Accordo di controllo congiunto

Between

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
GERMANIA

– di seguito denominato “Titolare A”–

e

la società indicata nel contratto principale

– di seguito denominato “Titolare B” –

Il Titolare A e il Titolare B possono essere di seguito indicati anche singolarmente come una “Parte” o congiuntamente come le “Parti”.

§ 1 Oggetto dell’accordo

(1) Il presente Accordo di Contitolare del trattamento (di seguito “JCA”) è stipulato tra le Parti in merito al trattamento dei dati personali attraverso l’Accordo Quadro concluso. Le Parti, avendo determinato congiuntamente le finalità e le modalità dei trattamenti di seguito descritti (di seguito “Operazioni di Trattamento”), si considerano contitolari del trattamento ai sensi dell’art. 26 del Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”).

(2) A scanso di equivoci, ciascuna Parte rimane l’unica responsabile e pienamente responsabile come unico responsabile del trattamento ai sensi dell’art. 4 n. 7 del GDPR, e nessuna delle Parti avrà alcun obbligo o obbligo nei confronti della rispettiva altra Parte in relazione a tutte le operazioni di trattamento che esulano dall’ambito del presente JCA.

(3) La presente JCA comprende i doveri e gli obblighi reciproci delle parti per quanto riguarda le operazioni di trattamento. In caso di conflitto tra le disposizioni del presente JCA e del Master Agreement, prevale il primo, se e nella misura in cui tale conflitto pregiudica gli obblighi e gli obblighi delle Parti in relazione alle Operazioni di Trattamento. Nonostante quanto sopra, le Parti convengono che nessuna delle Parti avrà diritto ad alcun compenso per l’adempimento dei propri doveri ai sensi del presente JCA, ma che questi sono interamente coperti dal compenso concordato ai sensi del Master Agreement.

(4) Salvo diversa disposizione del presente JCA, i termini qui utilizzati avranno il significato loro attribuito nell’art. 4 del GDPR.

§ 2 Principi e dettagli delle operazioni di trattamento

(1) Le Parti dichiarano e garantiscono che tutti i dati personali sono raccolti e ulteriormente trattati in conformità con le disposizioni della presente JCA e le leggi sulla protezione dei dati applicabili, in particolare, ma non solo, i principi relativi al trattamento dei dati personali di cui all’art. 5 par. 1 del GDPR. Se una delle Parti ritiene che la rispettiva altra Parte, nel corso dell’esecuzione della presente JCA, violi le disposizioni della presente JCA o delle leggi sulla protezione dei dati applicabili, ne informerà immediatamente l’altra Parte.

(2) Nel corso delle Operazioni di Trattamento, le Parti tratteranno tutti i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

(3) Nessuna delle Parti eseguirà copie o duplicati dei dati personali trattati ai sensi del presente JCA, a meno che ciò non sia necessario per le Operazioni di trattamento (inclusi i backup dei dati) o per adempiere agli obblighi di conservazione previsti dalla legge.

(4) I dettagli delle Operazioni di Trattamento sono riportati nell’Appendice A. Tali dettagli includono una descrizione esauriente della natura, delle finalità e dell’oggetto delle Operazioni di trattamento, delle categorie di interessati interessati dalle Operazioni di trattamento e dei tipi di dati personali oggetto di trattamento. Inoltre, le Parti specificheranno nell’Appendice A ciascuna fase delle Operazioni di trattamento, indicando (a) quale Parte è responsabile di quale di queste fasi e (b) la base giuridica di tali Operazioni di trattamento.

(5) Se così richiesto a causa di una modifica delle Operazioni di Trattamento stesse e/o a seguito di un’alterazione o modifica del Master Agreement, le Parti aggiorneranno rispettivamente le disposizioni dell’Appendice A. In considerazione degli obblighi delle Parti in qualità di contitolari del trattamento, è responsabilità di ciascuna delle Parti informare la rispettiva altra Parte se ritiene che le disposizioni dell’Appendice A debbano essere aggiornate. Nonostante quanto sopra, ciascuna delle Parti verificherà regolarmente, ma non meno di una volta all’anno, se le disposizioni dell’Appendice A riflettono ancora le Operazioni di Trattamento in corso in quel momento.

(6) Le Parti attribuiscono al Titolare A il potere di attuare decisioni in merito alle Operazioni di trattamento nei confronti di tutti i contitolari del trattamento, con la conseguenza che il Titolare A è il principale stabilimento nell’Unione Europea per le Operazioni di Trattamento per le Parti. Pertanto, l’autorità di controllo capofila per le operazioni di trattamento è l’autorità di controllo di NRW.

§ 3 Luogo del Trattamento; Trasferimento verso Paesi Terzi e Regno Unito

(1) Le parti tratteranno i dati personali solo presso le proprie sedi o presso i propri subappaltatori autorizzati. In generale, le eventuali Operazioni di Trattamento saranno, quindi, effettuate negli Stati membri dell’Unione Europea o in un altro Stato che sia parte dell’Accordo sullo Spazio Economico Europeo.

(2) Qualsiasi trattamento di dati personali al di fuori dell’UE/SEE è consentito solo previo accordo delle Parti e solo se le condizioni di cui agli artt. 44 e segg. del GDPR sono soddisfatte.

(3) Ai fini della presente JCA, il Regno Unito di Gran Bretagna e Irlanda del Nord sarà trattato come un paese terzo al fine di mitigare i rischi di “Brexit”. Pertanto, qualsiasi trattamento dei dati nel Regno Unito è consentito solo se adeguate garanzie ai sensi dell’art. 46 del GDPR sono stati concordati come backup.

§ 4 Diritti degli interessati

(1) Le Parti forniranno agli interessati l’informativa ai sensi dell’art. 13, 14 del GDPR in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro. Al riguardo, le Parti convengono che (a) l’Informativa Privacy visibile alla voce “Privacy” soddisfa i predetti requisiti di cui all’art. 12 cpv. 1 del GDPR, (b) visto l’art. 13 par. 4, 14 cpv. 5 n. 1 del GDPR, non sussiste alcun ulteriore obbligo informativo in merito alle Operazioni di Trattamento, e (c) l’Informativa Privacy contiene l’essenza dell’accordo ai sensi dell’art. 26 par. 2 del GDPR che viene, quindi, messo a disposizione degli interessati. § 2 comma 5 si applica di conseguenza.

(2) Le Parti designano il Titolare A quale punto di contatto per gli interessati. Tuttavia, le Parti sono consapevoli del fatto che, indipendentemente da quanto sopra, l’interessato può esercitare i propri diritti nei confronti e nei confronti di ciascuna delle Parti. Pertanto, il Titolare B deve notificare al Titolare A senza ingiustificato ritardo qualsiasi reclamo, comunicazione o richiesta pervenuta direttamente da un interessato e attinente ai suoi dati personali, senza rispondere a tale richiesta. Il Titolare B fornirà al Titolare A l’assistenza necessaria in relazione a qualsiasi reclamo, comunicazione o richiesta ricevuta da un interessato.

(3) Il Titolare A fornisce all’interessato la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano nell’ambito delle Operazioni di Trattamento. In tal caso, il Titolare A fornisce all’interessato le informazioni di cui all’art. 15 cpv. 1 del GDPR, ed una copia dei dati oggetto di trattamento nell’ambito delle Operazioni di Trattamento ai sensi dell’art. 15 cpv. 3 del GDPR.

(4) Il titolare del trattamento A esamina con la dovuta diligenza qualsiasi richiesta di un interessato riguardante (a) la rettifica dei suoi dati personali presumibilmente inesatti, (b) la cancellazione dei suoi dati personali, (c) la limitazione del trattamento i suoi dati personali, o (d) il diritto alla portabilità dei dati di tale interessato. Dopo l’esame, il titolare del trattamento A determina se la richiesta è fondata o meno e quale Parte è o se entrambe le Parti sono obbligate a rettificare o cancellare i dati personali, o a limitarne il trattamento, o a dare esecuzione al diritto dell’interessato ai dati portabilità. Il controllore A informerà rispettivamente il controllore B.

(5) Se una richiesta di cancellazione dei dati personali è fondata, o al termine o alla scadenza del Master Agreement, le Parti cancelleranno i rispettivi o tutti i dati personali. Se le leggi sulla protezione dei dati a cui è soggetta una Parte impediscono a questa Parte di cancellare tutti o parte dei dati personali, questa Parte deve garantire che (a) sia mantenuta la riservatezza di tali dati personali, (b) non elaborerà attivamente tali dati personali più, e (c) cancellerà tali dati personali non appena l’obbligo legale di non cancellare i dati personali non sarà più in vigore. Ciascuna delle parti redigerà un rapporto su qualsiasi cancellazione di dati personali, che sarà presentato alla rispettiva altra parte su richiesta.

§ 5 Rappresentanze reciproche delle parti

(1) Le Parti hanno nominato rappresentanti autorizzati e delegati quali interlocutori unici per tutte le comunicazioni relative alle Operazioni di Trattamento nella loro privacy. Rappresentante autorizzato: Le Parti si comunicheranno immediatamente per iscritto ogni cambiamento nella persona del destinatario autorizzato o suo delegato o il loro impedimento permanente, nominando un sostituto. Fino a quando tale notifica non sarà ricevuta dalla rispettiva altra Parte, le persone designate continueranno ad avere il diritto di ricevere comunicazioni dalla rispettiva altra Parte e le comunicazioni ad esse indirizzate si riterranno correttamente effettuate.

(2) Qualsiasi comunicazione tra le Parti deve in linea di principio essere effettuata per iscritto o almeno in forma testuale dalle persone autorizzate a farlo in conformità con il presente JCA. Le comunicazioni orali devono essere confermate immediatamente per iscritto o in forma testuale senza indebito ritardo.

(3) I dipendenti di una delle Parti: (a) che hanno accesso ai dati personali si sono impegnati alla riservatezza o sono soggetti a un appropriato obbligo legale di riservatezza; (b) tratterà i dati personali solo secondo le istruzioni del datore di lavoro, salvo diversamente richiesto dalle leggi sulla protezione dei dati; e (c) sarà fornita la formazione necessaria di volta in volta, ma non meno di una volta all’anno, in relazione agli obblighi delle Parti ai sensi della presente JCA, delle leggi sulla protezione dei dati e, in particolare, del GDPR.

(4) Su richiesta, le Parti si assisteranno a vicenda in caso di indagine o richiesta da parte di un’autorità di controllo, se e nella misura in cui tale indagine o richiesta si riferisca alle Operazioni di trattamento. Le Parti adotteranno le misure necessarie per adempiere a qualsiasi obbligo connesso a tale indagine o richiesta. Indipendentemente dall’eventuale richiesta di assistenza, le Parti si comunicheranno comunque reciprocamente tale indagine o richiesta da parte di un’autorità di controllo.

(5) Le Parti si informeranno reciprocamente senza indugio, ma in nessun caso oltre 24 ore se scoprono una violazione dei dati personali in relazione alle Operazioni di Trattamento. Tale comunicazione deve contenere le informazioni di cui all’art. 33 par. 3 del GDPR, o almeno, qualora il segnalante non sia in grado di fornire tali informazioni entro il termine di 24 ore, una spiegazione in merito a (a) i motivi di tale impossibilità, (b) il termine aggiuntivo previsto ci vorrà la Parte segnalante per completare le informazioni e (c) l’impatto di tale incapacità sulle misure adottate per mitigare gli effetti negativi di tale violazione dei dati personali, se del caso. Se una Parte è obbligata per legge a fornire informazioni a causa di un rischio per i diritti e le libertà delle persone fisiche a seguito di tale violazione dei dati personali (in particolare ma non limitato agli obblighi di informazione ai sensi degli articoli 33, 34 del GDPR), la rispettiva altra Parte deve assistere la Parte obbligata al meglio delle proprie capacità nell’adempimento dei propri obblighi di informazione. Se possibile, qualsiasi comunicazione relativa a una violazione dei dati personali all’autorità di controllo competente e/o agli interessati deve essere concordata tra le Parti prima dell’invio.

(6) Tenuto conto della natura delle Operazioni di Trattamento e tenuto conto di quanto previsto dall’art. 35 del GDPR, le Parti convengono che non è necessaria una valutazione di impatto sulla protezione dei dati. Tuttavia, se future modifiche alle operazioni di trattamento rivelano che le operazioni di trattamento rischiano di comportare un rischio elevato per i diritti e le libertà delle persone fisiche, le parti coopereranno e si assisteranno a vicenda con una valutazione d’impatto sulla protezione dei dati necessaria e/o o con eventuali consultazioni normative che le Parti sono legalmente obbligate a effettuare in relazione a tale valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 36 del GDPR.

§ 6 Misure tecniche e organizzative

(1) Prima dell’inizio del trattamento, le Parti devono attuare le misure tecniche e organizzative elencate nei TOM e mantenerle durante il periodo del presente JCA. Si tratta di (a) misure per garantire il rispetto dei diritti degli interessati e (b) misure di sicurezza dei dati per garantire un livello di protezione adeguato al rischio relativo alla riservatezza, integrità, disponibilità e resilienza dei sistemi. Lo stato dell’arte, i costi di attuazione e il tipo, la portata e le finalità del trattamento nonché la diversa probabilità e gravità dei diritti e delle libertà delle persone fisiche ai sensi dell’art. 32 cpv. 1 del GDPR sono state prese in considerazione.

(2) Poiché le misure tecniche e organizzative sono soggette al progresso tecnico e allo sviluppo tecnologico, le Parti sono autorizzate ad attuare misure alternative e adeguate, a condizione che il livello di sicurezza delle misure specificate nei TOM non sia compromesso.

(3) Tuttavia, una Parte è obbligata ad attuare ulteriori misure una volta che risulta che (a) le misure stabilite nei TOM non sono più adeguate ai sensi della precedente sezione 1 a causa del progresso tecnico e dello sviluppo tecnologico, e/o ( b) un audit o un’indagine da parte di un’autorità di controllo ha rivelato che le misure contenute nei TOM sono insufficienti.

(4) Ciascuna delle parti documenterà le modifiche di cui sopra e fornirà all’altra parte una copia delle misure tecniche e organizzative modificate o aggiornate.

§ 7 Ulteriori Titolari del trattamento; Nomina dei Responsabili del trattamento

(1) Le Parti riconoscono che nessun altro titolare del trattamento può, aderendo alla presente JCA, avere accesso ai dati personali trattati nell’ambito delle Operazioni di trattamento. Le Parti convengono inoltre che, qualora desiderino includere un altro titolare del trattamento in future Operazioni di trattamento, ciò richiederebbe (a) una modifica sia del Master Agreement che dell’attuale JCA, (b) un’esecuzione completa della procedura di cui al § 2 parà. 5, e (c) la fornitura di informazioni aggiornate agli interessati ai sensi del § 4 par. 1.

(2) Quando nomina un responsabile del trattamento, la Parte che ha designato deve imporre obblighi di riservatezza, riservatezza e sicurezza dei dati a qualsiasi responsabile del trattamento che (a) soddisfi i requisiti dell’art. 28, 29 del GDPR, e (b) sono almeno altrettanto rigorose di quelle previste dalla presente JCA. § 3 sezioni 2 e 3 si applicano di conseguenza.

(3) Una Parte deve notificare per iscritto alla rispettiva altra Parte la propria intenzione di nominare un nuovo responsabile del trattamento. Se, entro trenta (30) giorni dal ricevimento di tale avviso, la Parte notificata notifica per iscritto alla Parte nominante qualsiasi ragionevole obiezione alla nomina proposta, le Parti negozieranno in buona fede una soluzione alternativa reciprocamente accettabile.

(4) Qualora un responsabile del trattamento non adempia ai propri obblighi in relazione alle Operazioni di trattamento, la Parte che ha designato resta pienamente responsabile nei confronti della rispettiva altra Parte per l’adempimento degli obblighi di tale responsabile del trattamento.

(5) Le parti convengono che i fornitori di servizi ausiliari non sono responsabili del trattamento ai sensi delle leggi sulla protezione dei dati; ciò include in particolare i servizi di trasporto di società postali o di corriere, i servizi di trasporto di contanti, i servizi di telecomunicazione, i servizi di sicurezza ei servizi di pulizia. Tuttavia, le parti stipulano accordi di riservatezza consueti con tali fornitori di servizi.

§ 8 Diritti di revisione

(1) Ciascuna Parte può verificare la conformità dell’altra Parte alla presente JCA, se necessario, al fine di (a) adempiere adeguatamente a un obbligo nei confronti di un’autorità di vigilanza, o (b) convincersi che la rispettiva altra Parte ha allineato i propri processi a le disposizioni della presente JCA dopo una violazione dei dati personali.

(2) Se e nella misura in cui tale audit richiede ispezioni in sede, di solito deve essere condotto durante il normale orario lavorativo e senza interrompere irragionevolmente le operazioni aziendali. La Parte che effettua l’audit informerà tempestivamente l’altra Parte di tutte le circostanze relative all’esecuzione dell’audit.

(3) Una Parte può incaricare una terza parte di effettuare l’audit. In tal caso, tuttavia, il terzo è vincolato per iscritto alla massima segretezza e riservatezza, a meno che il terzo non sia soggetto a un obbligo professionale di segretezza.

§ 9 Responsabilità

(1) Le Parti riconoscono di essere entrambe responsabili nei confronti degli interessati in relazione alle Operazioni di Trattamento ai sensi dell’art. 82 par. 1–4 del GDPR.

(2) Qualora una Parte abbia, ai sensi dell’art. 82 par. 4, pagato l’intero risarcimento all’interessato per un danno subito, tale Parte ha il diritto di reclamare dalla rispettiva altra Parte quella parte del risarcimento corrispondente alla parte di responsabilità dell’altra Parte per il danno.

(3) La sezione 2 si applica di conseguenza nel caso in cui un’autorità di controllo abbia inflitto una sanzione amministrativa a una Parte, se e nella misura in cui la violazione che ha dato origine alla sanzione amministrativa fosse, in tutto o in parte, imputabile all’altra rispettiva Il mancato rispetto da parte della parte della presente JCA o delle leggi sulla protezione dei dati applicabili. Tuttavia, una Parte può chiedere il risarcimento di un’ammenda amministrativa solo se ha utilizzato tutti gli sforzi ragionevoli per evitare o ridurre tale ammenda nelle procedure amministrative.

§ 10 Disposizioni varie

(1) Il presente JCA sarà disciplinato dalla stessa legge del Master Agreement e i tribunali competenti concordati tra le Parti ai sensi del Master Agreement avranno la giurisdizione esclusiva per quanto riguarda tutti i conflitti derivanti da o in connessione con il presente JCA anche .

(2) Nessuna modifica o emendamento del presente JCA sarà efficace se non per iscritto.

(3) Se una qualsiasi disposizione della presente JCA è ritenuta dal tribunale competente non valida o inapplicabile, tutte le altre disposizioni rimarranno in pieno vigore ed efficacia.

(4) Il presente JCA entrerà in vigore a partire dalla data in cui le Parti avranno firmato il Master Agreement. Nonostante la scadenza del termine del Master Agreement, esso rimarrà in vigore fino, e scadrà automaticamente, alla cancellazione di tutti i dati personali da parte delle Parti e/o degli eventuali responsabili del trattamento.