Contrato de Controlador Conjunto
Între
Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
GERMANIA
– denumit în continuare „Controller A”–
și
firma numită în contractul principal
– denumit în continuare „Controller B” –
Controlorul A și Controlorul B pot fi denumiți în continuare individual ca „Parte” sau împreună ca „Părțile”.
§ 1 Obiectul acordului
(1) Prezentul Acord de Controlor Comun (denumit în continuare „JCA”) este încheiat între Părți cu privire la prelucrarea datelor cu caracter personal prin Acordul Cadru încheiat. Întrucât părțile au stabilit în comun scopurile și mijloacele operațiunilor de prelucrare descrise mai jos (denumite în continuare „Operațiuni de prelucrare”), ele se consideră operatori în comun în sensul art. 26 din Regulamentul general privind protecția datelor (denumit în continuare „GDPR”).
(2) Pentru evitarea oricărui dubiu, fiecare parte rămâne singura responsabilă și pe deplin răspunzătoare ca un singur operator în sensul art. 4 nr. 7 din GDPR, și niciuna dintre părți nu va avea obligații sau obligații față de cealaltă parte respectivă cu privire la oricare și toate operațiunile de prelucrare care nu intră în domeniul de aplicare al prezentului JCA.
(3) Prezenta JCA cuprinde îndatoririle și obligațiile părților una față de cealaltă în ceea ce privește Operațiunile de prelucrare. În cazul unui conflict între prevederile prezentului JCA și Contractul-cadru, primul va prevala, dacă și în măsura în care un astfel de conflict afectează îndatoririle și obligațiile Părților în ceea ce privește Operațiunile de Prelucrare. Fără a aduce atingere celor menționate mai sus, părțile convin că niciuna dintre părți nu va avea dreptul la vreo remunerație pentru îndeplinirea obligațiilor sale în temeiul prezentului JCA, dar că acestea sunt acoperite în totalitate de remunerația convenită în cadrul Contractului-cadru.
(4) Cu excepția cazului în care se prevede altfel în prezenta JCA, termenii folosiți aici vor avea înțelesul care le este atribuit la art. 4 din GDPR.
§ 2 Principii și Detalii ale Operațiunilor de Prelucrare
(1) Părțile declară și garantează că toate datele cu caracter personal sunt colectate și prelucrate în continuare în conformitate cu prevederile prezentei JCA și cu legile aplicabile privind protecția datelor, în special, dar fără a se limita la, principiile referitoare la prelucrarea datelor cu caracter personal. prevăzute la art. 5 alin. 1 din GDPR. În cazul în care oricare dintre părți este de părere că cealaltă parte respectivă, în cursul executării prezentului JCA, încalcă prevederile prezentei JCA sau legile aplicabile privind protecția datelor, aceasta va informa imediat cealaltă parte despre aceasta.
(2) În cursul Operațiunilor de Prelucrare, Părțile vor prelucra toate datele cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat.
(3) Niciuna dintre părți nu va face copii sau duplicate ale datelor cu caracter personal prelucrate în temeiul prezentului JCA, cu excepția cazului în care acest lucru este necesar pentru Operațiunile de Prelucrare (inclusiv copiile de siguranță ale datelor) sau pentru a respecta obligațiile legale de păstrare.
(4) Detaliile Operațiunilor de Prelucrare sunt prezentate în Anexa A . Aceste detalii includ o descriere exhaustivă a naturii, scopul și obiectul Operațiunilor de prelucrare, categoriile de persoane vizate de Operațiunile de prelucrare și tipurile de date cu caracter personal care sunt prelucrate. În plus, Părțile vor specifica în Anexa A fiecare etapă a Operațiunilor de Prelucrare, indicând (a) care Parte este responsabilă pentru care dintre acești pași și (b) temeiul legal pentru o astfel de Operațiune(e) de Prelucrare.
(5) Dacă acest lucru este necesar din cauza unei modificări în Operațiunile de Prelucrare în sine și/sau ca urmare a unei modificări sau a unei modificări a Acordului Cadru, Părțile vor actualiza, respectiv, prevederile Anexei A. Ținând cont de obligațiile părților în calitate de controlori comune, este responsabilitatea oricărei părți să informeze cealaltă parte în cazul în care consideră că prevederile apendicelui A trebuie actualizate. Fără a aduce atingere celor menționate mai sus, oricare dintre părți va verifica în mod regulat, dar nu mai puțin de o dată pe an, dacă prevederile apendicei A reflectă în continuare operațiunile de prelucrare curente.
(6) Prin prezenta, Părțile atribuie Controlorului A competența de a implementa deciziile privind Operațiunile de Prelucrare cu privire la toți controlorii în comun, rezultând că Controlorul A este principala unitate din Uniunea Europeană pentru Operațiunile de Prelucrare pentru Părți. Prin urmare, autoritatea principală de supraveghere pentru Operațiunile de Prelucrare este autoritatea de supraveghere a NRW.
§ 3 Locul Prelucrării; Transfer în țări terțe și Regatul Unit
(1) Părțile vor prelucra datele cu caracter personal numai la sediul propriu sau al subcontractantului lor autorizat. În general, orice Operațiuni de Prelucrare vor fi, așadar, efectuate în statele membre ale Uniunii Europene sau într-un alt stat care este parte la Acordul privind Spațiul Economic European.
(2) Orice prelucrare a datelor cu caracter personal în afara UE/SEE este permisă numai cu acordul prealabil al părților și numai dacă sunt îndeplinite condițiile art. 44 și următoarele. ale GDPR sunt îndeplinite.
(3) În sensul prezentei JCA, Regatul Unit al Marii Britanii și Irlandei de Nord va fi tratat ca și cum ar fi o țară terță pentru a atenua riscurile de „Brexit”. Astfel, orice prelucrare a datelor în Regatul Unit va fi permisă numai dacă există garanții adecvate în sensul art. 46 din GDPR au fost convenite ca rezervă.
§ 4 Drepturile persoanelor vizate
(1) Părțile vor furniza persoanelor vizate informațiile în conformitate cu art. 13, 14 din GDPR într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu. În acest sens, Părțile sunt de acord că (a) Notificarea de confidențialitate vizibilă la „Confidențialitate” îndeplinește cerințele menționate mai sus de la art. 12 alin. 1 din GDPR, (b) având în vedere art. 13 alin. 4, 14 alin. 5 nr. 1 din GDPR, nu există nicio obligație de informare suplimentară cu privire la Operațiunile de prelucrare și (c) Notificarea de confidențialitate conține esența aranjamentului în sensul art. 26 alin. 2 din GDPR care este, astfel, pus la dispoziția persoanelor vizate. § 2 secțiunea 5 se aplică în mod corespunzător.
(2) Părțile desemnează operatorul A ca punct de contact pentru persoanele vizate. Cu toate acestea, părțile sunt conștiente de faptul că, indiferent de acestea, persoana vizată își poate exercita drepturile față de și împotriva fiecăreia dintre părți. Prin urmare, Controlorul B trebuie să-l notifice fără întârziere nejustificată pe Controlorul A cu privire la orice plângere, comunicare sau solicitare primită direct de la o persoană vizată și referitoare la datele sale personale, fără a răspunde acestei solicitări. Controlorul B îi va oferi Controlorului A asistența necesară în legătură cu orice plângere, comunicare sau solicitare primită de la o persoană vizată.
(3) Operatorul A va furniza persoanei vizate confirmarea dacă datele cu caracter personal care o privesc sunt sau nu prelucrate în cadrul Operațiunilor de prelucrare. În acest caz, operatorul A furnizează persoanei vizate informațiile prevăzute la art. 15 alin. 1 din GDPR, și o copie a datelor în curs de prelucrare în cadrul Operațiunilor de prelucrare în conformitate cu art. 15 alin. 3 din GDPR.
(4) Controlorul A examinează cu atenția cuvenită orice cerere a unei persoane vizate privind (a) rectificarea datelor sale cu caracter personal presupuse inexacte, (b) ștergerea datelor sale personale, (c) restricționarea prelucrării. datele sale personale sau (d) dreptul la portabilitatea datelor respectivei persoane vizate. În urma examinării, Controlorul A stabilește dacă cererea este întemeiată sau nu și care parte este sau dacă ambele părți sunt obligate să rectifice sau să șteargă datele cu caracter personal sau să restricționeze prelucrarea acestora sau să execute dreptul persoanei vizate la date. portabilitate. Controlorul A îl va informa pe Controlorul B, respectiv.
(5) În cazul în care cererea de ștergere a datelor cu caracter personal este întemeiată, sau la încetarea sau expirarea Contractului-cadru, părțile vor șterge datele cu caracter personal respective sau toate. În cazul în care legile privind protecția datelor cărora o parte este supusă o împiedică această parte să ștergă toate sau o parte din datele cu caracter personal, această parte trebuie să garanteze că (a) confidențialitatea acestor date cu caracter personal este menținută, (b) nu va procesa în mod activ aceste date cu caracter personal. datele personale și (c) va șterge aceste date cu caracter personal de îndată ce obligația legală de a nu șterge datele cu caracter personal nu mai este în vigoare. Oricare dintre părți va întocmi un raport privind orice ștergere a datelor cu caracter personal, care va fi transmis celeilalte părți la cerere.
§ 5 Reprezentările reciproce ale părților
(1) Părțile au desemnat reprezentanți autorizați și adjuncți ca puncte unice de contact pentru toate comunicările referitoare la Operațiunile de Prelucrare în intimitatea lor. Reprezentant autorizat: Părțile se vor notifica imediat reciproc în scris cu privire la orice schimbare a persoanei destinatarului autorizat sau a adjunctului acestuia sau a împiedicării permanente a acestora, desemnând un înlocuitor. Până la primirea unei astfel de notificări de către cealaltă parte respectivă, persoanele desemnate vor continua să aibă dreptul de a primi comunicări de la cealaltă parte respectivă, iar comunicările adresate acestora vor fi considerate a fi făcute în mod corespunzător.
(2) Orice comunicări între părți se fac, în principiu, în scris sau cel puțin sub formă de text de către persoanele autorizate în acest sens, în conformitate cu prezenta JCA. Comunicările orale vor fi confirmate imediat, în scris sau sub formă de text, fără întârzieri nejustificate.
(3) Angajații oricăreia dintre părți: (a) care au acces la datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală corespunzătoare de confidențialitate; (b) prelucrează datele cu caracter personal numai conform instrucțiunilor părții angajatoare, cu excepția cazului în care legile privind protecția datelor solicită altfel; și (c) vor primi cursuri de formare, după cum este necesar, din când în când, dar nu mai puțin de o dată pe an, cu privire la obligațiile părților în temeiul prezentului JCA, conform legilor privind protecția datelor și, în special, conform GDPR.
(4) La cerere, Părțile se vor asista reciproc în cazul unei investigații sau unei solicitări din partea unei autorități de supraveghere, dacă și în măsura în care o astfel de investigație sau cerere se referă la Operațiunile de Prelucrare. Părțile vor lua măsurile necesare pentru a respecta orice obligații în legătură cu o astfel de investigație sau cerere. Indiferent de orice cerere de asistență, părțile se vor notifica reciproc în orice caz cu privire la orice astfel de investigație sau cerere din partea unei autorități de supraveghere.
(5) Părțile se vor informa reciproc fără întârziere, dar în nici un caz mai târziu de 24 de ore, dacă descoperă o încălcare a datelor cu caracter personal în legătură cu Operațiunile de Prelucrare. Această notificare trebuie să conțină informațiile prevăzute la art. 33 alin. 3 din GDPR, sau cel puțin, în cazul în care partea raportoare nu este în măsură să furnizeze astfel de informații în termen de 24 de ore, o explicație cu privire la (a) motivele pentru o astfel de incapacitate, (b) perioada suplimentară de timp prevăzută. va fi nevoie de partea care raportează să completeze informațiile și (c) impactul unei astfel de incapacități asupra măsurilor luate pentru a atenua efectele negative ale unei astfel de încălcări ale datelor cu caracter personal, dacă există. Dacă o parte este obligată prin lege să furnizeze informații din cauza unui risc pentru drepturile și libertățile persoanelor fizice ca urmare a unei astfel de încălcări a datelor cu caracter personal (în special, dar fără a se limita la obligațiile de informare conform art. 33, 34 din GDPR), cealaltă parte respectivă trebuie să asiste Partea obligată pe cât posibil în îndeplinirea obligațiilor sale de informare. Dacă este posibil, orice comunicare privind o încălcare a datelor cu caracter personal către autoritatea de supraveghere competentă și/sau persoanele vizate va fi convenită între părți înainte de transmitere.
(6) Ținând cont de natura Operațiunilor de Prelucrare și având în vedere prevederile art. 35 din GDPR, Părțile convin că nu este necesară o evaluare a impactului privind protecția datelor. Cu toate acestea, în cazul în care modificările viitoare ale operațiunilor de prelucrare arată că operațiunile de prelucrare devin susceptibile de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice, părțile vor coopera și se vor ajuta reciproc cu o evaluare a impactului asupra protecției datelor atunci necesară și/ sau cu orice consultări de reglementare pe care părțile sunt obligate legal să le facă cu privire la o astfel de evaluare a impactului privind protecția datelor în conformitate cu art. 36 din GDPR.
§ 6 Măsuri tehnice și organizatorice
(1) Înainte de începerea prelucrării, Părțile trebuie să pună în aplicare măsurile tehnice și organizatorice enumerate în TOM și să le mențină pe durata prezentei JCA. Acestea sunt (a) măsuri pentru a asigura respectarea drepturilor persoanelor vizate și (b) măsuri de securitate a datelor pentru a asigura un nivel de protecție adecvat riscului privind confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor. Stadiul tehnicii, costurile de implementare și tipul, sfera și scopurile prelucrării, precum și probabilitatea și gravitatea variate pentru drepturile și libertățile persoanelor fizice în sensul art. 32 alin. 1 din GDPR au fost luate în considerare.
(2) Întrucât măsurile tehnice și organizatorice sunt supuse progresului tehnic și dezvoltării tehnologice, părților li se permite să implementeze măsuri alternative și adecvate, cu condiția ca nivelul de siguranță al măsurilor specificate în TOM să nu fie compromis.
(3) Cu toate acestea, o parte este obligată să pună în aplicare măsuri suplimentare odată ce se dovedește că (a) măsurile prevăzute în TOM nu mai sunt adecvate în sensul secțiunii 1 de mai sus din cauza progresului tehnic și a dezvoltării tehnologice și/sau ( b) un audit sau o investigație efectuată de o autoritate de supraveghere a arătat că măsurile din TOM sunt insuficiente.
(4) Oricare dintre părți va documenta orice modificări menționate mai sus și va furniza celeilalte părți o copie a măsurilor tehnice și organizatorice modificate sau actualizate.
§ 7 Alți controlori; Numirea Procesatorilor
(1) Părțile iau la cunoștință că niciun alt operator nu poate, prin aderarea la prezenta JCA, să aibă acces la datele cu caracter personal prelucrate până în prezent în cadrul Operațiunilor de Prelucrare. În plus, părțile convin că, în cazul în care doresc să includă un alt operator în viitoarele Operațiuni de prelucrare, aceasta ar necesita (a) o modificare atât a Acordului-cadru, cât și a prezentului JCA, (b) o executare minuțioasă a procedurii prevăzute la § 2. para. 5 și (c) furnizarea de informații actualizate persoanelor vizate în conformitate cu § 4 alin. 1.
(2) La numirea unui operator, partea care desemnează trebuie să impună obligații de confidențialitate, confidențialitate și securitate a datelor oricărui astfel de operator care (a) îndeplinește cerințele art. 28, 29 din GDPR și (b) sunt cel puțin la fel de stricte ca cele prevăzute în prezenta JCA. § 3 secțiunile 2 și 3 se aplică în mod corespunzător.
(3) O parte trebuie să notifice în scris celeilalte părți respective intenția sa de a numi un nou operator. Dacă, în termen de treizeci (30) de zile de la primirea respectivei notificări, partea notificată notifică în scris părții care desemnează orice obiecție rezonabilă la numirea propusă, părțile vor negocia cu bună-credință o soluție alternativă reciproc acceptabilă.
(4) În cazul în care un operator nu își îndeplinește obligațiile cu privire la Operațiunile de prelucrare, partea care o desemnează rămâne pe deplin răspunzătoare față de cealaltă parte pentru îndeplinirea obligațiilor acestuia.
(5) Părțile convin că furnizorii de servicii auxiliare nu sunt procesatori în sensul legilor privind protecția datelor; acestea includ în special serviciile de transport ale companiilor poștale sau de curierat, serviciile de transport de numerar, serviciile de telecomunicații, serviciile de securitate și serviciile de curățenie. Cu toate acestea, părțile încheie acorduri obișnuite de confidențialitate cu astfel de furnizori de servicii.
§ 8 Drepturi de audit
(1) Oricare parte poate audita conformitatea celeilalte părți cu prezentul JCA, dacă este necesar, pentru a (a) îndeplini în mod corespunzător o obligație față de o autoritate de supraveghere sau (b) să se convingă că cealaltă parte respectivă și-a aliniat procesele la prevederile prezentei JCA după o încălcare a datelor cu caracter personal.
(2) În cazul în care și în măsura în care un astfel de audit necesită inspecții la fața locului, acesta se va desfășura de obicei în timpul programului normal de lucru și fără a perturba în mod nejustificat operațiunile comerciale. Partea care efectuează auditul va informa cealaltă parte respectivă cu timp înainte despre toate circumstanțele legate de executarea auditului.
(3) O parte poate însărcina unui terț să efectueze auditul. În acest caz, totuși, terțul este obligat în scris să respecte strict secretul și confidențialitatea, cu excepția cazului în care terțul este supus unei obligații profesionale de secret.
§ 9 Răspundere
(1) Părțile recunosc că ambele sunt răspunzătoare față de persoanele vizate în ceea ce privește Operațiunile de prelucrare în conformitate cu art. 82 alin. 1–4 din GDPR.
(2) În cazul în care o parte are, în conformitate cu art. 82 alin. 4, a plătit despăgubiri integrale unei persoane vizate pentru un prejudiciu suferit, acea parte va avea dreptul de a pretinde înapoi de la cealaltă parte respectivă acea parte din despăgubire corespunzătoare părții de răspundere a celeilalte părți pentru daune.
(3) Secțiunea 2 se aplică în mod corespunzător în cazul în care o autoritate de supraveghere a aplicat o amendă administrativă unei părți, dacă și în măsura în care încălcarea care a dat naștere amenzii administrative a fost, în totalitate sau parțial, imputabilă celeilalte părți respective. Nerespectarea de către Parte a prezentului JCA sau a legilor aplicabile privind protecția datelor. Cu toate acestea, o parte poate solicita despăgubiri pentru o amendă administrativă numai dacă a depus toate eforturile rezonabile pentru a preveni sau a reduce această amendă în cadrul procedurilor administrative.
§ 10 Dispoziții diverse
(1) Prezentul JCA va fi guvernat de aceeași lege ca și Acordul Cadru, iar instanțele competente convenite între Părți în temeiul Contractului Cadru vor avea jurisdicție exclusivă cu privire la toate conflictele care decurg din sau în legătură cu prezentul JCA, precum și .
(2) Nicio modificare sau modificare a prezentului JCA nu va intra în vigoare decât în scris.
(3) În cazul în care o dispoziție din prezenta JCA este considerată de către instanța competentă ca fiind invalidă sau inaplicabilă, toate celelalte prevederi vor rămâne în vigoare și în vigoare.
(4) Prezentul JCA va intra în vigoare de la data la care părțile au semnat acordul-cadru. În ciuda expirării termenului Acordului-cadru, acesta va rămâne în vigoare până la ștergerea tuturor datelor cu caracter personal de către Părți și/sau orice procesator aplicabil și va expira automat după ștergerea acestora.