GolfBox A/S

Databehandleraftale mellem

GolfBox A/S

Xxx.xx.: 27234704

Xxxxxxxxxxxx 00 X

8600 Silkeborg Danmark

(I det følgende kaldet “Databehandler”)

og

Løgstør Golf Klub Xxxxxxxxx 000,Xxxxxxxxx 0000 Xxxxxxx

DANMARK

(i det følgende kaldet ”Dataansvarlig”)

(hver for sig en “part” og tilsammen “Parterne”)

DEFINITIONER

”Aftalen” betyder hovedaftalen direkte med GolfBox A/S, med en GolfBox- forhandlerrepræsentant eller via en national organisatorisk ramme- aftale for levering af GolfBox softwarelicensservice, der afspejler parternes aftale med hensyn til behandling af personoplysninger, idet denne Databehandleraftale udgør en del af hovedaftalen.

”Databeskyttelseslovgivning” betyder den Generelle Databeskyttelsesforordning (EU) 2016/679

og fremtidig lovgivning, der regulerer behandlingen af personoplys- ninger.

”Databehandleraftalen” betyder denne Databehandleraftale.

1. FORMÅL OG OMFANG

1.1 Formålet med denne Databehandleraftale er at sikre efterlevelse af Databeskyttelseslovgivnin- gen. Formålet er, at Databehandleren autoriseres til at behandle personoplysninger på vegne af den Dataansvarlige som yderligere specificeret i Appendix 1.

1.2 I tilfælde af uoverensstemmelse mellem denne Databehandleraftale og Aftalen har denne Data- behandleraftale forrang, med mindre andet direkte er anført i Aftalen.

1.3 Dersom bestemmelser i denne Databehandleraftale og de tilhørende instrukser findes ugyldige eller i strid med Databeskyttelseslovgivningen, kan parterne uanset paragraf 1.1 ikke gøre dette gældende. Databehandleraftalen forbliver i kraft, og Parterne skal om nødvendigt forhandle med henblik på at fastlægge, ændre eller revidere de aktuelle betingelser.

2. DEN DATAANSVARLIGES RETTIGHEDER OG FORPLIGTELSER

2.1 Den Dataansvarlige har de rettigheder og forpligtelser, der fremgår af denne Databehandleraf- tale.

2.2 Den Dataansvarlige har ansvaret for de personoplysninger, som Databehandleren behandler på den Dataansvarliges vegne. Det er udelukkende den Dataansvarliges ansvar, at Databehandleren kan behandle personoplysningerne på vegne af den Dataansvarlige og for nøjagtighed, kvalitet og lovlighed af de personoplysninger, der leveres af den Dataansvarlige til Databehandleren og de måder, hvorpå den Dataansvarlige erhvervede personoplysningerne.

2.3 Den Dataansvarlige tilgår Databehandlerens software og den Dataansvarliges data udelukkende gennem Databehandlerens grafiske brugerinterface eller gennem adgang via Databehandlerens API moduler. Tilgang til data ved brug af enhver type af automatiserede rutiner er, af sikkerheds- mæssige årsager, under ingen omstændigheder tilladt.

3. DATABEHANDLERENS FORPLIGTELSER

3.1 Databehandleren behandler kun personoplysninger på vegne af den Dataansvarlige og i henhold til de vilkår, der er anført i denne Databehandleraftale eller i henhold til den Dataansvarliges do- kumenterede instrukser, se punkt 5.

3.2 Databehandleren skal føre og opretholde skriftlige (herunder elektroniske) optegnelser over alle kategorier af databehandlingsaktiviteter, der udføres på den Dataansvarliges vegne. Som mini- mum omfatter dette:

• navn og kontaktoplysninger for Databehandleren og underdatabehandlere og for den Dataansvarlige på hvis vegne Databehandleren handler og, hvor det er relevant for den Dataansvarliges eller Databehandlerens repræsentant og databeskyttelses- rådgiveren;

• de kategorier af databehandling, der udføres af Databehandleren eller underdatabe- handlere på den Dataansvarliges vegne;

• enhver overførsel af personoplysninger til et tredjeland eller en international organi- sation, inklusive henvisning til det separate juridiske grundlag, der tillader overførs- lerne;

• en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er truffet i relation til behandlingen af personoplysninger.

3.3 Databehandleren skal på ethvert givet tidspunkt og gratis stille det register, der er anført under punkt 3.2, til rådighed for den Dataansvarlige eller Datatilsynet i Danmark.

3.4 Efter anmodning fra den Dataansvarlige skal Databehandleren hjælpe og assistere den Dataan- svarlige, og Databehandleren skal levere relevante oplysninger og dokumentation, der sætter

den Dataansvarlige i stand til at dokumentere efterlevelse af gældende love, dvs. ret til adgang, konsekvensanalyse osv. Databehandleren har ret til separat betaling for medgået tid og yderli- gere omkostninger og udgifter i relation til ændringer og/eller øgede instrukser fra den Dataan- svarlige.

3.5 Hvis et data subjekt kontakter Databehandleren for at udøve sine rettigheder i henhold til Xxxx- beskyttelseslovgivningen, skal Databehandleren sende en sådan anmodning til den Dataansvar- lige uden unødig forsinkelse, så den Dataansvarlige kan håndtere dette. Databehandleren skal assistere den Dataansvarlige i overensstemmelse med punkt 3.4.

4. DATABEHANDLERENS BRUG AF UNDERDATABEHANDLERE

4.1 Databehandleren anvender underdatabehandlere i forbindelse med sine serviceydelser i hen- hold til Databehandleraftalen. Den Dataansvarlige har ved at underskrive Databehandleraftalen accepteret Databehandlerens involvering af de underdatabehandlere, der er anført i Appendix 2.

4.2 Den Dataansvarlige accepterer, at Databehandleren udpeger underdatabehandlere, hvis føl- gende betingelser er opfyldt:

• Databehandleren skal underrette den Dataansvarlige om eventuelle tilsigtede tilføjelser eller ændringer af underdatabehandlere og give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden for en rimelig frist (mindst 10 arbejdsdage). Underretningen skal omfatte en beskrivelse af de oplysninger, der er anført i Appendix

2. Den beskrivelse, der leveres af Databehandleren vedrørende tilføjelse eller udskift- ning af underdatabehandlere, skal sætte den Dataansvarlige i stand til at vurdere de re- levante omstændigheder;

• Underdatabehandlerens behandling af den Dataansvarliges oplysninger er baseret på en skriftlig aftale, der er indgået mellem Databehandleren og underdatabehandleren. En sådan aftale skal pålægge underdatabehandleren de samme forpligtelser, som gælder for Databehandleren i henhold til Databehandleraftalen og Databeskyttelseslovgivnin- gen, for at sikre data subjekters rettigheder. Databehandleren skal aktivt sikre, at under- databehandlerne overholder og efterlever sådanne forpligtelser; og

• Den Dataansvarlige kan til enhver tid kræve dokumentation for eksistensen og indholdet af underdatabehandlerens aftale med Databehandleren. Databehandleren kan udelukke indhold, der er underlagt fortrolighed og/eller indhold af kommerciel art mellem Data- behandleren og underdatabehandleren.

4.3 Med mindre det specifikt er aftalt, skal kommunikationen med underdatabehandlerne håndteres af Databehandleren. Den Dataansvarlige kan afvise brugen af en underdatabehandler, hvis un- derdatabehandleren ikke efterlever en sådan instruks.

4.4 Databehandleren overfører den Dataansvarliges personoplysninger til lande uden for EU/EØS. Databehandleren sikrer, at der gælder et separat juridisk grundlag for overførslen af

personoplysninger. Der henvises til Appendix 2. Anvendelse af underdatabehandlere i usikre tredjelande må kun finde sted, hvis det separate juridiske grundlag er gyldigt i henhold til den gældende Databeskyttelseslovgivning.

5. INSTRUKSER

5.1 Databehandleren behandler kun personoplysninger i henhold til og i overensstemmelse med den Dataansvarliges til enhver tid gældende instrukser. Den Dataansvarliges instrukser omfatter den databehandling, der kræves for at sætte Databehandleren i stand til at levere de aftalte service- ydelser til den Dataansvarlige. Instrukser fra den Dataansvarlige, der påvirker og ændrer indhol- det af den aftalte serviceydelse, håndteres i henhold til Aftalen.

5.2 Databehandleren skal straks informere den Dataansvarlige, hvis en instruks efter Databehandle- rens opfattelse strider mod Databeskyttelseslovgivningen.

5.3 Det er ikke tilladt for Databehandleren at nægte at efterleve den Dataansvarliges instrukser på grund af manglende eller forsinket betaling af Databehandlerens fakturaer osv. Databehandle- ren har på intet tidspunkt tilbageholdelsesret eller lignende i forhold til den Dataansvarliges per- sonoplysninger.

5.4 Databehandleren kan kun behandle personoplysninger uden for instrukserne, hvis dette kræves i henhold til EU-lovgivning eller national lovgivning, som Databehandleren er forpligtet til at over- holde. Databehandleren skal informere den Dataansvarlige om en sådan grund, med mindre en sådan underretning ikke er tilladt i henhold til gældende EU-lovgivning eller national lovgivning.

6. TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER

6.1 Databehandleren skal, under hensyntagen til nyeste teknologi, implementeringsomkostningerne og databehandlingens art, omfang, kontekst og formål, samt risikoen for sandsynlighed og svær- hedsgrad for påvirkningen af fysiske personers rettigheder og frihed, implementere hensigts- mæssige tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre:

• utilsigtet eller ulovlig destruktion, tab og ændring af personoplysninger,

• uautoriseret overførsel, adgang til eller misbrug af personoplysninger, og

• anden illegal behandling, der strider mod det sikkerhedsappendix, der er vedhæftet som Appendix 3.

6.2 Databehandleren skal kunne påvise over for den Dataansvarlige, at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er overholdt og på plads. Parterne har aftalt, at de garantier, der er anført i Appendix 3, er tilstrækkelige på tidspunktet for indgåelse af denne Da- tabehandleraftale.

6.3 Uden unødig forsinkelse og senest 24 timer efter, at Databehandleren er blevet klar over et brud på sikkerheden skal Databehandleren underrette den Dataansvarlige. Denne underretning skal som minimum og om muligt indeholde følgende: 1) oplysning om typen af brud på sikkerheden;

2) de kategorier af data subjekter, der er påvirket af bruddet; og 3) (ca.) hvor mange data subjek- ter, der er påvirket af bruddet, herunder kategorier af personoplysninger og antal samt de elimi- nerende og/eller formildende forholdsregler, Databehandleren har truffet i forbindelse med bruddet.

6.4 Databehandleren skal føre et register over alle indtrufne brud på sikkerheden. Registeret skal som minimum indeholde følgende:

• de faktiske omstændigheder/kendsgerninger vedrørende bruddet,

• virkningerne af bruddet på sikkerheden, og

• den udførte afhjælpning.

6.5 Efter skriftlig anmodning skal registeret stilles til rådighed for den Dataansvarlige eller tilsyns- myndigheden.

7. OVERFØRSEL TIL XXXXX XXXXX

7.1 Hvis personoplysninger overføres til et EU-medlemsland, er Databehandleren ansvarlig for efter- levelse af gældende sikkerhedsforanstaltninger i henhold til det pågældende medlemslands lov- givning.

7.2 Databehandleren har ret til at overføre personoplysninger til tredjelande i henhold til kravene i afsnit 4.4.

8. FORTROLIGHED

8.1 Behandlingen af personoplysninger er underlagt streng fortrolighed mellem den Dataansvarlige og Databehandleren. Databehandlerens ansatte, eventuelle tredjeparter (f.eks. reparatører/tek- nikere) og eventuelle underdatabehandlere, der er beskæftiget med behandlingen af personop- lysninger i henhold til denne Databehandleraftale, har forpligtet sig til at behandle alle oplysnin- ger fortroligt.

8.2 Kun ansatte hos Databehandleren, der er autoriseret af Databehandleren, har adgang til de per- sonoplysninger, der behandles i henhold til denne Databeskyttelsesaftale. Databehandleren sik- rer, at ansatte, der er beskæftiget med behandling af personoplysninger, er informeret om per- sonoplysningernes fortrolige art, har modtaget hensigtsmæssig oplæring i deres ansvar og har indgået skriftlige fortrolighedsaftaler eller er omfattet af en hensigtsmæssig lovbestemt pligt til fortrolighed.

8.3 Uanset afsnit 13 gælder punkt 8.1–8.2 stadig efter opsigelse af denne Databehandleraftale.

9. OVERVÅGNING OG ERKLÆRINGER

9.1 For at den Dataansvarlige skal kunne sikre og tjekke, at Databehandleren har truffet de nødven- dige tekniske og organisatoriske sikkerhedsforanstaltninger, kan Databehandleren videregive en relevant erklæring til den Dataansvarlige på årlig basis. Denne erklæring kan udarbejdes af Data- behandlerens interne auditteam eller af en tredjepart. Erklæringen videregives til den Dataan- svarlige efter anmodning.

9.2 Den Dataansvarlige har for egen regning ret til en audit ved en uafhængig tredjepart for at gen- nemgå Databehandlerens behandling af personoplysninger. Databehandleren kan kræve separat betaling for medgået tid og eventuelle yderligere omkostninger/udgifter i relation til inspektio- nen.

10. ÆNDRING AF DENNE DATABEHANDLERAFTALE

10.1 Ændringer i gældende lovgivning eller retspraksis kan medføre nødvendige ændringer i denne Databehandleraftale. I sådanne tilfælde har den Dataansvarlige ret til at kræve de nødvendige ændringer gratis med 90 dages varsel.

10.2 Hvis ændringerne i Databehandlerens forpligtelser skyldes den Dataansvarliges ønsker om at have sikkerhedsforanstaltninger for personoplysninger, der overstiger det lovbestemte og/eller det relevante sikkerhedsniveau, har Databehandleren ret til separat betaling for omkostninger og yderligere udgifter.

10.3 Databehandleren skal uden unødig forsinkelse sikre, at underdatabehandlerne er forpligtede til at efterleve aftalte ændringer i henhold til afsnit 10.1 og 10.2.

11. RETURNERING, SLETNING ELLER DESTRUKTION AF PERSONOPLYSNINGER

11.1 Ved Aftalens opsigelse eller udløb ophører denne Databehandleraftale samtidig. Parterne afta- ler, om de personoplysninger, der er behandlet af Databehandleren på vegne af den Dataansvar- lige, skal slettes eller returneres. Databehandleren skal slette eksisterende eksemplarer og backup deraf i henhold til planlagte og systematiske overskrivning af backup.

11.2 Den Dataansvarlige har for egen regning ret til med assistance fra en uafhængig tredjepart at sikre, at sletning osv. er udført i henhold til det påståede. Databehandleren har ret til separat betaling af omkostninger eller yderligere udgifter til medgået tid.

11.3 Uanset afsnit 11.1 har Databehandleren i nødvendigt omfang for at dokumentere udførelse af serviceydelsen i henhold til Aftalen eller for at forsvare sig mod eventuelle juridiske krav ret til at gemme et eksemplar af den Dataansvarliges personoplysninger. Den Dataansvarliges personop- lysninger skal i et sådant tilfælde kun behandles i forbindelse med ovenstående formål og skal ophøre, når disse ikke længere eksisterer.

11.4 Databehandleren skal sikre, at underdatabehandlere ikke behandler personoplysninger efter Af- talens opsigelse, med mindre afsnit 11.3 er gældende.

12. OVERTRÆDELSE OG HÆFTELSE

12.1 Vilkårene i Aftalen vedrørende overtrædelse og hæftelse gælder også for Databehandleraftalen.

13. IKRAFTTRÆDEN OG VARIGHED

13.1 Denne Databehandleraftale træder i kraft, når begge parter har underskrevet Databehandleraf- talen. Den er gældende, indtil Aftalen opsiges.

13.2 Uanset afsnit 13.1 forbliver denne Databehandleraftale i kraft, så længe Databehandleren be- handler de personoplysninger, der er omfattet af denne Databehandleraftale.

14. GÆLDENDE LOV

14.1 Databehandleraftalen er omfattet af dansk lov.

14.2 Enhver tvist, der opstår på grundlag af Databehandleraftalen, skal afgøres af byretten i Køben- havn.

De behandlede data

Personoplysningerne behandlet af Databehandleren på vegne af den Dataansvarlige omhandler de katego- rier af persondata som er overdraget af den Dataansvarlige til Databehandleren i dette dokument.

De behandlede data varierer afhængig af hvilke løsninger og licenserede produkter som tilbydes af Databe- handleren og som benyttes af den Dataansvarlige. Den Dataansvarlige kan over tid vælge at ændre hvilke licenserede produkter som anvendes. Databehandleren kan over tid vælge at ændre den tekniske løsning for de licenserede produkter.

Indholdet af de behandlede data er dynamisk og kan derfor findes online her: xxx.xxxxxxx.xxx/XXX/xxxxxxxx0/XX

Underdatabehandlere

Underdatabehandlere som anvendes varierer afhængig af hvilke løsninger og licenserede produkter som tilbydes af Databehandleren og som benyttes af den Dataansvarlige. Den Dataansvarlige kan over tid vælge at ændre hvilke licenserede produkter som anvendes. Databehandleren kan over tid vælge at ændre den tekniske løsning for de licenserede produkter.

Indholdet af de anvendte underdatabehandlere, er dynamisk og kan derfor findes online her: xxx.xxxxxxx.xxx/XXX/xxxxxxxx0/XX

Sikkerhedsforanstaltninger

Sikkerhedsforanstaltningerne som anvendes varierer afhængig af hvilke løsninger og licenserede produkter som tilbydes af Databehandleren og som benyttes af den Dataansvarlige. Den Dataansvarlige kan over tid vælge at ændre hvilke licenserede produkter som anvendes. Databehandleren kan over tid vælge at ændre den tekniske løsning for de licenserede produkter.

Indholdet af de anvendte sikkerhedsforanstaltninger, er dynamisk og kan derfor findes online her: xxx.xxxxxxx.xxx/XXX/xxxxxxxx0/XX