Vojens Håndboldforening CVR-nr.: 33427166
DATABEHANDLERAFTALE MELLEM
Vojens Håndboldforening CVR-nr.: 33427166
(herefter ”Kunden”)
&
Conventus A/S
Sinding Xxxxxxxxx 0
7400 Herning
CVR‐nr.: 32885675
(herefter ”Conventus”)
1. Aftalens baggrund
Baggrunden for aftalen er, at Conventus behandler personoplysninger for den dataansvarlige. Aftalen fastlægger de forpligtelser, der relaterer sig til behandlingen og beskyttelsen af personoplysningerne.
Kunden har som den dataansvarlige i forhold til de registrerede personer ansvaret for overholdelse af lovgivningen. Den dataansvarlige har ansvaret for at henvendelser fra de registrerede personer angående deres rettigheder håndteres. Conventus er forpligtet til at give kunden besked, hvis der efter Conventus’ opfattelse sker lovovertrædelser. Conventus er ansvarlig for at opfylde kravene i Persondataforordningen.
2. Behandling efter instruks
Conventus handler alene efter instruks fra den dataansvarlige. Instruksen er indeholdt i denne aftale. Hermed accepterer Conventus i enhver henseende at behandle personoplysninger i overensstemmelse med persondataforordningen og kun med de formål og på en sådan måde, som fremgår af denne databehandleraftale. Parternes samarbejde er i øvrigt reguleret af en særskilt aftale om system, ydelser, betaling m.v.
2.1 Formålene med behandlingen
1) Formål med behandling af personoplysninger:
Den dataansvarliges kunde og medlemshåndtering, herunder opkrævninger og betalinger.
Som led i den dataansvarliges aktiviteter, herunder planlægning, gennemførelse og opfølgning
Opfyldelse af lovkrav, herunder folkeoplysningsloven Levering af varer og ydelser som kunden har bestilt Administration af kundens relation til den dataansvarlige
2) Formål med behandling af oplysninger på ansatte, instruktører og ledere: Håndtering af ansatte og frivilliges hverv og pligter hos den dataansvarlige Overblik over og forbedring af erfaringer og kompetencer, herunder kurser Opfyldelse af lovkrav
Udbetaling af løn, godtgørelser, refusioner og lignende
Administration af ansatte, instruktører og lederes relation til den dataansvarlige
2.2 Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af registrerede personer:
a) Kunder
b) Medlemmer
c) Ledere
d) Instruktører
2.3 Genstanden for behandlingen og typen af oplysninger
Conventus behandler almindelige personoplysninger og behandler alle personoplysninger strengt fortroligt. Conventus har alene ret til at behandle personoplysninger til de ovennævnte formål.
Conventus behandler følgende personoplysninger:
1) Xxxxx og medlemsoplysninger:
- Almindelige personoplysninger:
o Registrerings‐ og kontaktoplysninger som navn, køn, adresse, indmeldelsesdato, telefonnummer, fødselsdato, bopælskommune og e‐mailadresse
2) Oplysninger om ansatte, instruktører og ledere:
- Almindelige personoplysninger:
o Kontaktoplysninger som adresse, telefonnummer og e‐mailadresse
o Andre oplysninger om tillidsposter, andre hverv i relation til den dataansvarlige og bankkontonummer
2.4 Etablering af passende sikkerhedsforanstaltninger
Conventus skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataforordningen og lovgivningen i øvrigt.
Conventus må til varetagelse af sine opgaver i henhold til denne aftale sikre, at de personer, der er autoriseret af Conventus til at varetage behandling af de overladte personoplysninger, har underskrevet tilstrækkelig fortrolighedserklæring, eller er underlagt en passende lovbestemt tavshedspligt.
Conventus skal overordnet set bistå den dataansvarlige med at opfylde dennes forpligtelser over for den registrerede. Dette indebærer bl.a., at Conventus på den dataansvarliges anmodning skal give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet samt sikre, at der kan ske rettidig anmeldelse af sikkerhedsbrud til Datatilsynet.
Den dataansvarlige har ret til at kræve adgang til de fysiske lokaler hos Conventus og kan også få adgang til en årlig revisionserklæring. 1. gang senest 1. maj 2019. Revision og anmodning om inspektion kan kun finde
sted efter forudgående varsel på minimum 4 uger. Conventus har krav på betaling efter medgået tid, for ovennævnte ydelser.
3. Underdatabehandlere
Denne databehandleraftale omfatter også Conventus’ underleverandør:
DLX A/S, Xxxxxxxxxxxxx 00X, 0000 Xxxxxxx der benyttes som hostingcenter.
QuickPay ApS, Østergade 25 0.xx. 8000 Århus C, der er underleverandør på betalingsgateway. Compaya A/S, Palægade 4, 1261 KBH, der leverer SMS gatway.
Al kommunikation mellem kunden og underleverandøren foretages via Conventus. Overførsel til anden underleverandør af persondata må kun ske, når Conventus har sikret sig, at sådan anden underleverandør har indgået databehandlingsaftale, hvorefter underleverandøren har forpligtet sig til overfor Conventus at være bundet af vilkårene i denne databehandlingsaftale med kunden.
Conventus kan ikke skifte underleverandør uden at underrette kunden. Conventus er ansvarlig overfor kunden for underleverandørens databehandling.
Conventus og dennes underleverandørers behandling af personoplysninger kan ske helt eller delvist ved anvendelse af hjemmearbejdspladser, der alle opfylder de sikkerhedskrav, der er omfattet af denne databehandlingsaftale.
4. Sikkerhedsbrud
Conventus skal uden unødig forsinkelse underrette Xxxxxx efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.
Underretningen skal indeholde de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne og planlagte afhjælpende foranstaltninger. Hvis bruddet er af en karakter der lovgivningsmæssigt kræver at datastilsynet skal underrettes, er det Conventus’ pligt at foretage dette uden unødig forsinkelse.
5. Varigheden af behandlingen
Denne aftale gælder, så længe Conventus behandler personoplysninger for den dataansvarlige i henhold til parternes særskilte aftale om system, ydelser, betaling m.v. Conventus skal på den dataansvarliges anmodning og efter dennes valg slette eller tilbagelevere de behandlede personoplysninger ved den nævnte aftales ophør.
For Conventus A/S For den dataansvarlige
Xxxxx Xxxxxxxx
Herning, den 8. februar 2018 D.