Contrato de Processamento de Pedidos

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, ALEMANHA

– doravante “processador” –

e

a empresa indicada no contrato principal

– doravante denominado “responsável” –

O Processador e o Controlador são doravante também referidos individualmente como “Parte” ou coletivamente como “Partes”.

§ 1º Objeto do contrato

(1) Este Contrato de Processamento de Dados (“AVV”) é celebrado entre as partes com relação ao processamento de dados pessoais sob o contrato principal (doravante “Contrato Principal”). A prestação de serviços ao abrigo do contrato principal (“Serviços”) requer o tratamento de dados. Se e na medida em que esses dados consistirem ou contiverem dados pessoais, o processador atuará como processador em relação a esses dados, enquanto o responsável permanece responsável por esses dados de acordo com o art. 28 do Regulamento Geral de Proteção de Dados (doravante “RGPD”).

(2) Os Serviços são fornecidos pelo Processador de forma que o Controlador forneça seus próprios dados, controle sua transmissão ao Processador e, no caso de modelos de Software como Serviço, controle diretamente o manuseio de tais dados carregados no Serviços . O Controlador concorda e entende que o Processador não monitora os dados do Controlador ou o tratamento desses dados pelo Controlador, a menos que o Controlador solicite expressamente que o Processador acesse esses dados a esse respeito. Portanto, é de responsabilidade e obrigação exclusiva do Controlador garantir que os dados do Controlador sejam coletados e transmitidos de acordo com as leis de proteção de dados aplicáveis ​​e,

(3) Como processador, o processador apenas processará dados pessoais da pessoa responsável de acordo com as disposições deste AVV e as instruções documentadas da pessoa responsável. Se o Processador for obrigado por lei da União ou do Estado Membro ao qual o Processador está sujeito a processamento adicional dos Dados Pessoais, o Processador notificará o Controlador desses requisitos legais antes do processamento, a menos que a lei relevante exija tal notificação devido a um importante interesse público proíbe; Neste último caso, o processador informará o responsável sobre o processamento posterior assim que for legalmente permitido.

§ 2 Detalhes do processamento

(1) Os detalhes do processamento estão descritos nas disposições abaixo e no contrato principal. Tendo em conta as suas obrigações como responsável pelo tratamento, o responsável pelo tratamento informará o subcontratante se for necessário um aditamento às especificações feitas no contrato principal.

(2) O processador processará os dados pessoais conforme detalhado no contrato principal.

(3) O processador geralmente processará dados pessoais durante a vigência do contrato principal e do presente GCU, salvo acordo em contrário por escrito.

§ 3º Local de processamento dos dados; Transmissão para países terceiros

(1) O processador apenas processará dados pessoais em sua própria sede ou na sede de seus subprocessadores autorizados. De acordo com isso, todas as operações de processamento são realizadas, em princípio, nos estados membros da União Europeia ou em outro estado que seja parte do Tratado do Espaço Econômico Europeu.

(2) Qualquer processamento de dados pessoais fora da UE/EEE só é permitido com acordo prévio entre as partes e somente se os requisitos do art. 44 e segs. GDPR são atendidos.

§ 4 Instruções do responsável

(1) As partes concordam que estes AVV contêm as instruções gerais da pessoa responsável no que diz respeito ao processamento de dados pessoais em nome do processador.

(2) Instruções especiais da pessoa responsável que se desviem das disposições deste AVV ou que imponham novas obrigações adicionais ao processador requerem o consentimento do processador para serem eficazes. Para tais instruções especiais, as partes aplicarão o procedimento de alteração que possa ter sido acordado no contrato principal.

(3) É responsabilidade do responsável garantir que as instruções dadas por ele em relação ao processamento de dados pessoais no pedido estejam de acordo com as leis de proteção de dados aplicáveis ​​e que o processador do pedido seja capaz de processar dados pessoais de acordo com as instruções sem violar as leis de proteção de dados aplicáveis ​​ao processador do pedido, em particular para violar o GDPR. Se o processador considerar que uma instrução do responsável viola as leis de proteção de dados aplicáveis, o processador informará o responsável. Nesses casos, o Processador tem o direito de recusar a execução da instrução até que o Controlador confirme a instrução.

(4) As instruções especiais do responsável são dadas por escrito ou pelo menos em forma de texto, pelos responsáveis ​​por isso por parte do responsável. As instruções orais devem ser confirmadas imediatamente por uma das pessoas autorizadas e pelo menos em forma de texto para serem eficazes.

§ 5 Garantias do processador

(1) Os funcionários do Processador: (i) na medida em que estejam autorizados a processar os Dados Pessoais, estejam vinculados a um dever de confidencialidade ou estejam sujeitos a um dever legal de confidencialidade apropriado; (ii) processará apenas Dados Pessoais de acordo com as instruções do Processador, a menos que exigido de outra forma pelas leis de proteção de dados aplicáveis; e (iii) sejam instruídos a intervalos regulares sobre as obrigações decorrentes deste AVV e as leis de proteção de dados aplicáveis, em particular o DS-GVO.

(2) O processador não pode fazer cópias ou duplicatas dos dados pessoais processados ​​no pedido no âmbito do processamento do pedido sem o consentimento prévio do responsável. No entanto, isso não se aplica a cópias necessárias para garantir o processamento adequado de dados e a prestação adequada de serviços (incluindo backup de dados), bem como cópias necessárias para cumprir os requisitos legais de retenção.

(3) O processador nomeará um responsável pela proteção de dados competente e confiável se e enquanto existirem os requisitos legais para a nomeação de um responsável pela proteção de dados. O processador informará o responsável das informações de contato de um responsável pela proteção de dados designado dessa maneira.

§ 6 Medidas técnicas e organizacionais

(1) Antes do início do processamento, o processador deve implementar as medidas técnicas e organizacionais listadas em www.fitness-nation.com/support/tom.html e mantê-las durante a vigência deste GCU. São medidas técnicas e organizacionais para garantir um nível de proteção adequado ao risco no que diz respeito à confidencialidade, integridade, disponibilidade e resiliência dos sistemas. O estado da arte, os custos de implementação e o tipo, âmbito, circunstâncias e finalidades do tratamento, bem como as diferentes probabilidades de ocorrência e gravidade do risco para os direitos e liberdades das pessoas singulares na aceção do art. 32 Pará. 1 DS-GVO são levados em consideração.

(2) Como as medidas técnicas e organizacionais estão sujeitas ao progresso técnico e desenvolvimentos tecnológicos, o processador pode implementar medidas alternativas e apropriadas se isso exceder o padrão de segurança das medidas especificadas em www.fitness-nation.com/support/tom .html não é rebaixado.

§ 7º Engajamento de subprocessadores

(1) O processador só pode contratar subprocessadores no que diz respeito ao processamento de dados pessoais em nome da pessoa responsável com o consentimento prévio da pessoa responsável. A pessoa responsável então dá seu consentimento para o uso dos subprocessadores nomeados em www.fitness-nation.com/support/subunternehmer.html.

(2) O processador imporá a cada subprocessador obrigações em relação à proteção de dados, confidencialidade e segurança de dados que sejam pelo menos tão estritas quanto as obrigações do processador para com o controlador estabelecidas nestes GCU. Se um subprocessador não cumprir com essas obrigações impostas a ele, o processador será responsável por essas violações como se fosse sua própria culpa.

(3) O processador notificará o controlador por escrito sobre qualquer nova atribuição de um subprocessador. Se, após o recebimento de tal notificação, o responsável declarar, no prazo de 30 (trinta) dias, que se opõe ao uso, apresentando motivo razoável, as partes buscarão uma solução amigável. Nesse caso, se uma solução amigável não puder ser alcançada dentro de dois (2) meses, o controlador tem o direito de rescindir o contrato principal no que diz respeito aos serviços para os quais o uso do subprocessador proposto é necessário.

(4) As partes concordam que os provedores de meros serviços auxiliares não são processadores na acepção das leis de proteção de dados; isto inclui, em particular, serviços de transporte de correio ou serviços de correio, bem como serviços de transporte de dinheiro, serviços de telecomunicações, serviços de segurança e serviços de limpeza. Independentemente disso, o processador celebrará acordos de confidencialidade habituais na indústria com esses subcontratados.

(5) Os regulamentos neste § 7 também se aplicam se um subprocessador estiver envolvido em um terceiro país fora da UE ou do EEE. Sujeito ao consentimento do controlador para o uso do subprocessador, o controlador autoriza o processador a celebrar um contrato em nome do controlador com um subprocessador que processa dados do controlador fora da UE ou do EEE, incluindo as cláusulas contratuais padrão da UE para a transmissão de dados pessoais a processadores em países terceiros com data de 05.02.2010 ou possivelmente posterior pela Comissão da UE ou as cláusulas padrão de proteção de dados da autoridade supervisora ​​competente.

§ 8º Obrigações de apoio ao responsável

(1) Mediante solicitação por escrito do Controlador, o Processador fornecerá suporte razoável ao Controlador no caso de uma investigação ou consulta por uma autoridade supervisora ​​de proteção de dados, na medida em que tal investigação ou consulta esteja relacionada aos Serviços. O Processador envidará esforços razoáveis ​​para ajudar o Controlador a cumprir quaisquer obrigações relacionadas a tal investigação ou solicitação. Se uma autoridade supervisora ​​de proteção de dados iniciar uma investigação diretamente com o processador ou enviar uma solicitação correspondente diretamente ao processador, o processador informará o controlador de dados imediatamente, na medida em que for permitido, e cooperará no contexto desta investigação ou solicitação.

(2) O Processador deverá informar o Controlador imediatamente se descobrir uma violação da proteção de dados pessoais em conexão com o processamento de dados pessoais sob este GCU. Se, como resultado de tal notificação, a pessoa responsável tiver obrigações de comunicação às autoridades supervisoras de proteção de dados e/ou titulares de dados (em particular dos artigos 33, 34 DS-GVO), o processador apoiará a pessoa responsável no cumprimento dessas comunicações obrigações na medida apropriada e necessária. Desde que o processador não seja culpado por um incidente de proteção de dados comunicável, o processador tem o direito de cobrar pelos serviços de suporte de acordo com as taxas de remuneração acordadas no contrato principal.

(3) O subcontratante apoiará o responsável pelo tratamento, tendo em conta o tipo de tratamento e as informações disponíveis para o subcontratante, numa avaliação do impacto na proteção de dados que possa ter de ser efetuada relativamente ao tratamento de dados pessoais, incluindo, quando necessário, consulta à autoridade supervisora ​​de proteção de dados competente (Art. 35, 36 GDPR). O processador tem o direito de calcular as despesas dos serviços de suporte de acordo com as taxas de remuneração acordadas no contrato principal.

(4) O processador informará imediatamente a pessoa responsável se um titular de dados entrar em contato diretamente com o processador com uma reclamação, consulta ou para exercer os direitos a que tem direito. O processador não responderá à solicitação em si, a menos que o controlador tenha instruído expressamente o processador a fazê-lo. O Processador fornecerá assistência razoável ao Controlador para responder a tais reclamações, consultas e solicitações dos titulares dos dados. O processador tem o direito de calcular as despesas dos serviços de suporte de acordo com as taxas de remuneração acordadas no contrato principal.

§ 9 Devolução ou Exclusão Devolução de dados pessoais

(1) Ao ser instruído a fazê-lo pelo Controlador durante a vigência deste GCU ou após sua rescisão ou após o término do processamento de dados pessoais sob o contrato individual relevante, o Processador destruirá, apagará ou devolverá os dados processados ​​em nome do Controlador. Se as leis aplicáveis ​​proibirem o processador de destruir, excluir ou devolver os dados pessoais processados ​​no pedido, o processador não processará mais ativamente esses dados, mas apenas para cumprir as disposições legais,

(2) O processador criará um registro de cada destruição ou exclusão de dados pessoais, que será disponibilizado ao responsável mediante solicitação.

§ 10 Auditoria

(1) O responsável tem o direito de utilizar as instalações comerciais do subcontratante no horário normal de expediente (de segunda a sexta-feira das 9h00 às 17h00) às suas expensas, sem perturbar o processo operacional e com estrita confidencialidade da empresa e dos segredos comerciais do subcontratante, nos quais são processados ​​os dados do responsável, para garantir o cumprimento destes AVV. A pessoa responsável geralmente anunciará essa inspeção no local com antecedência (pelo menos duas semanas de antecedência).

(2) Em regra, o responsável tem o direito de realizar uma inspecção in loco na acepção do número anterior por ano civil. Isso não afeta o direito da pessoa responsável de realizar outras inspeções no local em caso de eventos especiais.

(3) Se o responsável contratar um terceiro para realizar a inspeção, o responsável deve obrigar o terceiro por escrito da mesma forma que o responsável está obrigado ao processador com base nestes AVV. Além disso, o responsável deve obrigar o terceiro a manter sigilo e sigilo, salvo se o terceiro estiver sujeito a uma obrigação profissional de confidencialidade. A pedido do subcontratante, o responsável deve submeter sem demora os acordos de compromisso com o terceiro ao subcontratante. O controlador não pode confiar o controle a um concorrente do controlador.

(4) Em vez de uma inspeção no local, a prova de conformidade com este AVV também pode ser fornecida pelo cumprimento de códigos de conduta aprovados de acordo com o art. 40 GDPR, certificação de acordo com um procedimento de certificação aprovado de acordo com o art. 42 GDPR e a apresentação de um documento adequado, atestados atuais, relatórios ou extratos de relatórios de órgãos independentes (por exemplo, auditores, auditores, encarregados de proteção de dados, departamento de segurança de TI, auditores de proteção de dados ou auditores de qualidade) ou uma certificação adequada por segurança de TI ou auditoria de proteção de dados – por exemplo, de acordo com a ISO 27001 – (“relatório de auditoria”) , se o relatório de auditoria permitir que o responsável se convença de maneira razoável do cumprimento dessas AVV.

(5) Se e na medida em que uma inspeção no local não se tornou necessária devido a má conduta por parte do processador, o processador tem o direito de cobrar pelas inspeções no local de acordo com as taxas de remuneração acordadas no principal contrato.

§ 11 Outras Disposições

(1) O presente AVV está sujeito à mesma lei que o contrato principal e, para todas as disputas decorrentes e relacionadas a este AVV, os tribunais acordados pelas partes no contrato principal terão jurisdição exclusiva.

(2) As alterações ou aditamentos ao presente AVV só são eficazes se tiverem sido feitas por escrito.

(3) Se uma disposição deste AVV for declarada inválida ou inexequível pelo tribunal competente, as demais disposições permanecerão em pleno vigor.

(4) Este AVV entra em vigor com a celebração do contrato principal como parte integrante. Independentemente do término do período contratual do contrato principal, ele se aplica até e expira automaticamente quando todos os dados pessoais forem excluídos pelo processador e/ou todos os subprocessadores usados.