Contrato de Controlador Conjunto

Entre

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
ALEMANHA

– doravante referido como “Controlador A” –

e

a empresa indicada no contrato principal

– doravante denominado “Controlador B” –

O Controlador A e o Controlador B podem doravante também ser referidos individualmente como uma “Parte” ou em conjunto como as “Partes”.

§ 1º Objeto do Contrato

(1) Este Contrato de Controlador Conjunto (doravante “JCA”) é celebrado entre as Partes no que diz respeito ao processamento de dados pessoais por meio do Contrato Master concluído. Como as Partes determinaram em conjunto as finalidades e os meios das operações de processamento descritas abaixo (doravante “Operações de processamento”), elas se consideram controladores conjuntos na acepção do art. 26 do Regulamento Geral de Proteção de Dados (doravante “RGPD”).

(2) Para evitar dúvidas, cada Parte permanecerá a única responsável e totalmente responsável como um único controlador na acepção do art. 4 não. 7 do GDPR, e nenhuma das Partes terá quaisquer deveres ou obrigações para com a respectiva outra Parte em relação a toda e qualquer operação de processamento que esteja fora do escopo do presente JCA.

(3) O presente JCA compreende os deveres e obrigações das Partes entre si no que diz respeito às Operações de Processamento. Em caso de conflito entre as disposições do presente JCA e do Contrato Master, prevalecerá o primeiro, se e na medida em que tal conflito afetar os deveres e obrigações das Partes em relação às Operações de Processamento. Não obstante o acima exposto, as Partes concordam que nenhuma das Partes terá direito a qualquer remuneração pelo cumprimento de suas funções nos termos do presente JCA, mas que estas estão totalmente cobertas pela remuneração acordada no Contrato Master.

(4) Salvo disposição em contrário no presente JCA, os termos aqui utilizados terão o significado que lhes é atribuído no art. 4º do RGPD.

§ 2 Princípios e Detalhes das Operações de Processamento

(1) As Partes declaram e garantem que todos e quaisquer dados pessoais são coletados e processados ​​em conformidade com as disposições do presente JCA e as leis de proteção de dados aplicáveis, em particular, mas não limitados aos princípios relativos ao processamento de dados pessoais estabelecido no art. 5 par. 1 do RGPD. Se uma das Partes considerar que a respectiva outra Parte, no curso da execução do presente JCA, infringiu as disposições deste JCA ou as leis de proteção de dados aplicáveis, informará imediatamente essa outra Parte.

(2) No decorrer das Operações de Processamento, as Partes processarão todos os dados pessoais em um formato estruturado, comumente usado e legível por máquina.

(3) Nenhuma das Partes fará cópias ou duplicatas de dados pessoais processados ​​sob o presente JCA, a menos que isso seja necessário para as Operações de Processamento (incluindo backups de dados) ou para cumprir as obrigações estatutárias de retenção.

(4) Os detalhes das Operações de Processamento são apresentados no Apêndice A. Esses detalhes incluem uma descrição exaustiva da natureza, finalidade e assunto das Operações de Processamento, as categorias de titulares de dados afetados pelas Operações de Processamento e os tipos de dados pessoais que estão sendo processados. Além disso, as Partes especificarão no Apêndice A cada etapa das Operações de Processamento, indicando (a) qual Parte é responsável por cada uma dessas etapas e (b) a base legal para tais Operações de Processamento.

(5) Se necessário devido a uma mudança nas próprias Operações de Processamento e/ou como resultado de uma alteração ou aditamento ao Contrato Master, as Partes atualizarão, respectivamente, as disposições do Apêndice A. Em consideração às obrigações das Partes como controladores conjuntos, é responsabilidade de qualquer uma das Partes informar a respectiva outra Parte se considerar que as disposições do Apêndice A precisam ser atualizadas. Não obstante o acima mencionado, qualquer uma das Partes verificará regularmente, mas não menos de uma vez por ano, se as disposições do Apêndice A ainda refletem as Operações de Processamento então atuais.

(6) As Partes atribuem ao Controlador A o poder de implementar decisões sobre as Operações de Processamento em relação a todos os controladores conjuntos, resultando no Controlador A sendo o principal estabelecimento na União Europeia para as Operações de Processamento para as Partes. Portanto, a autoridade supervisora ​​principal das Operações de Processamento é a autoridade supervisora ​​da NRW.

§ 3º Local do Processamento; Transferência para Países Terceiros e Reino Unido

(1) As Partes processarão os dados pessoais apenas nas suas próprias instalações ou nas instalações do subcontratado autorizado. Em geral, quaisquer Operações de Processamento serão, portanto, realizadas nos estados membros da União Europeia ou em outro estado que seja parte do Acordo sobre o Espaço Econômico Europeu.

(2) Qualquer processamento de dados pessoais fora da UE/EEE só será permitido mediante acordo prévio das Partes e somente se as condições do Art 44 e seguintes. do GDPR sejam atendidos.

(3) Para efeitos do presente JCA, o Reino Unido da Grã-Bretanha e Irlanda do Norte será tratado como se fosse um terceiro país, a fim de mitigar os riscos de “Brexit”. Assim, qualquer processamento de dados no Reino Unido só será permitido se as salvaguardas apropriadas na acepção do art. 46 do GDPR foram acordados como um backup.

§ 4 Direitos dos Titulares dos Dados

(1) As Partes fornecerão aos titulares dos dados as informações de acordo com o art. 13, 14 do GDPR de forma concisa, transparente, inteligível e de fácil acesso, com linguagem clara e simples. A este respeito, as Partes concordam que (a) o Aviso de Privacidade visível em “Privacidade” atende aos requisitos acima mencionados do art. 12 par. 1º do RGPD, (b) considerando o art. 13 par. 4, 14 par. 5 não. 1 do GDPR, não há nenhuma obrigação de informação adicional sobre as Operações de Processamento, e (c) o Aviso de Privacidade contém a essência do acordo na acepção do art. 26 par. 2º do RGPD que é, assim, disponibilizado aos titulares dos dados. § 2 seção 5 deve ser aplicada em conformidade.

(2) As Partes designam o Controlador A como ponto de contato para os titulares dos dados. No entanto, as Partes estão cientes de que, independentemente do presente, o titular dos dados pode exercer os seus direitos em relação e contra cada uma das Partes. Portanto, o Controlador B deve notificar o Controlador A sem demora injustificada sobre qualquer reclamação, comunicação ou solicitação recebida diretamente de um titular de dados e referente a seus dados pessoais, sem responder a essa solicitação. O Controlador B fornecerá ao Controlador A a assistência necessária em relação a qualquer reclamação, comunicação ou solicitação recebida de um titular de dados.

(3) O Controlador A deve fornecer ao titular dos dados a confirmação se os dados pessoais relativos a ele estão ou não sendo processados ​​como parte das Operações de Processamento. Nesse caso, o Controlador A fornecerá ao titular dos dados as informações estabelecidas no art. 15 par. 1 do GDPR, e uma cópia dos dados em processamento como parte das Operações de Processamento de acordo com o art. 15 par. 3º do RGPD.

(4) O Controlador A examinará com o devido cuidado qualquer solicitação de um titular de dados referente (a) à retificação de seus dados pessoais supostamente imprecisos, (b) ao apagamento de seus dados pessoais, (c) à restrição de processamento seus dados pessoais, ou (d) o direito à portabilidade de dados de tal titular de dados. Após exame, o Controlador A determinará se a solicitação é fundamentada ou não, e qual Parte é ou se ambas as Partes são obrigadas a retificar ou apagar os dados pessoais, ou restringir seu processamento, ou executar o direito do titular dos dados aos dados portabilidade. O Controlador A deve informar o Controlador B, respectivamente.

(5) Se uma solicitação de exclusão de dados pessoais for fundamentada, ou após a rescisão ou expiração do Contrato Principal, as Partes deverão apagar os respectivos ou todos os dados pessoais. Se as leis de proteção de dados às quais uma Parte está sujeita impedirem esta Parte de apagar todos ou parte dos dados pessoais, esta Parte deve garantir que (a) a confidencialidade de tais dados pessoais seja mantida, (b) não processará ativamente tais dados pessoais dados pessoais e (c) apagará esses dados pessoais assim que a obrigação legal de não apagar os dados pessoais deixar de vigorar. Qualquer uma das Partes elaborará um relatório sobre qualquer apagamento de dados pessoais, que será submetido à respectiva outra Parte mediante solicitação.

§ 5 Representações Mútuas das Partes

(1) As Partes nomearam representantes e suplentes autorizados como pontos únicos de contato para todas as comunicações relativas às Operações de Processamento em sua privacidade. Representante autorizado: As Partes notificar-se-ão imediatamente, por escrito, de qualquer alteração da pessoa do destinatário autorizado ou do seu substituto ou do seu impedimento permanente, designando um substituto. Até que tal notificação seja recebida pela respectiva outra Parte, as pessoas designadas continuarão a ter direito a receber comunicações da respectiva outra Parte e as comunicações que lhes forem dirigidas serão consideradas devidamente feitas.

(2) Quaisquer comunicações entre as Partes devem, em princípio, ser feitas por escrito ou pelo menos em forma de texto pelas pessoas autorizadas a fazê-lo de acordo com o presente JCA. As comunicações orais devem ser confirmadas imediatamente por escrito ou em forma de texto, sem demora injustificada.

(3) Os funcionários de qualquer uma das Partes: (a) que tenham acesso a dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal de confidencialidade apropriada; (b) processará dados pessoais apenas conforme instruído pela Parte empregadora, a menos que seja exigido de outra forma pelas leis de proteção de dados; e (c) devem receber treinamento conforme necessário de tempos em tempos, mas não menos que uma vez por ano, com relação às obrigações das Partes sob este JCA, sob as leis de proteção de dados e, em particular, sob o GDPR.

(4) Mediante solicitação, as Partes prestarão assistência mútua no caso de uma investigação ou solicitação de uma autoridade supervisora, se e na medida em que tal investigação ou solicitação estiver relacionada às Operações de Processamento. As Partes tomarão as medidas necessárias para cumprir quaisquer obrigações relacionadas a tal investigação ou solicitação. Independentemente de qualquer solicitação de assistência, as Partes, em qualquer caso, notificarão uma à outra sobre qualquer investigação ou solicitação de uma autoridade supervisora.

(5) As Partes se informarão sem demora, mas em nenhum caso dentro de 24 horas se descobrirem uma violação de dados pessoais em conexão com as Operações de Processamento. Esta notificação deve conter as informações previstas no art. 33 par. 3 do RGPD, ou pelo menos, se a Parte declarante não puder fornecer tais informações no prazo de 24 horas, uma explicação sobre (a) os motivos dessa incapacidade, (b) o período adicional previsto será necessário que a Parte relatora complete as informações e (c) o impacto de tal incapacidade nas medidas tomadas para mitigar os efeitos adversos de tal violação de dados pessoais, se houver. Se uma Parte for obrigada por lei a fornecer informações devido a um risco para os direitos e liberdades das pessoas físicas como resultado de tal violação de dados pessoais (em particular, mas não limitado aos deveres de informação de acordo com o Art. 33, 34 do GDPR), a respectiva outra Parte deve auxiliar a Parte obrigada no melhor de suas habilidades no cumprimento de seus deveres de informação. Se possível, qualquer comunicação relativa a uma violação de dados pessoais à autoridade supervisora ​​competente e/ou aos titulares dos dados deve ser acordada entre as Partes antes do envio.

(6) Tendo em conta a natureza das Operações de Processamento e considerando o disposto no art. 35 do GDPR, as Partes concordam que não é necessária uma avaliação do impacto da proteção de dados. No entanto, se futuras alterações nas Operações de Processamento revelarem que as Operações de Processamento provavelmente resultarão em um alto risco para os direitos e liberdades das pessoas físicas, as Partes cooperarão e ajudarão umas às outras com uma avaliação de impacto de proteção de dados necessária e/ ou com quaisquer consultas regulatórias que as Partes sejam legalmente obrigadas a fazer em relação a tal avaliação de impacto na proteção de dados de acordo com o art. 36 do RGPD.

§ 6º Medidas Técnicas e Organizacionais

(1) Antes do início do processamento, as Partes devem implementar as medidas técnicas e organizacionais listadas nos TOMs e mantê-las durante a vigência do presente JCA. Trata-se de (a) medidas para garantir o cumprimento dos direitos dos titulares dos dados e (b) medidas de segurança de dados para garantir um nível de proteção adequado ao risco de confidencialidade, integridade, disponibilidade e resiliência dos sistemas. O estado da arte, os custos de implementação e o tipo, âmbito e finalidades do tratamento, bem como a probabilidade e gravidade variáveis ​​dos direitos e liberdades das pessoas singulares na acepção do art. 32 par. 1 do GDPR foram levados em consideração.

(2) Uma vez que as medidas técnicas e organizacionais estão sujeitas ao progresso técnico e ao desenvolvimento tecnológico, as Partes podem implementar medidas alternativas e adequadas, desde que o nível de segurança das medidas especificadas nos TOMs não seja comprometido.

(3) No entanto, uma Parte é obrigada a implementar medidas adicionais quando se verificar que (a) as medidas estabelecidas nos TOMs não são mais adequadas na acepção da seção 1 acima devido ao progresso técnico e desenvolvimento tecnológico, e/ou ( b) uma auditoria ou investigação por uma autoridade supervisora ​​revelou que as medidas nos TOMs são insuficientes.

(4) Qualquer uma das Partes documentará quaisquer alterações mencionadas acima e fornecerá à respectiva outra Parte uma cópia das medidas técnicas e organizacionais alteradas ou atualizadas.

§ 7 Controladores Adicionais; Nomeação de Processadores

(1) As Partes reconhecem que nenhum outro controlador poderá, ao aderir ao presente JCA, ter acesso aos dados pessoais processados ​​no âmbito das Operações de Processamento. As Partes também concordam que, caso desejem incluir outro controlador em futuras Operações de Processamento, isso exigiria (a) uma alteração tanto do Contrato Master quanto do presente JCA, (b) uma execução completa do procedimento estabelecido no § 2 pára. 5, e (c) o fornecimento de informações atualizadas aos titulares dos dados de acordo com o § 4º par. 1.

(2) Ao nomear um processador, a Parte nomeadora deve impor obrigações de privacidade, confidencialidade e segurança de dados a qualquer processador que (a) atenda aos requisitos do art. 28, 29 do GDPR e (b) são pelo menos tão rigorosos quanto os estabelecidos no presente JCA. § 3 as seções 2 e 3 devem ser aplicadas em conformidade.

(3) Uma Parte deve notificar a respectiva outra Parte por escrito de sua intenção de nomear qualquer novo processador. Se, no prazo de 30 (trinta) dias após o recebimento dessa notificação, a Parte notificada notificar a Parte nomeadora por escrito de qualquer objeção razoável à nomeação proposta, as Partes negociarão de boa fé uma solução alternativa mutuamente aceitável.

(4) Quando um processador não cumprir suas obrigações com relação às Operações de Processamento, a Parte que o nomeou permanecerá totalmente responsável perante a respectiva outra Parte pelo cumprimento das obrigações desse processador.

(5) As Partes concordam que os prestadores de serviços auxiliares não são processadores na acepção das leis de proteção de dados; isso inclui, em particular, serviços de transporte de empresas postais ou de correio, serviços de transporte de dinheiro, serviços de telecomunicações, serviços de segurança e serviços de limpeza. No entanto, as Partes devem celebrar acordos de confidencialidade habituais com esses prestadores de serviços.

§ 8 Direitos de Auditoria

(1) Qualquer uma das Partes pode auditar a conformidade da outra Parte com o presente JCA, se necessário para (a) cumprir adequadamente uma obrigação para com uma autoridade supervisora, ou (b) convencer-se de que a outra Parte respectiva alinhou seus processos para as disposições do presente JCA após uma violação de dados pessoais.

(2) Se e na medida em que tal auditoria exigir inspeções no local, ela geralmente deve ser conduzida durante o horário comercial normal e sem interromper as operações comerciais de forma injustificada. A Parte que conduz a auditoria deve informar a respectiva outra Parte com antecedência sobre todas as circunstâncias relacionadas à execução da auditoria.

(3) Uma Parte pode contratar um terceiro para realizar a auditoria. Nesse caso, no entanto, o terceiro estará obrigado por escrito a sigilo e confidencialidade estrito, a menos que o terceiro esteja sujeito a uma obrigação profissional de sigilo.

§ 9 Responsabilidade

(1) As Partes reconhecem que ambas são responsáveis ​​perante os titulares dos dados no que diz respeito às Operações de Processamento de acordo com o art. 82 par. 1–4 do RGPD.

(2) Quando uma Parte tiver, de acordo com o art. 82 par. 4, pagou uma indemnização integral a um titular de dados por um dano sofrido, essa Parte terá o direito de reclamar da respetiva outra Parte a parte da indemnização correspondente à parte da responsabilidade dessa outra Parte pelos danos.

(3) A Seção 2 será aplicável em conformidade no caso de uma autoridade supervisora ​​ter aplicado uma multa administrativa a uma Parte, se e na medida em que a violação que deu origem à multa administrativa foi, no todo ou em parte, atribuível ao respectivo outro Falha da Parte em cumprir o presente JCA ou as leis de proteção de dados aplicáveis. No entanto, uma Parte só poderá reivindicar indenização por multa administrativa se tiver feito todos os esforços razoáveis ​​para evitar ou reduzir tal multa nos procedimentos administrativos.

§ 10 Disposições Diversas

(1) O presente JCA será regido pela mesma lei que o Contrato Master, e os tribunais competentes acordados entre as Partes sob o Contrato Master terão a jurisdição exclusiva sobre todos os conflitos decorrentes ou relacionados ao presente JCA, bem como .

(2) Nenhuma modificação ou emenda do presente JCA entrará em vigor a menos que por escrito.

(3) Se qualquer disposição deste JCA for considerada inválida ou inexequível pelo tribunal competente, todas as outras disposições permanecerão em pleno vigor e efeito.

(4) Este JCA entrará em vigor a partir da data em que as Partes assinarem o Contrato Principal. Não obstante a expiração do prazo do Contrato Master, ele permanecerá em vigor até e expirará automaticamente após a exclusão de todos os dados pessoais pelas Partes e/ou quaisquer processadores aplicáveis.