ADP DE DATOS DE ACUERDO AL ART. 28 RGPD Acuerdo para el procesamiento de datos personales

1. Magicline proporciona los siguientes servicios al gimnasio:

(i) La siguiente información ofrece una visión general sencilla de lo que sucede con sus datos personales cuando visita este sitio web. Los datos personales son todos los datos con los que se puede identificar personalmente. Para obtener información detallada sobre el tema de la protección de datos, por favor consulte nuestra declaración de protección de datos que figura a continuación de este texto.

(ii) El tratamiento de los datos proporcionados por el gimnasio con el fin de realizar análisis anonimizados de mercado.

2. Magicline está obligada a procesar todos los datos personales a los que Magicline tenga acceso en el curso del cumplimiento de los servicios adeudados en virtud del presente contrato, estrictamente separados espacialmente de cualquier dato de Magicline, así como de los datos de terceros según las especificaciones del gimnasio.

3. Los datos de los siguientes grupos de personas se ven afectados por el encargo de tratamiento:

(i) Empleados del gimnasio y

(ii) Clientes del gimnasio (en adelante "socios del gimnasio"). Se trata, sin excepción, de los siguientes datos personales del mencionado círculo de interesados...&

(i) Con respecto a los empleados del gimnasio:

• Nombre, dirección, IBAN, BIC del empleado.
• Fecha de nacimiento del empleado respectivo
• Foto del empleado respectivo
• El período de contrato y las condiciones de pago del empleado respectivo
• Obligaciones pendientes del respectivo empleado
• Datos sobre el tipo y el alcance de la utilización de los servicios ofrecidos por el gimnasio por parte de los empleados (frecuencia y duración de la utilización)

(ii) En lo que respecta a los socios del gimnasio:

• Nombre, dirección, IBAN, BIC del miembro respectivo
• Fecha de nacimiento del socio respectivo
• Foto del socio respectivo
• Duración del contrato y condiciones de pago del socio respectivo
• Obligaciones pendientes del socio respectivo
• Datos sobre el tipo y el alcance de la utilización de los servicios ofrecidos por el estudio por parte del socio (frecuencia y duración de la utilización)

4. La finalidad del tratamiento de los datos mencionados es, por un lado, apoyar al gimnasio en la gestión de los contratos celebrados con los socios del gimnasio (gestión de los socios). Por otra parte, el propósito es proporcionar al gimnasio datos de mercado internos y externos para sus análisis de mercado en forma anonimizada utilizando los datos de los socios del gimnasio. La finalidad del tratamiento de los datos de los empleados es proporcionar al gimnasio apoyo técnico en la administración del personal.

(1) Magicline procesa los datos exclusivamente de acuerdo con las normas del contrato celebrado con el gimnasio y en el marco de las instrucciones emitidas por el gimnasio. Magicline no utilizará los datos proporcionados para el procesamiento de datos de ninguna otra manera y no almacenará los datos por más tiempo del que el gimnasio lo determine.

(2) El cliente es el único responsable de la permisividad del tratamiento de los datos y de la salvaguardia de los derechos de las personas cuyos datos se tratan (los afectados) en conformidad con los artículos 12 a 22 de la RGPD.

(3) Magicline apoyará al cliente en el cumplimiento de sus obligaciones con las personas afectadas.

(4) El mandate del encargo dará todas las instrucciones, por regla general, por escrito o por correo electrónico. Las instrucciones dadas oralmente deben ser confirmadas inmediatamente por escrito o por correo electrónico.

(1) En Magicline es nombrado como encargado de protección de datos de la compañía: Marc Althaus, DS Extern GmbH, Bredkamp 53a, 22589 Hamburgo, https://www.dsextern.de/anfragen

(2) El encargado de protección de datos velará por la aplicación de la RGPD de la UE y otras disposiciones sobre protección de datos en lo que respecta a la relación contractual. Con este fin, el encargado de protección de datos llevará a cabo controles regulares. Se levantará un acta de las comprobaciones. Si el responsable de la protección de datos descubre irregularidades en el tratamiento de los datos en el ámbito de sus funciones, informará inmediatamente a la dirección de Magicline. Un cambio del encargado de protección de datos será comunicado inmediatamente al gimnasio.

(1) Magicline no puede transmitir los datos personales proporcionados a terceros sin instrucciones escritas del gimnasio.

(2) Magicline debe tratar con absoluta confidencialidad todos los registros, documentos y otros elementos de información proporcionados en el ámbito del encargo. Esto también se aplica al resto de la información que llega a conocimiento de Magicline durante la ejecución de la orden. Esta obligación se aplica durante y también después de la terminación del contrato.

(3) Magicline se compromete a mantener la confidencialidad en el sentido del Art. 28 párrafo 3 b) RGPD cuando se procesen los datos personales del cliente de acuerdo con el pedido. El encargado asegura que familiarizará al personal empleado en la ejecución de los trabajos con las disposiciones de protección de datos que le son aplicables antes de comenzar los trabajos y lo obligará a mantener la confidencialidad de manera adecuada durante la duración de su trabajo, así como después de la terminación de la relación laboral. El encargado vigilará el cumplimiento de las disposiciones de la ley de protección de datos en su empresa.

En cuanto a la corrección, bloqueo y eliminación de datos, Magicline sólo actuará según las instrucciones del gimnasio. En la medida en que una persona afectada deba ponerse en contacto directamente con Magicline con el fin de corregir o eliminar sus datos, Magicline remitirá esta solicitud al gimnasio sin demora.

(1) En el momento de la concertación del presente acuerdo, las empresas enumeradas en el anexo 2 son subencargadas de servicios parciales por el encargado y también procesan y/o utilizan los datos del pedido directamente en este contexto. En el caso de estos subencargados, el consentimiento para actuar se considerará dado. Los subencargadoss en terceros países sólo pueden ser contratados si se cumplen los requisitos especiales del art. 44 y siguientes de la RGPD (por ejemplo, la decisión de la Comisión sobre la idoneidad, las cláusulas estándar de protección de datos, las normas de conducta aprobadas).

(2) El encargado informará al cliente de cualquier cambio previsto con respecto al uso o la sustitución de subencargados distintos de los enumerados en el Anexo 2, lo cual dará al cliente la oportunidad de oponerse a esos cambios. Lo mismo se aplicará si el encargado, a fin de cumplir sus obligaciones de ejecución asumidas contractualmente, contrata los servicios de otros terceros. En este caso, cada nuevo subencargado debe ser notificado al cliente por escrito antes de que se haga el encargo, de manera que el cliente pueda objetar el pedido en el plazo de una semana a partir de la recepción de la notificación.

(3) Si el cliente se niega a dar su consentimiento con su objeción por razones que no sean importantes, el encargado podrá rescindir el contrato con el cliente en el momento de la utilización prevista del subencargado sin que éste tenga derecho a reclamar daños y perjuicios u otras reclamaciones de pago contra el encargado a este respecto.

(4) El encargado deberá seleccionar concientemente a cada subencargado teniendo en cuenta en particular su idoneidad para cumplir las medidas técnicas y de organización acordadas entre el cliente y el encargado.

(5) Si el encargado está autorizado, en el sentido del presente acuerdo, a utilizar los servicios de un subencargado para llevar a cabo determinadas actividades de procesamiento a fin de cumplir las obligaciones de ejecución con el principal, se impondrán a ese subencargado las mismas obligaciones que las establecidas en el presente acuerdo entre el principal y el encargado mediante un contrato. Esto se aplica en particular con respecto a los requisitos de confidencialidad, protección y seguridad de los datos, así como a los derechos de control e inspección del cliente descritos en el presente Acuerdo. Además, deben darse suficientes garantías de que se aplican las medidas técnicas y organizativas adecuadas de manera que el procesamiento se lleve a cabo de conformidad con los requisitos de la RGPD.

(6) Mediante solicitud por escrito, el cliente tiene derecho a obtener información del encargado sobre las obligaciones del subencargado en materia de protección de datos, de ser necesario también mediante la inspección de los documentos contractuales pertinentes. Bajo las condiciones reguladas en el § 8 de este contrato, las inspecciones in situ del cliente en las instalaciones del subencargado deben ser posibles.

(7) No existirá una relación de subencargo que requiera aprobación si el contratista encarga a terceros un servicio auxiliar del servicio principal, como servicios de personal, postales y de envío. No obstante, el encargado está obligado a concertar acuerdos contractuales adecuados y jurídicamente conformes y a adoptar medidas de control para garantizar la protección y la seguridad de los datos del cliente, incluso en el caso de servicios auxiliares encargados a terceros. Los servicios auxiliares deben ser especificados en detalle con antelación.

(1) Si Magicline opina que una instrucción viola la RGPD u otras regulaciones de protección de datos, Magicline informará al gimnasio inmediatamente.

(2) Las obligaciones del encargado en caso de perturbaciones, sospecha de violaciones de la protección de datos u otras irregularidades en el procesamiento se derivan del § 10 de este contrato.

(1) El cliente tiene derecho a comprobar, a través de un representante autorizado que está obligado a mantener el secreto, antes del inicio del servicio y regularmente durante la duración del mismo a intervalos apropiados, el cumplimiento de las medidas técnicas y organizativas de protección de datos y el procesamiento de datos de Magicline y sus subencargados.

(2) En lugar de una inspección in situ, Magicline también puede aportar pruebas del cumplimiento de las medidas técnicas y organizativas presentando un informe de inspección actual adecuado de personas independientes (por ejemplo, auditores, encargado de protección de datos o auditores de calidad) o una certificación adecuada por parte de una auditoría de seguridad informática o de protección de datos, por ejemplo, un "informe de inspección" de acuerdo a BSI-Grundschutz (protección de línea de base de IT de la Oficina Federal de Seguridad de la Información de Alemania). El informe de auditoría debe permitir al gimnasio asegurarse de manera adecuada de que se han observado las medidas técnicas y organizativas.

(1) El encargado tomará las medidas técnicas y organizativas adecuadas para garantizar un nivel de protección acorde con el riesgo que corren los derechos y libertades de las personas afectadas. Para ello se tendrán en cuenta el estado de la técnica, los costos de ejecución y la naturaleza, el alcance y los fines del tratamiento, así como la probabilidad variable de que se produzca y la gravedad del riesgo en el sentido del párrafo 1 del artículo 32 de la RGPD. Las medidas técnicas y organizativas concretas adoptadas por el encargado se enumeran en el Anexo 1.

(2) Dado que las medidas técnicas y de organización están sujetas al progreso técnico y al desarrollo tecnológico, el encargado podrá aplicar otras medidas equivalentes, siempre que no se menoscabe el nivel de seguridad de las medidas especificadas en el Anexo 1. Los cambios significativos en las medidas deben ser documentados por el encargado y puestos a disposición del cliente a petición de éste.

(1) El encargado informará sin demora al cliente si él o una persona empleada por él ha violado las normas de protección de datos personales, las especificaciones del presente acuerdo o una instrucción emitida por la persona responsable, si hay indicios de que un tercero, por cualquier razón, puede haber tenido conocimiento de datos del encargo de manera ilícita, o si se ha producido una amenaza a la integridad o la confidencialidad de los datos contractuales de cualquier otra manera ("incidente de seguridad de los datos").

(2) La información sobre el incidente de seguridad de los datos contendrá detalles sobre el momento y la naturaleza del incidente (incluida la información sobre qué datos se ven afectados y en qué forma), el sistema informático de que se trate, las personas afectadas, el momento del descubrimiento, cualquier consecuencia adversa concebible del incidente de seguridad de los datos, así como las medidas adoptadas por el encargado y toda otra información especificada en el párrafo 3 del artículo 33 de la RGPD. Además, el encargado debe declarar específicamente si una violación de la protección de los datos personales puede suponer un riesgo para los derechos y libertades de las personas físicas en el sentido del artículo 33, párrafo 1, frase 1, de la RGPD y si es probable que el riesgo sea elevado en el sentido del artículo 34, párrafo 1, de la RGPD.

(3) Debe proporcionarse inmediatamente una información inicial del cliente, una información detallada, que debe contener toda la información según el párrafo 2), si es posible, en un plazo de 24 horas después de que el incidente de seguridad de los datos haya llegado a conocimiento del cliente.

(4) Después de tener conocimiento de un incidente de seguridad de los datos, el encargado tomará inmediatamente todas las medidas razonables para reducir al mínimo y eliminar las amenazas resultantes para la integridad o el carácter confidencial de los datos, para asegurar los datos y para prevenir o limitar en la medida de lo posible cualquier consecuencia adversa para los afectados.

(5) En caso de que se produzca un incidente de seguridad de los datos, el encargado estará obligado a asistir al cliente en sus esfuerzos por aclarar y remediar la situación, incluidas todas las medidas para cumplir las obligaciones legales, previa solicitud, dentro de los límites de lo razonable.

(6) El encargado estará obligado a realizar un análisis de las causas inmediatamente después de tener conocimiento de un incidente de seguridad de los datos, a documentar esas causas y a entregar la documentación al cliente cuando éste lo solicite. Si el encargado determina en el curso del análisis que las medidas técnicas y de organización adoptadas hasta la fecha para proteger los datos del pedido no son suficientes para establecer un nivel de protección adecuado, aplicará, a su propio costo, las medidas técnicas y de organización adicionales que sean necesarias.

(1) El presente contrato comenzará en el momento de la firma y se aplicará mientras dure el acuerdo principal (limitación resolutoria).

(2) Los derechos de rescisión de las partes sin previo aviso no se verán afectados. El gimnasio tiene derecho a rescindir este contrato sin previo aviso si hay una violación grave por parte de Magicline de las normas de protección de datos aplicables o de las obligaciones derivadas de este contrato, si Magicline no puede o no desea llevar a cabo una instrucción del gimnasio o se niega a ejercer los derechos de control del gimnasio en violación del contrato.

(3) Cada una de las partes tiene derecho a rescindir el presente contrato con un plazo de preaviso de dos semanas hasta el final de un mes civil si la ejecución del contrato principal y/o la ejecución de este contrato es objetada por una autoridad de supervisión responsable de ello (en particular, la autoridad responsable de la protección de datos) y si el plazo fijado por esta autoridad para la eliminación de las deficiencias detectadas expira sin éxito o si la autoridad responsable de ello prohíbe a una de las partes que siga ejecutando el contrato de asociación y/o este contrato.

(4) Cualquier terminación debe ser por escrito.

(1) Magicline debe corregir, borrar o bloquear los datos personales de la relación contractual si el cliente lo exige mediante una instrucción y si los intereses justificados del encargado no entran en conflicto con esto.

(2) A la terminación de este contrato o antes a petición del cliente, Magicline debe entregar todos los documentos y datos relacionados con la relación contractual al cliente o destruirlos de acuerdo con las normas de protección de datos con el consentimiento previo.

(3) La documentación que sirva a Magicline como evidencia del procesamiento ordenado y adecuado de los datos podrá ser almacenada por Magicline más allá del final del contrato en conformidad con los respectivos períodos de almacenamiento.

(1) Acuerdos paralelos hablados oralmente no tienen efecto. Las modificaciones y suplementos de este contrato requieren la forma regulada en el § 28 párrafo 9 RGPD. Esto también se aplica a cualquier cambio en el requisito de la forma escrita en sí.

(2) En caso de que una disposición del contrato sea o llegue a ser inválida, las partes se comprometen a sustituir la disposición inválida por una disposición válida que se acerque lo más posible a la intención económica de las partes. Lo mismo se aplica en el caso de un vacío en la normativa.

(3) El lugar de jurisdicción exclusivo para todos los desacuerdos que surjan de este contrato y en relación con él es Hamburgo. Las partes están de acuerdo en la aplicabilidad de la ley alemana.