ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Niniejszy dokument obowiązuje pomiędzy:

Gymplanner którego właścicielem jest Perfect Fit Club Spółka z ograniczoną odpowiedzialnością Spółka komandytowa z siedzibą w Warszawie pod adresem ul. Noakowskiego 16/15B, 00-666 Warszawa, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000547516, NIP: 8971808967, zwaną dalej Administratorem
a
Użytkownikiem portalu dostępnego pod adresem: www.gymplanner.com, funkcjonującym jako Trener zwanym dalej Przetwarzającym.

Administrator oraz Przetwarzający zwani będą dalej łącznie Stronami, a każdy z osobna Stroną.

§ 1

POWIERZENIE PRZETWARZANIA DANYCH

Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej Rozporządzeniem.

§ 2

PRZETWARZANIE DANYCH

1. Strony oświadczają, że podjęły współpracę, przedmiotem której jest przekazywanie przez Przetwarzającego rekomendacji dla użytkowników portalu www.gymplanner.com (dalej jako Podopieczni), dotyczących ich zachowań zdrowotnych, a także rekomendowanie przez Przetwarzającego diet pokarmowych, suplementów diety lub innych produktów oferowanych przez Administratora lub podmioty współpracujące z Administratorem (dalej jako Współpraca).

2. Administrator w trakcie trwania Współpracy oraz w celu jej wykonania będzie przekazywał Przetwarzającemu dane osobowe Podopiecznych, takie jak: imię, nazwisko, adres e-mail, numer telefonu, płeć, data urodzenia, adres, wzrost, waga, pomiary sylwetki, dane dotyczące zdrowia (w szczególności podane w wypełnionej ankiecie żywieniowej i ankiecie zdrowotnej), zdjęcie.

3. Strony oświadczają, że Przetwarzający będzie przetwarzał dane osobowe przekazane mu przez Administratora wyłącznie w celu realizacji Współpracy i wyłącznie na polecenie Administratora. Przetwarzanie danych osobowych przez Przetwarzającego jest jednak niezbędne do Współpracy.

4. Dane osobowe będą przetwarzane przez Przetwarzającego nie dłużej niż do zaprzestania Współpracy, a jeżeli przetwarzanie danych osobowych będzie niezbędne do celów wynikających z prawnie uzasadnionych interesów Przetwarzającego – do czasu przedawnienia roszczeń wynikających ze Współpracy.

5. Strony ustalają niniejszym, że Przetwarzający będzie przetwarzał dane osobowe przekazane mu przez Administratora na następujących zasadach:

1) Przetwarzający zapewni, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy;

2) Przetwarzający będzie podejmował wszelkie środki wymagane na mocy art. 32 Rozporządzenia;

3) Przetwarzający będzie przestrzegał warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 Rozporządzenia;

4) Biorąc pod uwagę charakter przetwarzania, Przetwarzający w miarę możliwości będzie pomagał Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia;

5) Uwzględniając charakter przetwarzania oraz dostępne informacje, Przetwarzający będzie pomagał Administratorowi wywiązać się z obowiązków określonych w art. 32 - 36;

6) Po zakończeniu okresu, w którym dane osobowe przekazane przez Administratora będą przetwarzane, wskazanego w ust. 4 powyżej, Przetwarzający usunie lub zwróci Administratorowi wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

7) Przetwarzający zobowiązuje się do udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwi Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, w przypadku uzasadnionego podejrzenia naruszenia przez Przetwarzającego zasad przetwarzania danych osobowych opisanych w niniejszym Dokumencie oraz Rozporządzeniu. Przeprowadzenie audytów, w tym inspekcji o których mowa w zdaniu poprzednim, może mieć miejsce wyłącznie w zakresie związanym z przetwarzaniem danych osobowych przekazanych przez Administratora i winno zostać poprzedzone przekazaniem stosownego zawiadomienia na co najmniej 14 dni przed planowanym audytem (inspekcją);

8) W związku ze zobowiązaniem wskazanym w pkt 7 powyżej, Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o tym, że jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia lub innych przepisów Unii Europejskiej lub państwa członkowskiego o ochronie danych.

6. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającej z przetwarzania, Przetwarzający wdroży - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi Rozporządzenia oraz chronić prawa osób, których dane dotyczą.

7. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Administrator będzie korzystał z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostaną - na mocy odrębnej umowy - te same obowiązki ochrony danych jak w niniejszym Dokumencie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom Rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Przetwarzającym.

8. Przetwarzający będzie przetwarzał dane osobowe, o których mowa w niniejszym Dokumencie, na terytorium Unii Europejskiej.

§ 3

ODPOWIEDZIALNOŚĆ W ZAKRESIE DANYCH OSOBOWYCH

1. W przypadku wystąpienia naruszenia ochrony danych osobowych (tj. naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych), Przetwarzający podejmie uzasadnione i odpowiednie działania, w szczególności poinformuje o tym Administratora bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 48 godzin od chwili ich wykrycia.

2. Informacje przekazane przez Przetwarzającego winny być kompletne, dokładne i poprawne. Przetwarzający zobowiązuje się nadto do współdziałania z Administratorem w zakresie, jaki okaże się konieczny celem dokonania odpowiedniej oceny stopnia naruszenia ochrony danych osobowych. Administrator samodzielnie podejmie decyzję o ewentualnym zgłoszeniu naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 Rozporządzenia oraz zawiadomieniu osoby, której dane dotyczą, zgodnie z art. 34 Rozporządzenia.

§ 4

OKRES TRWANIA ZOBOWIĄZAŃ

Zasady opisane w niniejszym Dokumencie obowiązują przez okres trwania Współpracy i przestają obowiązywać w dniu wykonania, rozwiązania lub wygaśnięcia celu powierzenia przetwarzania danych osobowych określonego w § 2 ust. 3.

§ 5

POSTANOWIENIA KOŃCOWE

W sprawach nieuregulowanych niniejszym Dokumentem mają zastosowanie obowiązujące przepisy prawa, w tym Kodeksu cywilnego jak również przepisów Rozporządzenia.