Bilaga till Avtal om nyttjande IdrottOnline samt Licensavtal Integrationstjänster, 2023-12-14
Bilaga till Avtal om nyttjande IdrottOnline samt Licensavtal Integrationstjänster, 2023-12-14
Särskilda bestämmelser för Riksidrottsförbundets personuppgiftsbehandling i IdrottOnline och Integrationstjänster
Definitioner | |
"Avtalet" | Samtliga avtalshandlingar som reglerar villkoren för RF:s tillhandahållande av aktuell Tjänst till Licenstagaren, inklusive Instruktion för RF:s personuppgiftsbehandling i IdrottOnline och Integrationstjänster. |
"Behandling" | All behandling av personuppgifter inom ramen för tillhandahållande av Tjänsten och som regleras genom dessa bestämmelser inklusive Instruktion för behandling av personuppgifter. |
"RF" | Sveriges riksidrottsförbund, organisationsnummer 802002-8166. |
"Dataskyddsförordning" | Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. |
"Dataskyddslagstiftning" | Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den Behandling som sker enligt dessa bestämmelser, inklusive nationell sådan lagstiftning och EU- lagstiftning. |
”Instruktion för behandling av personuppgifter” | Den vid var tid gällande instruktion för behandling av personuppgifter som gäller för den specifika behandlingen, exempelvis Instruktion för RF:s personuppgiftsbehandling i IdrottOnline och Integrationstjänster. I Avtalet finns hänvisning till relevant instruktion. |
"Kontaktperson" | Fysisk person som har rätt att representera och företräda Part i frågor som rör Licensen, inklusive men inte är begränsat till att ta emot Meddelanden med anledning av Xxxxxxx. |
"Licens" | Den rätt att använda Tjänsten som ges till Licenstagaren genom Avtalet. |
"Licenstagaren" | Den juridiska person som ingått Avtalet. |
"Part" | RF eller Licenstagaren, eller tillsammans som Parterna. |
"Personuppgiftsansvarig" | Idrottsorganisation eller annan, som ensam eller tillsammans med andra bestämmer ändamål och medel för Behandlingen av personuppgifterna. |
"Personuppgiftsbiträde" | RF när RF behandlar personuppgifter för den Personuppgiftsansvarigas räkning; eller Licenstagaren när Licenstagaren behandlar personuppgifter för en Personuppgiftsansvarigs räkning. I sistnämnda fall är RF Underbiträde vid tillhandahållande av en Tjänst. |
”Registrerad” | Den vars personuppgifter behandlas. |
”RF:s villkor för Tjänst” | De villkor som gäller för den Tjänst som Licenstagaren vill nyttja, exempelvis RF:s villkor Integrationstjänster eller RF:s villkor IdrottOnline. |
”Tjänsten” | Den tjänst som definieras i Avtalet. |
"Underbiträde" | Underleverantör som RF anlitar för behandling av personuppgifter för den Personuppgiftsansvarigas räkning; och RF om Licenstagaren inte är Personuppgiftsansvarig. |
1. Allmänt
1.1 Dessa särskilda bestämmelser ska tillämpas när Riksidrottsförbundet (RF) behandlar personuppgifter åt annan och Avtalet mellan Parterna hänvisar till dessa särskilda bestämmelser.
1.2 Termer och begrepp i övrigt har samma betydelse som de definierats i dataskyddsförordningen och RF:s villkor för Tjänst.
2. Behandlingen av personuppgifter
2.1 Licenstagaren, i egenskap av Personuppgiftsansvarig eller Personuppgiftsbiträde, utser RF att behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med dessa bestämmelser.
3. Licenstagarens ansvar
3.1 Licenstagaren ansvarar för att det vid var tid finns laglig grund för Behandlingen som RF ska utföra.
3.2 Licenstagaren ska senast i samband med att Avtalet ingås säkerställa och bekräfta att Instruktion för behandling av personuppgifter finns, är korrekt och innehåller samtliga krav som den Personuppgiftsansvariga har för Behandlingen så att RF och eventuellt Underbiträde till RF kan fullgöra de uppgifter som ingår vid tillhandahållande av Licensen.
3.3 Licenstagaren ansvarar för att alla instruktioner för Behandlingen av personuppgifter sker i enlighet med gällande Dataskyddslagstiftning.
3.4 Licenstagaren ska utan onödigt dröjsmål informera RF om förändringar i Behandlingen som påverkar RF:s skyldigheter enligt Dataskyddslagstiftningen.
3.5 Licenstagaren ansvarar för att informera Registrerade om Behandlingen, att tillvara ta Registrerades rättigheter enligt Dataskyddslagstiftningen samt att vidta varje åtgärd som åligger Licenstagaren enligt Dataskyddslagstiftningen.
3.6 Licenstagaren ska, för uppgifter och behandlingar där Licenstagaren är Personuppgiftsansvarig, säkerställa att sådana personuppgifter endast lagras under den tid och på de sätt som är nödvändigt med hänsyn till ändamålen med Behandlingen.
4. RF:s åtaganden
4.1 RF får endast behandla personuppgifter för Licenstagarens räkning enligt dessa bestämmelser för att tillhandahålla den Tjänst som framgår av Avtalet, enligt Licenstagarens uttryckliga instruktioner och för att följa krav enligt Dataskyddslagstiftningen. RF håller sig fortlöpande informerad om gällande rätt på området för personuppgiftsbehandling.
4.2 RF åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer dessa bestämmelser, Instruktion för behandling av personuppgifter inklusive alla eventuellt tillkommande instruktioner samt Dataskyddslagstiftningen.
4.3 Om RF finner att Instruktionerna är otydliga, i strid med Dataskyddslagstiftningen eller saknas och RF bedömer att nya eller kompletterande instruktioner är nödvändiga för att genomföra sina åtaganden, ska RF utan onödigt dröjsmål informera Licenstagaren, tillfälligt upphöra med Behandlingen och invänta nya instruktioner.
4.4 Om Licenstagaren lämnar nya eller ändrade instruktioner ska RF, utan onödigt dröjsmål från mottagandet, meddela Licenstagaren om de nya eller ändrade instruktioner medför förändrade kostnader för RF.
4.5 RF ska på begäran från Licenstagaren eller den Personuppgiftsansvariga (om det är en annan än Licenstagaren), bistå denne med att säkerställa skyldigheterna att
• anmäla personuppgiftsincident till tillsynsmyndigheten,
• informera Registrerade om en personuppgiftsincident,
• konsekvensbedömning avseende dataskydd,
• förhandssamråd med tillsynsmyndigheten, och
• svara på begäran om utövande av den Registrerades rättigheter enligt kapitel III i dataskyddsförordningen
med beaktande av den typ av Behandling som RF ska utföra samt den information som RF har tillgång till.
4.6 RF ska bistå med att förmedla personuppgifter som omfattas av medgivande från Licenstagaren att lämna ut personuppgifter eller krav enligt lag på att lämna ut personuppgifter till Registrerad eller tredje man.
4.7 Om Licenstagaren har begärt rättelse eller radering på grund av RF:s felaktiga Behandling ska RF vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att RF mottagit sådan information från Licenstagaren. När Licenstagaren har begärt radering får RF endast behandla aktuell personuppgift som ett led i processen för rättelse eller radering.
4.8 Om RF planerar att vidta tekniska eller organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) som väntas påverka Behandlingen ska RF skriftligen Meddela Licenstagaren i god tid innan åtgärderna vidtas.
5. Säkerhetsåtgärder
5.1 RF ska med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang samt riskerna för de fysiska personernas rättigheter och friheter vidta alla tekniska och organisatoriska åtgärder i enlighet med Instruktion för behandling av personuppgifter samt alla tillkommande instruktioner för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken vid Behandlingen av personuppgifter.
6. Konfidentialitet
6.1 RF och RF:s eventuella Underbiträden ska hantera personuppgifterna, som behandlas inom ramen för Licensen, konfidentiellt. Personuppgifterna får inte användas eller spridas för andra ändamål, vare sig direkt eller indirekt, om inte annat särskilt avtalats eller följer av lag eller myndighetsbeslut.
6.2 RF ska skyndsamt underrätta Licenstagaren om eventuella kontakter med tillsynsmyndigheter avseende Behandlingen.
6.3 RF har inte rätt att företräda eller agera för Licenstagaren eller i förekommande fall den Personuppgiftsansvariga gentemot tillsynsmyndigheter i frågor som rör Behandlingen av personuppgifterna inom ramen för Licensen om inte annat framgår av dessa särskilda bestämmelser eller detta skriftligen begärts av Licenstagaren eller i förekommande fall den Personuppgiftsansvariga och RF accepterat ett sådant åtagande.
6.4 Om en Registrerad, tillsynsmyndighet eller tredje man begär information från RF om personuppgifter som den Personuppgiftsansvarige ansvarar för eller om Behandlingen i enlighet med Tjänstens tillhandahållande, ska RF informera Licenstagaren om detta. Information om Behandlingen får inte lämnas till Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från Licenstagaren och/eller i förekommande fall den Personuppgiftsansvariga. Detta gäller dock inte om det framgår av tvingande lag att information ska lämnas.
7. Granskning och tillsyn
7.1 Licenstagaren har rätt att själv, eller genom annan av denne utsedd tredje part, kontrollera att RF uppfyller dessa bestämmelser, Instruktion för behandling av personuppgifter och Dataskyddslagstiftningens krav. RF ska vid en sådan granskning bistå Licenstagaren, eller den som utför granskningen i Licenstagarens ställe, med dokumentation, tillgång till lokaler, it-system och andra tillgångar som behövs för att kunna granska RF:s efterlevnad av dessa bestämmelser, Instruktion för behandling av personuppgifter och Dataskyddslagstiftningen. Licenstagaren ska säkerställa att personal som genomför granskningen är underkastade krav på sekretess, konfidentialitet eller tystnadsplikt enligt lag eller avtal. En sådan kontroll ska bekostas av Licenstagaren, kostnaden för RF:s bistånd ska emellertid bekostas av RF.
7.2 RF har rätt att som alternativ till bestämmelsen i 7.1 säkerställa granskning av en oberoende tredje part. Vid en sådan granskning ska RF ge Licenstagaren eller en tredje part den assistans som behövs för genomförandet av granskningen. RF bekostar eventuell mellanskillnad mellan vad det skulle kosta för Licenstagarens kontroll eller egna utsedda tredje part och den kostnad som den av RF utsedda tredje part medför, om RF:s leverantör är dyrare än Licenstagarens.
7.3 RF ska ge tillsynsmyndighet eller annan myndighet som har laglig rätt till det, möjlighet att bedriva tillsyn enligt myndighetens begäran i enlighet med vid var till gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med dessa bestämmelser eller Instruktion för behandling av personuppgifter.
7.4 RF ska se till att Licenstagaren har samma rättigheter enligt denna punkt 7 i förhållande till eventuella Underbiträden som RF anlitar.
8. Personuppgiftsincidenter
8.1 RF ska med beaktande av Behandlingens art, och den information som RF har, bistå Licenstagaren och i förekommande fall den Personuppgiftsansvariga med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. RF ska på Licenstagarens eller i förekommande fall den Personuppgiftsansvarigas begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling eller åtkomst till personuppgifterna.
8.2 Vid en personuppgiftsincident, som RF fått vetskap om, ska RF utan onödigt dröjsmål skriftligen underrätta Licenstagaren och i förekommande fall den Personuppgiftsansvariga om händelsen. RF ska, med beaktande av typen av Behandling och den information som RF har, tillhandahålla Licenstagaren och i förekommande fall den Personuppgiftsansvariga en skriftlig beskrivning av personuppgiftsincidenten.
Beskrivningen ska redogöra för:
1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
2. de sannolika konsekvenserna av Personuppgiftsincidenten,
3. de åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter, samt
4. andra kända omständigheter kring personuppgiftsincidenten såsom datum, klockslag, med mera.
Om det inte är möjligt för RF att tillhandahålla hela beskrivningen samtidigt, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
9. Underbiträden
9.1 RF får anlita det eller de Underbiträden som framgår av Instruktion för behandling av personuppgifter endast under förutsättning att Underbiträdet/ena kan ge tillräckliga garantier för att genomföra lämplig tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven enligt Dataskyddslagstiftningen.
9.2 RF är skyldig att tillämpa samma bestämmelser för personuppgiftsbehandlingen gentemot Underbiträden som gäller i förhållande till Licenstagaren.
9.3 RF ansvarar fullt ut för Underbiträdens Behandling gentemot Licenstagaren och i förekommande fall den Personuppgiftsansvariga.
9.4 RF får anlita nya Underbiträden och ersätta befintliga Underbiträden.
9.5 När RF planerar att anlita ett nytt eller ersätta ett befintligt Underbiträde ska RF säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. RF ska skriftligen Meddela Licenstagaren och i förekommande fall den Personuppgiftsansvariga om
1. Underbiträdets namn, organisationsnummer och säte (adress och land),
2. vilken typ av uppgifter och kategorier av Registrerade som behandlas, och
3. var personuppgifterna ska behandlas.
9.6 Licenstagaren och i förekommande fall den Personuppgiftsansvariga har rätt att inom trettio (30) dagar från Meddelande enligt punkten 9.5 invända mot att RF anlitar ett nytt Underbiträde och att med anledning av sådan invändning säga upp Avtalet.
9.7 När RF slutar att anlita ett Underbiträde ska RF skriftligen meddela Licenstagaren om att RF upphör med att anlita Underbiträdet.
9.8 RF ska på Licenstagarens eller i förekommande fall den Personuppgiftsansvarigas begäran skicka en kopia av de bestämmelser som reglerar Behandling av Underbiträdets Behandling av personuppgifter inom ramen för Licensen i enligt punkten 9.2.
10. Lokalisering och överföring av personuppgifter till tredje land
10.1 RF ska säkerställa att personuppgifterna som behandlas inom ramen för tillhandahållande av Licensen behandlas och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte annat framgår av Instruktion för behandling av personuppgifter.
10.2 RF får endast överföra personuppgifter till tredje land för Behandling (t.ex. service, support, underhåll, utveckling drift eller liknande hantering) om Licenstagaren eller i förekommande fall den Personuppgiftsansvariga på förhand skriftligen godkänt sådan överföring och utfärdat instruktioner för detta ändamål, som framgår av Instruktion för behandling av personuppgifter.
10.3 Överföring till tredje land enligt punkten 10.2, får endast göras om den baseras på ett beslut om adekvat skyddsnivå eller är föremål för lämpliga skyddsåtgärder samt i övrigt är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen som ställs i dessa bestämmelser och Instruktion för behandling av personuppgifter.
11. Ansvar för skada i samband med personuppgiftsbehandling
11.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska betalas till Registrerade på grund av överträdelse av Dataskyddslagstiftningen tillämpas artikel 82 i dataskyddsförordningen.
11.2 Sanktionsavgifter enligt artikel 83 i dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska betalas av den Part som påförts en sådan avgift. Om orsaken till avgiften är ett resultat av att RF följt uttrycklig instruktion från Licenstagaren ska Licenstagaren ersätta RF för denna kostnad. Om orsaken till
avgiften beror på att RF inte följt eller agerat i strid med en uttrycklig instruktion från Licenstagaren ska RF ersätta Licenstagaren för denna kostnad.
11.3 Om en Part får kännedom om omständighet med avseende på personuppgiftsbehandlingen som kan leda till skada för den andra Parten, ska Parten omedelbart informera den andra Parten om förhållandet. Parterna ska aktivt arbeta tillsammans för att förhindra och minimera sådan skada.
12. Giltighetstid, ändringar, uppsägning och åtgärder vid Avtalets upphörande
12.1 Dessa bestämmelser gäller under den tid som Avtalet gäller.
12.2 Avtalet reglerar rätten till uppsägning.
12.3 Tillägg till och ändringar till dessa bestämmelser eller Instruktioner för behandling av personuppgifter ska vara skriftliga och signerade av behöriga företrädare av alla Parter för att vara gällande.
12.4 Om någon av Parterna får kännedom om att den andra Parten agerar i strid med dessa bestämmelser inklusive tillämpliga bilagor eller Dataskyddslagstiftningen ska Parten utan dröjsmål Meddela den andra Parten om agerandet. Därefter äger Parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt dessa bestämmelser till dess den andra Parten förklara att agerandet upphört och förklaringen accepterats av den Part som påtalat agerandet.
12.5 Vid uppsägning av Avtalet ska Licenstagaren utan onödigt dröjsmål och om det är tekniskt möjligt begära att RF överlämnar samtliga personuppgifter som behandlas inom ramen för Licensen till Licenstagaren eller radera dem, enligt dennes önskemål. Om personuppgifterna överlämnas ska de lämnas i ett öppet och standardiserat format. Med samtliga personuppgifter som behandlas inom ramen för Licensen inkluderas även tillhörande information som loggar, instruktioner, systemlösningar, beskrivningar och andra handlingar som RF fått av Licenstagaren genom informationsutbyte inom ramen för tillhandahållande av Licensen. Skyldigheten att radera uppgifter gäller inte sådana uppgifter som används av annan Idrottsorganisation eller överlämnats till RF i enlighet med Instruktion för behandling av personuppgifter.
12.6 Överlämning eller radering ska vara utförda senast trettio (30) dagar räknat från den begäran som Licenstagaren gjort enligt 12.5.
12.7 Om Licenstagaren inte inkommer med någon begäran enligt 12.5 får RF radera personuppgifterna 6 månader efter att Avtalet upphört.
12.8 Behandling som sker efter tidpunkten enligt 12.6 eller 12.7 är RF Personuppgiftsansvarig för.
12.9 Bestämmelserna om konfidentialitet enligt punkten 6 i dessa bestämmelser ska fortsätta att gälla efter att Xxxxxxx i övrigt upphört att gälla.
13. Övriga bestämmelser
13.1 Övriga bestämmelser såsom Meddelanden, lagval och tvistlösning, Kontaktpersoner, undertecknanden med mera regleras i Avtalet eller RF:s övriga villkor för Tjänst.