BLACK FRIDAY

Contrato de Processamento de Pedidos

Între

Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, GERMANIA

– denumit în continuare „procesor” –

și

firma numită în contractul principal

– denumită în continuare „persoană responsabilă” –

Procesatorul și Operatorul sunt denumiți în continuare, de asemenea, individual „Parte” sau în mod colectiv „Părțile”.

§ 1 Obiectul contractului

(1) Prezentul Acord de prelucrare a datelor („AVV”) este încheiat între părți cu privire la prelucrarea datelor cu caracter personal în temeiul contractului principal (denumit în continuare „Contractul principal”). Furnizarea de servicii conform contractului principal („Servicii”) necesită prelucrarea datelor. Dacă și în măsura în care aceste date conțin sau conțin date cu caracter personal, împuternicitul va acționa ca procesator cu privire la aceste date, în timp ce persoana responsabilă rămâne responsabilă pentru aceste date conform art. 28 din Regulamentul general privind protecția datelor (denumit în continuare „GDPR”).

(2) Serviciile sunt furnizate de către Procesator în așa fel încât Operatorul să furnizeze propriile sale date, să controleze transmiterea acestora către Procesator și, în cazul modelelor de Software ca serviciu, să controleze direct gestionarea acestor date încărcate în Servicii . Operatorul este de acord și înțelege că Procesatorul nu monitorizează datele Operatorului sau manipularea de către Controlor a acestor date, cu excepția cazului în care Operatorul solicită în mod expres Procesatorului să acceseze astfel de date în acest sens. Prin urmare, este singura responsabilitate și obligație a Controlorului să se asigure că datele Controlorului sunt colectate și transmise în conformitate cu legile aplicabile privind protecția datelor și,

(3) În calitate de operator, operatorul va prelucra datele cu caracter personal ale persoanei responsabile numai în conformitate cu prevederile prezentelor AVV și cu instrucțiunile documentate ale persoanei responsabile. Dacă Procesatorul este obligat de legislația Uniunii sau a statului membru la care Procesatorul este supus unei prelucrări ulterioare a Datelor cu Caracter Personal, Procesatorul va notifica Operatorului aceste cerințe legale înainte de prelucrare, cu excepția cazului în care legea relevantă impune o astfel de notificare din cauza unei interesul public important interzice; În acest din urmă caz, procesatorul va informa persoana responsabilă cu privire la prelucrarea ulterioară, de îndată ce aceasta este permisă din punct de vedere legal.

§ 2 Detalii de prelucrare

(1) Detaliile prelucrarii sunt descrise in prevederile de mai jos si in contractul principal. Ținând cont de obligațiile sale în calitate de operator, operatorul va informa operatorul dacă este necesară o completare la specificațiile din contractul principal.

(2) Procesatorul va prelucra datele cu caracter personal conform detaliilor din contractul principal.

(3) Procesatorul va prelucra, în general, datele cu caracter personal pe durata contractului principal și a prezentelor CGU, cu excepția cazului în care s-a convenit altfel în scris.

§ 3 Locul prelucrării datelor; Transmiterea către țări terțe

(1) Procesatorul va prelucra datele cu caracter personal numai la sediul propriu sau la sediul subprocesorilor săi autorizați. Potrivit acesteia, toate operațiunile de prelucrare se desfășoară în principiu în statele membre ale Uniunii Europene sau într-un alt stat care este parte la Tratatul privind Spațiul Economic European.

(2) Orice prelucrare a datelor cu caracter personal în afara UE/SEE este permisă numai cu acordul prealabil între părți și numai dacă sunt îndeplinite cerințele art. 44 și următoarele. GDPR sunt respectate.

§ 4 Instrucțiuni ale persoanei responsabile

(1) Părțile convin ca aceste AVV să conțină instrucțiuni generale ale persoanei responsabile cu privire la prelucrarea datelor cu caracter personal în numele operatorului.

(2) Instrucțiunile speciale de la persoana responsabilă care se abat de la prevederile prezentelor AVV sau care impun obligații noi, suplimentare împuternicitului, necesită acordul împuternicitului pentru a fi eficace. Pentru astfel de instrucțiuni speciale, părțile vor aplica procedura de modificare care ar fi putut fi convenită în contractul principal.

(3) Este responsabilitatea persoanei responsabile să se asigure că instrucțiunile date de acesta cu privire la prelucrarea datelor cu caracter personal din comandă sunt în conformitate cu legile aplicabile privind protecția datelor și că procesatorul comenzii este capabil să prelucreze datele cu caracter personal în conformitate cu instrucțiunile fără a încălca legile privind protecția datelor aplicabile procesatorului de comenzi, în special pentru a încălca GDPR. Dacă persoana împuternicită este de părere că o instrucțiune a persoanei responsabile încalcă legile aplicabile privind protecția datelor, operatorul va informa persoana responsabilă. În astfel de cazuri, Procesatorul are dreptul de a refuza să execute instrucțiunea până când Operatorul confirmă instrucțiunea.

(4) Instrucțiunile speciale din partea responsabilului sunt date în scris sau cel puțin sub formă de text, de către persoanele responsabile pentru aceasta din partea responsabilului. Instrucțiunile orale trebuie confirmate imediat de una dintre persoanele autorizate și cel puțin sub formă de text pentru a fi eficiente.

§ 5 Asigurări ale procesatorului

(1) Angajații procesatorului: (i) în măsura în care sunt autorizați să prelucreze Datele cu caracter personal, sunt obligați să respecte o obligație de confidențialitate sau sunt supuși unei obligații legale de confidențialitate corespunzătoare; (ii) va procesa Datele cu Caracter Personal numai în conformitate cu instrucțiunile Procesatorului, cu excepția cazului în care se impune altfel conform legilor aplicabile privind protecția datelor; și (iii) sunt instruiți la intervale regulate despre obligațiile care decurg din acest AVV și legile aplicabile privind protecția datelor, în special DS-GVO.

(2) Procesatorul nu poate face copii sau duplicate ale datelor cu caracter personal prelucrate în cadrul comenzii în cadrul procesării comenzii fără acordul prealabil al persoanei responsabile. Cu toate acestea, acest lucru nu se aplică copiilor care sunt necesare pentru a asigura prelucrarea adecvată a datelor și furnizarea corespunzătoare a serviciilor (inclusiv copiile de rezervă ale datelor), precum și copiile care sunt necesare pentru a respecta cerințele legale de păstrare.

(3) Operatorul va numi un responsabil cu protecția datelor competent și de încredere dacă și atât timp cât există cerințele legale pentru numirea unui responsabil cu protecția datelor. Procesatorul va informa persoana responsabilă cu privire la informațiile de contact ale unui responsabil cu protecția datelor desemnat în acest mod.

§ 6 Măsuri tehnice și organizatorice

(1) Înainte de începerea procesării, procesatorul trebuie să implementeze măsurile tehnice și organizatorice enumerate pe www.fitness-nation.com/support/tom.html și să le mențină pe durata prezentei CGU. Acestea sunt măsuri tehnice și organizatorice pentru a asigura un nivel de protecție adecvat riscului în ceea ce privește confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor. Stadiul tehnicii, costurile de implementare și tipul, sfera, circumstanțele și scopurile prelucrării, precum și probabilitatea diferită de apariție și gravitatea riscului pentru drepturile și libertățile persoanelor fizice în sensul art. 32 alin. 1 DS-GVO sunt luate în considerare.

(2) Deoarece măsurile tehnice și organizatorice sunt supuse progresului tehnic și dezvoltărilor tehnologice, procesatorului i se permite să implementeze măsuri alternative și adecvate dacă acestea depășesc standardul de securitate al măsurilor specificate la www.fitness-nation.com/support/tom .html nu este subcut.

§ 7 Angajarea sub-procesorilor

(1) Procesatorul poate angaja sub-împuterniciți cu privire la prelucrarea datelor cu caracter personal numai în numele persoanei responsabile numai cu acordul prealabil al persoanei responsabile. Persoana responsabilă își dă apoi consimțământul pentru utilizarea sub-procesorilor numiți sub www.fitness-nation.com/support/subunternehmer.html.

(2) Persoana împuternicită de operator va impune fiecărui subprocesator obligații în ceea ce privește protecția datelor, confidențialitatea și securitatea datelor care sunt cel puțin la fel de stricte ca obligațiile împuternicitului față de operator, prevăzute în prezentele CGU. În cazul în care un subprocesator nu respectă aceste obligații impuse acestuia, operatorul va fi răspunzător pentru aceste încălcări ca și cum ar fi propria sa vină.

(3) Persoana împuternicită de prelucrare va notifica operatorului în scris orice nouă atribuire a unui subprocesator. În cazul în care, după primirea unei astfel de sesizări, persoana responsabilă declară în termen de treizeci (30) de zile că se opune utilizării, dând un motiv întemeiat, părțile vor căuta o soluție pe cale amiabilă. În acest caz, în cazul în care nu se poate ajunge la o soluție pe cale amiabilă în termen de două (2) luni, operatorul are dreptul de a rezilia contractul principal cu privire la acele servicii pentru care este necesară utilizarea subprocesorului propus.

(4) Părțile convin că furnizorii de simple servicii auxiliare nu sunt procesatori în sensul legilor privind protecția datelor; acestea includ, în special, serviciile de transport din serviciile poștale sau de curierat, precum și serviciile de transport de bani, serviciile de telecomunicații, serviciile de securitate și serviciile de curățenie. Indiferent de aceasta, procesatorul va încheia acorduri de confidențialitate uzuale în industrie cu astfel de subcontractanți.

(5) Reglementările din prezentul § 7 se aplică și în cazul în care un subprocesor este angajat într-o țară terță din afara UE sau SEE. Sub rezerva consimțământului operatorului cu privire la utilizarea subprocesorului, operatorul îl autorizează prin prezenta pe operator să încheie un contract în numele operatorului cu un subprocesator care prelucrează datele operatorului în afara UE sau SEE, inclusiv clauzele contractuale standard ale UE pentru transmiterea datelor cu caracter personal către procesatorii din țări terțe din 05.02.2010 sau eventual ulterior de către Comisia UE sau autoritatea de supraveghere competentă clauze standard de protecție a datelor.

§ 8 Obligațiile de a sprijini persoana responsabilă

(1) La cererea scrisă a Controlorului, Procesatorul îi va oferi suport rezonabil Controlorului în cazul unei investigații sau unei anchete din partea unei autorități de supraveghere a protecției datelor, în măsura în care o astfel de investigație sau anchetă se referă la Servicii. Procesatorul va depune eforturi rezonabile pentru a ajuta Controlorul să respecte orice obligații legate de o astfel de investigație sau solicitare. Dacă o autoritate de supraveghere a protecției datelor începe o investigație direct cu împuternicitul sau trimite o cerere corespunzătoare direct împuternicitului, acesta va informa imediat operatorul de date, în măsura în care îi este permis, și va coopera în contextul acestei investigații sau cerere.

(2) Procesatorul va informa de îndată Operatorul dacă descoperă o încălcare a protecției datelor cu caracter personal în legătură cu prelucrarea datelor cu caracter personal în temeiul prezentelor CGU. Dacă, în urma unei astfel de notificări, persoana responsabilă are obligații de raportare către autoritățile de supraveghere a protecției datelor și/sau persoanele vizate (în special din articolele 33, 34 DS-GVO), împuternicitul va sprijini persoana responsabilă în îndeplinirea acestor raportări. obligații într-o măsură adecvată și necesară. În măsura în care împuternicitul nu este vinovat pentru un incident de protecție a datelor care poate fi raportat, împuternicitul are dreptul să taxeze pentru serviciile de asistență în conformitate cu tarifele de remunerare convenite în contractul principal.

(3) Persoana împuternicită de operator va sprijini operatorul, ținând cont de tipul de prelucrare și de informațiile de care dispune persoana împuternicită, într-o evaluare a impactului asupra protecției datelor care ar putea trebui efectuată în ceea ce privește prelucrarea datelor cu caracter personal, inclusiv, în cazul în care: necesar, consultare cu autoritatea competentă de supraveghere a protecției datelor (Art. 35, 36 GDPR). Procesatorul este îndreptățit să calculeze cheltuielile pentru serviciile de asistență conform ratelor de remunerare convenite în contractul principal.

(4) Procesatorul va informa imediat persoana responsabilă în cazul în care o persoană vizată ar trebui să contacteze persoana împuternicită direct cu o plângere, o anchetă sau pentru a-și exercita drepturile la care are dreptul. Procesatorul nu va răspunde solicitării în sine decât dacă operatorul ia instruit în mod expres operatorul să facă acest lucru. Procesatorul va oferi asistență rezonabilă Controlorului pentru a răspunde la astfel de plângeri, întrebări și solicitări din partea persoanelor vizate. Procesatorul este îndreptățit să calculeze cheltuielile pentru serviciile de asistență conform ratelor de remunerare convenite în contractul principal.

§ 9 Returnarea sau ștergerea Returnarea datelor cu caracter personal

(1) După ce a fost instruit să facă acest lucru de către Controlor pe durata prezentei CGU sau după încetarea acestuia sau după încheierea prelucrării datelor cu caracter personal în temeiul contractului individual relevant, Procesatorul fie va distruge, va șterge, fie va returna datele prelucrate pe în numele Controlorului. Dacă legile aplicabile interzic împuternicitului să distrugă, să șteargă sau să returneze datele cu caracter personal prelucrate în comandă, împuternicitul nu va mai prelucra în mod activ aceste date, ci doar pentru a respecta prevederile legale,

(2) Procesatorul va crea un jurnal al fiecărei distrugeri sau ștergere a datelor cu caracter personal, care va fi pus la dispoziția responsabilului la cerere.

§ 10 Auditrechte

(1) Persoana responsabilă are dreptul de a utiliza sediul comercial al procesatorului în cadrul programului normal de lucru (de luni până vineri de la 9:00 la 17:00) pe cheltuiala proprie, fără a perturba procesul operațional și cu stricta confidentialitate a societatii si secretele de afaceri ale procesatorului, in care sunt prelucrate datele persoanei responsabile, pentru a asigura respectarea acestor AVV. Persoana responsabilă va anunța, în general, o astfel de inspecție la fața locului în timp util (cu cel puțin două săptămâni înainte).

(2) De regulă, persoana responsabilă este îndreptățită să efectueze o inspecție la fața locului în sensul alineatului precedent pe an calendaristic. Acest lucru nu afectează dreptul persoanei responsabile de a efectua inspecții suplimentare la fața locului în cazul unor evenimente speciale.

(3) În cazul în care persoana responsabilă încredințează un terț să efectueze inspecția, persoana responsabilă trebuie să o oblige în scris pe terț în același mod în care persoana responsabilă este obligată față de procesator în baza prezentelor AVV. În plus, persoana responsabilă trebuie să oblige terțul să păstreze secretul și secretul, cu excepția cazului în care terțul este supus unei obligații profesionale de confidențialitate. La cererea împuternicitului, persoana responsabilă trebuie să depună fără întârziere împuternicitului acordurile de angajament cu tertul. Controlorul nu poate încredința unui concurent al controlorului controlul.

(4) În locul unei inspecții la fața locului, dovada conformității cu prezentul AVV poate fi furnizată și prin respectarea codurilor de conduită aprobate în conformitate cu art. 40 GDPR, certificare în conformitate cu o procedură de certificare aprobată în conformitate cu art. 42 GDPR și depunerea uneia adecvate, atestări actuale, rapoarte sau extrase din rapoarte de la organisme independente (de exemplu auditori, auditori, ofițeri cu protecția datelor, departamentul de securitate IT, auditori pentru protecția datelor sau auditori de calitate) sau o certificare adecvată de către securitate IT sau audit de protecție a datelor – de exemplu conform ISO 27001 – („raport de audit”), dacă raportul de audit permite persoanei responsabile într-un mod rezonabil să se convingă de respectarea acestor AVV.

(5) În cazul în care și în măsura în care o inspecție la fața locului nu a devenit necesară din cauza unei abateri din partea procesatorului, acesta are dreptul de a percepe taxe pentru inspecțiile la fața locului în conformitate cu tarifele de remunerare convenite în principal. contracta.

§ 11 Alte prevederi

(1) Prezenta AVV este supusă aceleiași legi ca și contractul principal, iar pentru toate litigiile care decurg din și în legătură cu aceasta AVV au competență exclusivă instanțele convenite de părți în contractul principal.

(2) Modificările sau completările la prezentul AVV sunt efective numai dacă au fost făcute în scris.

(3) În cazul în care o prevedere a prezentelor AVV este declarată nulă sau inaplicabilă de către instanța competentă, celelalte prevederi vor rămâne pe deplin în vigoare.

(4) Prezenta AVV intră în vigoare la încheierea contractului principal ca parte integrantă a acestuia. Indiferent de sfârșitul perioadei contractuale a contractului principal, acesta se aplică până și expiră automat când toate datele cu caracter personal au fost șterse de către operator și/sau toți subprocesorii utilizați.