Acordo sobre processamento de pedidos

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, ALEMANHA

- doravante denominado "processador" -

e

a empresa nomeada no contrato principal

- doravante referida como "pessoa responsável" -

O processador e o responsável são doravante também designados individualmente como a "parte" ou coletivamente como as "partes".

§ 1 objeto do contrato

(1) Este acordo de processamento de contrato ("GCU") é celebrado entre as partes no que diz respeito ao tratamento de dados pessoais no âmbito do contrato principal (doravante denominado "contrato principal"). A prestação de serviços ao abrigo do contrato principal ("Serviços") requer o processamento de dados. Se e na medida em que esses dados consistam em ou contenham dados pessoais, o processador atuará como processador em relação a esses dados, enquanto a pessoa responsável por esses dados permanece em conformidade com o Art. 28 do Regulamento Geral de Proteção de Dados (doravante " GDPR ").

(2) Os serviços são prestados pelo processador de tal forma que a pessoa responsável fornece seus próprios dados, controla sua transmissão para o processador e, no caso de modelos de software como serviço, controla diretamente o manuseio de tais dados carregados para os serviços. O controlador concorda e entende que o processador não monitora os dados do controlador ou como o controlador trata esses dados, a menos que o controlador envie expressamente ao processador um pedido de acesso a esses dados. É, portanto, da exclusiva responsabilidade e obrigação do controlador garantir que os dados do controlador sejam coletados e transmitidos de acordo com as leis de proteção de dados aplicáveis ​​e,

(3) Como processador, o processador processará os dados pessoais da pessoa responsável exclusivamente de acordo com as disposições deste AVV e as instruções documentadas da pessoa responsável. Se o processador for obrigado pela lei da União ou dos Estados-Membros aos quais está sujeito a processamento posterior dos dados pessoais, o processador informará o responsável pelo tratamento desses requisitos legais antes do processamento, se a lei em questão não fornecer tal notificação para uma proibição de interesse público importante; Neste último caso, o processador informará a pessoa responsável sobre o processamento posterior, tão logo seja legalmente permitido.

§ 2 detalhes de processamento

(1) Os detalhes do processamento são descritos nas seguintes disposições e no contrato principal. Tendo em vista as suas obrigações como responsável, o responsável informará o transformador se for necessário complementar o estipulado no contrato principal.

(2) O processador processará os dados pessoais conforme descrito em detalhes no contrato principal.

(3) O processador geralmente processará dados pessoais durante o contrato principal e este GCU, a menos que acordado de outra forma por escrito.

§ 3º local de processamento de dados; Transferência para países terceiros

(1) O processador processará dados pessoais exclusivamente em seu próprio local ou na sede de seus subprocessadores autorizados. De acordo com isso, todas as operações de processamento são geralmente realizadas nos estados membros da União Europeia ou em outro estado que seja parte do Tratado do Espaço Econômico Europeu.

(2) Qualquer processamento de dados pessoais fora da UE / EEE só é permitido com acordo prévio entre as partes e somente se os requisitos do Art. 44 e seguintes do RGPD forem atendidos.

§ 4 Instruções da pessoa responsável

(1) As partes concordam que este GCU contém as instruções gerais da pessoa responsável no que diz respeito ao processamento de dados pessoais em nome do processador.

(2) Instruções especiais da pessoa responsável que se desviem das disposições deste GCU ou imponham novas obrigações adicionais ao processador, requerem o consentimento do processador para serem eficazes. Para tais instruções especiais, as partes usarão o procedimento de alteração que pode ter sido acordado no contrato principal.

(3) É responsabilidade da pessoa responsável garantir que as instruções por ela emitidas em relação ao processamento de dados pessoais em nome do contrato estejam de acordo com as leis de proteção de dados aplicáveis, e que o processador possa processar dados pessoais de acordo com as instruções, sem violar as leis de proteção de dados aplicáveis ​​ao processador, em particular para violar o GDPR. Se o processador for da opinião que uma instrução do controlador viola as leis de proteção de dados aplicáveis, o processador notificará o controlador em conformidade. Nesses casos, o processador tem o direito de se recusar a executar a instrução até que o controlador confirme a instrução.

(4) As instruções especiais da pessoa responsável são emitidas por escrito ou, pelo menos, em texto pelas pessoas autorizadas a fazê-lo por parte da pessoa responsável. As instruções orais devem ser confirmadas imediatamente por uma das pessoas autorizadas e, pelo menos, em forma de texto para serem eficazes.

§ 5 Garantias do processador

(1) Os funcionários do processador: (i) são, desde que autorizados a processar os dados pessoais, obrigados a manter a confidencialidade ou estão sujeitos a uma obrigação legal de confidencialidade apropriada; (ii) processará dados pessoais exclusivamente de acordo com as instruções do processador, a menos que haja uma obrigação de outro processamento de acordo com as leis de proteção de dados aplicáveis; e (iii) sejam informados em intervalos regulares sobre as obrigações decorrentes deste GCU e as leis aplicáveis ​​sobre proteção de dados, em particular o GDPR.

(2) O processador não pode fazer cópias ou duplicados dos dados pessoais processados ​​na encomenda sem o consentimento prévio do responsável. As exceções a isso, no entanto, são as cópias, na medida em que sejam necessárias para garantir o processamento adequado dos dados e o fornecimento adequado dos serviços (incluindo backup de dados), bem como as cópias necessárias para cumprir os requisitos de retenção legais.

(3) O processador nomeará um responsável pela proteção de dados competente e confiável se e enquanto existirem os requisitos legais para a nomeação de um responsável pela proteção de dados. O processador fornecerá ao controlador de dados as informações de contato de um responsável pela proteção de dados nomeado desta forma.

§ 6 Medidas técnicas e organizacionais

(1) Antes do início do processamento, o processador deve implementar as medidas técnicas e organizacionais especificadas em www.fitness-nation.com/support/tom.html e mantê-las durante a vigência do presente GCU. São medidas técnicas e organizacionais para garantir um nível de proteção adequado ao risco no que diz respeito à confidencialidade, integridade, disponibilidade e resiliência dos sistemas. O estado da técnica, os custos de implementação e o tipo, âmbito, circunstâncias e finalidades do processamento, bem como as diferentes probabilidades de ocorrência e gravidade do risco para os direitos e liberdades das pessoas singulares na aceção do Art. 32 Para .1 GDPR deve ser levado em consideração.

(2) Como as medidas técnicas e organizacionais estão sujeitas ao progresso técnico e desenvolvimentos tecnológicos, o processador está autorizado a implementar medidas alternativas e apropriadas se isso resultar no padrão de segurança das medidas especificadas em www.fitness-nation.com/support/ tom.html não está abaixo.

§ 7 Envolvimento de subprocessadores

(1) O processador só pode envolver subprocessadores no que diz respeito ao processamento de dados pessoais por conta do controlador de dados com o consentimento prévio da pessoa responsável. A pessoa responsável, então, dá seu consentimento para o uso dos subprocessadores indicados em www.fitness-nation.com/support/subunternehmer.html.

(2) O processador imporá obrigações a cada subprocessador no que diz respeito à proteção, confidencialidade e segurança de dados, que são pelo menos tão estritas quanto as obrigações do processador para com o controlador, conforme estabelecido neste GCU. Se um subprocessador não cumprir essas obrigações, o processador é responsável por essas violações como se fosse sua própria culpa.

(3) O processador notificará o controlador por escrito de cada nova atribuição de um subprocessador. Se o responsável notificar no prazo de trinta (30) dias após o recebimento da notificação, indicando motivo compreensível, que contradiz a operação, as partes buscarão solução amigável. Se, em tal caso, não for possível chegar a uma solução amigável dentro de dois (2) meses, a pessoa responsável tem o direito de rescindir o contrato principal no que diz respeito aos serviços para os quais o uso do subprocessador proposto é necessário.

(4) As partes concordam que os prestadores de meros serviços auxiliares não são processadores na aceção das leis de proteção de dados; isto inclui, em particular, os serviços postais ou de correio expresso, bem como os serviços de transporte de dinheiro, serviços de telecomunicações, serviços de segurança e serviços de limpeza. Não obstante, o processador celebrará acordos de sigilo com tais subcontratados que são habituais na indústria.

(5) Os regulamentos neste § 7 também se aplicam se um subprocessador estiver envolvido em um país terceiro fora da UE ou do EEE. Desde que o controlador tenha dado consentimento para o uso do subprocessador, o controlador autoriza o processador a celebrar um contrato com um subprocessador que processa os dados do controlador fora da UE ou do EEE, em nome do controlador, incluindo as cláusulas contratuais padrão da UE para celebrar cláusulas padrão de proteção de dados emitidas pela Comissão da UE ou pela autoridade de supervisão competente para a transmissão de dados pessoais a processadores em países terceiros a partir de 05/02/2010 ou possivelmente mais tarde.

§ 8 Obrigações de apoiar a pessoa responsável

(1) Mediante solicitação por escrito do controlador, o processador apoiará o controlador na medida adequada no caso de uma investigação ou solicitação de uma autoridade supervisora ​​de proteção de dados, na medida em que essa investigação ou solicitação se relacione aos serviços. O processador apoiará o controlador em uma extensão razoável no cumprimento de todas as obrigações relacionadas a tal investigação ou solicitação. Caso uma autoridade supervisora ​​de proteção de dados inicie investigações diretamente com o processador ou encaminhe um pedido correspondente ao processador, o processador informará imediatamente o responsável, na medida em que ele for autorizado a fazê-lo, e cooperará no contexto dessa investigação ou solicitação.

(2) O processador informará a pessoa responsável imediatamente se descobrir uma violação da proteção de dados pessoais em conexão com o processamento de dados pessoais sob este GCU. Se, como resultado de tal notificação, o controlador de dados for obrigado a relatar às autoridades de supervisão de proteção de dados e / ou titulares dos dados (em particular do Art. 33, 34 GDPR), o processador apoiará o controlador no cumprimento dessas obrigações de relatório na medida apropriada e necessária. Se o processador não for culpado por um incidente de proteção de dados reportável, o processador tem o direito de cobrar as despesas pelos serviços de suporte de acordo com as taxas de remuneração acordadas no contrato principal.

(3) O processador apoiará o controlador, levando em consideração o tipo de processamento e as informações disponíveis para o processador, em qualquer avaliação de impacto de proteção de dados a ser realizada pelo processador no que diz respeito ao processamento de dados pessoais, incluindo, onde necessária, a consulta da autoridade supervisora ​​de proteção de dados competente (Art. 35, 36 do RGPD). O processador tem o direito de calcular o custo dos serviços de suporte de acordo com as taxas de remuneração acordadas no contrato principal.

(4) O processador informará imediatamente a pessoa responsável se o titular dos dados contatar o processador diretamente com uma reclamação, solicitação ou para exercer seus direitos. O próprio processador não responderá ao pedido, a menos que o responsável tenha expressamente dado ao processador uma instrução correspondente. O processador apoiará a pessoa responsável na resposta a tais reclamações, consultas e solicitações dos titulares dos dados na medida adequada. O processador tem o direito de calcular o custo dos serviços de suporte de acordo com as taxas de remuneração acordadas no contrato principal.

§ 9 Retorno ou exclusão Retorno de dados pessoais

(1) Seguindo as instruções da pessoa responsável durante a vigência deste GCU ou após sua rescisão ou após o processamento de dados pessoais ter sido rescindido de acordo com o contrato individual relevante, o processador destruirá ou excluirá os dados processados ​​em nome da pessoa responsável ou devolvê-lo ao responsável. Se as leis aplicáveis ​​proibirem o processador de destruir, excluir ou retornar os dados pessoais processados ​​em nome do processador, o processador não processará mais ativamente esses dados, mas apenas para cumprir as disposições legais,

(2) O processador criará um registro de cada destruição ou exclusão de dados pessoais efetuada, que será disponibilizado ao responsável mediante solicitação.

§ 10 direitos de auditoria

(1) O responsável tem direito, no âmbito do horário normal de expediente (segunda a sexta-feira das 9h00 às 17h00), por sua conta, sem perturbar o processo operacional e sob estrita confidencialidade do processamento e negócio segredos do processador, as instalações comerciais do processador, em que os dados do controlador de dados são processados, para se convencer da conformidade com estas GCU. A pessoa responsável geralmente anuncia essa inspeção no local em tempo útil (pelo menos duas semanas de antecedência).

(2) Em regra, o responsável tem direito a uma inspecção in loco na acepção do número anterior por ano civil. O direito da pessoa responsável de realizar novas inspeções no local em caso de incidentes especiais permanece inalterado.

(3) Se a pessoa responsável instruir um terceiro para realizar a inspeção, a pessoa responsável também deve obrigar o terceiro por escrito, da mesma forma que a pessoa responsável é obrigada para com o processador com base neste GCU. Além disso, o responsável deve obrigar o terceiro a manter a confidencialidade e o sigilo, a menos que o terceiro esteja sujeito a uma obrigação profissional de sigilo. A pedido da transformadora, o responsável deve apresentar imediatamente à transformadora os contratos de compromisso celebrados com o terceiro. O responsável não pode confiar o controlo a nenhum concorrente do responsável.

(4) A evidência de conformidade com estas GCU pode ser fornecida em vez de uma inspeção no local pelo cumprimento das regras de conduta aprovadas de acordo com o Art. 40 GDPR, certificação de acordo com um procedimento de certificação aprovado de acordo com o Art. 42 GDPR e o apresentação de um adequado, atestados atuais, relatórios ou trechos de relatórios de órgãos independentes (por exemplo, auditores, auditores, oficiais de proteção de dados, departamentos de segurança de TI, auditores de proteção de dados ou auditores de qualidade) ou uma certificação adequada por meio de segurança de TI ou auditorias de proteção de dados - por exemplo de acordo com a ISO 27001 - ("relatório de auditoria") se o relatório de auditoria permitir que a pessoa responsável, de maneira adequada, se convença do cumprimento dessas CGU.

(5) Se e na medida em que uma inspeção no local não se tornou necessária devido a má conduta por parte do processador, o processador tem o direito de cobrar o custo das inspeções no local de acordo com as taxas de remuneração acordadas em o contrato principal.

§ 11 Outras disposições

(1) O presente GCU está sujeito à mesma lei que o contrato principal e, para todos os litígios de e em conexão com este GCU, apenas os tribunais são competentes para os quais as partes tenham acordado no contrato principal.

(2) As alterações ou acréscimos a estas CGU só são eficazes se tiverem sido elaboradas por escrito.

(3) Se uma disposição destas CGU for declarada ineficaz ou inexequível pelo tribunal competente, as disposições restantes permanecerão em vigor sem restrições.

(4) Estas CGU entram em vigor como parte integrante do contrato principal. Independentemente do fim do período do contrato principal, ele se aplica até e expira automaticamente quando todos os dados pessoais forem excluídos pelo processador e / ou todos os subprocessadores usados.