Acord privind procesarea comenzii

Între

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, GERMANIA

- denumit în continuare „procesor” -

și

firma numită în contractul principal

- denumită în continuare „persoană responsabilă” -

Procesatorul și persoana responsabilă sunt denumite în continuare, de asemenea, individual „partea” sau în mod colectiv „părțile”.

§ 1 obiectul contractului

(1) Prezentul contract de prelucrare („CGU”) se încheie între părți cu privire la prelucrarea datelor cu caracter personal în temeiul contractului principal (denumit în continuare „contractul principal”). Furnizarea serviciilor conform contractului principal („Servicii”) necesită prelucrarea datelor. Dacă și în măsura în care aceste date constau în sau conțin date cu caracter personal, împuternicitul va acționa în calitate de procesator cu privire la aceste date, în timp ce persoana responsabilă pentru aceste date rămâne în conformitate cu Art. 28 din Regulamentul general privind protecția datelor (denumit în continuare „ GDPR").

(2) Serviciile sunt furnizate de către procesator în așa fel încât persoana responsabilă să furnizeze propriile date, să controleze transmiterea acestora către procesator și, în cazul modelelor de software ca serviciu, să controleze direct manipularea acestor date încărcate către serviciile . Operatorul este de acord și înțelege că persoana împuternicită de operator nu monitorizează datele operatorului sau modul în care acesta gestionează aceste date, cu excepția cazului în care operatorul trimite în mod expres operatorului o solicitare de acces la aceste date. Prin urmare, este responsabilitatea și obligația exclusivă a operatorului să se asigure că datele acestuia sunt colectate și transmise în conformitate cu legile aplicabile privind protecția datelor și,

(3) În calitate de operator, operatorul va prelucra datele cu caracter personal ale persoanei responsabile exclusiv în conformitate cu prevederile prezentelor AVV și cu instrucțiunile documentate ale persoanei responsabile. În cazul în care împuternicitul este obligat de legea Uniunii sau a statelor membre cărora împuternicitul face obiectul unei prelucrări ulterioare a datelor cu caracter personal, împuternicitul va informa operatorul cu privire la aceste cerințe legale înainte de prelucrare, dacă legea în cauză nu prevede furnizați o astfel de notificare pentru unul care interzice un interes public important; În acest din urmă caz, procesatorul va informa persoana responsabilă cu privire la prelucrarea ulterioară, de îndată ce aceasta este permisă din punct de vedere legal.

§ 2 detalii de prelucrare

(1) Detaliile prelucrarii sunt descrise in urmatoarele prevederi si in contractul principal. Ținând cont de obligațiile care îi revin în calitate de responsabil, persoana responsabilă va informa operatorul dacă este necesar să se completeze prevederile din contractul principal.

(2) Procesatorul va prelucra datele cu caracter personal așa cum este descris în detaliu în contractul principal.

(3) Procesatorul va prelucra, în general, datele cu caracter personal pe durata contractului principal și a prezentului CGU, cu excepția cazului în care s-a convenit altfel în scris.

§ 3 locul prelucrarii datelor; Transfer în țări terțe

(1) Procesatorul va prelucra datele cu caracter personal exclusiv la propria locație sau la sediul social al subprocesorilor săi autorizați. Conform acesteia, toate operațiunile de prelucrare se desfășoară în general în statele membre ale Uniunii Europene sau într-un alt stat care este parte la Tratatul privind Spațiul Economic European.

(2) Orice prelucrare a datelor cu caracter personal în afara UE/SEE este permisă numai cu acordul prealabil între părți și numai dacă sunt îndeplinite cerințele Art. 44 și următoarele GDPR.

§ 4 Instrucțiuni de la persoana responsabilă

(1) Părțile convin ca prezentele CGU să conțină instrucțiunile generale ale persoanei responsabile cu privire la prelucrarea datelor cu caracter personal în numele operatorului.

(2) Instrucțiunile speciale de la persoana responsabilă care abate de la prevederile prezentelor CGU sau impun obligații noi, suplimentare împuternicitului, necesită consimțământul împuternicitului pentru a fi efective. Pentru astfel de instrucțiuni speciale, părțile vor folosi procedura de modificare care ar fi putut fi convenită în contractul principal.

(3) Este responsabilitatea persoanei responsabile să se asigure că instrucțiunile emise de acesta cu privire la prelucrarea datelor cu caracter personal în numele contractului sunt în conformitate cu legile aplicabile privind protecția datelor și că operatorul poate prelucra datele cu caracter personal. în conformitate cu instrucțiunile, fără a încălca legile privind protecția datelor aplicabile procesatorului, în special pentru a încălca GDPR. În cazul în care persoana împuternicită este de părere că o instrucțiune din partea operatorului încalcă legile aplicabile privind protecția datelor, operatorul va notifica operatorul în consecință. În astfel de cazuri, operatorul are dreptul de a refuza executarea instrucțiunii până când operatorul confirmă instrucțiunea.

(4) Instrucțiunile speciale ale responsabilului sunt emise în scris sau cel puțin sub formă de text de către persoanele împuternicite în acest sens din partea responsabilului. Instrucțiunile orale trebuie confirmate imediat de una dintre persoanele autorizate și cel puțin sub formă de text pentru a fi eficiente.

§ 5 Asigurări ale procesatorului

(1) Angajații operatorului: (i) sunt, în măsura în care sunt autorizați să prelucreze datele cu caracter personal, obligați să păstreze confidențialitatea sau sunt supuși unei obligații legale de confidențialitate corespunzătoare; (ii) va prelucra datele cu caracter personal exclusiv în conformitate cu instrucțiunile operatorului, cu excepția cazului în care există o obligație de altă prelucrare în temeiul legilor aplicabile privind protecția datelor; și (iii) sunt informați la intervale regulate despre obligațiile care decurg din prezentul CGU și legile aplicabile privind protecția datelor, în special GDPR.

(2) Procesatorul nu poate face copii sau duplicate ale datelor cu caracter personal prelucrate în cadrul comenzii fără acordul prealabil al persoanei responsabile. Cu toate acestea, excepții de la aceasta sunt copiile în măsura în care sunt necesare pentru a asigura prelucrarea adecvată a datelor și furnizarea corespunzătoare a serviciilor (inclusiv copiile de rezervă ale datelor), precum și copiile care sunt necesare pentru a respecta cerințele legale de păstrare.

(3) Operatorul va numi un responsabil cu protecția datelor competent și de încredere dacă și atât timp cât există cerințele legale pentru numirea unui responsabil cu protecția datelor. Procesatorul va furniza operatorului de date informațiile de contact ale unui responsabil cu protecția datelor desemnat în acest fel.

§ 6 Măsuri tehnice și organizatorice

(1) Înainte de începerea procesării, procesatorul trebuie să implementeze măsurile tehnice și organizatorice specificate la www.fitness-nation.com/support/tom.html și să le mențină pe durata prezentelor CGU. Acestea sunt măsuri tehnice și organizatorice pentru a asigura un nivel de protecție adecvat riscului în ceea ce privește confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor. Stadiul tehnicii, costurile de implementare și tipul, domeniul de aplicare, circumstanțele și scopurile prelucrării, precum și probabilitatea diferită de apariție și gravitatea riscului pentru drepturile și libertățile persoanelor fizice în sensul Art. 32 alin. .1 GDPR trebuie luat în considerare.

(2) Deoarece măsurile tehnice și organizatorice sunt supuse progresului tehnic și dezvoltărilor tehnologice, procesatorului i se permite să implementeze măsuri alternative și adecvate dacă din aceasta rezultă standardul de securitate al măsurilor specificate la www.fitness-nation.com/support/ tom.html nu este coborât mai jos.

§ 7 Implicarea subprocesorilor

(1) Persoana împuternicită de operator poate implica subprocesatori în ceea ce privește prelucrarea datelor cu caracter personal în numele operatorului numai cu acordul prealabil al persoanei responsabile. Persoana responsabilă își dă apoi consimțământul pentru utilizarea sub-procesorilor numiți la www.fitness-nation.com/support/subunternehmer.html.

(2) Operatorul va impune fiecărui subprocesator obligații în ceea ce privește protecția datelor, confidențialitatea și securitatea datelor, care sunt cel puțin la fel de stricte precum obligațiile operatorului față de operator, astfel cum sunt prevăzute în prezentele CGU. Dacă un subprocesator nu respectă aceste obligații, operatorul este răspunzător pentru aceste încălcări ca și cum ar fi din vina sa.

(3) Persoana împuternicită de prelucrare va notifica operatorului în scris fiecare nouă atribuire a unui subprocesator. În cazul în care persoana responsabilă sesizează în termen de treizeci (30) de zile de la primirea unei astfel de sesizări, motivând un motiv de înțeles, că contrazice operațiunea, părțile vor căuta o soluție pe cale amiabilă. Dacă într-un astfel de caz nu se poate ajunge la o soluție pe cale amiabilă în termen de două (2) luni, persoana responsabilă are dreptul de a rezilia contractul principal cu privire la serviciile pentru care este necesară utilizarea subprocesorului propus.

(4) Părțile convin că furnizorii de simple servicii auxiliare nu sunt procesatori în sensul legilor privind protecția datelor; acestea includ în special serviciile poștale sau de curierat, precum și serviciile de transport de numerar, serviciile de telecomunicații, serviciile de securitate și serviciile de curățenie. Cu toate acestea, procesatorul va încheia acorduri de secretizare cu astfel de subcontractanți care sunt obișnuiți în industrie.

(5) Reglementările din prezentul § 7 se aplică și în cazul în care un subprocesor este implicat într-o țară terță din afara UE sau SEE. Cu condiția ca operatorul să-și fi dat consimțământul pentru utilizarea sub-procesorului, operatorul îl autorizează prin prezenta pe operator să încheie un contract cu un sub-procesator care prelucrează datele operatorului în afara UE sau SEE, în numele operatorului, inclusiv clauzele contractuale standard UE pentru a încheia clauze standard de protecție a datelor emise de Comisia UE sau de autoritatea de supraveghere competentă pentru transmiterea datelor cu caracter personal către procesatorii din țări terțe începând cu 05.02.2010 sau eventual ulterior.

§ 8 Obligațiile de a sprijini persoana responsabilă

(1) La cererea scrisă din partea operatorului, operatorul îl va sprijini pe operator într-o măsură adecvată în cazul unei investigații sau al unei solicitări din partea unei autorități de supraveghere a protecției datelor, în măsura în care această investigație sau cerere se referă la servicii. Procesatorul va sprijini operatorul într-o măsură rezonabilă în respectarea tuturor obligațiilor în legătură cu o astfel de investigație sau cerere. În cazul în care o autoritate de supraveghere a protecției datelor inițiază investigații direct cu persoana împuternicită împuternicitului sau îi îndreaptă o cerere corespunzătoare împuternicitului, acesta va informa de îndată persoana responsabilă, în măsura în care i se permite să facă acest lucru, și va coopera în contextul acestei investigații sau solicitări.

(2) Procesatorul va informa imediat persoana responsabilă dacă descoperă o încălcare a protecției datelor cu caracter personal în legătură cu prelucrarea datelor cu caracter personal în temeiul prezentelor CGU. În cazul în care, în urma unei astfel de notificări, operatorul de date este obligat să raporteze autorităților de supraveghere a protecției datelor și/sau persoanelor vizate (în special din art. 33, 34 GDPR), operatorul îl va sprijini pe operator în îndeplinirea acestor obligații de raportare. în măsura adecvată şi necesară. În cazul în care operatorul nu este vinovat pentru un incident raportabil privind protecția datelor, operatorul are dreptul de a percepe cheltuielile pentru serviciile de asistență în conformitate cu tarifele de remunerare convenite în contractul principal.

(3) Persoana împuternicită de operator va sprijini operatorul, ținând cont de tipul de prelucrare și de informațiile de care dispune persoana împuternicită, în orice evaluare a impactului asupra protecției datelor care urmează să fie efectuată de către operator cu privire la prelucrarea datelor cu caracter personal, inclusiv, în cazul în care: necesar, consultarea autorității competente de supraveghere a protecției datelor (art. 35, 36 GDPR). Procesatorul are dreptul să calculeze costul serviciilor de asistență în conformitate cu ratele de remunerare convenite în contractul principal.

(4) Procesatorul va informa imediat persoana responsabilă dacă o persoană vizată ar trebui să contacteze direct operatorul cu o plângere, cerere sau pentru a-și exercita drepturile. Procesatorul nu va răspunde el însuși solicitării decât dacă persoana responsabilă a dat în mod expres operatorului o instrucțiune corespunzătoare. Procesatorul va sprijini persoana responsabilă în a răspunde la astfel de plângeri, întrebări și solicitări din partea persoanelor vizate într-o măsură adecvată. Procesatorul are dreptul să calculeze costul serviciilor de asistență în conformitate cu ratele de remunerare convenite în contractul principal.

§ 9 Returnarea sau ștergerea Returnarea datelor cu caracter personal

(1) În urma instrucțiunilor persoanei responsabile pe durata prezentei CGU sau după încetarea acesteia sau după încetarea procesării datelor cu caracter personal în temeiul contractului individual relevant, împuternicitul fie va distruge, fie va șterge datele prelucrate în numele persoanei respective. responsabil sau returnați-l persoanei responsabile. Dacă legile aplicabile interzic împuternicitului să distrugă, să șteargă sau să returneze datele cu caracter personal prelucrate în numele împuternicitului, acesta nu va mai prelucra în mod activ aceste date, ci doar pentru a respecta prevederile legale,

(2) Procesatorul va crea un jurnal cu fiecare distrugere sau ștergere a datelor cu caracter personal care a fost efectuată, care va fi pus la dispoziția persoanei responsabile la cerere.

§ 10 drepturi de audit

(1) Persoana responsabilă are dreptul, în cadrul programului normal de lucru (de luni până vineri de la 9:00 la 17:00) pe propria cheltuială, fără a perturba procesul operațional și în strictă confidențialitate a prelucrării și a afacerii secretele împuternicitului, sediul de afaceri al împuternicitului, în care sunt prelucrate datele operatorului de date, pentru a vă convinge de respectarea acestor CGU. Persoana responsabilă va anunța, de obicei, o astfel de inspecție la fața locului în timp util (cu cel puțin două săptămâni înainte).

(2) De regulă, persoana responsabilă are dreptul la o inspecție la fața locului în sensul alineatului precedent pe an calendaristic. Dreptul persoanei responsabile de a efectua inspecții suplimentare la fața locului în cazul unor incidente speciale rămâne neafectat.

(3) În cazul în care persoana responsabilă dă instrucțiuni unui terț să efectueze inspecția, responsabilul trebuie să-l oblige și în scris pe terț, la fel cum responsabilul este obligat față de procesator în baza prezentelor CGU. În plus, persoana responsabilă trebuie să oblige terțul să păstreze confidențialitatea și secretul, cu excepția cazului în care terțul este supus unei obligații profesionale de confidențialitate. La solicitarea împuternicitului, persoana responsabilă trebuie să depună imediat împuternicitului contractul de angajament cu tertul. Persoana responsabilă nu poate încredința niciunui concurent al persoanei responsabile cu controlul.

(4) Dovada conformității cu aceste CGU poate fi furnizată în locul unei inspecții la fața locului prin respectarea regulilor de conduită aprobate în conformitate cu Art. 40 GDPR, certificare conform unei proceduri de certificare aprobate în conformitate cu Art. 42 GDPR și depunerea uneia adecvate, atestări curente, rapoarte sau extrase de raport de la organisme independente (de exemplu auditori, auditori, ofițeri cu protecția datelor, departamente de securitate IT, auditori de protecție a datelor sau auditori de calitate) sau o certificare adecvată prin audituri de securitate IT sau de protecție a datelor - de ex. conform ISO 27001 - („raport de audit”) dacă raportul de audit permite persoanei responsabile într-o manieră adecvată să se convingă de respectarea acestor CGU.

(5) În cazul în care și în măsura în care o inspecție la fața locului nu a devenit necesară din cauza abaterii din partea procesatorului, acesta are dreptul de a percepe costul inspecțiilor la fața locului în conformitate cu ratele de remunerare convenite în contractul principal.

§ 11 Alte prevederi

(1) Prezentele CGU sunt supuse aceleiași legi ca și contractul principal, iar pentru toate litigiile din și în legătură cu prezentele CGU sunt competente numai acele instanțe la care părțile au convenit în contractul principal.

(2) Modificările sau completările la aceste CGU sunt efective numai dacă au fost întocmite în scris.

(3) În cazul în care o prevedere a prezentelor CGU este declarată ineficientă sau inaplicabilă de către instanța competentă, celelalte prevederi rămân în vigoare fără restricții.

(4) Prezentele CGU intră în vigoare ca parte integrantă a contractului principal. Indiferent de sfârșitul perioadei contractuale a contractului principal, acesta se aplică până și expiră automat când toate datele cu caracter personal au fost șterse de către operator și/sau toți subprocesorii utilizați.