Indledning
Aftale om fælles dataansvar for Dansk Boldspil-Union’s fælles IT- systemer, der udbydes i Dansk Boldspil-Union’s regi
Indledning
Denne aftale er udarbejdet af Dansk Boldspil-Union under henvisning til databeskyttelsesforordningen og efter Datatilsynets vejledninger.
Dansk Boldspil-Union er ansvarlig for at levere fælles IT-systemer på klubadministrationsområdet, som klubberne har mulighed for/skal at anvende. Accept af nærværende aftale er en forudsætning for at være medlem af en lokalunion.
Oplysninger om, hvilke systemer Dansk Boldspil-Union leverer, hvilke processer disse systemer understøtter, samt hvilke data der findes i systemerne, kan rekvireres ved henvendelse til Dansk Boldspil-Union på e-mail: xxxxxxxxxx@xxx.xx. Der gøres dog opmærksom på, at dette ikke falder ind under de registreredes rettigheder, så der kan pt. være længere ventetid.
Aftale om fælles dataansvar efter Databeskyttelsesforordningen
Efter databeskyttelsesforordningens artikel 26 foreligger der fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling af persondata. Dette er tilfældet for de fælles IT-systemer på klubadministrationsområdet, som Dansk Boldspil-Union stiller til rådighed.
Foreligger der fælles dataansvar, skal de fælles dataansvarlige ifølge forordningen på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til forordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.
Det er på denne baggrund, at Dansk Boldspil-Union har udarbejdet denne aftale om fælles dataansvar for de IT- systemer, der stilles til rådighed af Dansk Boldspil-Union.
Aftalen er gældende for alle klubber, som anvender de IT-systemer, der stilles til rådighed af Dansk Boldspil-Union.
De enkelte klubber er som led i deres efterlevelse af databeskyttelsesforordningens regler derfor forpligtet til at gøre sig bekendt med indholdet af aftalen og følge den i forbindelse med deres behandling af personoplysninger ved hjælp af de nævnte IT-systemer.
1. | Aftale om fælles dataansvar for systemer på klubadministrationsområdet, som stilles til rådighed af Dansk Boldspil-Union | |
1.1. | I denne aftale fastsættes bestemmelser om ansvarsfordelingen mellem Dansk Boldspil-Union og de klubber, der anvender de systemer på klubadministrationsområdet, som stilles til rådighed af Dansk Boldspil-Union. | |
Personoplysninger, som klubberne behandler i systemerne, bliver ligeledes behandlet, herunder indsamlet til Dansk Boldspil-Unions formål, fordi Dansk Boldspil-Union har behov for oplysningerne til en viderebehandling, som Dansk Boldspil-Union foretager uden instruks fra klubberne. | ||
Dansk Boldspil-Union indsamler klubbernes data fra en række systemer til afvikling og udvikling af dansk fodbold, statistikformål, complianceanalyser, lovbestemt afrapportering og lignende. |
Ovennævnte viderebehandling sker til Dansk Boldspil-Unions egne formål og med Dansk Boldspil-Union som ene dataansvarlig. Dansk Boldspil-Unions viderebehandling af oplysningerne er derfor ikke omfattet af indeværende aftale. | |||
1.2. | Det væsentligste indhold af den ordning, der fastsættes i denne Aftale, skal gøres tilgængeligt for de registrerede. | ||
Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige. | |||
1.3. | I forbindelse med klubbernes anvendelse af de af Dansk Boldspil-Union administrerede systemer foreligger der et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på, at de behandlinger af personoplysninger, som finder sted i systemet, sker til begge parters formål og med fælles hjælpemidler (systemet). | ||
2. | Overordnet ansvarsfordeling | ||
2.1. | Som bruger af systemerne er den enkelte klub bl.a. ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen, herunder korrekt indsamling og registrering af oplysninger. Den enkelte klub er ligeledes – i vidt omfang – ansvarlig for udøvelsen af den registreredes rettigheder. | ||
2.2. | Som ansvarlig myndighed for systemerne er Dansk Boldspil-Union bl.a. ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer. | ||
3. | Principper og behandlingshjemmel | ||
3.1. | Den enkelte klub er ansvarlig for, at der foreligger en hjemmel til behandling af de personoplysninger, som klubben registrerer og behandler i systemerne. | ||
3.2. | Den enkelte klub er ligeledes ansvarlig for at kunne dokumentere en gyldig behandlingshjemmel, eksempelvis såfremt hjemlen er baseret på et samtykke fra den registrerede. | ||
3.3. | Den enkelte klub og Dansk Boldspil-Union er hver især ansvarlige for at overholde principperne for behandling af personoplysninger samt god databehandlingsskik, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale. | ||
4. | De registreredes rettigheder | ||
4.1. | Den enkelte klub er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen: | ||
● | oplysningspligt ved indsamling af personoplysninger hos den registrerede, | ||
● | oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede, | ||
● | den registreredes indsigtsret, | ||
● | ret til berigtigelse, | ||
● | ret til sletning (retten til at blive glemt), | ||
● | ret til begrænsning af behandling, | ||
● | underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, og | ||
● | ret til indsigelse mod en behandling. | ||
4.2. | Den enkelte klub er ansvarlig for egne data og ansvarlig for behandlingen af anmodninger eller henvendelser fra de registrerede vedrørende de forhold, der er nævnt i punkt 4.1. |
4.3. | Såfremt Dansk Boldspil-Union modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er nævnt i punkt 4.1., og vedrørende en anden klub, jf. punkt 4.2., oversendes denne til besvarelse hos den relevante klub snarest muligt. | ||
4.4. | Dansk Boldspil-Union er ansvarlig for at bistå klubberne i det omfang, at dette er relevant og nødvendigt for, at klubberne kan efterleve deres forpligtelser over for de registrerede. | ||
5. | Dokumentation for overholdelse af databeskyttelsesforordningen | ||
5.1. | Den enkelte klub er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. Dette kan eksempelvis indebære, at Dansk Boldspil-Union udarbejder procedurer for håndtering af sikkerhedsbrister, jf. databeskyttelsesforordningens artikel 32. | ||
5.2. | Dansk Boldspil-Unions foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker. | ||
5.3. | Dansk Boldspil-Union er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25. | ||
5.4. | Den enkelte klub er ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at klubbens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Dette kan eksempelvis indebære udarbejdelse af procedurer for anmodninger om indsigt eller opfyldelse af oplysningspligten (databeskyttelsesforordningens artikel 24). | ||
6. | Anvendelse af databehandlere og underdatabehandlere | ||
6.1. | Dansk Boldspil-Union er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i tilknytning til de omhandlede systemer. | ||
6.2. | Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Dansk Boldspil-Union ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Dansk Boldspil-Union er herefter bl.a. forpligtet til | ||
● | alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder, | ||
● | at sikre, at der foreligger en gyldig databehandleraftale mellem Dansk Boldspil-Union og databehandleren, og | ||
● | at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler. | ||
6.3. | Dansk Boldspil-Union skal på anmodning fra en klub oplyse om, hvorvidt oplysningerne behandles af databehandlere og evt. underdatabehandlere. | ||
6.4. | Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, kan Dansk Boldspil-Union efter anmodning fra klubberne oplyse om indholdet at aftalerne. | ||
7. | Fortegnelse |
7.1. | Dansk Boldspil-Union er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Dansk Boldspil-Union fører fortegnelser over de behandlingsaktiviteter, som foretages i de pågældende systemer. | |
7.2. | Dansk Boldspil-Union orienterer klubberne om indholdet af ovennævnte fortegnelser. | |
7.3. | Den enkelte klub skal – eventuelt på baggrund af indholdet i Dansk Boldspil-Unions fortegnelser – udarbejde egne fortegnelser over de af aftalen omhandlede behandlingsaktiviteter. | |
8. | Behandlingssikkerhed | |
8.1. | Dansk Boldspil-Union er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Dansk Boldspil-Union skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Dette skal ske under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. | |
Dette indebærer, at Dansk Boldspil-Union skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at begrænse de identificerede risici. | ||
8.2. | Den enkelte klub er forpligtet til at gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til klubbens anvendelse af systemerne, herunder f.eks. foranstaltninger i forbindelse med den fysiske sikkerhed. | |
9. | Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden | |
9.1. | Dansk Boldspil-Union er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. | |
9.2. | Den enkelte klub er dog ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33, såfremt et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. | |
10. | Underretning om brud på persondatasikkerheden til den registrerede | |
10.1. | Dansk Boldspil-Union er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede. | |
10.2. | Den enkelte klub er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning til den registrerede om brud på persondatasikkerheden, såfremt et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. I et sådant tilfælde er Dansk Boldspil-Union forpligtet til at bistå klubben med oplysninger, som er nødvendige for, at klubben kan overholde sine forpligtelser over for den registrerede. | |
11. | Konsekvensanalyse vedrørende databeskyttelse og forudgående høring | |
11.1. | Dansk Boldspil-Union er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Dansk Boldspil-Union forud for behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. | |
11.2. | Dansk Boldspil-Union er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når kravet finder anvendelse. |
12. | Overførsel af personoplysninger til tredjelande eller internationale organisationer | |
12.1. | Dansk Boldspil-Union er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisationer. | |
12.2. | Den enkelte klub er ansvarlig for iagttagelsen af kapitel V, såfremt overførslen af personoplysninger til et tredjeland eller en international organisation sker i forbindelse med klubbens anvendelse af systemet/på klubbens foranledning. | |
13. | Klager | |
13.1. | Dansk Boldspil-Union er ansvarlig for behandling af eventuelle klager fra registrerede, såfremt klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke Dansk Boldspil-Union efter denne aftale er ansvarlig. | |
13.2. | Den enkelte klub er ansvarlig for behandling af eventuelle klager fra registrerede, såfremt klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke klubben efter denne aftale er ansvarlig. | |
13.3. | Såfremt en klub eller Dansk Boldspil-Union modtager en klage, som rettelig bør behandles af den anden part, oversendes klagen til denne dataansvarlige snarest muligt. | |
13.4. | Såfremt en klub eller Dansk Boldspil-Union modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, oversendes denne del til besvarelse hos parten snarest muligt. | |
13.5. | Den registrerede skal, i forbindelse med klubbens eller Dansk Boldspil-Unions oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale. | |
14. | Orientering af den anden part | |
14.1. | Parterne orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne aftale. | |
15. | Ikrafttrædelse | |
15.1. | Denne aftale træder i kraft den 25. maj 2018. | |
16. | Revidering af aftalen | |
16.1. | Vi forbeholder os retten til at foretage ændringer i denne aftale fra tid til anden. Ved ændringer vil dato og ændringer blive beskrevet i versionshistorikken på sidste side. Den til enhver tid gældende aftale vil være tilgængelig på xxx.xxx.xx. Ved væsentlige ændringer vil du modtage meddelelse herom. |
Dansk Boldspil-Union, den 18. maj 2018
Versionshistorik
Ændringer | Version | Dato |
1.0 | 18/5 2018 |