BLACK FRIDAY

Umowa współadministratora

Między

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
NIEMCY

– zwany dalej „Administratorem A” –

oraz

firma wymieniona w umowie głównej

– zwany dalej „Administratorem B” –

Administrator A i Administrator B mogą być dalej określani również indywidualnie „Stroną” lub łącznie „Stronami”.

§ 1 Przedmiot Umowy

(1) Niniejsza Umowa o współadministrowanie (dalej „JCA”) zawierana jest pomiędzy Stronami w zakresie przetwarzania danych osobowych na podstawie zawartej Umowy Ramowej. Ponieważ Strony wspólnie ustaliły cele i sposoby opisanych poniżej operacji przetwarzania (dalej „Operacje przetwarzania”), uważają się za współadministratorów w rozumieniu art. 26 ogólnego rozporządzenia o ochronie danych (dalej „RODO”).

(2) W celu uniknięcia wątpliwości każda ze Stron ponosi wyłączną odpowiedzialność i pełną odpowiedzialność jako jeden administrator w rozumieniu art. 4 nie. 7 RODO i żadna ze Stron nie będzie miała żadnych obowiązków ani zobowiązań wobec odpowiedniej drugiej Strony w odniesieniu do wszelkich operacji przetwarzania, które wykraczają poza zakres niniejszego JCA.

(3) Niniejszy JCA obejmuje obowiązki i zobowiązania Stron wobec siebie w odniesieniu do operacji przetwarzania. W przypadku konfliktu między postanowieniami niniejszego JCA i Umowy Ramowej, pierwszeństwo ma ta pierwsza, o ile iw takim zakresie, w jakim taki konflikt wpływa na obowiązki i zobowiązania Stron w odniesieniu do Operacji Przetwarzania. Niezależnie od powyższego, Strony uzgadniają, że żadna ze Stron nie jest uprawniona do żadnego wynagrodzenia z tytułu wykonywania obowiązków wynikających z niniejszego JCA, ale są one w pełni objęte wynagrodzeniem uzgodnionym na podstawie Umowy Ramowej.

(4) O ile niniejsze JCA nie postanowiono inaczej, użyte w nim terminy mają znaczenie przypisane im w art. 4 RODO.

§ 2 Zasady i szczegóły operacji przetwarzania

(1) Strony oświadczają i gwarantują, że wszelkie dane osobowe są gromadzone i dalej przetwarzane zgodnie z postanowieniami niniejszego JCA oraz obowiązującymi przepisami o ochronie danych, w szczególności, ale nie wyłącznie, z zasadami dotyczącymi przetwarzania danych osobowych określone w art. 5 ust. 1 RODO. Jeżeli którakolwiek ze Stron uzna, że ​​odpowiednia druga Strona w trakcie wykonywania niniejszego JCA naruszy postanowienia niniejszego JCA lub obowiązujące przepisy dotyczące ochrony danych, niezwłocznie poinformuje o tym tę drugą Stronę.

(2) W ramach Operacji Przetwarzania Strony będą przetwarzać wszystkie dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

(3) Żadna ze Stron nie będzie wykonywać żadnych kopii ani duplikatów danych osobowych przetwarzanych na mocy niniejszego JCA, chyba że jest to wymagane do Operacji Przetwarzania (w tym tworzenia kopii zapasowych danych) lub do przestrzegania ustawowych obowiązków przechowywania.

(4) Szczegóły Operacji Przetwarzania są określone w Załączniku A. Dane te obejmują wyczerpujący opis charakteru, celu i przedmiotu Operacji Przetwarzania, kategorie osób, których dane dotyczą, których dotyczą Operacje Przetwarzania oraz rodzaje przetwarzanych danych osobowych. Ponadto Strony określą w Załączniku A każdy etap Operacji Przetwarzania, wskazując (a) która Strona jest odpowiedzialna za który z tych kroków oraz (b) podstawę prawną takiej Operacji Przetwarzania.

(5) Jeżeli jest to wymagane ze względu na zmianę samych Operacji Przetwarzania i/lub w wyniku zmiany lub uzupełnienia Umowy Ramowej, Strony odpowiednio zaktualizują postanowienia Załącznika A. Biorąc pod uwagę obowiązki Stron jako współadministratorów, każda ze Stron jest odpowiedzialna za poinformowanie odpowiedniej drugiej Strony, jeśli uważa, że ​​postanowienia Załącznika A wymagają aktualizacji. Niezależnie od powyższego, każda ze Stron będzie regularnie, ale nie rzadziej niż raz w roku, sprawdzać, czy postanowienia Załącznika A nadal odzwierciedlają bieżące Operacje Przetwarzania.

(6) Strony niniejszym przyznają Administratorowi A uprawnienia do wdrażania decyzji dotyczących Operacji Przetwarzania w odniesieniu do wszystkich współadministratorów, w wyniku czego Kontroler A jest głównym zakładem w Unii Europejskiej dla Operacji Przetwarzania dla Stron. W związku z tym wiodącym organem nadzorczym dla Operacji Przetwarzania jest organ nadzorczy NRW.

§ 3 Miejsce Przetwarzania; Przelew do krajów trzecich i Wielkiej Brytanii

(1) Strony będą przetwarzać dane osobowe wyłącznie we własnym lokalu lub w siedzibie upoważnionego podwykonawcy. Ogólnie rzecz biorąc, wszelkie Operacje Przetwarzania będą zatem przeprowadzane w państwach członkowskich Unii Europejskiej lub w innym państwie będącym stroną Umowy o Europejskim Obszarze Gospodarczym.

(2) Jakiekolwiek przetwarzanie danych osobowych poza UE/EOG jest dozwolone wyłącznie za uprzednią zgodą Stron i tylko w przypadku spełnienia warunków art. 44 i nast. RODO są spełnione.

(3) Dla celów niniejszego JCA Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej będzie traktowane jako państwo trzecie w celu ograniczenia ryzyka „Brexitu”. W związku z tym wszelkie przetwarzanie danych w Wielkiej Brytanii jest dopuszczalne tylko wtedy, gdy są odpowiednie zabezpieczenia w rozumieniu art. 46 RODO uzgodniono jako kopię zapasową.

§ 4 Prawa podmiotów danych

(1) Strony przekażą osobom, których dane dotyczą, informacje zgodnie z art. 13, 14 RODO w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W tym zakresie Strony uzgadniają, że (a) Polityka Prywatności widoczna w sekcji „Prywatność” spełnia wyżej wymienione wymogi art. 12 ust. 1 RODO, (b) z uwzględnieniem art. 13 ust. 4, 14 ust. 5 nie. 1 RODO nie ma dalszego obowiązku informacyjnego dotyczącego Operacji Przetwarzania, a (c) Polityka Prywatności zawiera istotę uzgodnienia w rozumieniu art. 26 ust. 2 RODO, który jest tym samym udostępniany osobom, których dane dotyczą. § 2 ust. 5 stosuje się odpowiednio.

(2) Strony wyznaczają Administratora A jako punkt kontaktowy dla osób, których dane dotyczą. Jednakże Strony są świadome, że niezależnie od niniejszej Umowy osoba, której dane dotyczą, może wykonywać swoje prawa w stosunku do każdej ze Stron i przeciwko każdej ze Stron. W związku z tym Administrator B musi bez zbędnej zwłoki powiadomić Administratora A o każdej skardze, komunikacji lub żądaniu otrzymanej bezpośrednio od osoby, której dane dotyczą, i dotyczącej jej danych osobowych, bez odpowiadania na to żądanie. Administrator B zapewni Administratorowi A wymaganą pomoc w związku ze skargą, komunikacją lub wnioskiem otrzymanym od osoby, której dane dotyczą.

(3) Administrator A dostarczy osobie, której dane dotyczą, potwierdzenie, czy dotyczące jej dane osobowe są przetwarzane w ramach Operacji Przetwarzania. W takim przypadku Administrator A przekazuje osobie, której dane dotyczą, informacje określone w art. 15 ust. 1 RODO oraz kopię danych przetwarzanych w ramach Operacji Przetwarzania zgodnie z art. 15 ust. 3 RODO.

(4) Administrator A rozpatruje z należytą starannością każdy wniosek osoby, której dane dotyczą, dotyczący (a) sprostowania jej rzekomo niedokładnych danych osobowych, (b) usunięcia jej danych osobowych, (c) ograniczenia przetwarzania swoje dane osobowe lub (d) prawo do przenoszenia danych przez osobę, której dane dotyczą. Po rozpatrzeniu, Administrator A ustala, czy żądanie jest zasadne, czy nie oraz która ze Stron jest lub czy obie Strony są zobowiązane do sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania lub do wykonania prawa osoby, której dane dotyczą ruchliwość. Kontroler A informuje odpowiednio Kontrolera B.

(5) Jeżeli żądanie usunięcia danych osobowych jest zasadne lub po rozwiązaniu lub wygaśnięciu Umowy Ramowej, Strony usuną odpowiednie lub wszystkie dane osobowe. Jeżeli przepisy dotyczące ochrony danych, którym podlega Strona, uniemożliwiają Stronie usunięcie całości lub części danych osobowych, Strona ta musi zagwarantować, że (a) zachowana zostanie poufność takich danych osobowych, (b) nie będzie aktywnie przetwarzać takich danych osobowych, oraz (c) usunie takie dane osobowe, gdy tylko ustawowy obowiązek nieusuwania danych osobowych przestanie obowiązywać. Każda ze Stron sporządzi raport dotyczący każdego usunięcia danych osobowych, który zostanie przedłożony odpowiedniej drugiej Stronie na żądanie.

§ 5 Wzajemne Oświadczenia Stron

(1) Strony wyznaczyły upoważnionych przedstawicieli i zastępców jako pojedyncze punkty kontaktowe dla wszelkiej komunikacji dotyczącej Operacji Przetwarzania w ich prywatności. Upoważniony przedstawiciel: Strony niezwłocznie powiadomią się wzajemnie na piśmie o każdej zmianie osoby upoważnionego odbiorcy lub jego zastępcy lub ich trwałej przeszkodzie, wyznaczając zastępcę. Do czasu otrzymania takiego powiadomienia przez odpowiednią drugą Stronę wyznaczone osoby będą nadal miały prawo do otrzymywania korespondencji od odpowiedniej drugiej Strony, a korespondencję do nich skierowaną uważa się za prawidłowo wykonaną.

(2) Wszelka komunikacja między Stronami jest z zasady dokonywana na piśmie lub przynajmniej w formie tekstowej przez osoby do tego upoważnione zgodnie z niniejszym JCA. Komunikację ustną potwierdza się niezwłocznie na piśmie lub w formie tekstowej bez zbędnej zwłoki.

(3) Pracownicy każdej ze Stron: (a) mający dostęp do danych osobowych zobowiązali się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności; (b) przetwarza dane osobowe wyłącznie zgodnie z poleceniem Strony zatrudniającej, chyba że przepisy o ochronie danych stanowią inaczej; oraz (c) będą od czasu do czasu zapewniane, w miarę potrzeby, szkolenia, ale nie rzadziej niż raz w roku, w zakresie obowiązków Stron wynikających z niniejszego JCA, z przepisów o ochronie danych, a w szczególności z RODO.

(4) Na żądanie Strony będą pomagać sobie nawzajem w przypadku dochodzenia lub wniosku organu nadzorczego, jeżeli i w zakresie, w jakim takie dochodzenie lub wniosek dotyczy Operacji Przetwarzania. Strony podejmą niezbędne kroki w celu wypełnienia wszelkich zobowiązań w związku z takim dochodzeniem lub wnioskiem. Niezależnie od jakiegokolwiek wniosku o pomoc, Strony w każdym przypadku powiadomią się nawzajem o takim dochodzeniu przez organ nadzorczy lub o jego wniosku.

(5) Strony poinformują się nawzajem niezwłocznie, jednak nie później niż w ciągu 24 godzin, jeśli wykryją naruszenie ochrony danych osobowych w związku z Operacjami Przetwarzania. Zawiadomienie to musi zawierać informacje określone w art. 33 ust. 3 RODO, a przynajmniej w przypadku, gdy Strona zgłaszająca nie jest w stanie udzielić takiej informacji w terminie 24 godzin, wyjaśnienie co do (a) podstaw takiej niemożności, (b) przewidywanego dodatkowego terminu uzupełnienie informacji będzie wymagało od Strony zgłaszającej oraz (c) wpływu takiej niezdolności na środki podjęte w celu złagodzenia negatywnych skutków takiego naruszenia danych osobowych, jeśli takie istnieją. Jeżeli Strona jest prawnie zobowiązana do udzielenia informacji ze względu na zagrożenie praw i wolności osób fizycznych w wyniku takiego naruszenia danych osobowych (w szczególności między innymi obowiązki informacyjne zgodnie z art. 33, 34 Ustawy RODO), odpowiednia druga Strona musi pomagać Stronie zobowiązanej, najlepiej jak potrafi, w wypełnianiu jej obowiązków informacyjnych. O ile to możliwe, wszelka komunikacja dotycząca naruszenia danych osobowych z właściwym organem nadzorczym i/lub osobami, których dane dotyczą, zostanie uzgodniona między Stronami przed złożeniem.

(6) Biorąc pod uwagę charakter Operacji Przetwarzania oraz uwzględniając postanowienia art. 35 RODO Strony postanawiają, że ocena skutków dla ochrony danych nie jest wymagana. Jeżeli jednak przyszłe zmiany w Operacjach Przetwarzania wykażą, że Operacje Przetwarzania mogą skutkować wysokim ryzykiem naruszenia praw i wolności osób fizycznych, Strony będą współpracować i pomagać sobie nawzajem w niezbędnej wówczas ocenie skutków dla ochrony danych, i/ lub z wszelkimi konsultacjami regulacyjnymi, które Strony są prawnie zobowiązane do przeprowadzenia w odniesieniu do takiej oceny skutków dla ochrony danych zgodnie z art. 36 RODO.

§ 6 Środki techniczne i organizacyjne

(1) Przed rozpoczęciem przetwarzania Strony muszą wdrożyć środki techniczne i organizacyjne wymienione w TOM i utrzymywać je w okresie obowiązywania niniejszego JCA. Są to (a) środki zapewniające przestrzeganie praw osób, których dane dotyczą oraz (b) środki bezpieczeństwa danych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka dotyczącego poufności, integralności, dostępności i odporności systemów. Stan techniki, koszty wdrożenia oraz rodzaj, zakres i cele przetwarzania oraz różne prawdopodobieństwo i dotkliwość praw i wolności osób fizycznych w rozumieniu art. 32 ust. 1 RODO zostały uwzględnione.

(2) Ponieważ środki techniczne i organizacyjne podlegają postępowi technicznemu i rozwojowi technologicznemu, Strony mogą wdrażać alternatywne i odpowiednie środki, pod warunkiem, że poziom bezpieczeństwa środków określonych w TOM nie jest zagrożony.

(3) Jednakże Strona jest zobowiązana do wdrożenia dalszych środków, gdy okaże się, że (a) środki określone w TOM nie są już odpowiednie w rozumieniu ust. 1 powyżej ze względu na postęp techniczny i rozwój technologiczny, i/lub ( b) audyt lub dochodzenie przeprowadzone przez organ nadzorczy wykazały, że środki zastosowane w TOM są niewystarczające.

(4) Każda ze Stron udokumentuje wszelkie zmiany, o których mowa powyżej, i dostarczy drugiej Stronie kopię zmienionych lub zaktualizowanych środków technicznych i organizacyjnych.

§ 7 Dalsi Administratorzy; Mianowanie procesorów

(1) Strony przyjmują do wiadomości, że żaden inny administrator nie może, przystępując do niniejszego JCA, uzyskać dostępu do danych osobowych przetwarzanych do tej pory w ramach Operacji Przetwarzania. Ponadto Strony zgadzają się, że gdyby chciały włączyć innego administratora do przyszłych Operacji Przetwarzania, wymagałoby to (a) zmiany zarówno Umowy Ramowej, jak i obecnego JCA, (b) dokładnego wykonania procedury określonej w § 2 ust. 5, oraz (c) dostarczania aktualnych informacji osobom, których dane dotyczą, zgodnie z § 4 ust. 1.

(2) Wyznaczając podmiot przetwarzający, Strona wyznaczająca musi nałożyć obowiązki w zakresie prywatności, poufności i bezpieczeństwa danych na każdego takiego podmiotu przetwarzającego, który (a) spełnia wymogi art. 28, 29 RODO i (b) są co najmniej tak rygorystyczne, jak te określone w niniejszym JCA. § 3 ust. 2 i 3 stosuje się odpowiednio.

(3) Strona musi powiadomić drugą Stronę na piśmie o zamiarze wyznaczenia nowego podmiotu przetwarzającego. Jeżeli w ciągu trzydziestu (30) dni od otrzymania tego zawiadomienia Strona zawiadomiona powiadomi Stronę wyznaczającą na piśmie o jakimkolwiek uzasadnionym sprzeciwie wobec proponowanego powołania, Strony wynegocjują w dobrej wierze rozwiązanie alternatywne możliwe do zaakceptowania przez obie strony.

(4) W przypadku gdy podmiot przetwarzający nie wypełnia swoich zobowiązań w odniesieniu do Operacji Przetwarzania, Strona wyznaczająca pozostaje w pełni odpowiedzialna wobec odpowiedniej drugiej Strony za wykonanie obowiązków tego podmiotu przetwarzającego.

(5) Strony zgadzają się, że dostawcy usług pomocniczych nie są podmiotami przetwarzającymi w rozumieniu przepisów o ochronie danych; obejmuje to w szczególności usługi transportowe firm pocztowych lub kurierskich, usługi transportu gotówki, usługi telekomunikacyjne, usługi ochrony oraz usługi sprzątania. Jednakże Strony zawrą zwyczajowe umowy o zachowaniu poufności z takimi usługodawcami.

§ 8 Prawa do audytu

(1) Każda ze Stron może skontrolować przestrzeganie przez drugą Stronę niniejszego JCA, jeżeli jest to wymagane w celu (a) prawidłowego wypełnienia zobowiązania wobec organu nadzorczego lub (b) przekonania się, że odpowiednia druga Strona dostosowała swoje procesy do postanowienia niniejszego JCA po naruszeniu ochrony danych osobowych.

(2) Jeżeli taki audyt wymaga inspekcji na miejscu, zwykle przeprowadza się go w normalnych godzinach pracy i bez nieuzasadnionego zakłócania działalności biznesowej. Strona przeprowadzająca audyt z odpowiednim wyprzedzeniem poinformuje drugą Stronę o wszelkich okolicznościach związanych z przeprowadzeniem audytu.

(3) Strona może zlecić przeprowadzenie audytu osobie trzeciej. W takim przypadku jednak osoba trzecia jest zobowiązana na piśmie do zachowania ścisłej tajemnicy i poufności, chyba że osoba trzecia podlega zawodowemu obowiązkowi zachowania tajemnicy.

§ 9 Odpowiedzialność

(1) Strony przyjmują do wiadomości, że ponoszą odpowiedzialność wobec osób, których dane dotyczą, w zakresie Operacji Przetwarzania zgodnie z art. 82 ust. 1–4 RODO.

(2) Jeżeli Strona, zgodnie z art. 82 ust. 4, wypłacił osobie, której dane dotyczą, pełne odszkodowanie za poniesioną szkodę, Strona ta ma prawo dochodzić od odpowiedniej drugiej Strony tej części odszkodowania odpowiadającej części odpowiedzialności tej drugiej Strony za szkodę.

(3) Ustęp 2 stosuje się odpowiednio w przypadku, gdy organ nadzorczy nałożył na Stronę karę administracyjną, o ile naruszenie, które spowodowało nałożenie kary administracyjnej, było w całości lub w części spowodowane przez odpowiednią inną Nieprzestrzeganie przez Stronę niniejszego JCA lub obowiązujących przepisów o ochronie danych. Jednakże Strona może żądać odszkodowania z tytułu grzywny administracyjnej tylko wtedy, gdy dołożyła wszelkich uzasadnionych starań, aby uniknąć lub zmniejszyć taką grzywnę w ramach procedur administracyjnych.

§ 10 Postanowienia różne

(1) Obecny JCA będzie podlegać temu samemu prawu, co Umowa Ramowa, a właściwe sądy uzgodnione między Stronami w ramach Umowy Ramowej będą miały wyłączną jurysdykcję w odniesieniu do wszelkich konfliktów wynikających z lub w związku z niniejszym JCA .

(2) Żadna modyfikacja ani poprawka niniejszego JCA nie będą skuteczne, chyba że zostaną sporządzone na piśmie.

(3) Jeżeli jakiekolwiek postanowienie niniejszego JCA zostanie uznane przez właściwy sąd za nieważne lub niewykonalne, wszystkie pozostałe postanowienia pozostaną w pełnej mocy.

(4) Niniejsze JCA wejdzie w życie z dniem podpisania przez Strony Umowy Ramowej. Niezależnie od wygaśnięcia Umowy Ramowej, będzie ona obowiązywać do czasu usunięcia wszystkich danych osobowych przez Strony i/lub odpowiednich podmiotów przetwarzających i automatycznie wygaśnie po ich usunięciu.