Databehandlingsaftale
Databehandlingsaftale
DATABEHANDLINGSAFTALE
Mellem undertegnede
Xxxxxxxxx.xx ApS CVR-nr. 33 76 55 09
Graven 3 B
8000 Aarhus C
(herefter benævnt ”Holdsport”) og medundertegnede
Sydkystens Karate Klub Håndværkerbyen 20A 2670
Greve
(herefter benævnt ”Klubben”)
(herefter hver for sig benævnt ”Part” og sammen ”Parterne”) er dags dato indgået databehandleraftale på følgende vilkår og betingelser
1. DEFINITIONER
1.1 Personoplysninger” og “behandling” skal have den betydning, som følger af artikel 4 i Forordning 2016/679 af Europa-Parlamentets og Rådet af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv (95/46/EF (herefter ”persondataforordningen”).
2. DATAANSVARLIG OG DATABEHANDLER
2.1 Klubben afgør til hvilket formål og med hvilke hjælpemidler personoplysningerne i forbindelse med denne aftale skal behandles, og er derfor den dataansvarlige, jf. persondatalovens § 3, stk. 4 og artikel 4, stk. 7 i persondataforordningen.
2.2 Holdsport behandler data på vegne af den dataansvarlige, hvorfor Holdsport er databehandler, jf. persondatalovens §3, stk. 5 og artikel 4, stk. 8 i persondataforordningen.
3. BAGGRUNDEN OG FORMÅLET MED BEHANDLINGEN
3.1 Klubben ønsker at benytte Holdsports tjeneste til at
Håndtere kontingentopkrævning, hvis Klubben ønsker dette. Indberetning til forbund og register
Sende e-mails og anden elektronisk information, herunder SMS og push notes.
Håndtere billeder på Holdsport og Klubbens offentlige hjemmeside, hvis Klubben ønsker dette Registrering af aktiviteter og hændelser, herunder fremmøde, betalinger, målscoring, m.v.
Gemme/redigere/slette oplysninger på Klubbens medlemmer, herunder telefonnumre, adresser, e-mails, alder, køn m.v.
3.2 Oplysninger til brug for det angivne system vil blive indsamlet fra Klubben og spillere, trænere, forældre m.fl
3.3 Der sker ikke behandling af personoplysninger om helbredsoplysninger, straffedomme, CPR-nr. (medmindre Klubben er lovmæssigt forpligtet til dette) og lovovertrædelser.
3.4 Der behandles oplysninger for følgende kategorier af registrerede - spillere, trænere, forældre, medarbejdere og eventuelt dommere.
4. PLACERING AF DATA
4.1 Holdsport opbevarer persondata på servere hos Hetzner og Amazon. Serverne er placeret i Tyskland.
4.2 Holdsport må ikke overføre eller behandle de af nærværende aftale omfattede persondata i andre lande uden for EU, uden den Dataansvarliges forudgående skriftlige godkendelse.
5. HOLDSPORTS FORPLIGTELSER
5.1 Holdsport forpligter sig til alene at behandle personoplysninger på baggrund af dokumenterede instrukser fra Klubben, herunder med hensyn til overførsel af personoplysninger til et tredjeland eller en international organisation.
5.2 Hvis Holdsport er forpligtet til at overføre personoplysninger til et tredjeland eller en international organisation, skal Holdsport underrette Klubben om denne pligt forinden behandlingen sker, medmindre loven forbyder sådanne oplysninger grundet samfundets interesse.
5.3 Holdsport skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre, at alle personoplysninger, der er til rådighed eller som behandles af Holdsport, behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, eller enhver anden behandling af personoplysninger i strid med persondataforordningen. Disse tekniske og organisatoriske foranstaltninger findes i bilag 1.
5.4 Efter anmodning fra Klubben vil Holdsport give Klubben en erklæring vedrørende de tekniske og organisatoriske foranstaltninger.
5.5 Holdsport sikrer, at personer, der er bemyndiget til at behandle personoplysningerne, er underlagt fortrolighed enten ved aftale eller efter lov.
5.6 Holdsport skal give Klubben meddelelse om brud på persondatasikkerheden uden unødig forsinkelse. Ved brud på persondatasikkerheden forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. persondataforordningens artikel 4, stk. 12.
5.7 Holdsport skal behandle personoplysninger, der behandles af Holdsport på vegne af Klubben, fortroligt. Holdsport må ikke videregive personoplysninger leveret til Holdsport af, for, eller på vegne af Klubben til tredjemand, medmindre der foreligger samtykke eller andet lovligt grundlag.
5.8 Holdsport må ikke gøre brug af personoplysninger leveret til Holdsport af Klubben på anden måde end til levering af ydelsen.
5.9 Intet i denne aftale forhindrer en af Parterne i at opfylde en retlig forpligtelse pålagt af myndigheder eller domstole. Begge Parter skal dog så vidt muligt drøfte den passende reaktion på enhver anmodning fra en myndighed eller domstol ved videregivelse af oplysninger.
6. YDERLIGERE BISTAND TIL KLUBBEN
6.1 Holdsport stiller alle nødvendige oplysninger til rådighed for Klubben for at påvise overensstemmelse med bestemmelserne i denne aftales forpligtelser og giver mulighed for og bidrager til revidering, herunder inspektioner, gennemført af Klubben eller en revisor, som Klubben har givet mandat til.
6.2 Holdsport skal straks underrette Klubben, såfremt der efter Holdsports opfattelse foreligger en instruktion fra Klubben, der overtræder persondataforordningen.
6.3 Holdsport bistår Klubben med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, for opfyldelsen af Klubbens forpligtelse til at svare på anmodninger om udøvelse af den registreredes rettigheder.
6.4 Holdsport assisterer - idet der tages hensyn til arten af behandlingen og de oplysninger, der er til rådighed for Holdsport - Klubben i at sikre overholdelse af forpligtelser med hensyn til
6.4.1 behandlingssikkerhed,
6.4.2 anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden,
6.4.3 underretning om brud på persondatasikkerheden til den registrerede, og
6.4.4 konsekvensanalyse vedrørende databeskyttelse.
6.5 Holdsport skal - hvis artikel 30 i persondataforordningen finder anvendelse - føre en fortegnelse over behandlingsaktiviteter under deres ansvar og efter anmodning give Klubben en kopi heraf.
6.6 Holdsports bistand efter dette afsnit 6 vil blive udført i henhold til nærmere aftale med Klubben.
7. KLUBBENS FORPLIGTELSER
7.1 Klubben har i overensstemmelse med persondataforordningen en generel forpligtelse til at sikre, at de tekniske og organisatoriske foranstaltninger overholdes, hvilket omfatter tekniske og organisatoriske foranstaltninger fortaget af en databehandler. Holdsport har vurderet de risici som Holdsports behandling af persondata efter denne aftale medfører og har gennemført passende foranstaltninger, jf. punkt 5.3. Klubben er tilfreds med, at Holdsport har implementeret passende foranstaltninger og har ret til at anmode om en erklæring om de tekniske og organisatoriske foranstaltninger, jf. punkt 5.4.
7.2 Klubben erklærer, at de personoplysninger, som Holdsport behandler efter denne aftale, må behandles af Holdsport.
7.3 Det nævnes for en god ordens skyld, at Klubben som dataansvarlig skal overholde reglerne i persondataforordningen, hvilket blandet andet omfatter indgåelse af databehandleraftaler med leverandører.
7.4 Klubben skal - hvis artikel 30 i persondataforordningen finder anvendelse – føre en fortegnelse over behandlingsaktiviteterne og efter anmodning give Holdsport en kopi heraf.
8. UNDERDATABEHANDLER
8.1 Klubben giver Holdsport en generel ret til at gøre brug af underdatabehandlere. Holdsport skal underrette Klubben om eventuelle planlagte ændringer vedrørende underdatabehandlere og derved give Klubben mulighed for at gøre indsigelse mod sådanne ændringer.
8.2 Ved at indgå denne aftale, giver Klubben sit samtykke til, at Holdsport bruger Google (interne e-mails), Krak Media Group (annoncenetværk) samt Hetzner og Amazon (hosting) som underdatabehandler. Holdsport sikrer, at de samme databeskyttelsesforpligtelser, som fastsat i denne aftale, pålægges og navnlig, at underdatabehandlerne vil iværksætte de fornødne tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i persondataforordningen. Holdsport er – i overensstemmelse med persondataforordningen – fuldt ansvarlig over for Klubben for udførelsen af underdatabehandlerens forpligtelser.
8.3 Ved at indgå denne aftale, giver Klubben sit samtykke til, at Holdsport bruger følgende internationale virksomheder som underdatabehandler: Facebook (target groups og log-in), Intercom (kommunikationsplatform), Google Analytics (målinger og statistik på Xxxxxxxxx.xx) og Elastic Email (udsendelse af e-mails). Disse internationale virksomheder har tilsluttet sig EU-U.S. Privacy Shield i USA (Facebook, Intercom og Google) og PIPEDA i Canada (Elastic Email), hvilket er de nødvendige sikkerhedsforanstaltninger i forhold til overførsel af persondata til tredjelande og internationale organisationer ifølge EU kommissionen.
9. PERIODE OG OPSIGELSE
9.1 Denne aftale er gældende, så længe Holdsport behandler personoplysninger på vegne af Klubben.
9.2 Efter ophævelse eller opsigelse af denne aftale skal Holdsport efter påkrav fra Klubben (a) returnere alle personoplysninger overført til Holdsport af Klubben til behandling eller (b) efter modtagelse af instruktioner fra Klubben destruere alle sådanne oplysninger. Foranstående gælder dog ikke, såfremt lovgivningen giver ret eller pligt til opbevaringen.
10. VALG AF LOV OG VÆRNETING
10.1 Denne Aftale er underlagt dansk ret.
10.2 Enhver tvist, der udspringer af eller i forbindelse med denne kontrakt, herunder tvister vedrørende eksistens, gyldighed eller ophør, skal afgøres af retten i Aarhus, hvis tvisten ikke kan løses efter forhandling.
11. UNDERSKRIFTER
11.1 Ved at acceptere nedenfor tiltræder parterne denne aftale.
BILAG 1
TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER
Holdsport har gennemført passende tekniske og organisatoriske foranstaltninger for at sikre, at alle personoplysninger, der er til rådighed eller som behandles af Holdsport, behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, eller enhver anden behandling af personoplysninger i strid med persondataforordningen.
For at sikre Klubbens kendskab til disse, er bilag 1 en redegørelse heraf.
TEKNISKE FORANSTALTNINGER:
Arbejdsbetinget adgang
Kun medarbejdere, der har brug for adgang til persondata (eksempelvis support), kan tilgå persondata. Denne adgang er beskyttet af brugernavn og password.
Holdsport’s platform leveres i et krypteret format.
Lagring og transmission af data foregår krypteret
Der anvendes SSL-kryptering for at sikre information på platformen.
Kryptering af brugerens adgangskode.
Persondata opbevares på servere hos Amazon og Hetzner.
Disse virksomheder er begge ISO27001 certificeret, hvilket er et sikkerhedscertifikat i forhold til informationssikkerhed
Der tages løbende backup, hvorfra genetablering af systemet kan foretages Alle arbejdscomputere har firewall
Holdsport fører kontrol med afviste log-in og forsøg på ulovlig indtrængen på brugere
ORGANISATORISKE FORANSTALTNINGER:
Hvis der opbevares fysiske oplysninger, bliver disse aflåst. Intern fortrolighedspolitik
Indberetningsprocedure til Datatilsynet og den dataansvarlige baseret på Datatilsynet’s ’Vejledning om håndtering af brud på personsikkerheden’ i tilfælde af sikkerhedsbrud
Alle procedurer og protokoller vedrørende persondata er rådført med en advokat
Afslut
Databehandlingsbetingelserene er accepteret