Orderverwerkingsovereenkomst
Tussen
Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, DUITSLAND
– hierna “verwerker” –
en
het bedrijf genoemd in het hoofdcontract
– hierna te noemen “verantwoordelijke” –
Verwerker en Verantwoordelijke worden hierna ook afzonderlijk aangeduid als de “Partij” of gezamenlijk als de “Partijen”.
§ 1 Voorwerp van het contract
(1) Deze gegevensverwerkingsovereenkomst (“AVV”) wordt gesloten tussen de partijen met betrekking tot de verwerking van persoonsgegevens in het kader van het hoofdcontract (hierna “Hoofdcontract”). De levering van diensten onder het hoofdcontract (“Diensten”) vereist de verwerking van gegevens. Indien en voor zover deze gegevens bestaan uit of persoonsgegevens bevatten, treedt de verwerker op als verwerker met betrekking tot deze gegevens, terwijl de verantwoordelijke voor deze gegevens verantwoordelijk blijft volgens art. 28 van de Algemene Verordening Gegevensbescherming (hierna “AVG”).
(2) De Diensten worden door de Verwerker op een zodanige manier geleverd dat de Verwerkingsverantwoordelijke zijn eigen gegevens levert, de verzending ervan naar de Verwerker regelt en, in het geval van Software as a Service-modellen, rechtstreeks de verwerking regelt van dergelijke gegevens die zijn geüpload naar de Verwerker. Diensten . Verantwoordelijke gaat ermee akkoord en begrijpt dat Verwerker geen toezicht houdt op de gegevens van Verantwoordelijke of de omgang met deze gegevens door Verantwoordelijke, tenzij Verantwoordelijke de Verwerker in dit verband uitdrukkelijk verzoekt om inzage in deze gegevens. Daarom is het de exclusieve verantwoordelijkheid en verplichting van de beheerder om ervoor te zorgen dat de gegevens van de beheerder worden verzameld en verzonden in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en,
(3) Als verwerker zal de verwerker persoonsgegevens van de verantwoordelijke alleen verwerken in overeenstemming met de bepalingen van deze AVV en de gedocumenteerde instructies van de verantwoordelijke. Indien Verwerker op grond van Unierecht of Lidstatenrecht verplicht is tot verdere verwerking van de Persoonsgegevens, zal Verwerker de Verantwoordelijke voorafgaand aan de verwerking op de hoogte stellen van deze wettelijke vereisten, tenzij de relevante wet een dergelijke melding vereist vanwege een zwaarwegend algemeen belang verbiedt; In het laatste geval zal de verwerker de verantwoordelijke informeren over de verdere verwerking zodra dit wettelijk is toegestaan.
§ 2 Details van verwerking
(1) De details van de verwerking worden beschreven in de onderstaande bepalingen en in het hoofdcontract. Met in het achterhoofd zijn verplichtingen als verwerkingsverantwoordelijke zal de verwerkingsverantwoordelijke de verwerker informeren indien een aanvulling op de in de hoofdovereenkomst opgenomen specificaties noodzakelijk is.
(2) De verwerker verwerkt persoonsgegevens zoals beschreven in het hoofdcontract.
(3) De verwerker zal in het algemeen persoonsgegevens verwerken voor de duur van het hoofdcontract en deze AGV, tenzij schriftelijk anders is overeengekomen.
§ 3 Plaats van gegevensverwerking; Doorgifte naar derde landen
(1) De verwerker zal persoonsgegevens alleen verwerken op zijn eigen hoofdkantoor of op het hoofdkantoor van zijn geautoriseerde subverwerkers. Volgens deze richtlijn worden alle verwerkingen in principe uitgevoerd in de lidstaten van de Europese Unie of in een andere staat die partij is bij het Verdrag betreffende de Europese Economische Ruimte.
(2) Elke verwerking van persoonsgegevens buiten de EU/EER is alleen toegestaan met voorafgaande toestemming tussen de partijen en alleen als de vereisten van art. 44 en volgende AVG wordt voldaan.
§ 4 Instructies van de verantwoordelijke
(1) Partijen komen overeen dat deze AVV de algemene instructies van de verantwoordelijke bevatten met betrekking tot de verwerking van persoonsgegevens in opdracht van de verwerker.
(2) Speciale instructies van de verantwoordelijke die afwijken van de bepalingen van deze AVV of die nieuwe, aanvullende verplichtingen aan de verwerker opleggen, vereisen de toestemming van de verwerker om effectief te zijn. Voor dergelijke bijzondere instructies zullen partijen de wijzigingsprocedure toepassen die eventueel in het hoofdcontract is overeengekomen.
(3) Het is de verantwoordelijkheid van de verantwoordelijke om ervoor te zorgen dat de door hem gegeven instructies met betrekking tot de verwerking van persoonsgegevens op de bestelling in overeenstemming zijn met de toepasselijke wetgeving inzake gegevensbescherming en dat de verwerker van de bestelling in staat is om persoonsgegevens te verwerken in overeenstemming met instructies zonder de wetten inzake gegevensbescherming die van toepassing zijn op de orderverwerker te schenden, in het bijzonder om de AVG te schenden. Indien de verwerker van mening is dat een instructie van de verantwoordelijke in strijd is met de toepasselijke wetgeving inzake gegevensbescherming, zal de verwerker de verantwoordelijke hiervan op de hoogte stellen. In dergelijke gevallen is Verwerker gerechtigd de uitvoering van de opdracht te weigeren totdat Verantwoordelijke de opdracht heeft bevestigd.
(4) Bijzondere instructies van de verantwoordelijke worden schriftelijk of in ieder geval in tekstvorm gegeven door de verantwoordelijke personen van de kant van de verantwoordelijke. Mondelinge instructies moeten onmiddellijk worden bevestigd door een van de bevoegde personen en ten minste in tekstvorm om effectief te zijn.
§ 5 Zekerheden van de verwerker
(1) Medewerkers van Verwerker: (i) voor zover zij bevoegd zijn om de Persoonsgegevens te verwerken, gebonden zijn aan een geheimhoudingsplicht of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht; (ii) Persoonsgegevens alleen zal verwerken in overeenstemming met de instructies van de Verwerker, tenzij anders vereist op grond van de toepasselijke wetgeving inzake gegevensbescherming; en (iii) regelmatig geïnstrueerd wordt over de verplichtingen die voortvloeien uit deze AVV en de toepasselijke wetgeving inzake gegevensbescherming, in het bijzonder de DS-GVO.
(2) De verwerker mag zonder voorafgaande toestemming van de verantwoordelijke geen kopieën of duplicaten maken van de in de bestelling verwerkte persoonsgegevens in het kader van de orderverwerking. Dit geldt echter niet voor kopieën die nodig zijn voor een goede gegevensverwerking en een goede dienstverlening (waaronder databack-up), evenals voor kopieën die nodig zijn om te voldoen aan de wettelijke bewaarplicht.
(3) De verwerker zal een bevoegde en betrouwbare functionaris voor gegevensbescherming aanstellen indien en zolang de wettelijke vereisten voor de aanstelling van een functionaris voor gegevensbescherming bestaan. De verwerker stelt de verantwoordelijke op de hoogte van de contactgegevens van een aldus aangestelde functionaris voor gegevensbescherming.
§ 6 Technische en organisatorische maatregelen
(1) Voordat de verwerking begint, moet de verwerker de technische en organisatorische maatregelen nemen die worden vermeld op www.fitness-nation.com/support/tom.html en deze gedurende de looptijd van deze AGV handhaven. Dit zijn technische en organisatorische maatregelen om te zorgen voor een op het risico passend beschermingsniveau met betrekking tot de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen. De stand van de techniek, de uitvoeringskosten en de aard, omvang, omstandigheden en doeleinden van de verwerking, alsmede de verschillende waarschijnlijkheid van optreden en ernst van het risico voor de rechten en vrijheden van natuurlijke personen in de zin van art. 32 Par. 1 DS-GVO worden in aanmerking genomen.
(2) Omdat de technische en organisatorische maatregelen onderhevig zijn aan de technische vooruitgang en technologische ontwikkelingen, is het de verwerker toegestaan alternatieve en passende maatregelen te nemen indien deze de veiligheidsnorm overschrijden van de maatregelen vermeld op www.fitness-nation.com/support/tom .html wordt niet ondergraven.
§ 7 Inschakeling van subverwerkers
(1) De verwerker mag subverwerkers met betrekking tot de verwerking van persoonsgegevens in opdracht van de verantwoordelijke alleen inschakelen met voorafgaande toestemming van de verantwoordelijke. De verantwoordelijke geeft dan toestemming voor het gebruik van de onder www.fitness-nation.com/support/subunternehmer.html genoemde subverwerkers.
(2) De verwerker zal elke subverwerker verplichtingen opleggen met betrekking tot gegevensbescherming, vertrouwelijkheid en gegevensbeveiliging die minstens even streng zijn als de verplichtingen van de verwerker jegens de verwerkingsverantwoordelijke zoals vastgelegd in deze AGV. Indien een subverwerker deze hem opgelegde verplichtingen niet nakomt, is de verwerker aansprakelijk voor deze overtredingen alsof het zijn eigen schuld is.
(3) De verwerker stelt de verwerkingsverantwoordelijke schriftelijk op de hoogte van elke nieuwe toewijzing van een subverwerker. Indien de verantwoordelijke na ontvangst van een dergelijke kennisgeving binnen dertig (30) dagen aangeeft bezwaar te hebben tegen het gebruik, met opgave van een redelijke reden, zullen partijen naar een minnelijke schikking streven. In een dergelijk geval, als een minnelijke schikking niet binnen twee (2) maanden kan worden bereikt, heeft de verwerkingsverantwoordelijke het recht om het hoofdcontract te beëindigen met betrekking tot die diensten waarvoor het gebruik van de voorgestelde subverwerker noodzakelijk is.
(4) De partijen komen overeen dat aanbieders van louter ondersteunende diensten geen verwerkers zijn in de zin van de wetgeving inzake gegevensbescherming; dit omvat met name transportdiensten van post- of koeriersdiensten, evenals geldtransportdiensten, telecommunicatiediensten, veiligheidsdiensten en schoonmaakdiensten. Los daarvan zal de verwerker met dergelijke onderaannemers in de branche gebruikelijke geheimhoudingsovereenkomsten aangaan.
(5) De voorschriften in deze § 7 zijn ook van toepassing als een subverwerker is ingeschakeld in een derde land buiten de EU of de EER. Onder voorbehoud van toestemming van de verwerkingsverantwoordelijke voor het gebruik van de subverwerker, machtigt de verwerkingsverantwoordelijke hierbij de verwerker om namens de verwerkingsverantwoordelijke een contract aan te gaan met een subverwerker die gegevens van de verwerkingsverantwoordelijke buiten de EU of de EER verwerkt, inclusief de EU-modelcontractbepalingen voor de doorgifte van persoonsgegevens aan verwerkers in derde landen van 05.02.2010 of mogelijk later door de EU-Commissie of de bevoegde toezichthoudende autoriteit standaardbepalingen inzake gegevensbescherming.
§ 8 Verplichtingen om de verantwoordelijke te ondersteunen
(1) Op schriftelijk verzoek van de Verantwoordelijke zal de Verwerker de Verantwoordelijke redelijke ondersteuning bieden in het geval van een onderzoek of verzoek door een toezichthoudende autoriteit voor gegevensbescherming, voor zover een dergelijk onderzoek of verzoek betrekking heeft op de Diensten. Verwerker zal redelijke inspanningen leveren om Verwerkingsverantwoordelijke te helpen bij het voldoen aan eventuele verplichtingen met betrekking tot een dergelijk onderzoek of verzoek. Indien een toezichthoudende autoriteit gegevensbescherming rechtstreeks met de verwerker een onderzoek start of een overeenkomstig verzoek rechtstreeks aan de verwerker stuurt, zal de verwerker de verwerkingsverantwoordelijke onverwijld informeren, voor zover dit is toegestaan, en meewerken in het kader van dit onderzoek of verzoek.
(2) De verwerker zal de verwerkingsverantwoordelijke onmiddellijk informeren als hij een schending van de bescherming van persoonsgegevens ontdekt in verband met de verwerking van persoonsgegevens op grond van deze AGV. Indien de verantwoordelijke als gevolg van een dergelijke melding meldingsverplichtingen heeft aan toezichthoudende autoriteiten voor gegevensbescherming en/of betrokkenen (met name uit de artikelen 33, 34 DS-GVO), zal de verwerker de verantwoordelijke ondersteunen bij het vervullen van deze meldingsplicht verplichtingen in passende en noodzakelijke mate. Voor zover de verwerker geen schuld heeft aan een meldingsplichtig incident met gegevensbescherming, is de verwerker gerechtigd de ondersteunende diensten in rekening te brengen volgens de vergoedingen die in het hoofdcontract zijn overeengekomen.
(3) De verwerker ondersteunt de verwerkingsverantwoordelijke, rekening houdend met het type verwerking en de informatie waarover de verwerker beschikt, bij een gegevensbeschermingseffectbeoordeling die mogelijk moet worden uitgevoerd met betrekking tot de verwerking van persoonsgegevens, inclusief, indien nodig, overleg met de bevoegde toezichthoudende autoriteit voor gegevensbescherming (Art. 35, 36 AVG). De verwerker is gerechtigd de kosten voor de ondersteunende diensten te berekenen volgens de in het hoofdcontract overeengekomen vergoedingen.
(4) De verwerker zal de verantwoordelijke onmiddellijk informeren als een betrokkene rechtstreeks contact opneemt met de verwerker met een klacht, vraag of om rechten uit te oefenen waarop hij of zij recht heeft. De verwerker zal niet zelf op het verzoek reageren, tenzij de verwerkingsverantwoordelijke de verwerker daartoe uitdrukkelijk opdracht heeft gegeven. Verwerker zal Verwerkingsverantwoordelijke redelijke hulp bieden bij het reageren op dergelijke klachten, vragen en verzoeken van betrokkenen. De verwerker is gerechtigd de kosten voor de ondersteunende diensten te berekenen volgens de in het hoofdcontract overeengekomen vergoedingen.
§ 9 Teruggave of verwijdering Teruggave van persoonsgegevens
(1) Op aanwijzing van de verwerkingsverantwoordelijke gedurende de looptijd van deze AGV of na beëindiging ervan of nadat de verwerking van persoonsgegevens op grond van het desbetreffende individuele contract is beëindigd, zal de verwerker de verwerkte gegevens vernietigen, wissen of retourneren op namens de Verwerkingsverantwoordelijke. Indien toepasselijke wetgeving de verwerker verbiedt om de in de opdracht verwerkte persoonsgegevens te vernietigen, te verwijderen of terug te geven, zal de verwerker deze gegevens niet langer actief verwerken, maar alleen om te voldoen aan de wettelijke bepalingen,
(2) De verwerker maakt van elke vernietiging of verwijdering van persoonsgegevens een logboek aan, dat op verzoek aan de verantwoordelijke ter beschikking wordt gesteld.
§ 10 Auditrechte
(1) De verantwoordelijke heeft het recht om de bedrijfsruimten van de verwerker binnen het kader van de normale kantooruren (maandag t/m vrijdag van 9.00 uur tot 17.00 uur) op eigen kosten te gebruiken, zonder de bedrijfsvoering te verstoren en met strikte geheimhouding van het bedrijf en de bedrijfsgeheimen van de verwerker, waarin gegevens van de verantwoordelijke worden verwerkt, om naleving van deze AVV te verzekeren. De verantwoordelijke kondigt een dergelijke inspectie ter plaatse in de regel tijdig (minimaal twee weken van tevoren) aan.
(2) De verantwoordelijke is in de regel gerechtigd om per kalenderjaar een inspectie ter plaatse in de zin van het vorige lid uit te voeren. Dit laat onverlet het recht van de verantwoordelijke om bij bijzondere gebeurtenissen nadere inspecties ter plaatse uit te voeren.
(3) Indien de verantwoordelijke een derde opdracht geeft om de inspectie uit te voeren, dient de verantwoordelijke de derde schriftelijk te verplichten op dezelfde wijze als de verantwoordelijke op grond van deze AVV jegens de bewerker verplicht is. Daarnaast moet de verantwoordelijke de derde tot geheimhouding verplichten, tenzij op de derde een beroepsgeheim rust. Op verzoek van de verwerker dient de verantwoordelijke onverwijld de verbintenisovereenkomsten met de derde partij aan de verwerker voor te leggen. De verwerkingsverantwoordelijke mag de controle niet toevertrouwen aan een concurrent van de verwerkingsverantwoordelijke.
(4) In plaats van een inspectie ter plaatse kan het bewijs van naleving van deze AVV ook worden geleverd door naleving van goedgekeurde gedragscodes conform Art. 40 AVG, certificering volgens een goedgekeurde certificeringsprocedure in overeenstemming met art. 42 AVG en het indienen van een geschikte, actuele attesten, rapporten of uittreksels uit rapporten van onafhankelijke instanties (bijv. auditors, auditors, gegevensbeschermingsfunctionarissen, IT-beveiligingsafdeling, gegevensbeschermingsauditors of kwaliteitsauditors) of een geschikte certificering door IT-beveiliging of gegevensbeschermingsaudit – bijv. volgens ISO 27001 – (“auditrapport”), indien het auditrapport de verantwoordelijke in staat stelt zich op redelijke wijze te overtuigen van de naleving van deze AVV.
(5) Indien en voor zover door een fout van de verwerker een inspectie ter plaatse niet noodzakelijk is geworden, is de verwerker gerechtigd de inspecties ter plaatse in rekening te brengen volgens de in de hoofdlijnen overeengekomen vergoedingen. contract.
§ 11 Overige bepalingen
(1) Deze AVV is onderworpen aan hetzelfde recht als de hoofdovereenkomst, en voor alle geschillen die voortvloeien uit en in verband met deze AVV zijn de rechtbanken die door de partijen in de hoofdovereenkomst zijn overeengekomen, exclusief bevoegd.
(2) Wijzigingen of aanvullingen op deze AVV zijn alleen van kracht als ze schriftelijk zijn vastgelegd.
(3) Indien een bepaling van deze AVV door de bevoegde rechter ongeldig of onafdwingbaar wordt verklaard, blijven de overige bepalingen volledig van kracht.
(4) Deze AVV treedt als integraal onderdeel in werking bij het afsluiten van het hoofdcontract. Ongeacht het einde van de contractperiode van het hoofdcontract, is het van toepassing totdat en automatisch afloopt wanneer alle persoonlijke gegevens zijn verwijderd door de verwerker en/of alle gebruikte subverwerkers.