Databehandlingsavtale
Mellom
Databehandler:
Brukere av Player 1st-programvare som spesifisert i hovedavtalen mellom behandlingsansvarlig og databehandler
og
databehandleren
Players 1st
CVR 34694222
Stadion Allé 70
8000 Aarhus C
Danmark
1 Innhold
2 Grunnlag for databehandlingsavtalen
3 Den behandlingsansvarliges rettigheter og forpliktelser
4 Databehandleren skal agere i samsvar med sine instruksjoner
5 Konfidensialitet
6 Behandlingssikkerhet
7 Bruk av underdatabehandlere
8 Overføring av informasjon til tredje land eller internasjonale organisasjoner
9 Assistanse til behandlingsansvarlig
10 Varsling av brudd på personvernsikkerheten
11 Sletting og retur av data
12 Overvåking og kontroll
13 Partenes avtaler angående andre saker
14 Iverksettelse og avslutning
15 Kontaktpersoner/kontaktpunkt hos databehandleren
Bilag A Informasjon om behandling
Bilag B Betingelser forbundet med databehandlerens bruk av underdatabehandlere og liste over autoriserte underdatabehandlere
B.1 Betingelser forbundet med databehandlerens bruk av eventuelle underdatabehandlere
B.2 Autoriserte underdatabehandlere
Bilag C Instruksjoner angående behandling av personopplysninger
C.1 Subjektet (den registrerte)/ instruksjoner for behandling
C.2 Behandlingssikkerhet
C.3 Lagringsperiode/prosedyrer for sletting
C.4 Behandlingssted
C.5 Instruksjoner eller autorisasjon angående overføring av personopplysninger til tredjeland
C.6 Prosedyrer for den behandlingsansvarliges kontroll av behandlingen som utføres i databehandlerens lokaler
C.7 Prosedyrer for kontroll av behandlingen som utføres i underdatabehandlerens lokaler
Bilag D Partenes styring av andre spørsmål
D.1 Hovedavtalen
D.2 Forespørsler om å etablere ytterligere sikkerhetstiltak
2 Grunnlag for databehandlingsavtalen
Denne avtalen beskriver rettighetene og forpliktelsene som gjelder når databehandleren behandler personopplysninger på vegne av behandlingsansvarlig.
Avtalen er utarbeidet for å sikre at partene er i overensstemmelse med artikkel 28, avsnitt 3 i forordning (EU) 2016/679 fra Europaparlamentet og Europarådet av 27. april 2016 om beskyttelse av fysiske personer med tanke på behandling av personopplysninger og fri utveksling av slike opplysninger, samt opphevelsen av direktiv 95/46/EU (General Data Protection Regulation), som beskriver spesifikke krav til innholdet i en databehandlingsavtale.
Databehandlerens behandling av personopplysninger skal finne sted med det formål å oppfylle partenes "hovedavtale", som er avtalen behandlingsansvarlig har inngått med enten databehandleren eller en annen sentral idrettsorganisasjon som representerer behandlingsansvarlig.
Databehandlingsavtalen og "hovedavtalen" er gjensidig avhengige av hverandre, og kan ikke avsluttes individuelt. Databehandlingsavtalen kan imidlertid bli erstattet av en annen, gyldig databehandlingsavtale uten at "hovedavtalen" avsluttes.
Denne databehandlingsavtalen skal ha forrang over eventuelle lignende bestemmelser i andre avtaler mellom partene, inkludert "hovedavtalen".
Det er fire tillegg til denne avtalen. Tilleggene fungerer som integrerte deler av databehandlingsavtalen.
Innholdet i databehandlingsavtalen Bilag A inneholder ytterligere informasjon om behandlingen, inkludert formålet med behandlingen og behandlingens natur, type personopplysninger, kategorien av datasubjekter (de registrerte) og behandlingens varighet.
Databehandlingsavtalen Bilag B inkluderer den behandlingsansvarliges betingelser til databehandleren ved bruk av underdatabehandlere, samt en oversikt over eventuelle underdatabehandlere som er godkjent av behandlingsansvarlig.
Databehandlingsavtalen Bilag C inneholder ytterligere instruksjoner angående behandlingen som databehandleren skal utføre på vegne av behandlingsansvarlig (behandlingsobjektet), minstekravene til sikkerhetstiltak samt hvordan kontroll av databehandleren og eventuelle underdatabehandlere skal utføres.
Databehandlingsavtalen Bilag D dekker partenes håndtering av omstendigheter som ellers ikke er beskrevet i databehandlingsavtalen eller partenes "hovedavtale".
Databehandlingsavtalen og de tilhørende tilleggene skal arkiveres, inkludert elektronisk arkivering, av begge parter.
Denne databehandlingsavtalen fritar ikke databehandleren for noen forpliktelser som følge av EUs personvernforordning (GDPR) eller annen lovgivning.
3 Den behandlingsansvarliges rettigheter og forpliktelser
Behandlingsansvarlig er generelt ansvarlig for å sikre at behandlingen av personopplysninger finner sted innenfor rammene av GDPR og den danske personvernlovgivningen.
Behandlingsansvarlig har derfor både rett og plikt til å ta beslutninger angående formålene for behandlingen og hvilke verktøy som skal brukes.
Behandlingsansvarlig er blant annet ansvarlig for å sikre at det er juridisk grunnlag for behandlingen som databehandleren blir bedt om å utføre.
4 Databehandleren skal agere i samsvar med sine instruksjoner
Databehandleren skal kun behandle personopplysninger i samsvar med dokumenterte instruksjoner fra behandlingsansvarlig, hvis ikke annet er påkrevd av EU-lovgivning eller nasjonal lovgiving i medlemslandene der databehandleren driver virksomhet; i slike tilfeller skal databehandleren varsle behandlingsansvarlig om slike juridiske krav før behandlingen finner sted, hvis ikke den aktuelle lovgivningen hindrer slik varsling av hensyn til viktige samfunnsinteresser, jf. artikkel 28, avsnitt 3, punkt a.
Databehandleren skal umiddelbart varsle behandlingsansvarlig hvis databehandleren tror at en instruksjon strider imot EUs personvernforordning eller personvernbestemmelser i annen EU-lovgivning eller nasjonal lovgivning i medlemslandene.
5 Konfidensialitet
Databehandleren skal sikre at personopplysningene som behandles på vegne av behandlingsansvarlig kun er tilgjengelige for personene som er autorisert for å utføre behandlingen. Tilgang til opplysningene skal derfor umiddelbart nektes i tilfelle autorisasjonen blir opphevet eller utløper.
Autorisasjon skal kun gis til personer som trenger tilgang til personopplysningene for å oppfylle databehandlerens forpliktelser overfor behandlingsansvarlig.
Databehandleren skal sikre at personene som er autorisert til å behandle personopplysninger på vegne av behandlingsansvarlig, har samtykket til konfidensialitet eller er underlagt lovbestemt taushetsplikt.
Databehandleren skal på forespørsel fra behandlingsansvarlig kunne dokumentere at de aktuelle medarbeiderne er underlagt konfidensialitet som beskrevet over.
6 Behandlingssikkerhet
Databehandleren skal iverksette alle nødvendige tiltak i henhold til artikkel 32 i EUs personvernforordning, som blant annet angir at etter å ha tatt hensyn til dagens tekniske status, kostnadene ved implementering og behandlingens natur, kontekst og formål samt risikoer med varierende sannsynlighet og alvorlighet for fysiske personers rettigheter og friheter, skal behandlingsansvarlig og databehandleren iverksette egnede tekniske og organisasjonsmessige tiltak for å sikre et egnet sikkerhetsnivå i forhold til risikoen.
De ovennevnte forpliktelsene innebærer at databehandleren må foreta en risikovurdering og deretter iverksette tiltak for å håndtere de identifiserte risikoene. Dette kan, avhengig av relevans, inkludere følgende tiltak:
a. Anonymisering og kryptering av personopplysninger
b. Evne til å sikre varig konfidensialitet, integritet, tilgjengelighet og pålitelighet for behandlingssystemer og -tjenester
c. Evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger innen rimelig tid i tilfelle en fysisk eller teknisk hendelse
d. En prosedyre for regelmessig testing, vurdering og evaluering av effektiviteten til de tekniske og organisasjonsmessige tiltakene for å sikre behandlingssikkerheten
I forbindelse med det ovenstående, og under alle omstendigheter, skal databehandleren som minimum implementere sikkerhetsnivåene og sikkerhetstiltakene som er spesifisert mer detaljert i Tillegg C til denne avtalen.
Eventuell avtale angående partenes godtgjørelse eller lignende i forbindelse med den behandlingsansvarliges eller databehandlerens senere ønsker om å etablere ytterligere sikkerhetstiltak skal inkluderes i partenes "hovedavtale" eller Tillegg D til denne avtalen.
7 Bruk av underdatabehandlere
For å kunne bruke en annen databehandler (underdatabehandler) må databehandleren oppfylle betingelsene i artikkel 28, avsnitt 2 og 4 i EUs personvernforordning.
Databehandleren kan som sådan ikke bruke en annen databehandler (underdatabehandler) for å oppfylle databehandlingsavtalen uten at spesifikk eller generell skriftlig godkjenning på forhånd er innhentet fra behandlingsansvarlig.
I tilfelle generell skriftlig godkjenning skal databehandleren varsle behandlingsansvarlig om eventuelle planlagte endringer angående utskifting eller bruk av nye databehandlere, slik at behandlingsansvarlig har mulighet til å protestere på slike endringer.
Den behandlingsansvarliges ytterligere betingelser for databehandlerens bruk av eventuelle underleverandører av databehandlingstjenesten er tilgjengelige i Bilag B i denne avtalen.
Den behandlingsansvarliges godkjenning av eventuelle underdatabehandlere finnes i Bilag B i denne avtalen.
Når databehandleren har innhentet den behandlingsansvarliges godkjenning for bruk av en underdatabehandler, skal databehandleren sikre at underdatabehandleren er underlagt de samme personvernforpliktelsene som spesifisert i denne databehandlingsavtalen, gjennom bruk av en kontrakt eller annet juridisk dokument i samsvar med EU-lovgivningen eller nasjonal lovgivning i medlemslandene som gir nødvendige garantier, for å sikre at underdatabehandleren iverksetter egnede tekniske og organisasjonsmessige tiltak på en slik måte at behandlingen oppfyller kravene i EUs personvernforordning.
Databehandleren er som sådan ansvarlig, ved gjennomføringen av en databehandlingsavtale med en underleverandør, for å sikre at underleverandøren som minimum er underlagt de forpliktelsene databehandleren selv er underlagt ifølge personvernforordningene samt denne databehandlingsavtalen og tilhørende tillegg.
En kopi av databehandlingsavtalen med underleverandøren og eventuelle senere endringer i den skal på forespørsel utleveres til behandlingsansvarlig, som dermed har mulighet til selv å sikre at en gyldig avtale er inngått mellom databehandleren og underleverandøren. Kommersielle betingelser, f.eks. priser, som ikke påvirker det innholdet i avtalen med underleverandøren som ikke er forbundet med personvernlovgivningen, skal ikke gjøres tilgjengelige for behandlingsansvarlig.
I avtalen med en underdatabehandler skal databehandleren inkludere behandlingsansvarlig som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at behandlingsansvarlig kan overta databehandlerens rettigheter og benytte disse overfor underleverandøren av databehandlingstjenester, f.eks. slik at behandlingsansvarlig kan instruere underleverandøren om å slette eller returnere informasjon.
Hvis underleverandøren av databehandlingstjenester ikke oppfyller sine personvernforpliktelser, skal databehandleren være fullt ansvarlig overfor behandlingsansvarlig for å oppfylle underleverandørens forpliktelser.
8 Overføring av informasjon til tredje land eller internasjonale organisasjoner
Databehandleren skal kun behandle personopplysninger i samsvar med dokumenterte instruksjoner fra behandlingsansvarlig, inkludert overføring (overføring, tilgjengeliggjøring og intern bruk) av personopplysninger til tredjeland eller internasjonale organisasjoner, unntatt hvis det er påkrevd i henhold til EU-lovgivning eller nasjonal lovgivning i medlemslandene der databehandleren driver virksomhet; i slike tilfeller skal databehandleren varsle behandlingsansvarlig om slike juridiske krav før behandlingen finner sted, hvis ikke den aktuelle lovgivningen hindrer slik varsling av hensyn til viktige samfunnsinteresser, jf. artikkel 28, avsnitt 3, punkt a.
Uten instruksjoner eller godkjenning fra behandlingsansvarlig kan databehandleren derfor ikke, innenfor begrensningene i databehandlingsavtalen;
a. gjøre personopplysninger tilgjengelige for en datakontrollør i et tredjeland eller i en internasjonal organisasjon,
b. overføre behandlingen av personopplysninger til en underdatabehandler i et tredjeland,
c. behandle opplysningene i en av databehandlerens andre avdelinger i et tredjeland.
Eventuelle instruksjoner eller godkjenninger fra behandlingsansvarlig med tanke på overføring av personopplysninger til et tredjeland er tilgjengelige i Bilag C i denne avtalen.
9 Assistanse til behandlingsansvarlig
Databehandleren skal assistere, avhengig av behandlingens natur og i det omfang det er mulig, behandlingsansvarlig med egnede tekniske og organisasjonsmessige tiltak for å oppfylle den behandlingsansvarliges forpliktelse til å respondere på forespørsler om å utøve datasubjektenes rettigheter som definert i kapittel 3 i EUs personvernforordning.
Det betyr at databehandleren skal, i det omfang det er mulig, assistere behandlingsansvarlig for å sikre at behandlingsansvarlig oppfyller:
a. plikten til å informere i forbindelse med innsamling av personopplysninger fra datasubjektene
b. plikten til å informere i tilfelle personopplysningene ikke er innsamlet fra datasubjektet
c. datasubjektets rett til tilgang
d. retten til å rette opplysningene
e. retten til å bli glemt
f. retten til å be om begrenset behandling
g. plikten til å informere i forbindelse med retting eller sletting av personopplysninger eller begrenset behandling
h. retten til dataportabilitet
i. retten til å protestere
j. retten til å protestere på resultatene av automatiske individuelle beslutninger, inkludert profilering
Databehandleren skal assistere behandlingsansvarlig for å sikre samsvar med den behandlingsansvarliges forpliktelser ifølge artikkel 32–36 i EUs personvernforordning med tanke på behandlingens natur og dataene som er tilgjengelige for databehandleren, jf. artikkel 28, avsnitt 3, punkt f.
Det betyr at databehandleren skal, avhengig av behandlingens natur, assistere behandlingsansvarlig for å sikre at behandlingsansvarlig oppfyller:
a. plikten til å implementere egnede tekniske og organisasjonsmessige tiltak for å sikre egnede sikkerhetsnivåer for risikoene som er forbundet med behandlingen
b. plikten til å rapportere personvernrelaterte sikkerhetsbrudd til ansvarlige myndigheter (Datatilsynet i Danmark) uten unødig forsinkelse og innen maks 72 timer etter at behandlingsansvarlig er blitt klar over bruddet, hvis ikke det er usannsynlig at bruddet på personvernsikkerheten innebærer en risiko for fysiske personers rettigheter og frihet.
c. plikten til uten unødig forsinkelse å varsle datasubjektet/datasubjektene om brudd på personvernsikkerheten hvis et slikt brudd sannsynligvis medfører stor risiko for fysiske personers rettigheter og frihet.
d. plikten til å implementere en virkningsanalyse angående personvern hvis en behandlingstype sannsynligvis medfører høy risiko for fysiske personers rettigheter og frihet
e. plikten til å rådføre seg med relevant myndighet (Datatilsynet i Danmark) før behandling hvis en konsekvensanalyse av databeskyttelsen påviser at behandlingen vil føre til høy risiko på grunn av at databehandleren har gjennomført manglende tiltak for å dempe risikoen.
Eventuell avtale angående partenes godtgjørelse eller lignende i forbindelse med databehandlerens assistanse overfor behandlingsansvarlig skal inkluderes i partenes "hovedavtale" eller Tillegg D til denne avtalen.
10 Varsling av brudd på personvernsikkerheten
Databehandleren skal varsle behandlingsansvarlig uten unødig forsinkelse etter å ha blitt klar over brudd på personvernsikkerheten hos databehandleren eller en underdatabehandler.
Databehandlerens varsling til behandlingsansvarlig skal om mulig finne sted innen 36 timer etter at bruddet er blitt kjent, for å sikre at behandlingsansvarlig har mulighet til å overholde sin forpliktelse om å rapportere bruddet til relevante myndigheter innen 72 timer.
I samsvar med Del 10.2, punkt b i denne avtalen skal databehandleren, avhengig av behandlingens natur og den tilgjengelige informasjonen, bistå behandlingsansvarlig med å rapportere brudd til relevante myndigheter.
Dette kan innebære at databehandleren må bistå ved å fremskaffe følgende informasjon, som ifølge artikkel 33, avsnitt 3 i EUs personvernforordning skal inkluderes i rapporten fra behandlingsansvarlig til relevante myndigheter:
a. Typen brudd på personvernsikkerheten, inkludert kategorier og anslått antall påvirkede datasubjekter der det er mulig, samt kategorier og anslått antall påvirkede personlige dataoppføringer
b. Sannsynlige konsekvenser av bruddet på personvernsikkerheten
c. Iverksatte eller foreslåtte tiltak for håndtering av bruddet på personvernsikkerheten, inkludert tiltak for å begrense den potensielle skaden hvis det er relevant
11 Sletting og retur av data
Ved avslutning av behandlingsrelaterte tjenester skal databehandleren være forpliktet til å slette eller returnere alle personopplysninger til behandlingsansvarlig, som besluttet av behandlingsansvarlig, samt til å slette alle eksisterende kopier hvis ikke EU-lovgivning eller nasjonal lovgivning krever lagring av personopplysningene.
12 Overvåking og kontroll
Databehandleren skal gjøre all informasjon som er nødvendig for å dokumentere databehandlerens samsvar med artikkel 28 i EUs personvernforordning og denne avtalen tilgjengelig for behandlingsansvarlig, og skal muliggjøre og bidra til kontroller, inkludert inspeksjoner utført av behandlingsansvarlig eller annen kontrollinstans som er autorisert av behandlingsansvarlig.
Prosedyren for den behandlingsansvarliges overvåking av databehandleren finnes i Bilag C i denne avtalen.
Den behandlingsansvarliges overvåking av eventuelle underleverandører av databehandlingstjenester skal generelt finne sted gjennom databehandleren. Prosedyren for dette er beskrevet i Bilag C i denne avtalen.
Databehandleren skal være forpliktet til å gi relevante myndigheter, i henhold til gjeldende lovgivning, tilgang til den behandlingsansvarliges og databehandlerens lokaler, eller å gi representanter for myndighetene tilgang til databehandlerens fysiske lokaler ved fremleggelse av egnet identifikasjon.
13 Partenes avtaler angående andre saker
Eventuell (spesifikk) håndtering av konsekvensene av partenes brudd på databehandlingsavtalen finnes i partenes "hovedavtale" eller i Bilag D i denne avtalen.
Eventuell håndtering av andre saker mellom partene finnes i partenes "hovedavtale" eller i Bilag D i denne avtalen.
14 Iverksettelse og avslutning
Denne avtalen skal automatisk tre i kraft ved den behandlingsansvarliges bruk av programvaren til Players 1st.
Begge partene skal ha rett til å be om reforhandling av denne avtalen hvis endringer i lovgivning eller uhensiktsmessigheter i denne avtalen gi grunn til det.
Databehandlingsavtalen kan avsluttes i samsvar med betingelsene for avslutning, inkludert oppsigelsestid, som er spesifisert i "hovedavtalen".
Avtalen skal gjelde så lenge behandlingen finner sted. Uavhengig av avslutning av "hovedavtalen" og/eller databehandlingsavtalen skal databehandlingsavtalen fortsatt være gjeldende til behandlingen er avsluttet og dataene er slettet på databehandlerens side og eventuelle underleverandører av databehandlingstjenester.
15 Kontaktpersoner/kontaktpunkt hos databehandleren
All kontakt med databehandleren angående databehandling skal gå via:
Bilag A Informasjon om behandling
Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig er:
Den behandlingsansvarlige ønsker å iverksette løpende måling av medlemmenes og/eller gjestenes opplevelse av klubben. Opplysninger om medlemmer og/eller gjester vil bli overført for dette formålet, slik at databehandleren kan sende ut elektroniske spørreskjemaer om medlemmets eller gjestens opplevelse av klubben. Svarene skal rapporteres og gjøres tilgjengelige i samlet format til behandlingsansvarlig via et elektronisk dashbord som administreres av databehandleren.
Behandlingsansvarlig skal også motta individuelle, åpne kommentarer fra svarene. Dette skal utelukkende finne sted i tilfeller der respondenten aktivt har samtykket til at behandlingsansvarlig ser kommentaren, og når respondenten har oppgitt kontaktopplysninger slik at behandlingsansvarlig har mulighet til å kontakte respondenten i samsvar med dennes uttrykkelige samtykke.
Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig er primært forbundet med (behandlingens natur):
Utsendelse av e-post med lenke til et elektronisk spørreskjema.
Illustrering av undersøkelsesresultater i et nettbasert dashbord og rapporter. Resultater som reproduseres i samlet og/eller anonymt format
Behandlingen omfatter følgende typer personopplysninger forbundet med datasubjekter:
Navn, type medlemskap, kjønn, alder, e-postadresse og informasjon om tidspunkt og sted for besøket i klubben i tilfelle det er forbundet med en aktivitet knyttet til en respondents spesifikke aktivitet i klubben. Bare generelle personopplysninger blir behandlet.
Behandlingen inkluderer følgende kategorier av datasubjekter:
Personer som enten er medlemmer av klubben eller som har deltatt i en aktivitet som er arrangert av klubben eller i samarbeid med klubben.
Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig kan innledes når denne avtalen settes i drift. Behandlingens varighet er som følger:
Behandlingen skal ikke være tidsbegrenset, og skal fortsette til alle lisensperiode er avsluttet av en av partene.
Bilag B Betingelser forbundet med databehandlerens bruk av underdatabehandlere og liste over autoriserte underdatabehandlere
B.1 Betingelser forbundet med databehandlerens bruk av eventuelle underdatabehandlere
Databehandleren har den behandlingsansvarliges generelle godkjenning til å bruke underdatabehandlere. Databehandleren må likevel varsle behandlingsansvarlig om eventuelle planlagte endringer angående utskifting eller bruk av nye databehandlere, slik at behandlingsansvarlig har mulighet til å protestere på slike endringer. Slik varsling skal mottas av behandlingsansvarlig senest 30 dager før bruken eller endringen trer i kraft. I tilfelle behandlingsansvarlig protesterer på endringene skal behandlingsansvarlig varsle databehandleren innen 14 dager etter at varslingen er mottatt. Behandlingsansvarlig kan bare protestere hvis behandlingsansvarlig har rimelige, spesifikke årsaker til å gjøre det.
B.2 Autoriserte underdatabehandlere
Når databehandlingsavtalen settes i verk, har behandlingsansvarlig godkjent bruk av følgende underdatabehandlere:
Navn | Foretaksnr. | Adresse | Beskrivelse av behandlingen |
Microsoft Azure | Azure datasentre i Irland, Ne-derland, Virginia USA, Texas USA, California USA, Canberra Australia | Drifting og datalagring finner sted i: Europa for databehandlerens europeiske kunder, i USA for databehandlerens nordameri-kanske kunder, i Australia for databehandlerens australske kunder | |
SendGrid | 1801 California Street, Suite 500, Denver, CO 80202 | E-posttjeneste | |
MailJet | FR67524536992 | Mailjet SAS, 37 bis Rue du Sen-tier, 75002 Paris, FRANKRIKE | E-posttjeneste |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, USA | Håndtering av forespørsler om brukerstøt-te | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | Bruken av nettstedet samles inn i Google Analytics |
Når databehandlingsavtalen settes i verk, har behandlingsansvarlig godkjent bruk av de ovennevnte underdatabehandlerne for behandlingen som er beskrevet for hver part. Databehandleren kan ikke bruke underdatabehandlere til "annen" behandling enn det som er avtalt eller tillate at en annen underdatabehandler utfører den spesifiserte behandlingen uten spesifikk skriftlig godkjenning fra behandlingsansvarlig.
Bilag C Instruksjoner angående behandling av personopplysninger
C.1 Subjektet (den registrerte)/ instruksjoner for behandling
Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig skal finne sted ved at databehandleren utfører ett eller flere av følgende:
Rregistrering av nødvendig medlemskapsinformasjon angående den behandlingsansvarliges medlemmer hvis medlemsundersøkelse(r) velges.
Behandle informasjon om greenfee-runder som er spilt med behandlingsansvarlig hvis gjesteundersøkelse(r) velges.
Databehandleren skal behandle informasjon etter behov og som relevant for å oppfylle instruksjonene fra behandlingsansvarlig. Informasjon skal samles inn enten direkte fra databehandleren eller fra en annen databehandler (tredjeparts databehandler) som er spesifisert av behandlingsansvarlig. Behandlingsansvarlig skal inngå avtaler med tredjepartsbehandlere angående tilgjengeliggjøring av nødvendige data til databehandleren ifølge denne avtalen.
C.2 Behandlingssikkerhet
Sikkerhetsnivået skal gjenspeile:
Behandling av generelle personopplysninger
Databehandleren skal dermed være berettiget og forpliktet til å ta beslutninger angående de tekniske og organisasjonsmessige sikkerhetstiltakene som skal brukes til å besørge det nødvendige (og avtalte) sikkerhetsnivået for opplysningene. Databehandleren skal i alle tilfeller være forpliktet til å sikre følgende:
Alle opplysninger i kommunikasjonen med Players 1st-systemet skal sendes kryptert via "https" som standard.
Players 1st skal lagre og behandle alle data med internasjonalt anerkjente IT-selskaper.
Driftingen for Players 1st skal være kryptert og konfidensiell.
Players 1st har fullstendig dokumentasjon angående funksjonalitet, datasporing og datasikkerhet.
Players 1st behandler personopplysninger kun etter instruksjon fra behandlingsansvarlig.
Players 1st skal sikre at alle personer som håndterer personopplysninger er underlagt konfidensialitetsavtaler.
C.3 Lagringsperiode/prosedyrer for sletting
Personopplysninger skal lagres av databehandleren til behandlingsansvarlig ber om at opplysningene blir returnert eller slettet.
Etter 24 måneder skal databehandleren automatisk utføre anonymisering av alle personopplysninger som er mottatt fra behandlingsansvarlig. I forbindelse med anonymiseringen skal eventuelle personopplysninger som ikke lenger er relevante, slettes.
Etter 10 år skal databehandleren automatisk slette alle personopplysninger.
C.4 Behandlingssted
Behandling av personopplysninger som er dekket av avtalen skal ikke finne sted på andre steder enn de følgende uten skriftlig samtykke fra behandlingsansvarlig.
Navn | Adresse | Kommentarer |
Microsoft Azure | Azure datasentre i Irland, Ne-derland, Virginia USA, Texas USA, California USA, Canberra Australia | Drifting og datalagring finner sted i: Europa for databehandlerens europeiske kunder, i USA for databehandlerens nordamerikanske kunder, Australia for databehandlerens australske kunder |
SendGrid | 1801 California Street, Suite 500, Denver, CO 80202 | |
MailJet | Mailjet SAS, 37 bis Rue du Sen-tier, 75002 Paris, FRANKRIKE | |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, USA | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | |
Players 1st | Stadion Allé, 8000 Aarhus C, Danmark |
C.5 Instruksjoner eller autorisasjon angående overføring av personopplysninger til tredjeland
Databehandleren skal overføre, via underdatabehandlere, personopplysninger til tredjepart når e-postadresser overføres til en amerikansk leverandør (SendGrid) for bruk til utsendelse av e-post (gjelder imidlertid ikke tyske e-postadresser). Zendesk skal brukes til å håndtere forespørsler om brukerstøtte fra spillere og klubber som kan kontakte brukerstøtte hos Players 1st via e-post. E-postadressen til avsenderen av forespørselen overføres til Zendesk ved kontakt. Google Analytics brukes på samlet nivå til å overvåke hvilke nettlesere og enheter brukerne benytter. Informasjonen brukes til å optimere brukeropplevelsen i spørreskjemaer.
Overføringen finner sted i henhold til Privacy Shield-avtalen, jf. Artikkel 46 i EUs personvernforordning. Databehandleren skal være ansvarlig for å sikre at underdatabehandlere i tredjeland oppfyller databehandlerens forpliktelser som spesifisert i denne avtalen.
C.6 Prosedyrer for den behandlingsansvarliges kontroll av behandlingen som utføres i databehandlerens lokaler
Én gang i året skal databehandleren innhente en revisjonserklæring fra en uavhengig tredjepart angående databehandlerens samsvar med denne databehandlingsavtalen og tilhørende vedlegg. Revisjonserklæringen skal innhentes for første gang i 2019, og revisjonserklæringen skal gjøres tilgjengelig for behandlingsansvarlig.
Frem til den ovennevnte revisjonserklæringen er tilgjengelig, skal datakontrolløren ha årlig mulighet til å utføre fysisk eller skriftlig kontroll av samsvaret med denne databehandlingsavtalen.
I tillegg til planlagt kontroll, kan kontroll av databehandleren også utføres når behandlingsansvarlig vurderer at det er behov for det.
Eventuelle kostnader som behandlingsansvarlig pådrar seg i forbindelse med fysisk eller skriftlig kontroll skal dekkes av behandlingsansvarlig selv. Databehandleren skal likevel være forpliktet til å sette av rimelige og nødvendige ressurser (hovedsakelig tid) slik at behandlingsansvarlig kan utføre slik kontroll.
C.7 Prosedyrer for kontroll av behandlingen som utføres i underdatabehandlerens lokaler
Én gang i året skal databehandleren innhente en revisjonserklæring fra en uavhengig tredjepart angående underdatabehandlerens samsvar med denne databehandlingsavtalen og tilhørende vedlegg.
Partene er enige om at følgende typer revisjonserklæringer kan brukes: ISAE 3402 type 2-rapporter
Revisjonserklæringen skal gjøres tilgjengelig for behandlingsansvarlig via dashbordløsningen fra databehandleren.
Bilag D Partenes styring av andre spørsmål
D.1 Hovedavtalen
Omstendigheter som faller utenfor denne avtalen skal styres av hovedavtalen mellom partene.
D.2 Forespørsler om å etablere ytterligere sikkerhetstiltak
Godtgjørelse eller lignende i forbindelse med den behandlingsansvarliges eller databehandlerens senere forespørsler om å etablere ytterligere sikkerhetstiltak i tillegg til denne avtalen skal dekkes av parten som fremsetter forespørselen. Godtgjørelse skal typisk dekke tiden som er brukt til å etablere de utvidede sikkerhetstiltakene.