Overeenkomst voor gezamenlijke verwerkingsverantwoordelijke

Tussen

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
DUITSLAND

– hierna te noemen “Verwerkingsverantwoordelijke A”–

en

het bedrijf genoemd in het hoofdcontract

– hierna te noemen “Verwerkingsverantwoordelijke B” –

Verwerkingsverantwoordelijke A en Verwerkingsverantwoordelijke B kunnen hierna ook afzonderlijk worden aangeduid als een “Partij” of samen als de “Partijen”.

§ 1 Onderwerp van de Overeenkomst

(1) Deze Joint Controller Agreement (hierna “JCA”) wordt aangegaan tussen de Partijen met betrekking tot de verwerking van persoonsgegevens door middel van de gesloten Master Agreement. Aangezien de Partijen gezamenlijk het doel en de middelen van de hieronder beschreven verwerkingen hebben bepaald (hierna “Verwerkingen”), beschouwen zij zichzelf als gezamenlijke verwerkingsverantwoordelijken in de zin van art. 26 van de Algemene Verordening Gegevensbescherming (hierna “AVG”).

(2) Voor alle duidelijkheid: elke partij blijft als enige verantwoordelijk en volledig aansprakelijk als één enkele verwerkingsverantwoordelijke in de zin van art. 4 nee. 7 van de AVG, en geen van beide partijen heeft plichten of verplichtingen jegens de respectieve andere partij met betrekking tot alle verwerkingen die buiten de reikwijdte van deze JCA vallen.

(3) De onderhavige JCA omvat de taken en verplichtingen van Partijen jegens elkaar met betrekking tot de Verwerkingen. In geval van strijdigheid tussen de bepalingen van deze JCA en de Raamovereenkomst prevaleert de eerstgenoemde, indien en voor zover een dergelijk conflict de plichten en verplichtingen van Partijen met betrekking tot de Verwerkingen raakt. Niettegenstaande het voornoemde komen de Partijen overeen dat geen van de Partijen recht heeft op enige vergoeding voor de vervulling van haar taken onder de huidige JCA, maar dat deze volledig gedekt worden door de vergoeding die is overeengekomen in het kader van de Master Agreement.

(4) Tenzij anders bepaald in deze JCA, hebben de termen die hierin worden gebruikt de betekenis die eraan wordt toegekend in Art. 4 van de AVG.

§ 2 Principes voor en details van de verwerkingen

(1) De partijen verklaren en garanderen dat alle persoonlijke gegevens worden verzameld en verder verwerkt in overeenstemming met de bepalingen van deze JCA en de toepasselijke wetgeving inzake gegevensbescherming, in het bijzonder maar niet beperkt tot de principes met betrekking tot de verwerking van persoonlijke gegevens vastgelegd in art. 5 par. 1 van de AVG. Indien een van de partijen van mening is dat de respectieve andere partij, in de loop van de uitvoering van deze GCA, de bepalingen van deze GCA of toepasselijke wetgeving inzake gegevensbescherming schendt, zal zij deze andere partij daarvan onmiddellijk op de hoogte stellen.

(2) In het kader van de Verwerkingen zullen Partijen alle persoonsgegevens verwerken in een gestructureerd, gangbaar en machineleesbaar formaat.

(3) Geen van beide partijen zal kopieën of duplicaten maken van persoonsgegevens die in het kader van deze JCA worden verwerkt, tenzij dit vereist is voor de Verwerkingsactiviteiten (inclusief back-ups van gegevens), of om te voldoen aan wettelijke bewaarverplichtingen.

(4) De details van de Verwerkingen zijn uiteengezet in Bijlage A. Deze gegevens omvatten een uitputtende beschrijving van de aard, het doel en het onderwerp van de Verwerkingen, de categorieën van betrokkenen die worden beïnvloed door de Verwerkingen en de soorten persoonsgegevens die worden verwerkt. Daarnaast zullen Partijen in Bijlage A elke stap van de Verwerkingen specificeren, waarbij wordt aangegeven (a) welke Partij verantwoordelijk is voor welke van deze stappen, en (b) de rechtsgrondslag voor die Verwerking(en).

(5) Indien nodig vanwege een wijziging in de Verwerkingen zelf, en/of als gevolg van een wijziging of wijziging van de Raamovereenkomst, zullen Partijen respectievelijk de bepalingen van Bijlage A actualiseren . Met het oog op de verplichtingen van de partijen als gezamenlijke verwerkingsverantwoordelijken, is het de verantwoordelijkheid van elke partij om de respectieve andere partij op de hoogte te stellen als zij van mening is dat de bepalingen van aanhangsel A moeten worden bijgewerkt. Niettegenstaande het vorenstaande zal elk der Partijen regelmatig, maar niet minder dan eenmaal per jaar, controleren of de bepalingen van Bijlage A nog de dan geldende Verwerkingen weerspiegelen.

(6) Partijen kennen Verantwoordelijke A hierbij de bevoegdheid toe om besluiten over de Verwerkingen uit te voeren met betrekking tot alle gezamenlijke verantwoordelijken, waardoor Verwerkingsverantwoordelijke A de belangrijkste vestiging in de Europese Unie is voor de Verwerkingen voor Partijen. De leidende toezichthoudende autoriteit voor de Verwerkingen is daarom de toezichthoudende autoriteit van NRW.

§ 3 Plaats van de Verwerking; Doorgifte naar derde landen en het Verenigd Koninkrijk

(1) Partijen zullen persoonsgegevens alleen verwerken in hun eigen gebouwen of in de gebouwen van hun geautoriseerde onderaannemer. In het algemeen zullen eventuele Verwerkingen dus plaatsvinden in de lidstaten van de Europese Unie of in een andere staat die partij is bij de Overeenkomst betreffende de Europese Economische Ruimte.

(2) Elke verwerking van persoonsgegevens buiten de EU/EER is alleen toegestaan ​​na voorafgaande toestemming van de partijen, en alleen als de voorwaarden van Art 44 en volgende. van de AVG wordt voldaan.

(3) Voor de toepassing van deze JCA wordt het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland behandeld alsof het een derde land is om de risico’s van “Brexit” te beperken. Daarom is elke gegevensverwerking in het VK alleen toegestaan ​​als passende waarborgen in de zin van art. 46 van de AVG zijn overeengekomen als back-up.

§ 4 Rechten van de betrokkenen

(1) De partijen zullen de betrokkenen de informatie verstrekken in overeenstemming met art. 13, 14 van de AVG in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en duidelijke taal. In dit opzicht komen de partijen overeen dat (a) de privacyverklaring die zichtbaar is onder “Privacy” voldoet aan de bovengenoemde vereisten van Art. 12 par. 1 van de AVG, (b) gelet op art. 13 par. 4, 14 par. 5 nee. 1 van de AVG is er geen verdere informatieverplichting met betrekking tot de Verwerkingen, en (c) de Privacyverklaring bevat de essentie van de regeling in de zin van Art. 26 par. 2 van de AVG die dus ter beschikking wordt gesteld aan de betrokkenen. § 2 lid 5 is van overeenkomstige toepassing.

(2) Partijen wijzen Verantwoordelijke A aan als aanspreekpunt voor betrokkenen. Partijen zijn zich er echter van bewust dat de betrokkene, ongeacht dit, zijn of haar rechten jegens en jegens elk van de Partijen kan uitoefenen. Daarom moet Verantwoordelijke B Verantwoordelijke A zonder onnodige vertraging op de hoogte stellen van elke klacht, communicatie of verzoek die hij rechtstreeks van een betrokkene heeft ontvangen en die betrekking heeft op zijn of haar persoonsgegevens, zonder op dat verzoek te reageren. Verwerkingsverantwoordelijke B zal Verwerkingsverantwoordelijke A de nodige bijstand verlenen met betrekking tot elke klacht, mededeling of verzoek ontvangen van een betrokkene.

(3) Verwerkingsverantwoordelijke A zal de betrokkene een bevestiging geven of hem betreffende persoonsgegevens al dan niet in het kader van de Verwerkingen worden verwerkt. Indien dat het geval is, zal Verwerkingsverantwoordelijke A de betrokkene de in art. 15 par. 1 van de AVG, en een kopie van de gegevens die worden verwerkt in het kader van de Verwerkingen in overeenstemming met Art. 15 par. 3 van de AVG.

(4) Verantwoordelijke A onderzoekt met de nodige zorgvuldigheid elk verzoek van een betrokkene met betrekking tot (a) de rectificatie van zijn of haar vermeende onjuiste persoonsgegevens, (b) het wissen van zijn of haar persoonsgegevens, (c) de beperking van de verwerking zijn of haar persoonsgegevens, of (d) het recht op gegevensoverdraagbaarheid van een dergelijke betrokkene. Na onderzoek bepaalt Verantwoordelijke A of het verzoek gegrond is of niet, en welke Partij is of dat beide Partijen verplicht zijn om de persoonsgegevens te corrigeren of te wissen, of om de verwerking ervan te beperken, of om het recht van de betrokkene op gegevens uit te oefenen draagbaarheid. Verwerkingsverantwoordelijke A informeert respectievelijk Verwerkingsverantwoordelijke B.

(5) Indien een verzoek om het wissen van persoonsgegevens gegrond is, of bij beëindiging of afloop van de Raamovereenkomst, zullen de Partijen de respectievelijke of alle persoonsgegevens wissen. Als de wetgeving inzake gegevensbescherming waaraan een partij onderworpen is, deze partij verhindert om alle of een deel van de persoonsgegevens te wissen, moet deze partij garanderen dat (a) de vertrouwelijkheid van dergelijke persoonsgegevens wordt gehandhaafd, (b) zij dergelijke persoonsgegevens niet actief zal verwerken persoonsgegevens niet meer, en (c) hij zal dergelijke persoonsgegevens wissen zodra de wettelijke verplichting om de persoonsgegevens niet te wissen niet langer van kracht is. Elke partij stelt een rapport op over het wissen van persoonsgegevens, dat op verzoek aan de respectieve andere partij wordt voorgelegd.

§ 5 wederzijdse vertegenwoordigingen van de partijen

(1) Partijen hebben gemachtigde vertegenwoordigers en plaatsvervangers aangesteld als aanspreekpunt voor alle communicatie met betrekking tot de Verwerkingen in hun privacy. Gemachtigde: Partijen stellen elkaar onverwijld schriftelijk in kennis van elke wijziging in de persoon van de gemachtigde ontvanger of zijn plaatsvervanger of hun blijvende belemmering, onder aanstelling van een plaatsvervanger. Totdat een dergelijke kennisgeving door de respectieve andere partij is ontvangen, blijven de aangewezen personen gerechtigd mededelingen van de respectieve andere partij te ontvangen en aan hen gerichte mededelingen worden geacht naar behoren te zijn gedaan.

(2) Alle communicatie tussen de partijen zal in principe schriftelijk of in ieder geval in tekstvorm worden gedaan door de personen die daartoe bevoegd zijn in overeenstemming met deze JCA. Mondelinge communicatie wordt onmiddellijk schriftelijk of in tekstvorm zonder onnodige vertraging bevestigd.

(3) De werknemers van een van beide partijen: (a) die toegang hebben tot persoonsgegevens, hebben zich verplicht tot vertrouwelijkheid of hebben een passende wettelijke verplichting tot vertrouwelijkheid; (b) persoonsgegevens alleen verwerken volgens de instructies van de in dienst nemende partij, tenzij anders vereist door de wetgeving inzake gegevensbescherming; en (c) indien nodig van tijd tot tijd, maar niet minder dan eenmaal per jaar, training krijgen met betrekking tot de verplichtingen van de Partijen onder deze JCA, onder de wetgeving inzake gegevensbescherming en in het bijzonder onder de AVG.

(4) Partijen zullen elkaar op verzoek bijstaan ​​bij een onderzoek door of verzoek van een toezichthoudende autoriteit, indien en voor zover een dergelijk onderzoek of verzoek betrekking heeft op de Verwerkingen. Partijen zullen de nodige maatregelen nemen om te voldoen aan eventuele verplichtingen in verband met een dergelijk onderzoek of verzoek. Ongeacht een verzoek om bijstand zullen Partijen elkaar in ieder geval op de hoogte stellen van een dergelijk onderzoek door of verzoek van een toezichthoudende autoriteit.

(5) Partijen zullen elkaar onverwijld, doch uiterlijk binnen 24 uur informeren indien zij in verband met de Verwerkingen een inbreuk in verband met persoonsgegevens constateren. Deze kennisgeving moet de informatie bevatten die in art. 33 par. 3 van de AVG, of in ieder geval, als de rapporterende partij niet in staat is om dergelijke informatie binnen het tijdsbestek van 24 uur te verstrekken, een toelichting met betrekking tot (a) de redenen voor die onmogelijkheid, (b) de beoogde extra termijn de rapporterende partij nodig heeft om de informatie aan te vullen, en (c) de impact van een dergelijk onvermogen op de maatregelen die zijn genomen om de eventuele nadelige gevolgen van een dergelijke inbreuk in verband met persoonsgegevens te verzachten. Indien een Partij wettelijk verplicht is om informatie te verstrekken vanwege een risico voor de rechten en vrijheden van natuurlijke personen als gevolg van een dergelijke inbreuk in verband met persoonsgegevens (met name maar niet beperkt tot de informatieplichten volgens Art. 33, 34 van de AVG), dient de betreffende andere Partij de aan verplichtingen gebonden Partij naar beste vermogen bij te staan ​​bij het vervullen van haar informatieplicht. Indien mogelijk wordt elke communicatie met betrekking tot een inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit en/of de betrokkenen vóór indiening overeengekomen tussen de partijen.

(6) Rekening houdend met de aard van de Verwerkingen en rekening houdend met de bepalingen van Art. 35 van de AVG komen de partijen overeen dat een gegevensbeschermingseffectbeoordeling niet vereist is. Als uit toekomstige wijzigingen in de Verwerkingsactiviteiten echter blijkt dat de Verwerkingsactiviteiten waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen, zullen de Partijen samenwerken en elkaar bijstaan ​​bij een dan noodzakelijke gegevensbeschermingseffectbeoordeling, en/ of met enig regelgevend overleg dat de partijen wettelijk verplicht zijn te maken met betrekking tot een dergelijke gegevensbeschermingseffectbeoordeling in overeenstemming met art. 36 van de AVG.

§ 6 Technische en Organisatorische Maatregelen

(1) Voorafgaand aan de aanvang van de verwerking moeten de Partijen de in TOM’s vermelde technische en organisatorische maatregelen implementeren en gedurende de looptijd van deze JCA handhaven. Dit zijn (a) maatregelen om de naleving van de rechten van de betrokkenen te waarborgen en (b) gegevensbeveiligingsmaatregelen om een ​​beschermingsniveau te waarborgen dat past bij het risico met betrekking tot de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen. De stand van de techniek, de uitvoeringskosten en het type, de omvang en de doeleinden van de verwerking, evenals de variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen in de zin van art. 32 par. 1 van de AVG in acht is genomen.

(2) Aangezien de technische en organisatorische maatregelen onderhevig zijn aan technische vooruitgang en technologische ontwikkeling, is het de partijen toegestaan ​​alternatieve en adequate maatregelen te nemen, op voorwaarde dat het veiligheidsniveau van de in de TOM’s gespecificeerde maatregelen niet in het gedrang komt.

(3) Een partij is echter verplicht verdere maatregelen te nemen zodra blijkt dat (a) de in de TOM’s uiteengezette maatregelen niet langer toereikend zijn in de zin van paragraaf 1 hierboven als gevolg van technische vooruitgang en technologische ontwikkeling, en/of ( b) uit een audit of onderzoek door een toezichthouder is gebleken dat de maatregelen in TOM’s onvoldoende zijn.

(4) Elke partij documenteert alle wijzigingen zoals hierboven bedoeld en verstrekt de respectieve andere partij een kopie van de gewijzigde of bijgewerkte technische en organisatorische maatregelen.

§ 7 Overige verwerkingsverantwoordelijken; Aanstelling van verwerkers

(1) De Partijen erkennen dat geen verdere verwerkingsverantwoordelijken, door zich aan te sluiten bij deze JCA, toegang mogen krijgen tot de persoonsgegevens die tot nu toe zijn verwerkt als onderdeel van de Verwerkingsactiviteiten. De Partijen komen voorts overeen dat, indien zij een andere verwerkingsverantwoordelijke willen opnemen in toekomstige Verwerkingen, dit vereist (a) een wijziging van zowel de Master Agreement als de huidige JCA, (b) een grondige uitvoering van de procedure uiteengezet in § 2 para. 5, en (c) het verstrekken van bijgewerkte informatie aan de betrokkenen in overeenstemming met § 4 para. 1.

(2) Bij het aanstellen van een verwerker moet de aanwijzende partij verplichtingen op het gebied van privacy, vertrouwelijkheid en gegevensbeveiliging opleggen aan een dergelijke verwerker die (a) voldoet aan de vereisten van art. 28, 29 van de AVG, en (b) zijn minstens zo streng als die uiteengezet in de huidige JCA. § 3 leden 2 en 3 zijn van overeenkomstige toepassing.

(3) Een partij moet de respectieve andere partij schriftelijk op de hoogte stellen van haar voornemen om een ​​nieuwe verwerker aan te stellen. Indien de in kennis gestelde partij binnen dertig (30) dagen na ontvangst van die kennisgeving de aanwijzende partij schriftelijk in kennis stelt van enig redelijk bezwaar tegen de voorgestelde benoeming, zullen de partijen te goeder trouw onderhandelen over een wederzijds aanvaardbare alternatieve oplossing.

(4) Wanneer een verwerker zijn verplichtingen met betrekking tot de Verwerkingen niet nakomt, blijft de aanwijzende partij volledig aansprakelijk jegens de respectieve andere partij voor de nakoming van de verplichtingen van die verwerker.

(5) De partijen komen overeen dat leveranciers van ondersteunende diensten geen verwerkers zijn in de zin van de wetgeving inzake gegevensbescherming; dit omvat met name transportdiensten van post- of koeriersbedrijven, geldtransportdiensten, telecommunicatiediensten, beveiligingsdiensten en schoonmaakdiensten. Partijen zullen echter gebruikelijke vertrouwelijkheidsovereenkomsten aangaan met dergelijke dienstverleners.

§ 8 Auditrechten

(1) Elke partij kan de naleving van deze JCA door de respectieve andere partij controleren indien dit nodig is om (a) naar behoren te voldoen aan een verplichting jegens een toezichthoudende autoriteit, of (b) zichzelf ervan te overtuigen dat de respectieve andere partij haar processen heeft afgestemd op de bepalingen van deze JCA na een inbreuk in verband met persoonsgegevens.

(2) Indien en voor zover een dergelijke audit inspecties ter plaatse vereist, wordt deze gewoonlijk uitgevoerd tijdens normale kantooruren en zonder onredelijke verstoring van de bedrijfsvoering. De partij die de audit uitvoert, stelt de desbetreffende andere partij tijdig op de hoogte van alle omstandigheden die verband houden met de uitvoering van de audit.

(3) Een partij kan een derde partij opdracht geven om de audit uit te voeren. In dat geval is de derde echter schriftelijk verplicht tot strikte geheimhouding en vertrouwelijkheid, tenzij op de derde een beroepsgeheim rust.

§ 9 Aansprakelijkheid

(1) Partijen erkennen dat zij beide aansprakelijk zijn jegens betrokkenen voor wat betreft de Verwerkingen in overeenstemming met Art. 82 par. 1-4 van de AVG.

(2) Wanneer een partij, in overeenstemming met art. 82 par. 4, een volledige vergoeding aan een betrokkene heeft betaald voor geleden schade, heeft die partij het recht om van de respectieve andere partij dat deel van de vergoeding terug te vorderen dat overeenkomt met het deel van de verantwoordelijkheid van die andere partij voor de schade.

(3) Afdeling 2 is van overeenkomstige toepassing indien een toezichthoudende autoriteit een partij een bestuurlijke boete heeft opgelegd, indien en voor zover de overtreding die aanleiding gaf tot de bestuurlijke boete geheel of gedeeltelijk te wijten was aan de respectieve andere Het niet naleven van de huidige JCA of de toepasselijke wetgeving inzake gegevensbescherming door de partij. Een partij kan echter alleen aanspraak maken op vergoeding van een administratieve boete indien zij alle redelijke inspanningen heeft geleverd om een ​​dergelijke boete in de administratieve procedures af te wenden of te verminderen.

§ 10 Diverse bepalingen

(1) De huidige JCA zal worden beheerst door hetzelfde recht als de Master Agreement, en de bevoegde rechtbanken die zijn overeengekomen tussen de Partijen onder de Master Agreement hebben de exclusieve jurisdictie met betrekking tot alle conflicten die voortkomen uit of in verband staan ​​met de huidige JCA. .

(2) Geen enkele wijziging of wijziging van de huidige JCA is van kracht tenzij schriftelijk.

(3) Indien een bepaling in deze JCA door de bevoegde rechtbank als ongeldig of niet-afdwingbaar wordt beschouwd, blijven alle andere bepalingen volledig van kracht.

(4) Deze JCA treedt in werking op de datum waarop de Partijen de Master Agreement hebben ondertekend. Niettegenstaande het verstrijken van de looptijd van de Master Agreement, blijft deze van kracht tot, en zal automatisch vervallen na, verwijdering van alle persoonlijke gegevens door de Partijen en/of eventuele toepasselijke verwerkers.