poinformuje przetwarzającego, jeśli konieczne będzie uzupełnienie specyfikacji zawartych w umowie głównej.

(2) Podmiot przetwarzający będzie przetwarzał dane osobowe zgodnie z umową główną.

(3) Podmiot przetwarzający będzie z reguły przetwarzał dane osobowe przez okres obowiązywania umowy głównej i niniejszych OWU, o ile nie uzgodniono inaczej na piśmie.

§ 3 Miejsce przetwarzania danych; Przekazywanie do krajów trzecich

(1) Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie we własnej siedzibie lub w siedzibie swoich upoważnionych podwykonawców przetwarzania. Zgodnie z tym wszystkie operacje przetwarzania są przeprowadzane co do zasady w państwach członkowskich Unii Europejskiej lub w innym państwie będącym stroną Traktatu o Europejskim Obszarze Gospodarczym.

(2) Jakiekolwiek przetwarzanie danych osobowych poza UE/EOG jest dozwolone wyłącznie za uprzednią zgodą stron i tylko wtedy, gdy wymogi art. 44 i nast. RODO są spełnione.

§ 4 Polecenia osoby odpowiedzialnej

(1) Strony zgadzają się, że niniejsze AVV zawierają ogólne instrukcje osoby odpowiedzialnej w zakresie przetwarzania danych osobowych w imieniu przetwarzającego.

(2) Specjalne instrukcje osoby odpowiedzialnej, które odbiegają od postanowień niniejszych AVV lub nakładają nowe, dodatkowe obowiązki na podmiot przetwarzający, wymagają zgody podmiotu przetwarzającego, aby były skuteczne. W przypadku takich instrukcji specjalnych strony zastosują procedurę zmiany, która mogła zostać uzgodniona w umowie głównej.

(3) Obowiązkiem osoby odpowiedzialnej jest dopilnowanie, aby wydane przez nią instrukcje dotyczące przetwarzania danych osobowych w zleceniu były zgodne z obowiązującymi przepisami o ochronie danych, a podmiot przetwarzający zlecenie mógł przetwarzać dane osobowe zgodnie z instrukcjami bez naruszania przepisów o ochronie danych obowiązujących podmiot przetwarzający zamówienie, w szczególności do naruszenia RODO. Jeżeli podmiot przetwarzający uzna, że ​​polecenie osoby odpowiedzialnej narusza obowiązujące przepisy o ochronie danych, podmiot przetwarzający poinformuje o tym osobę odpowiedzialną. W takich przypadkach Przetwarzający ma prawo odmówić wykonania dyspozycji do czasu potwierdzenia dyspozycji przez Administratora.

(4) Specjalne instrukcje osoby odpowiedzialnej są wydawane na piśmie lub przynajmniej w formie tekstowej przez osoby odpowiedzialne za to ze strony osoby odpowiedzialnej. Dyspozycje ustne muszą być niezwłocznie potwierdzone przez jedną z uprawnionych osób i co najmniej w formie tekstowej, aby były skuteczne.

§ 5 Zapewnienia przetwarzającego

(1) Pracownicy Przetwarzającego: (i) w zakresie, w jakim są upoważnieni do przetwarzania Danych Osobowych, są zobowiązani do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności; (ii) będzie przetwarzać Dane Osobowe wyłącznie zgodnie z instrukcjami Podmiotu Przetwarzającego, chyba że obowiązujące przepisy o ochronie danych wymagają inaczej; oraz (iii) są pouczane w regularnych odstępach czasu o obowiązkach wynikających z niniejszego AVV i obowiązujących przepisów o ochronie danych, w szczególności DS-GVO.

(2) Podmiot przetwarzający nie może bez uprzedniej zgody osoby odpowiedzialnej wykonywać żadnych kopii ani duplikatów danych osobowych przetwarzanych w zamówieniu w ramach realizacji zamówienia. Nie dotyczy to jednak kopii, które są wymagane do zapewnienia prawidłowego przetwarzania danych i prawidłowego świadczenia usług (w tym tworzenia kopii zapasowych danych), a także kopii, które są wymagane do przestrzegania ustawowych wymogów dotyczących przechowywania.

(3) Podmiot przetwarzający wyznaczy kompetentnego i wiarygodnego inspektora ochrony danych, jeżeli i tak długo, jak istnieją wymogi prawne dotyczące powołania inspektora ochrony danych. Podmiot przetwarzający poinformuje osobę odpowiedzialną o danych kontaktowych wyznaczonego w ten sposób inspektora ochrony danych.

§ 6 Środki techniczne i organizacyjne

(1) Przed rozpoczęciem przetwarzania podmiot przetwarzający musi wdrożyć środki techniczne i organizacyjne wymienione na stronie www.fitness-nation.com/support/tom.html i utrzymywać je w okresie obowiązywania niniejszego OWU. Są to środki techniczne i organizacyjne zapewniające poziom ochrony odpowiedni do ryzyka w odniesieniu do poufności, integralności, dostępności i odporności systemów. Stan techniki, koszty wdrożenia oraz rodzaj, zakres, okoliczności i cele przetwarzania oraz różne prawdopodobieństwo wystąpienia i wagę zagrożenia dla praw i wolności osób fizycznych w rozumieniu art. 32 ust. 1 DS-GVO są brane pod uwagę.

(2) Ponieważ środki techniczne i organizacyjne podlegają postępowi technicznemu i rozwojowi technologicznemu, podmiot przetwarzający może wdrożyć alternatywne i odpowiednie środki, jeśli przekraczają one standard bezpieczeństwa środków określonych na stronie www.fitness-nation.com/support/tom .html nie jest podcięty.

§ 7 Zaangażowanie podprzetwarzających

(1) Podmiot przetwarzający może angażować podwykonawców przetwarzania w zakresie przetwarzania danych osobowych w imieniu osoby odpowiedzialnej wyłącznie za uprzednią zgodą osoby odpowiedzialnej. Osoba odpowiedzialna następnie wyraża zgodę na korzystanie z podwykonawców przetwarzania wymienionych pod adresem www.fitness-nation.com/support/subunternehmer.html.

(2) Podmiot przetwarzający nałoży na każdego podwykonawcę przetwarzania obowiązki w zakresie ochrony danych, poufności i bezpieczeństwa danych, które są co najmniej tak rygorystyczne, jak obowiązki podmiotu przetwarzającego wobec administratora określone w niniejszych OWU. Jeżeli podprzetwarzający nie wywiąże się z nałożonych na niego obowiązków, przetwarzający ponosi odpowiedzialność za te naruszenia tak, jakby to była jego wina.

(3) Podmiot przetwarzający powiadomi administratora na piśmie o każdym nowym przypisaniu podwykonawcy przetwarzania. Jeżeli po otrzymaniu takiego zawiadomienia osoba odpowiedzialna stwierdzi w ciągu trzydziestu (30) dni, że sprzeciwia się użyciu, podając uzasadnioną przyczynę, strony będą szukać polubownego rozwiązania. W takim przypadku, jeżeli nie uda się osiągnąć polubownego rozwiązania w ciągu dwóch (2) miesięcy, administrator ma prawo rozwiązać umowę główną w odniesieniu do tych usług, dla których konieczne jest skorzystanie z proponowanego podwykonawcy przetwarzania.

(4) Strony zgadzają się, że dostawcy usług pomocniczych nie są podmiotami przetwarzającymi dane w rozumieniu przepisów o ochronie danych; obejmuje to w szczególności usługi transportowe z usług pocztowych lub kurierskich, a także usługi transportu pieniędzy, usługi telekomunikacyjne, usługi ochrony i usługi sprzątania. Niezależnie od tego, przetwórca zawrze z takimi podwykonawcami zwyczajowe w branży umowy o zachowaniu poufności.

(5) Przepisy zawarte w niniejszym § 7 mają również zastosowanie, jeśli podwykonawca przetwarzania jest zaangażowany w państwie trzecim poza UE lub EOG. Z zastrzeżeniem zgody administratora na korzystanie z podwykonawcy przetwarzania, administrator niniejszym upoważnia podmiot przetwarzający do zawarcia umowy w imieniu administratora z podwykonawcą przetwarzającym dane administratora poza UE lub EOG, w tym standardowe klauzule umowne UE dotyczące przekazywania danych osobowych przetwarzającym w państwach trzecich z dnia 05.02.2010 lub ewentualnie później przez Komisję UE lub właściwy organ nadzorczy standardowe klauzule ochrony danych.

§ 8 Obowiązki wsparcia osoby odpowiedzialnej

(1) Na pisemny wniosek Administratora, Przetwarzający udzieli Administratorowi rozsądnego wsparcia w przypadku dochodzenia lub zapytania prowadzonego przez organ nadzorujący ochronę danych, w zakresie, w jakim takie dochodzenie lub zapytanie dotyczy Usług. Przetwarzający dołoży uzasadnionych starań, aby pomóc Administratorowi w wypełnieniu wszelkich zobowiązań związanych z takim dochodzeniem lub żądaniem. Jeżeli organ nadzorczy ds. ochrony danych rozpocznie dochodzenie bezpośrednio z podmiotem przetwarzającym lub wyśle ​​odpowiedni wniosek bezpośrednio do podmiotu przetwarzającego, podmiot przetwarzający niezwłocznie poinformuje administratora danych, o ile jest to dozwolone, i będzie współpracować w kontekście tego dochodzenia lub prośba.

(2) Przetwarzający niezwłocznie informuje Administratora o stwierdzeniu naruszenia ochrony danych osobowych w związku z przetwarzaniem danych osobowych na podstawie niniejszych OWU. Jeżeli w wyniku takiego powiadomienia osoba odpowiedzialna ma obowiązki sprawozdawcze do organów nadzorczych ds. ochrony danych i/lub osób, których dane dotyczą (w szczególności z art. 33, 34 DS-GVO), podmiot przetwarzający wesprze osobę odpowiedzialną w wypełnianiu tych zgłoszeń obowiązki w odpowiednim i niezbędnym zakresie. O ile podmiot przetwarzający nie ponosi winy za podlegający zgłoszeniu incydent ochrony danych, podmiot przetwarzający jest uprawniony do pobierania opłat za usługi wsparcia zgodnie ze stawkami wynagrodzenia uzgodnionymi w umowie głównej.

(3) Podmiot przetwarzający będzie wspierać administratora, biorąc pod uwagę rodzaj przetwarzania i informacje dostępne podmiotowi przetwarzającemu, w ocenie skutków dla ochrony danych, która może być konieczna w odniesieniu do przetwarzania danych osobowych, w tym, w przypadku gdy niezbędne, konsultacje z właściwym organem nadzorczym ds. ochrony danych (art. 35, 36 RODO). Przetwarzający jest uprawniony do obliczania wydatków na usługi wsparcia według stawek wynagrodzenia uzgodnionych w umowie głównej.

(4) Przetwarzający niezwłocznie poinformuje osobę odpowiedzialną, jeśli osoba, której dane dotyczą, powinna skontaktować się bezpośrednio z przetwarzającym w celu złożenia skargi, zapytania lub w celu skorzystania z przysługujących jej praw. Podmiot przetwarzający nie odpowie na żądanie, chyba że administrator wyraźnie poleci to podmiotowi przetwarzającemu. Przetwarzający zapewni Administratorowi rozsądną pomoc w odpowiedzi na takie skargi, zapytania i prośby osób, których dane dotyczą. Przetwarzający jest uprawniony do obliczania wydatków na usługi wsparcia według stawek wynagrodzenia uzgodnionych w umowie głównej.

§ 9 Zwrot lub usunięcie Zwrot danych osobowych

(1) Po otrzymaniu takiego polecenia od Administratora w okresie obowiązywania niniejszych OWU lub po jego wygaśnięciu lub po zakończeniu przetwarzania danych osobowych na podstawie odpowiedniej indywidualnej umowy, Przetwarzający zniszczy, usunie lub zwróci dane przetwarzane w dniu w imieniu Administratora. Jeżeli obowiązujące przepisy prawa zabraniają przetwarzającemu zniszczenia, usunięcia lub zwrotu danych osobowych przetwarzanych w zamówieniu, przetwarzający nie będzie już aktywnie przetwarzał tych danych, a jedynie w celu przestrzegania przepisów prawa,

(2) Przetwarzający utworzy rejestr każdego zniszczenia lub usunięcia danych osobowych, który na żądanie zostanie udostępniony osobie odpowiedzialnej.

§ 10 Auditrechte

(1) Osoba odpowiedzialna jest uprawniona do korzystania z pomieszczeń przedsiębiorstwa przetwarzającego w normalnych godzinach pracy (od poniedziałku do piątku od 9:00 do 17:00) na własny koszt, bez zakłócania procesu operacyjnego i z ścisła poufność firmy i tajemnic handlowych podmiotu przetwarzającego, w którym przetwarzane są dane osoby odpowiedzialnej, w celu zapewnienia zgodności z niniejszymi AVV. Osoba odpowiedzialna zazwyczaj ogłasza taką kontrolę na miejscu z odpowiednim wyprzedzeniem (z co najmniej dwutygodniowym wyprzedzeniem).

(2) Z reguły osoba odpowiedzialna jest uprawniona do przeprowadzenia kontroli na miejscu w rozumieniu poprzedniego ustępu w roku kalendarzowym. Nie wpływa to na prawo osoby odpowiedzialnej do przeprowadzania dalszych kontroli na miejscu w przypadku zdarzeń specjalnych.

(3) Jeżeli osoba odpowiedzialna zleca przeprowadzenie kontroli osobie trzeciej, osoba odpowiedzialna musi zobowiązać osobę trzecią na piśmie w taki sam sposób, jak osoba odpowiedzialna jest zobowiązana wobec przetwarzającego na podstawie niniejszych AVV. Ponadto osoba odpowiedzialna musi zobowiązać osobę trzecią do zachowania tajemnicy i tajemnicy, chyba że osoba trzecia podlega zawodowemu obowiązkowi zachowania tajemnicy. Na żądanie przetwarzającego osoba odpowiedzialna musi niezwłocznie przedłożyć przetwarzającemu umowy zobowiązania z osobą trzecią. Administrator nie może powierzyć kontroli konkurentowi administratora.

(4) Zamiast kontroli na miejscu dowód zgodności z niniejszym AVV można również przedstawić poprzez przestrzeganie zatwierdzonych kodeksów postępowania zgodnie z art. 40 RODO, certyfikacja zgodnie z zatwierdzoną procedurą certyfikacji zgodnie z art. 42 RODO i przedłożenie odpowiedniego, aktualnych zaświadczeń, raportów lub wyciągów z raportów niezależnych organów (np. audytorów, audytorów, inspektorów ochrony danych, działu bezpieczeństwa IT, audytorów ochrony danych lub audytorów jakości) lub odpowiedniej certyfikacji przez bezpieczeństwo IT lub audyt ochrony danych – np. zgodnie z ISO 27001 – („raport z audytu”), jeżeli raport z audytu umożliwia osobie odpowiedzialnej w rozsądny sposób przekonanie się o zgodności z niniejszymi AVV.

(5) Jeżeli i w zakresie, w jakim kontrola na miejscu nie stała się konieczna z powodu niewłaściwego postępowania ze strony przetwarzającego, przetwórca jest uprawniony do pobierania opłat za kontrole na miejscu zgodnie ze stawkami wynagrodzenia uzgodnionymi w kontrakt.

§ 11 Inne postanowienia

(1) Niniejszy AVV podlega temu samemu prawu, co umowa główna, a w przypadku wszelkich sporów wynikających z niniejszego AVV iw związku z nim wyłączną jurysdykcję mają sądy uzgodnione przez strony w umowie głównej.

(2) Zmiany lub uzupełnienia niniejszego AVV są skuteczne tylko wtedy, gdy zostały dokonane na piśmie.

(3) Jeżeli postanowienie niniejszych AVV zostanie uznane przez właściwy sąd za nieważne lub niewykonalne, pozostałe postanowienia pozostają w pełni skuteczne.

(4) Niniejsze AVV wchodzi w życie z chwilą zawarcia umowy głównej jako jej integralnej części. Niezależnie od zakończenia okresu obowiązywania umowy głównej, obowiązuje ona do momentu, w którym wszystkie dane osobowe zostaną usunięte przez podmiot przetwarzający i/lub wszystkich wykorzystywanych podwykonawców przetwarzania, i automatycznie wygaśnie.