BLACK FRIDAY

Acuerdo de procesamiento de pedidos

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, ALEMANIA

– en adelante «procesador» –

y

la empresa nombrada en el contrato principal

– en lo sucesivo denominada “persona responsable” –

En lo sucesivo, el Procesador y el Controlador también se denominarán individualmente como la «Parte» o colectivamente como las «Partes».

§ 1 Objeto del contrato

(1) Este Acuerdo de procesamiento de datos («AVV») se celebra entre las partes con respecto al procesamiento de datos personales en virtud del contrato principal (en adelante, «Contrato principal»). La prestación de servicios en virtud del contrato principal («Servicios») requiere el procesamiento de datos. Si y en la medida en que estos datos consisten o contienen datos personales, el procesador actuará como procesador con respecto a estos datos, mientras que la persona responsable sigue siendo responsable de estos datos de acuerdo con el art. 28 del Reglamento General de Protección de Datos (en adelante «RGPD»).

(2) Los Servicios son proporcionados por el Procesador de tal manera que el Controlador proporciona sus propios datos, controla su transmisión al Procesador y, en el caso de los modelos de Software como Servicio, controla directamente el manejo de dichos datos cargados en el Servicios El Controlador acepta y entiende que el Procesador no supervisa los datos del Controlador o el manejo de estos datos por parte del Controlador, a menos que el Controlador solicite expresamente al Procesador que acceda a dichos datos a este respecto. Por lo tanto, es responsabilidad exclusiva y obligación del Controlador garantizar que los datos del Controlador se recopilen y transmitan de acuerdo con las leyes de protección de datos aplicables y,

(3) Como procesador, el procesador solo procesará datos personales de la persona responsable de acuerdo con las disposiciones de estos AVV y las instrucciones documentadas de la persona responsable. Si el Encargado está obligado por la legislación de la Unión o de los Estados miembros a la que el Encargado está sujeto a un procesamiento posterior de los Datos personales, el Encargado notificará al Controlador estos requisitos legales antes del procesamiento, a menos que la ley pertinente exija tal notificación debido a una importantes prohibiciones de interés público; En este último caso, el procesador informará al responsable sobre el procesamiento posterior tan pronto como sea legalmente permisible.

§ 2 Detalles del procesamiento

(1) Los detalles del procesamiento se describen en las disposiciones a continuación y en el contrato principal. Teniendo en cuenta sus obligaciones como responsable del tratamiento, el responsable del tratamiento informará al encargado si es necesaria una adición a las especificaciones realizadas en el contrato principal.

(2) El procesador procesará los datos personales como se detalla en el contrato principal.

(3) El procesador generalmente procesará datos personales durante el plazo del contrato principal y las presentes CGU, a menos que se acuerde lo contrario por escrito.

§ 3 Lugar de procesamiento de datos; Transmisión a terceros países

(1) El procesador solo procesará datos personales en su propia sede o en la sede de sus subprocesadores autorizados. De acuerdo con esto, todas las operaciones de procesamiento se llevan a cabo en principio en los estados miembros de la Unión Europea o en otro estado que sea parte del Tratado sobre el Espacio Económico Europeo.

(2) Cualquier procesamiento de datos personales fuera de la UE/EEE solo está permitido con un acuerdo previo entre las partes y solo si se cumplen los requisitos del art. 44 y ss. Se cumple el RGPD.

§ 4 Instrucciones del responsable

(1) Las partes acuerdan que estos AVV contienen las instrucciones generales del responsable con respecto al procesamiento de datos personales en nombre del procesador.

(2) Las instrucciones especiales del responsable que se aparten de las disposiciones de estos AVV o que impongan nuevas obligaciones adicionales al procesador requieren el consentimiento del procesador para ser efectivas. Para tales instrucciones especiales, las partes aplicarán el procedimiento de cambio que se haya pactado en el contrato principal.

(3) Es responsabilidad de la persona responsable asegurarse de que las instrucciones dadas por él con respecto al procesamiento de datos personales en el pedido estén de acuerdo con las leyes de protección de datos aplicables, y que el procesador del pedido pueda procesar datos personales. de acuerdo con las instrucciones sin violar las leyes de protección de datos aplicables al procesador de pedidos, en particular para violar el RGPD. Si el procesador considera que una instrucción de la persona responsable viola las leyes de protección de datos aplicables, el procesador informará a la persona responsable. En tales casos, el Procesador tiene derecho a negarse a llevar a cabo la instrucción hasta que el Controlador confirme la instrucción.

(4) Las instrucciones especiales de la persona responsable son dadas por escrito o al menos en forma de texto, por las personas responsables de esto por parte de la persona responsable. Las instrucciones orales deben ser confirmadas inmediatamente por una de las personas autorizadas y al menos en forma de texto para que sean efectivas.

§ 5 Garantías del procesador

(1) Los empleados del procesador: (i) en la medida en que estén autorizados para procesar los Datos personales, estén sujetos a un deber de confidencialidad o estén sujetos a un deber legal de confidencialidad apropiado; (ii) solo procesará Datos personales de acuerdo con las instrucciones del Procesador, a menos que las leyes de protección de datos aplicables exijan lo contrario; y (iii) sean instruidos periódicamente sobre las obligaciones derivadas de este AVV y las leyes de protección de datos aplicables, en particular el DS-GVO.

(2) El procesador no puede realizar copias o duplicados de los datos personales procesados ​​en el pedido en el marco del procesamiento del pedido sin el consentimiento previo de la persona responsable. Sin embargo, esto no se aplica a las copias que se requieren para garantizar el procesamiento adecuado de los datos y la prestación adecuada de los servicios (incluida la copia de seguridad de los datos), así como las copias que se requieren para cumplir con los requisitos legales de retención.

(3) El encargado del tratamiento nombrará a un delegado de protección de datos competente y fiable siempre y cuando existan los requisitos legales para el nombramiento de un delegado de protección de datos. El encargado del tratamiento comunicará al responsable los datos de contacto de un delegado de protección de datos así designado.

§ 6 Medidas técnicas y organizativas

(1) Antes de que comience el procesamiento, el procesador debe implementar las medidas técnicas y organizativas enumeradas en www.fitness-nation.com/support/tom.html y mantenerlas durante la vigencia de estas CGU. Son medidas técnicas y organizativas para asegurar un nivel de protección adecuado al riesgo en cuanto a la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. El estado de la técnica, los costos de implementación y el tipo, alcance, circunstancias y fines del procesamiento, así como la diferente probabilidad de ocurrencia y gravedad del riesgo para los derechos y libertades de las personas físicas en el sentido del art. 32 párr. 1 DS-GVO se tienen en cuenta.

(2) Debido a que las medidas técnicas y organizativas están sujetas al progreso técnico y los desarrollos tecnológicos, el procesador puede implementar medidas alternativas y apropiadas si esto excede el estándar de seguridad de las medidas especificadas en www.fitness-nation.com/support/tom .html no está socavado.

§ 7 Contratación de subprocesadores

(1) El procesador solo puede contratar subprocesadores con respecto al procesamiento de datos personales en nombre del responsable con el consentimiento previo del responsable. La persona responsable entonces da su consentimiento para el uso de los subprocesadores mencionados en www.fitness-nation.com/support/subunternehmer.html.

(2) El procesador impondrá a cada subprocesador obligaciones con respecto a la protección de datos, la confidencialidad y la seguridad de los datos que sean al menos tan estrictas como las obligaciones del procesador hacia el controlador establecidas en estas CGU. Si un subprocesador no cumple con estas obligaciones que se le imponen, el procesador será responsable de estas violaciones como si fuera su propia culpa.

(3) El procesador notificará al controlador por escrito sobre cualquier nueva asignación de un subprocesador. Si después de recibir tal notificación, el responsable manifiesta dentro de los treinta (30) días que se opone al uso, dando una razón razonable, las partes buscarán una solución amistosa. En tal caso, si no se puede llegar a una solución amistosa dentro de los dos (2) meses, el controlador tiene derecho a rescindir el contrato principal con respecto a aquellos servicios para los cuales es necesario el uso del subprocesador propuesto.

(4) Las partes acuerdan que los proveedores de meros servicios auxiliares no son procesadores en el sentido de las leyes de protección de datos; esto incluye, en particular, los servicios de transporte de los servicios postales o de mensajería, así como los servicios de transporte de dinero, los servicios de telecomunicaciones, los servicios de seguridad y los servicios de limpieza. Independientemente de esto, el procesador celebrará acuerdos de confidencialidad habituales en la industria con dichos subcontratistas.

(5) Las regulaciones de este § 7 también se aplican si un subprocesador se dedica a un tercer país fuera de la UE o el EEE. Sujeto al consentimiento del controlador para el uso del subprocesador, el controlador autoriza al procesador a celebrar un contrato en nombre del controlador con un subprocesador que procesa datos del controlador fuera de la UE o el EEE, incluidas las cláusulas contractuales estándar de la UE para la transmisión de datos personales a procesadores en terceros países de fecha 02/05/2010 o posiblemente posteriores por la Comisión de la UE o las cláusulas estándar de protección de datos de la autoridad supervisora ​​competente.

§ 8 Obligaciones de apoyo al responsable

(1) A solicitud por escrito del Controlador, el Procesador proporcionará apoyo razonable al Controlador en caso de una investigación o consulta por parte de una autoridad supervisora ​​de protección de datos, en la medida en que dicha investigación o consulta se relacione con los Servicios. El Procesador hará todos los esfuerzos razonables para ayudar al Controlador a cumplir con cualquier obligación relacionada con dicha investigación o solicitud. Si una autoridad de control de protección de datos inicia una investigación directamente con el procesador o envía una solicitud correspondiente directamente al procesador, el procesador informará al controlador de datos inmediatamente, en la medida en que esté permitido hacerlo, y cooperará en el contexto de esta investigación o solicitud.

(2) El Procesador informará al Controlador inmediatamente si descubre una violación de la protección de datos personales en relación con el procesamiento de datos personales bajo estas CGU. Si, como resultado de dicha notificación, el responsable tiene obligaciones de informar a las autoridades de control de protección de datos y/o a los interesados ​​(en particular de los artículos 33, 34 DS-GVO), el procesador apoyará al responsable en el cumplimiento de estos informes. obligaciones en la medida adecuada y necesaria. Siempre que el procesador no tenga la culpa de un incidente de protección de datos notificable, el procesador tiene derecho a cobrar por los servicios de soporte de acuerdo con las tarifas de remuneración acordadas en el contrato principal.

(3) El procesador apoyará al controlador, teniendo en cuenta el tipo de procesamiento y la información disponible para el procesador, en una evaluación de impacto de protección de datos que pueda tener que llevarse a cabo con respecto al procesamiento de datos personales, incluso, cuando necesario, consulta con la autoridad de control competente en materia de protección de datos (Art. 35 , 36 RGPD). El procesador tiene derecho a calcular los gastos de los servicios de soporte de acuerdo con las tarifas de remuneración acordadas en el contrato principal.

(4) El encargado del tratamiento informará inmediatamente al responsable si un interesado debe ponerse en contacto directamente con el encargado del tratamiento con una queja, consulta o para ejercer los derechos que le correspondan. El encargado del tratamiento no responderá a la solicitud en sí, a menos que el responsable del tratamiento haya dado instrucciones expresas al encargado para que lo haga. El Procesador proporcionará asistencia razonable al Controlador para responder a dichas quejas, consultas y solicitudes de los interesados. El procesador tiene derecho a calcular los gastos de los servicios de soporte de acuerdo con las tarifas de remuneración acordadas en el contrato principal.

§ 9 Devolución o eliminación Devolución de datos personales

(1) Una vez que el Controlador le indique que lo haga durante la vigencia de estas CGU o después de su terminación o después de que haya finalizado el procesamiento de datos personales en virtud del contrato individual correspondiente, el Procesador destruirá, borrará o devolverá los datos procesados ​​en nombre del Controlador. Si las leyes aplicables prohíben que el procesador destruya, elimine o devuelva los datos personales procesados ​​en el pedido, el procesador ya no procesará activamente estos datos, sino solo para cumplir con las disposiciones legales,

(2) El procesador creará un registro de cada destrucción o eliminación de datos personales, que se pondrá a disposición del responsable que lo solicite.

§ 10 Auditoría

(1) La persona responsable tiene derecho a utilizar los locales comerciales del procesador dentro del horario comercial normal (de lunes a viernes de 9:00 a. m. a 5:00 p. m.) a sus expensas, sin interrumpir el proceso operativo y con estricta confidencialidad de la empresa y secretos comerciales del encargado del tratamiento, en los que se traten datos del responsable, para garantizar el cumplimiento de las presentes AVV. La persona responsable generalmente anunciará dicha inspección in situ con suficiente antelación (al menos con dos semanas de antelación).

(2) Por regla general, la persona responsable tiene derecho a realizar una inspección in situ en el sentido del párrafo anterior por año natural. Esto no afecta el derecho de la persona responsable a realizar más inspecciones in situ en caso de eventos especiales.

(3) Si la persona responsable encarga a un tercero que realice la inspección, la persona responsable debe obligar a la tercera parte por escrito de la misma manera que la persona responsable está obligada al procesador sobre la base de estos AVV. Además, el responsable deberá obligar al tercero a guardar secreto y secreto, salvo que el tercero esté sujeto a una obligación profesional de confidencialidad. A petición del encargado, el responsable deberá presentar sin demora al encargado los acuerdos de compromiso con el tercero. El controlador no puede confiar el control a un competidor del controlador.

(4) En lugar de una inspección in situ, la prueba del cumplimiento de este AVV también puede proporcionarse mediante el cumplimiento de los códigos de conducta aprobados de conformidad con el art. 40 GDPR, certificación de acuerdo con un procedimiento de certificación aprobado de acuerdo con el art. 42 del RGPD y la presentación de uno adecuado, certificaciones actuales, informes o extractos de informes de organismos independientes (por ejemplo, auditores, auditores, delegados de protección de datos, departamento de seguridad de TI, auditores de protección de datos o auditores de calidad) o una certificación adecuada de seguridad de TI o auditoría de protección de datos – por ejemplo, según ISO 27001 – («informe de auditoría»), si el informe de auditoría permite a la persona responsable de manera razonable convencerse del cumplimiento de estos AVV.

(5) Si y en la medida en que no sea necesaria una inspección in situ debido a una mala conducta por parte del procesador, el procesador tiene derecho a cobrar por las inspecciones in situ de acuerdo con las tarifas de remuneración acordadas en el contrato principal. contrato.

§ 11 Otras Disposiciones

(1) El presente AVV está sujeto a la misma ley que el contrato principal, y para todas las disputas que surjan de y en relación con este AVV, los tribunales acordados por las partes en el contrato principal tendrán jurisdicción exclusiva.

(2) Los cambios o adiciones al presente AVV solo son efectivos si se han hecho por escrito.

(3) Si una disposición de estos AVV es declarada inválida o inaplicable por el tribunal competente, las disposiciones restantes seguirán siendo plenamente efectivas.

(4) Este AVV entra en vigor a partir de la conclusión del contrato principal como parte integrante del mismo. Independientemente del final del período de contrato del contrato principal, se aplica hasta y expira automáticamente cuando el procesador y/o todos los subprocesadores utilizados hayan eliminado todos los datos personales.