BLACK FRIDAY

Accord de contrôleur conjoint

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
ALLEMAGNE

– ci-après dénommé « Contrôleur A » –

et

l’entreprise désignée dans le contrat principal

– ci-après dénommé « Contrôleur B » –

Le Contrôleur A et le Contrôleur B peuvent également être ci-après dénommés individuellement une « Partie » ou ensemble les « Parties ».

§ 1 Objet du contrat

(1) Le présent accord de contrôleur conjoint (ci-après « JCA ») est conclu entre les parties concernant le traitement des données à caractère personnel par le biais de l’accord-cadre conclu. Les Parties ayant déterminé conjointement les finalités et les moyens des traitements décrits ci-après (ci-après « Traitements »), elles se considèrent comme co-responsables au sens de l’Art. 26 du Règlement général sur la protection des données (ci-après « RGPD »).

(2) Pour éviter tout doute, chaque Partie reste seule responsable et entièrement responsable en tant que responsable unique au sens de l’art. 4 non. 7 du RGPD, et aucune des Parties n’aura de devoirs ou d’obligations envers l’autre Partie concernant toutes les opérations de traitement qui ne relèvent pas du champ d’application des présentes JCA.

(3) Le présent JCA comprend les devoirs et obligations des Parties l’une envers l’autre en ce qui concerne les Opérations de Traitement. En cas de conflit entre les dispositions du présent JCA et du Contrat Cadre, les premières prévaudront, si et dans la mesure où ce conflit affecte les devoirs et obligations des Parties concernant les Opérations de Traitement. Nonobstant ce qui précède, les Parties conviennent qu’aucune des Parties n’aura droit à une quelconque rémunération pour l’accomplissement de ses obligations en vertu du présent JCA, mais que celles-ci sont entièrement couvertes par la rémunération convenue en vertu du Contrat Cadre.

(4) Sauf stipulation contraire dans les présentes CCA, les termes utilisés dans les présentes auront le sens qui leur est attribué à l’Art. 4 du RGPD.

§ 2 Principes et détails des opérations de traitement

(1) Les parties déclarent et garantissent que toutes les données personnelles sont collectées et traitées ultérieurement conformément aux dispositions du présent JCA et aux lois applicables en matière de protection des données, en particulier, mais sans s’y limiter, aux principes relatifs au traitement des données personnelles. prévue à l’art. 5 al. 1 du RGPD. Si l’une des parties est d’avis que l’autre partie respective, dans le cadre de l’exécution du présent JCA, enfreint les dispositions du présent JCA ou les lois applicables en matière de protection des données, elle en informera immédiatement cette autre partie.

(2) Dans le cadre des opérations de traitement, les parties traiteront toutes les données personnelles dans un format structuré, couramment utilisé et lisible par machine.

(3) Aucune des Parties ne fera de copies ou de duplicata des données personnelles traitées dans le cadre des présentes JCA, sauf si cela est nécessaire pour les Opérations de Traitement (y compris les sauvegardes de données), ou pour se conformer aux obligations légales de conservation.

(4) Les détails des Opérations de Traitement sont présentés à l’ Annexe A . Ces détails comprennent une description exhaustive de la nature, de la finalité et de l’objet des opérations de traitement, des catégories de personnes concernées par les opérations de traitement et des types de données personnelles qui sont traitées. En outre, les Parties préciseront en Annexe A chaque étape des Opérations de Traitement, en indiquant (a) quelle Partie est responsable de laquelle de ces étapes, et (b) la base juridique de cette ou ces Opérations de Traitement.

(5) Si cela est requis en raison d’une modification des Opérations de Traitement elles-mêmes, et/ou à la suite d’une modification ou d’un avenant au Contrat Cadre, les Parties mettront respectivement à jour les dispositions de l’ Annexe A . Compte tenu des obligations des Parties en tant que responsables conjoints du traitement, il incombe à l’une ou l’autre des Parties d’informer l’autre Partie concernée si elle estime que les dispositions de l’ Annexe A doivent être mises à jour. Nonobstant ce qui précède, chaque Partie vérifiera régulièrement, mais pas moins d’une fois par an, si les dispositions de l’ Annexe A reflètent toujours les Opérations de traitement alors en cours.

(6) Par la présente, les parties attribuent au responsable du traitement A le pouvoir de mettre en œuvre les décisions concernant les opérations de traitement à l’égard de tous les responsables conjoints du traitement, ce qui fait que le responsable du traitement A est le principal établissement dans l’Union européenne pour les opérations de traitement pour les parties. Par conséquent, l’autorité de contrôle principale pour les opérations de traitement est l’autorité de contrôle de NRW.

§ 3 Lieu du traitement ; Transfert vers des pays tiers et le Royaume-Uni

(1) Les Parties traiteront les données personnelles uniquement dans leurs propres locaux ou dans ceux de leurs sous-traitants autorisés. De manière générale, toute Opération de Traitement sera donc effectuée dans les États membres de l’Union européenne ou dans un autre État partie à l’Accord sur l’Espace économique européen.

(2) Tout traitement de données à caractère personnel en dehors de l’UE/EEE n’est autorisé qu’avec l’accord préalable des Parties, et uniquement si les conditions des art. 44 et suivants. du RGPD sont respectées.

(3) Aux fins de la présente JCA, le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord sera traité comme s’il s’agissait d’un pays tiers afin d’atténuer les risques de « Brexit ». Ainsi, tout traitement de données au Royaume-Uni n’est autorisé que si des garanties appropriées au sens de l’art. 46 du GDPR ont été convenus comme sauvegarde.

§ 4 Droits des personnes concernées

(1) Les parties fourniront aux personnes concernées les informations conformément à l’art. 13, 14 du GDPR sous une forme concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple. À cet égard, les Parties conviennent que (a) la Déclaration de confidentialité visible sous « Confidentialité » répond aux exigences susmentionnées de l’art. 12 al. 1 du RGPD, (b) compte tenu de l’art. 13 par. 4, 14 par. 5 non. 1 du RGPD, il n’y a pas d’autre obligation d’information concernant les opérations de traitement, et (c) l’avis de confidentialité contient l’essentiel de l’accord au sens de l’art. 26 par. 2 du RGPD qui est ainsi mis à la disposition des personnes concernées. Le § 2 alinéa 5 s’applique en conséquence.

(2) Les parties désignent le responsable du traitement A comme point de contact pour les personnes concernées. Toutefois, les Parties sont conscientes du fait que, indépendamment des présentes, la personne concernée peut exercer ses droits à l’égard et à l’encontre de chacune des Parties. Par conséquent, le contrôleur B doit informer le contrôleur A sans retard injustifié de toute plainte, communication ou demande reçue directement d’une personne concernée et concernant ses données personnelles, sans répondre à cette demande. Le contrôleur B fournira au contrôleur A l’assistance requise en ce qui concerne toute plainte, communication ou demande reçue d’une personne concernée.

(3) Le responsable du traitement A fournira à la personne concernée la confirmation que des données à caractère personnel la concernant sont ou non traitées dans le cadre des opérations de traitement. Si tel est le cas, le responsable du traitement A fournit à la personne concernée les informations visées à l’art. 15 al. 1 du RGPD, ainsi qu’une copie des données en cours de traitement dans le cadre des Traitements conformément à l’art. 15 al. 3 du RGPD.

(4) Le responsable du traitement A examine avec la diligence requise toute demande d’une personne concernée concernant (a) la rectification de ses données personnelles prétendument inexactes, (b) l’effacement de ses données personnelles, (c) la limitation du traitement ses données personnelles, ou (d) le droit à la portabilité des données de cette personne concernée. Après examen, le responsable du traitement A détermine si la demande est fondée ou non, et quelle partie est ou si les deux parties sont tenues de rectifier ou d’effacer les données personnelles, ou de restreindre leur traitement, ou d’exécuter le droit de la personne concernée à l’accès aux données portabilité. Le contrôleur A doit informer le contrôleur B respectivement.

(5) Si une demande d’effacement de données personnelles est fondée, ou à la résiliation ou à l’expiration du contrat-cadre, les parties effacent les données personnelles respectives ou toutes. Si les lois sur la protection des données auxquelles une Partie est soumise empêchent cette Partie d’effacer tout ou partie des données personnelles, cette Partie doit garantir que (a) la confidentialité de ces données personnelles est maintenue, (b) elle ne traitera pas activement ces données plus de données personnelles, et (c) il effacera ces données personnelles dès que l’obligation légale de ne pas effacer les données personnelles ne sera plus en vigueur. Chaque partie établira un rapport sur tout effacement de données personnelles, qui sera soumis à l’autre partie concernée sur demande.

§ 5 Représentations mutuelles des parties

(1) Les Parties ont nommé des représentants autorisés et des suppléants comme points de contact uniques pour toutes les communications concernant les Opérations de traitement dans leur vie privée. Mandataire : Les Parties se notifieront immédiatement par écrit tout changement dans la personne du mandataire ou de son suppléant ou de leur empêchement permanent, en désignant un remplaçant. Jusqu’à ce que cette notification soit reçue par l’autre partie concernée, les personnes désignées continueront d’avoir le droit de recevoir des communications de l’autre partie concernée et les communications qui leur sont adressées seront réputées avoir été correctement faites.

(2) Toute communication entre les Parties sera en principe faite par écrit ou au moins sous forme de texte par les personnes autorisées à le faire conformément au présent JCA. Les communications orales doivent être confirmées immédiatement par écrit ou sous forme de texte sans retard injustifié.

(3) Les employés de l’une ou l’autre des Parties : (a) qui ont accès aux données personnelles se sont engagés à respecter la confidentialité ou sont soumis à une obligation légale appropriée de confidentialité ; (b) traitera les données à caractère personnel uniquement selon les instructions de la Partie employeur, sauf si les lois sur la protection des données l’exigent autrement ; et (c) recevront une formation si nécessaire de temps à autre, mais pas moins d’une fois par an, en ce qui concerne les obligations des Parties en vertu de la présente JCA, en vertu des lois sur la protection des données et, en particulier, en vertu du RGPD.

(4) Sur demande, les Parties s’entraident en cas d’enquête ou de demande d’une autorité de contrôle, si et dans la mesure où cette enquête ou demande concerne les Opérations de Traitement. Les Parties prendront les mesures nécessaires pour se conformer à toute obligation liée à une telle enquête ou demande. Indépendamment de toute demande d’assistance, les Parties s’informeront en tout état de cause d’une telle enquête ou demande d’une autorité de contrôle.

(5) Les Parties s’informeront sans délai, mais au plus tard dans les 24 heures si elles découvrent une violation de données à caractère personnel en relation avec les Opérations de Traitement. Cette notification doit contenir les informations prévues à l’art. 33 par. 3 du RGPD, ou au moins, si la Partie déclarante n’est pas en mesure de fournir ces informations dans le délai de 24 heures, une explication quant à (a) les motifs de cette incapacité, (b) le délai supplémentaire envisagé il faudra à la Partie déclarante pour compléter les informations, et (c) l’impact d’une telle incapacité sur les mesures prises pour atténuer les effets néfastes d’une telle violation de données personnelles, le cas échéant. Si une Partie est tenue par la loi de fournir des informations en raison d’un risque pour les droits et libertés des personnes physiques à la suite d’une telle violation de données à caractère personnel (en particulier, mais sans s’y limiter, les obligations d’information conformément aux art. 33, 34 du RGPD), l’autre partie concernée doit assister au mieux la partie obligée dans l’accomplissement de ses obligations d’information. Si possible, toute communication concernant une violation de données à caractère personnel à l’autorité de contrôle compétente et/ou aux personnes concernées doit être convenue entre les parties avant sa soumission.

(6) Compte tenu de la nature des opérations de traitement et compte tenu des dispositions de l’art. 35 du RGPD, les parties conviennent qu’une analyse d’impact sur la protection des données n’est pas requise. Toutefois, si des modifications futures des opérations de traitement révèlent que les opérations de traitement deviennent susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques, les parties coopéreront et s’entraideront avec une évaluation d’impact sur la protection des données alors nécessaire, et/ ou avec toute consultation réglementaire que les parties sont légalement tenues de faire en ce qui concerne cette analyse d’impact sur la protection des données conformément à l’art. 36 du RGPD.

§ 6 Mesures techniques et organisationnelles

(1) Avant le début du traitement, les Parties doivent mettre en œuvre les mesures techniques et organisationnelles énumérées dans les TOM et les maintenir pendant la durée du présent JCA. Il s’agit (a) de mesures visant à assurer le respect des droits des personnes concernées et (b) de mesures de sécurité des données pour assurer un niveau de protection adapté au risque concernant la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes. L’état de la technique, les coûts de mise en œuvre et le type, l’étendue et les finalités du traitement ainsi que la probabilité et la gravité variables pour les droits et libertés des personnes physiques au sens de l’art. 32 par. 1 du RGPD ont été pris en compte.

(2) Étant donné que les mesures techniques et organisationnelles sont soumises au progrès technique et au développement technologique, les parties sont autorisées à mettre en œuvre des mesures alternatives et adéquates, à condition que le niveau de sécurité des mesures spécifiées dans les TOM ne soit pas compromis.

(3) Toutefois, une Partie est tenue de mettre en œuvre des mesures supplémentaires lorsqu’il s’avère que (a) les mesures prévues dans les TOM ne sont plus adéquates au sens de la section 1 ci-dessus en raison du progrès technique et du développement technologique, et/ou ( b) un audit ou une enquête d’une autorité de contrôle a révélé que les mesures des TOM étaient insuffisantes.

(4) Chacune des Parties documentera toute modification visée ci-dessus et fournira à l’autre Partie concernée une copie des mesures techniques et organisationnelles modifiées ou mises à jour.

§ 7 Autres contrôleurs ; Nomination des sous-traitants

(1) Les parties reconnaissent qu’aucun autre responsable du traitement ne peut, en adhérant à la présente JCA, se voir accorder l’accès aux données à caractère personnel traitées jusqu’à présent dans le cadre des opérations de traitement. Les Parties conviennent en outre que, si elles souhaitaient inclure un autre responsable du traitement dans les futures Opérations de Traitement, cela nécessiterait (a) un avenant à la fois au Contrat Cadre et à la présente JCA, (b) une exécution complète de la procédure prévue au § 2 para. 5, et (c) la fourniture d’informations actualisées aux personnes concernées conformément au § 4 al. 1.

(2) Lors de la désignation d’un sous-traitant, la Partie qui le désigne doit imposer des obligations de respect de la vie privée, de confidentialité et de sécurité des données à tout sous-traitant qui (a) satisfait aux exigences de l’art. 28, 29 du RGPD, et (b) sont au moins aussi strictes que celles énoncées dans la présente JCA. § 3 alinéas 2 et 3 s’appliquent en conséquence.

(3) Une Partie doit notifier par écrit à l’autre Partie son intention de nommer un nouveau sous-traitant. Si, dans les trente (30) jours suivant la réception de cet avis, la Partie notifiée notifie par écrit à la Partie qui a procédé à la nomination toute objection raisonnable à la nomination proposée, les Parties négocient de bonne foi une solution alternative mutuellement acceptable.

(4) Lorsqu’un sous-traitant ne remplit pas ses obligations en ce qui concerne les opérations de traitement, la partie nommante reste entièrement responsable envers l’autre partie concernée de l’exécution des obligations de ce sous-traitant.

(5) Les parties conviennent que les prestataires de services auxiliaires ne sont pas des sous-traitants au sens des lois sur la protection des données ; cela comprend notamment les services de transport des entreprises postales ou de messagerie, les services de transport de fonds, les services de télécommunication, les services de sécurité et les services de nettoyage. Toutefois, les Parties concluront des accords de confidentialité usuels avec ces prestataires de services.

§ 8 Droits de révision

(1) L’une ou l’autre des parties peut auditer la conformité de l’autre partie respective avec le présent JCA si cela est nécessaire pour (a) remplir correctement une obligation envers une autorité de contrôle, ou (b) se convaincre que l’autre partie respective a aligné ses processus sur les dispositions des présentes JCA après une violation de données personnelles.

(2) Si et dans la mesure où cet audit nécessite des inspections sur site, il doit généralement être effectué pendant les heures normales de bureau et sans perturber de manière déraisonnable les opérations commerciales. La Partie effectuant l’audit informera l’autre Partie concernée en temps utile à l’avance de toutes les circonstances relatives à l’exécution de l’audit.

(3) Une Partie peut charger un tiers d’effectuer l’audit. Dans ce cas, toutefois, le tiers est tenu par écrit au secret et à la confidentialité les plus stricts, à moins que le tiers ne soit soumis à une obligation professionnelle de secret.

§ 9 Responsabilité

(1) Les Parties reconnaissent qu’elles sont toutes deux responsables envers les personnes concernées en ce qui concerne les Opérations de Traitement conformément à l’Art. 82 par. 1–4 du RGPD.

(2) Lorsqu’une Partie a, conformément à l’art. 82 par. 4, a versé une indemnisation complète à une personne concernée pour un dommage subi, cette partie est en droit de réclamer à l’autre partie concernée la partie de l’indemnisation correspondant à la part de responsabilité de cette autre partie dans le dommage.

(3) La section 2 s’applique en conséquence dans le cas où une autorité de contrôle a infligé une amende administrative à une Partie, si et dans la mesure où l’infraction qui a donné lieu à l’amende administrative était, en tout ou en partie, imputable à l’autre Le non-respect par la Partie du présent JCA ou des lois applicables en matière de protection des données. Toutefois, une Partie ne peut demander une indemnisation pour une amende administrative que si elle a déployé tous les efforts raisonnables pour éviter ou réduire cette amende dans les procédures administratives.

§ 10 Dispositions diverses

(1) Le présent JCA sera régi par la même loi que le Contrat-Cadre, et les tribunaux compétents convenus entre les Parties en vertu du Contrat-Cadre seront seuls compétents pour tous les conflits découlant du ou en relation avec le présent JCA ainsi que .

(2) Aucune modification ou amendement du présent JCA ne sera effectif à moins d’être écrit.

(3) Si une disposition du présent JCA est jugée invalide ou inapplicable par le tribunal compétent, toutes les autres dispositions resteront en vigueur et de plein effet.

(4) Le présent JCA entrera en vigueur à compter de la date à laquelle les parties auront signé le contrat-cadre. Nonobstant l’expiration de la durée du contrat-cadre, celui-ci restera en vigueur jusqu’à la suppression de toutes les données personnelles par les parties et/ou tout sous-traitant applicable, et expirera automatiquement.