BLACK FRIDAY

Acuerdo de controlador conjunto

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
ALEMANIA

– en lo sucesivo denominado “Controlador A”–

y

la empresa nombrada en el contrato principal

– en lo sucesivo denominado “Controlador B” –

En lo sucesivo, el Controlador A y el Controlador B también se denominarán individualmente como una «Parte» o juntos como las «Partes».

§ 1 Objeto del Acuerdo

(1) Este Acuerdo de Controlador Conjunto (en adelante, «JCA») se celebra entre las Partes en relación con el procesamiento de datos personales a través del Acuerdo Marco concluido. Dado que las Partes han determinado conjuntamente los fines y medios de las operaciones de procesamiento descritas a continuación (en adelante, “Operaciones de procesamiento”), se consideran responsables conjuntos en el sentido del art. 26 del Reglamento General de Protección de Datos (en adelante “RGPD”).

(2) Para evitar dudas, cada Parte seguirá siendo la única y plenamente responsable como único controlador en el sentido del art. 4 no. 7 del RGPD, y ninguna de las Partes tendrá ningún deber u obligación hacia la otra Parte respectiva con respecto a todas y cada una de las operaciones de procesamiento que queden fuera del alcance del presente JCA.

(3) El presente JCA comprende los deberes y obligaciones de las Partes entre sí en lo que respecta a las Operaciones de procesamiento. En caso de conflicto entre las disposiciones del presente CCA y el Contrato Marco, prevalecerán las primeras, en la medida en que dicho conflicto afecte los deberes y obligaciones de las Partes en relación con las Operaciones de Tratamiento. Sin perjuicio de lo anterior, las Partes acuerdan que ninguna de las Partes tendrá derecho a remuneración alguna por el cumplimiento de sus funciones en virtud del presente ACC, sino que éstas se encuentran totalmente cubiertas por la remuneración pactada en el Contrato Marco.

(4) A menos que se estipule lo contrario en el presente JCA, los términos aquí utilizados tendrán el significado que se les atribuye en el art. 4 del RGPD.

§ 2 Principios y detalles de las operaciones de procesamiento

(1) Las Partes declaran y garantizan que todos y cada uno de los datos personales se recopilan y procesan de conformidad con las disposiciones de la presente JCA y las leyes de protección de datos aplicables, en particular, entre otros, los principios relacionados con el procesamiento de datos personales. establecido en el art. 5 párr. 1 del RGPD. Si cualquiera de las Partes considera que la otra Parte respectiva, en el curso de la ejecución del presente JCA, infringe las disposiciones de este JCA o las leyes de protección de datos aplicables, informará a esta otra Parte de inmediato.

(2) En el transcurso de las Operaciones de procesamiento, las Partes procesarán todos los datos personales en un formato estructurado, de uso común y legible por máquina.

(3) Ninguna de las Partes realizará copias o duplicados de los datos personales procesados ​​en virtud del presente JCA, a menos que sea necesario para las Operaciones de procesamiento (incluidas las copias de seguridad de datos) o para cumplir con las obligaciones legales de retención.

(4) Los detalles de las Operaciones de procesamiento se establecen en el Apéndice A. Estos detalles incluyen una descripción exhaustiva de la naturaleza, el propósito y el objeto de las Operaciones de procesamiento, las categorías de interesados ​​afectados por las Operaciones de procesamiento y los tipos de datos personales que se procesan. Además, las Partes especificarán en el Apéndice A cada paso de las Operaciones de Procesamiento, indicando (a) qué Parte es responsable de cuál de estos pasos, y (b) la base legal para dicha(s) Operación(es) de Procesamiento.

(5) Si así se requiere debido a un cambio en las Operaciones de Procesamiento mismas, y/o como resultado de una alteración o una enmienda al Contrato Marco, las Partes actualizarán respectivamente las disposiciones del Apéndice A. En consideración de las obligaciones de las Partes como controladores conjuntos, es responsabilidad de cualquiera de las Partes informar a la otra Parte respectiva si considera que las disposiciones del Apéndice A deben actualizarse. No obstante lo dicho anteriormente, cualquiera de las Partes verificará regularmente, pero no menos de una vez al año, si las disposiciones del Apéndice A todavía reflejan las Operaciones de procesamiento vigentes en ese momento.

(6) Las Partes asignan al Controlador A el poder de implementar decisiones sobre las Operaciones de procesamiento con respecto a todos los controladores conjuntos, lo que resulta en que el Controlador A sea el establecimiento principal en la Unión Europea para las Operaciones de procesamiento para las Partes. Por lo tanto, la autoridad supervisora ​​principal para las Operaciones de procesamiento es la autoridad supervisora ​​de NRW.

§ 3 Lugar del Tratamiento; Transferencia a Terceros Países y Reino Unido

(1) Las Partes procesarán los datos personales solo en sus propias instalaciones o en las de sus subcontratistas autorizados. Con carácter general, cualesquiera Operaciones de Tratamiento se realizarán, por tanto, en los estados miembros de la Unión Europea o en otro estado que sea parte del Acuerdo sobre el Espacio Económico Europeo.

(2) Cualquier procesamiento de datos personales fuera de la UE/EEE solo se permitirá previo acuerdo de las Partes, y solo si se cumplen las condiciones del Art. 44 y siguientes. del RGPD se cumplen.

(3) A los efectos del presente JCA, el Reino Unido de Gran Bretaña e Irlanda del Norte será tratado como un tercer país para mitigar los riesgos de “Brexit”. Por lo tanto, cualquier procesamiento de datos en el Reino Unido solo se permitirá si se toman las medidas de seguridad apropiadas en el sentido del art. 46 del RGPD se han acordado como respaldo.

§ 4 Derechos de los Interesados

(1) Las Partes proporcionarán a los interesados ​​la información de conformidad con el art. 13, 14 del RGPD de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. En este sentido, las Partes acuerdan que (a) el Aviso de Privacidad visible en “Privacidad” cumple con los requisitos antes mencionados del art. 12 párr. 1 del RGPD, (b) considerando el art. 13 párr. 4, 14 párr. 5 no. 1 del RGPD, no existe obligación de información adicional con respecto a las Operaciones de procesamiento, y (c) el Aviso de privacidad contiene la esencia del acuerdo en el sentido del art. 26 párr. 2 del RGPD que, por tanto, se pone a disposición de los interesados. § 2 apartado 5 se aplicará en consecuencia.

(2) Las Partes designan al Controlador A como punto de contacto para los interesados. No obstante, las Partes son conscientes de que, con independencia de lo anterior, el interesado podrá ejercer sus derechos frente y frente a cada una de las Partes. Por lo tanto, el Controlador B debe notificar al Controlador A sin demora indebida sobre cualquier queja, comunicación o solicitud que reciba directamente de un interesado y relacionada con sus datos personales, sin responder a esa solicitud. El Responsable B proporcionará al Responsable A la asistencia necesaria en relación con cualquier queja, comunicación o solicitud recibida de un interesado.

(3) El Controlador A proporcionará al interesado la confirmación de si los datos personales que le conciernen se están procesando o no como parte de las Operaciones de procesamiento. Cuando ese sea el caso, el controlador A proporcionará al interesado la información establecida en el art. 15 párr. 1 del RGPD, y una copia de los datos en proceso como parte de las Operaciones de procesamiento de acuerdo con el art. 15 párr. 3 del RGPD.

(4) El controlador A examinará con el debido cuidado cualquier solicitud de un sujeto de datos relativa a (a) la rectificación de sus datos personales supuestamente inexactos, (b) la eliminación de sus datos personales, (c) la restricción del procesamiento sus datos personales, o (d) el derecho a la portabilidad de los datos de dicho interesado. Tras el examen, el Controlador A determinará si la solicitud está bien fundada o no, y qué Parte está o si ambas Partes están obligadas a rectificar o borrar los datos personales, o a restringir su procesamiento, o a ejercer el derecho del interesado a los datos. portabilidad. El controlador A informará al controlador B respectivamente.

(5) Si una solicitud para el borrado de datos personales está bien fundada, o al término o vencimiento del Acuerdo Marco, las Partes borrarán los datos personales respectivos o todos. Si las leyes de protección de datos a las que está sujeta una Parte impiden que esta Parte borre la totalidad o parte de los datos personales, esta Parte tiene que garantizar que (a) se mantiene la confidencialidad de dichos datos personales, (b) no procesará activamente dichos datos datos personales, y (c) borrará dichos datos personales tan pronto como la obligación legal de no borrar los datos personales ya no esté en vigor. Cualquiera de las Partes elaborará un informe sobre cualquier supresión de datos personales, que se presentará a la otra Parte respectiva previa solicitud.

§ 5 Representaciones Mutuas de las Partes

(1) Las Partes han designado representantes autorizados y suplentes como puntos únicos de contacto para todas las comunicaciones con respecto a las Operaciones de procesamiento en su privacidad. Representante autorizado: Las Partes se comunicarán inmediatamente por escrito cualquier cambio en la persona del autorizado o su suplente o su impedimento permanente, designando un sustituto. Hasta que dicha notificación sea recibida por la otra Parte respectiva, las personas designadas seguirán teniendo derecho a recibir comunicaciones de la otra Parte respectiva y las comunicaciones dirigidas a ellas se considerarán debidamente realizadas.

(2) Cualquier comunicación entre las Partes se realizará en principio por escrito o al menos en forma de texto por las personas autorizadas para hacerlo de conformidad con el presente JCA. Las comunicaciones orales se confirmarán inmediatamente por escrito o en forma de texto sin demora indebida.

(3) Los empleados de cualquiera de las Partes: (a) que tienen acceso a datos personales se han comprometido a mantener la confidencialidad o están sujetos a una obligación legal apropiada de confidencialidad; (b) procesará los datos personales solo según las instrucciones de la Parte empleadora, a menos que las leyes de protección de datos exijan lo contrario; y (c) recibirá capacitación según sea necesario de vez en cuando, pero no menos de una vez al año, con respecto a las obligaciones de las Partes en virtud de este JCA, en virtud de las leyes de protección de datos y, en particular, en virtud del RGPD.

(4) Previa solicitud, las Partes se ayudarán mutuamente en caso de una investigación o solicitud de una autoridad de control, en la medida en que dicha investigación o solicitud se relacione con las Operaciones de procesamiento. Las Partes tomarán las medidas necesarias para cumplir con cualquier obligación en relación con dicha investigación o solicitud. Independientemente de cualquier solicitud de asistencia, las Partes se notificarán en cualquier caso sobre cualquier investigación o solicitud de una autoridad de control.

(5) Las Partes se informarán sin demora, pero en ningún caso más tarde de 24 horas, si descubren una violación de datos personales en relación con las Operaciones de procesamiento. Esta notificación debe contener la información establecida en el art. 33 párr. 3 del RGPD, o al menos, si la Parte informante no puede proporcionar dicha información dentro del plazo de 24 horas, una explicación de (a) los motivos de dicha incapacidad, (b) el período de tiempo adicional previsto le tomará a la Parte informante completar la información, y (c) el impacto de tal incapacidad en las medidas tomadas para mitigar los efectos adversos de tal violación de datos personales, si los hubiere. Si una Parte está obligada por ley a proporcionar información debido a un riesgo para los derechos y libertades de las personas físicas como resultado de tal violación de datos personales (en particular, pero no limitado a, las obligaciones de información de acuerdo con el Art. 33, 34 de la GDPR), la otra Parte respectiva debe ayudar a la Parte obligada en la medida de sus posibilidades en el cumplimiento de sus deberes de información. Si es posible, cualquier comunicación relativa a una violación de datos personales a la autoridad de control competente y/o a los interesados ​​deberá ser acordada entre las Partes antes de la presentación.

(6) Teniendo en cuenta la naturaleza de las Operaciones de Tratamiento y considerando lo dispuesto en el art. 35 del RGPD, las Partes acuerdan que no se requiere una evaluación de impacto de la protección de datos. Sin embargo, si los cambios futuros en las Operaciones de procesamiento revelan que es probable que las Operaciones de procesamiento generen un alto riesgo para los derechos y libertades de las personas físicas, las Partes cooperarán y se ayudarán mutuamente con una evaluación de impacto de protección de datos necesaria en ese momento, y/ o con cualquier consulta regulatoria que las Partes estén legalmente obligadas a realizar con respecto a dicha evaluación de impacto de protección de datos de conformidad con el art. 36 del RGPD.

§ 6 Medidas Técnicas y Organizativas

(1) Antes del inicio del procesamiento, las Partes deben implementar las medidas técnicas y organizativas enumeradas en las TOM y mantenerlas durante la vigencia del presente JCA. Se trata de (a) medidas para asegurar el cumplimiento de los derechos de los interesados ​​y (b) medidas de seguridad de los datos para garantizar un nivel de protección adecuado al riesgo en cuanto a la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. El estado de la técnica, los costos de implementación y el tipo, el alcance y los fines del procesamiento, así como la probabilidad y gravedad variables para los derechos y libertades de las personas físicas en el sentido del art. 32 párr. 1 del RGPD se han tenido en cuenta.

(2) Dado que las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo tecnológico, las Partes pueden implementar medidas alternativas y adecuadas, siempre que no se comprometa el nivel de seguridad de las medidas especificadas en las TOM.

(3) Sin embargo, una Parte está obligada a implementar medidas adicionales una vez que resulte que (a) las medidas establecidas en las TOM ya no son adecuadas en el sentido de la sección 1 anterior debido al progreso técnico y al desarrollo tecnológico, y/o ( b) una auditoría o una investigación por parte de una autoridad de control ha revelado que las medidas de las TOM son insuficientes.

(4) Cualquiera de las Partes documentará cualquier cambio mencionado anteriormente y proporcionará a la otra Parte respectiva una copia de las medidas técnicas y organizativas modificadas o actualizadas.

§ 7 Otros Controladores; Designación de Encargados

(1) Las Partes reconocen que ningún otro controlador podrá, al unirse al presente JCA, tener acceso a los datos personales procesados ​​hasta ahora como parte de las Operaciones de procesamiento. Además, las Partes acuerdan que, en caso de que deseen incluir otro controlador en futuras Operaciones de Procesamiento, esto requeriría (a) una enmienda tanto al Acuerdo Marco como al presente JCA, (b) una ejecución completa del procedimiento establecido en § 2 paraca. 5, y (c) la provisión de información actualizada a los interesados ​​de conformidad con el § 4 párr. 1.

(2) Al designar a un procesador, la Parte que lo designa debe imponer obligaciones de privacidad, confidencialidad y seguridad de datos a dicho procesador que (a) cumpla con los requisitos del art. 28, 29 del RGPD, y (b) sean al menos tan estrictos como los establecidos en el presente JCA. § 3 apartados 2 y 3 se aplicarán en consecuencia.

(3) Una Parte debe notificar por escrito a la otra Parte respectiva de su intención de nombrar a un nuevo procesador. Si, dentro de los treinta (30) días siguientes a la recepción de dicha notificación, la Parte notificada notifica por escrito a la Parte que la designó cualquier objeción razonable a la designación propuesta, las Partes negociarán de buena fe una solución alternativa mutuamente aceptable.

(4) Cuando un procesador no cumpla con sus obligaciones con respecto a las Operaciones de Procesamiento, la Parte que lo nombró seguirá siendo totalmente responsable ante la otra Parte respectiva por el cumplimiento de las obligaciones de ese procesador.

(5) Las Partes acuerdan que los proveedores de servicios auxiliares no son procesadores en el sentido de las leyes de protección de datos; esto incluye, en particular, los servicios de transporte de empresas postales o de mensajería, servicios de transporte de efectivo, servicios de telecomunicaciones, servicios de seguridad y servicios de limpieza. Sin embargo, las Partes celebrarán acuerdos de confidencialidad habituales con dichos proveedores de servicios.

§ 8 Derechos de auditoría

(1) Cualquiera de las Partes puede auditar el cumplimiento de la otra Parte respectiva con el presente JCA si así lo requiere para (a) cumplir adecuadamente con una obligación hacia una autoridad de control, o (b) convencerse de que la otra Parte respectiva ha alineado sus procesos para lo dispuesto en la presente JCA después de una violación de datos personales.

(2) Si y en la medida en que dicha auditoría requiera inspecciones en las instalaciones, generalmente se llevará a cabo durante el horario comercial normal y sin interrumpir injustificadamente las operaciones comerciales. La Parte que realice la auditoría informará a la otra Parte respectiva con suficiente antelación de todas las circunstancias relacionadas con la ejecución de la auditoría.

(3) Una Parte podrá encargar a un tercero que realice la auditoría. En tal caso, sin embargo, el tercero estará obligado por escrito a un estricto secreto y confidencialidad, a menos que el tercero esté sujeto a una obligación profesional de secreto.

§ 9 Responsabilidad

(1) Las Partes reconocen que ambas son responsables frente a los interesados ​​en lo que respecta a las Operaciones de procesamiento de conformidad con el art. 82 párr. 1–4 del RGPD.

(2) Cuando una Parte tenga, de conformidad con el art. 82 párr. 4, pagó una compensación total a un interesado por un daño sufrido, esa Parte tendrá derecho a reclamar a la otra Parte respectiva la parte de la compensación correspondiente a la parte de responsabilidad de esa otra Parte por el daño.

(3) La Sección 2 se aplicará en consecuencia en caso de que una autoridad de control haya impuesto una multa administrativa a una Parte, siempre y cuando el incumplimiento que dio lugar a la multa administrativa fuera, en su totalidad o en parte, atribuible a la respectiva otra Parte. El incumplimiento por parte de la Parte de la presente JCA o de las leyes de protección de datos aplicables. Sin embargo, una Parte solo podrá reclamar compensación por una multa administrativa si utilizó todos los esfuerzos razonables para evitar o reducir dicha multa en los procedimientos administrativos.

§ 10 Disposiciones Misceláneas

(1) El presente JCA se regirá por la misma ley que el Acuerdo Marco, y los tribunales competentes acordados entre las Partes en virtud del Acuerdo Marco tendrán la jurisdicción exclusiva sobre todos los conflictos que surjan de o en relación con el presente JCA, así como .

(2) Ninguna modificación o enmienda del presente JCA será efectiva a menos que se haga por escrito.

(3) Si el tribunal competente considera que alguna disposición de este JCA es inválida o inaplicable, todas las demás disposiciones permanecerán en pleno vigor y efecto.

(4) Este JCA entrará en vigencia a partir de la fecha en que las Partes hayan firmado el Acuerdo Marco. A pesar de la expiración del plazo del Acuerdo Marco, permanecerá en vigor hasta que las Partes y/o los procesadores correspondientes eliminen todos los datos personales, y vencerá automáticamente.