Accordo di elaborazione dell’ordine
Between
Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, GERMANIA
– di seguito “responsabile del trattamento” –
e
la società indicata nel contratto principale
– di seguito denominata “persona responsabile” –
Il Responsabile e il Titolare sono di seguito indicati anche singolarmente come la “Parte” o collettivamente come le “Parti”.
§ 1 Oggetto del contratto
(1) Il presente Accordo sul trattamento dei dati (“AVV”) è concluso tra le parti in relazione al trattamento dei dati personali ai sensi del contratto principale (di seguito “Contratto principale”). La prestazione dei servizi nell’ambito del contratto principale (“Servizi”) richiede il trattamento dei dati. Se e nella misura in cui tali dati sono costituiti o contengono dati personali, il responsabile del trattamento agirà in qualità di responsabile del trattamento di tali dati, mentre il responsabile rimane responsabile di tali dati ai sensi dell’art. 28 del Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”).
(2) I Servizi sono forniti dal Responsabile del trattamento in modo tale che il Titolare fornisca i propri dati, ne controlli la trasmissione al Responsabile e, nel caso di modelli Software as a Service, controlli direttamente il trattamento di tali dati caricati sul Servizi . Il Titolare accetta e comprende che il Responsabile non controlla i dati del Titolare o il trattamento di tali dati da parte del Titolare, a meno che il Titolare non richieda espressamente al Responsabile di accedere a tali dati a tale riguardo. Pertanto, è esclusiva responsabilità e obbligo del Titolare garantire che i dati del Titolare siano raccolti e trasmessi in conformità con le leggi sulla protezione dei dati applicabili e,
(3) In qualità di responsabile del trattamento, il responsabile del trattamento tratterà solo i dati personali del responsabile in conformità con le disposizioni del presente AVV e le istruzioni documentate del responsabile. Se il Responsabile del trattamento è obbligato dal diritto dell’Unione o dello Stato membro a cui il Responsabile è soggetto a un ulteriore trattamento dei Dati personali, il Responsabile del trattamento notificherà al Titolare tali requisiti legali prima del trattamento, a meno che la legge pertinente non richieda tale notifica a causa di un proibisce un importante interesse pubblico; In quest’ultimo caso, il responsabile del trattamento informerà il responsabile dell’ulteriore trattamento non appena ciò sia legalmente consentito.
§ 2 Dettagli del trattamento
(1) I dettagli del trattamento sono descritti nelle disposizioni seguenti e nel contratto principale. Tenendo presente i propri obblighi in qualità di titolare del trattamento, il titolare del trattamento informerà il responsabile del trattamento se è necessaria un’integrazione alle specifiche contenute nel contratto principale.
(2) Il responsabile del trattamento tratterà i dati personali come dettagliato nel contratto principale.
(3) Il responsabile del trattamento tratterà generalmente i dati personali per la durata del contratto principale e delle presenti CGU, salvo diverso accordo scritto.
§ 3 Luogo del trattamento dei dati; Trasmissione verso paesi terzi
(1) Il responsabile del trattamento tratterà i dati personali esclusivamente presso la propria sede o presso le sedi dei suoi sub-responsabili autorizzati. In base a ciò, tutte le operazioni di trattamento sono effettuate in linea di principio negli Stati membri dell’Unione Europea o in un altro Stato che è parte del Trattato sullo Spazio Economico Europeo.
(2) Qualsiasi trattamento di dati personali al di fuori dell’UE/SEE è consentito solo previo accordo tra le parti e solo se i requisiti di cui all’art. 44 e segg. GDPR sono soddisfatti.
§ 4 Istruzioni del responsabile
(1) Le parti convengono che le presenti AVV contengano le istruzioni generali del responsabile in relazione al trattamento dei dati personali per conto del responsabile del trattamento.
(2) Le istruzioni speciali del responsabile del trattamento che si discostano dalle disposizioni del presente AVV o che impongono nuovi obblighi aggiuntivi al responsabile del trattamento richiedono il consenso del responsabile del trattamento per essere efficaci. Per tali istruzioni speciali, le parti applicheranno la procedura di modifica eventualmente concordata nel contratto principale.
(3) È responsabilità del responsabile garantire che le istruzioni da lui impartite in merito al trattamento dei dati personali nell’ordine siano conformi alle leggi sulla protezione dei dati applicabili e che il responsabile dell’ordine sia in grado di trattare i dati personali in conformità con le istruzioni senza violare le leggi sulla protezione dei dati applicabili al responsabile del trattamento degli ordini, in particolare per violare il GDPR. Se il responsabile del trattamento ritiene che un’istruzione del responsabile violi le leggi applicabili sulla protezione dei dati, il responsabile informerà il responsabile. In tali casi, il Responsabile ha il diritto di rifiutarsi di eseguire l’istruzione fino a quando il Titolare non conferma l’istruzione.
(4) Istruzioni speciali da parte del responsabile sono impartite per iscritto o almeno in forma testuale, dalle persone responsabili da parte del responsabile. Le istruzioni orali devono essere confermate immediatamente da una delle persone autorizzate e almeno in forma testuale per essere efficaci.
§ 5 Garanzie del responsabile del trattamento
(1) I dipendenti del Responsabile del trattamento: (i) nella misura in cui sono autorizzati a trattare i Dati Personali, sono vincolati da un obbligo di riservatezza o sono soggetti a un appropriato obbligo legale di riservatezza; (ii) tratterà i Dati Personali solo in conformità con le istruzioni del Responsabile del trattamento, salvo quanto diversamente richiesto dalle leggi sulla protezione dei dati applicabili; e (iii) sono istruiti a intervalli regolari sugli obblighi derivanti dal presente AVV e dalle leggi sulla protezione dei dati applicabili, in particolare il DS-GVO.
(2) Il responsabile del trattamento non può eseguire copie o duplicati dei dati personali elaborati nell’ordine nell’ambito dell’elaborazione dell’ordine senza il previo consenso del responsabile. Tuttavia, ciò non si applica alle copie necessarie per garantire il corretto trattamento dei dati e la corretta fornitura dei servizi (incluso il backup dei dati), nonché alle copie necessarie per soddisfare i requisiti di conservazione di legge.
(3) Il responsabile del trattamento nominerà un responsabile della protezione dei dati competente e affidabile se e fintanto che sussistono i requisiti legali per la nomina di un responsabile della protezione dei dati. Il responsabile informerà il responsabile delle informazioni di contatto di un responsabile della protezione dei dati così nominato.
§ 6 Misure tecniche e organizzative
(1) Prima dell’inizio del trattamento, il responsabile del trattamento deve attuare le misure tecniche e organizzative elencate su www.fitness-nation.com/support/tom.html e mantenerle per tutta la durata delle presenti CGU. Si tratta di misure tecniche e organizzative atte a garantire un livello di protezione adeguato al rischio per quanto riguarda la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi. Per i diritti e le libertà delle persone fisiche ai sensi dell’art. 32 par. 1 DS-GVO sono presi in considerazione.
(2) Poiché le misure tecniche e organizzative sono soggette al progresso tecnico e agli sviluppi tecnologici, il responsabile del trattamento è autorizzato ad attuare misure alternative e appropriate se queste superano lo standard di sicurezza delle misure specificate su www.fitness-nation.com/support/tom .html non è sottosquadro.
§ 7 Impegno dei sub-responsabili
(1) Il responsabile del trattamento può assumere sub-responsabili per quanto riguarda il trattamento dei dati personali per conto del responsabile solo previo consenso del responsabile. Il responsabile presta quindi il proprio consenso all’utilizzo dei sub-responsabili del trattamento indicati in www.fitness-nation.com/support/subunternehmer.html.
(2) Il responsabile del trattamento imporrà a ciascun sub-responsabile obblighi in materia di protezione dei dati, riservatezza e sicurezza dei dati che sono almeno tanto severi quanto gli obblighi del responsabile del trattamento nei confronti del responsabile del trattamento stabiliti nelle presenti CGU. Se un sub-responsabile non rispetta gli obblighi che gli sono imposti, il responsabile del trattamento è responsabile di tali violazioni come se fosse colpa sua.
(3) Il responsabile del trattamento notificherà per iscritto al titolare del trattamento qualsiasi nuovo incarico di sub-responsabile del trattamento. Se, dopo aver ricevuto tale notifica, il responsabile dichiara entro trenta (30) giorni di opporsi all’uso, adducendo un ragionevole motivo, le parti cercheranno una soluzione amichevole. In tal caso, se non è possibile raggiungere una soluzione amichevole entro due (2) mesi, il titolare del trattamento ha il diritto di risolvere il contratto principale in relazione a quei servizi per i quali è necessario il ricorso al sub-responsabile proposto.
(4) Le parti convengono che i fornitori di meri servizi accessori non sono responsabili del trattamento ai sensi delle leggi sulla protezione dei dati; ciò include, in particolare, servizi di trasporto da servizi postali o di corriere, nonché servizi di trasporto di denaro, servizi di telecomunicazione, servizi di sicurezza e servizi di pulizia. Indipendentemente da ciò, il responsabile del trattamento stipulerà accordi di riservatezza consueti nel settore con tali subappaltatori.
(5) Le norme di cui al presente § 7 si applicano anche se un subincaricato è impegnato in un paese terzo al di fuori dell’UE o del SEE. Fatto salvo il consenso del titolare del trattamento all’utilizzo del sub-responsabile, il titolare del trattamento autorizza il responsabile del trattamento a concludere un contratto per conto del titolare del trattamento con un sub-responsabile che tratta i dati del titolare al di fuori dell’UE o del SEE, comprese le clausole contrattuali tipo UE per la trasmissione di dati personali a responsabili del trattamento in paesi terzi del 05.02.2010 o eventualmente successivamente dalla Commissione UE o dall’autorità di controllo competente clausole standard sulla protezione dei dati.
§ 8 Obblighi di supporto al responsabile
(1) Su richiesta scritta del Titolare, il Responsabile fornisce ragionevole supporto al Titolare in caso di indagine o richiesta da parte di un’autorità di controllo della protezione dei dati, nella misura in cui tale indagine o richiesta si riferisca ai Servizi. Il Responsabile farà ogni ragionevole sforzo per assistere il Titolare nell’adempimento di qualsiasi obbligo relativo a tale indagine o richiesta. Se un’autorità di controllo della protezione dei dati avvia un’indagine direttamente con il responsabile del trattamento o invia una richiesta corrispondente direttamente al responsabile del trattamento, il responsabile del trattamento informerà immediatamente il titolare del trattamento, nella misura in cui ciò sia consentito, e coopererà nel contesto di tale indagine o richiesta.
(2) Il Responsabile informerà immediatamente il Titolare se scopre una violazione della protezione dei dati personali in relazione al trattamento dei dati personali ai sensi delle presenti CGU. Se, a seguito di tale notifica, il responsabile ha obblighi di segnalazione alle autorità di controllo della protezione dei dati e/o agli interessati (in particolare dagli articoli 33, 34 DS-GVO), il responsabile del trattamento supporterà il responsabile nell’adempimento di tali segnalazioni obblighi in misura adeguata e necessaria. Nella misura in cui il responsabile del trattamento non è responsabile di un incidente di protezione dei dati da segnalare, il responsabile del trattamento ha il diritto di addebitare i servizi di supporto in base alle tariffe di remunerazione concordate nel contratto principale.
(3) Il responsabile del trattamento supporterà il responsabile del trattamento, tenendo conto del tipo di trattamento e delle informazioni a disposizione del responsabile del trattamento, in una valutazione d’impatto sulla protezione dei dati che potrebbe essere necessaria in relazione al trattamento dei dati personali, compreso, ove necessario, sentito il competente Garante per la protezione dei dati personali (art. 35, 36 GDPR). Il responsabile del trattamento ha il diritto di calcolare le spese per i servizi di supporto in base alle tariffe di remunerazione concordate nel contratto principale.
(4) Il responsabile del trattamento informerà immediatamente il responsabile se un interessato dovesse contattare direttamente il responsabile del trattamento con un reclamo, una richiesta o per esercitare i diritti a lui spettanti. Il responsabile del trattamento non risponderà alla richiesta stessa a meno che il titolare del trattamento non abbia espressamente incaricato il responsabile del trattamento di farlo. Il Responsabile fornirà ragionevole assistenza al Titolare nel rispondere a tali reclami, richieste e richieste degli interessati. Il responsabile del trattamento ha il diritto di calcolare le spese per i servizi di supporto in base alle tariffe di remunerazione concordate nel contratto principale.
§ 9 Restituzione o cancellazione Restituzione dei dati personali
(1) Dopo essere stato istruito in tal senso dal Titolare durante la durata delle presenti CGU o dopo la sua risoluzione o dopo la fine del trattamento dei dati personali ai sensi del relativo contratto individuale, il Responsabile distruggerà, cancellerà o restituirà i dati elaborati su per conto del Titolare. Se le leggi vigenti vietano al responsabile del trattamento di distruggere, cancellare o restituire i dati personali trattati nell’ordine, il responsabile del trattamento non tratterà più attivamente tali dati, ma solo per ottemperare alle disposizioni di legge,
(2) Il responsabile del trattamento creerà un registro di ogni distruzione o cancellazione di dati personali, che sarà messo a disposizione del responsabile su richiesta.
§ 10 Auditrechte
(1) Il responsabile ha il diritto di utilizzare i locali commerciali del responsabile del trattamento nell’ambito del normale orario lavorativo (dal lunedì al venerdì dalle 9:00 alle 17:00) a proprie spese, senza interrompere il processo operativo e con la massima riservatezza dell’azienda e dei segreti aziendali del responsabile del trattamento, nei quali vengono trattati i dati del responsabile, per garantire il rispetto delle presenti AVV. La persona responsabile annuncerà generalmente tale ispezione in loco in tempo utile (con almeno due settimane di anticipo).
(2) Di norma, la persona responsabile ha il diritto di effettuare un’ispezione in loco ai sensi del paragrafo precedente per anno solare. Ciò non pregiudica il diritto del responsabile di effettuare ulteriori sopralluoghi in loco in caso di eventi speciali.
(3) Se il responsabile incarica un terzo di effettuare l’ispezione, il responsabile deve obbligare il terzo per iscritto allo stesso modo in cui il responsabile è obbligato al responsabile del trattamento sulla base di queste AVV. Inoltre, il responsabile deve obbligare il terzo a mantenere il segreto e la segretezza, a meno che il terzo non sia soggetto a un obbligo professionale di riservatezza. Su richiesta del responsabile del trattamento, il responsabile deve sottoporre senza indugio al responsabile del trattamento gli accordi di impegno con il terzo. Il titolare del trattamento non può affidare il controllo a un concorrente del titolare del trattamento.
(4) Invece di un’ispezione in loco, la prova del rispetto di questo AVV può essere fornita anche dal rispetto di codici di condotta approvati ai sensi dell’art. 40 GDPR, certificazione secondo una procedura di certificazione approvata ai sensi dell’art. 42 GDPR e la presentazione di adeguate, attuali attestazioni, relazioni o estratti di segnalazioni di organismi indipendenti (es. auditor, revisori dei conti, responsabili della protezione dei dati, dipartimento per la sicurezza informatica, revisori della protezione dei dati o revisori della qualità) o una idonea certificazione da parte della sicurezza informatica o audit sulla protezione dei dati – ad es. secondo ISO 27001 – (“rapporto di audit”), se il rapporto di audit consente al responsabile in modo ragionevole di convincersi del rispetto di queste AVV.
(5) Se e nella misura in cui un’ispezione in loco non si è resa necessaria a causa di cattiva condotta da parte dell’incaricato del trattamento, l’incaricato del trattamento ha il diritto di addebitare le ispezioni in loco secondo le tariffe di remunerazione concordate in via principale contrarre.
§ 11 Altre disposizioni
(1) Il presente AVV è soggetto alla stessa legge del contratto principale e per tutte le controversie derivanti da e in connessione con il presente AVV i tribunali concordati dalle parti nel contratto principale avranno giurisdizione esclusiva.
(2) Modifiche o integrazioni al presente AVV sono efficaci solo se apportate per iscritto.
(3) Se una disposizione di questi AVV è dichiarata non valida o inapplicabile dal tribunale competente, le restanti disposizioni rimarranno pienamente efficaci.
(4) Il presente AVV entra in vigore al momento della conclusione del contratto principale come sua parte integrante. Indipendentemente dalla fine del periodo contrattuale del contratto principale, esso si applica fino e alla scadenza automatica quando tutti i dati personali sono stati cancellati dal responsabile del trattamento e/o da tutti i sub-responsabili utilizzati.