Databehandlingsavtal
Mellan
Personuppgiftsansvarig:
Användare av Players 1sts programvara enligt specifikationen i huvudavtalet mellan personuppgiftsansvarig och personuppgiftsbiträde
och
Personuppgiftsbiträdet
Players 1st
CVR 34694222
Stadion Allé 70
8000 Aarhus C
Danmark
1 Innehåll
2 Grundval till databehandlingsavtalet
3 Den personuppgiftsansvariges rättigheter och skyldigheter
4 Personuppgiftsbiträdet ska agera i enlighet med erhållna instruktioner
5 Konfidentialitet
6 Säkerhet vid behandling
7 Användning av annat personuppgiftsbiträde
8 Överföring av information till tredjeländer eller internationella organisationer
9 Hjälp till den personuppgiftsansvarige
10 Anmälan om personuppgiftsincidenter
11 Radering och återlämning av personuppgifter
12 Kontroll och granskningar
13 Parternas överenskommelser avseende övriga frågor
14 Start och upphörande
15 Kontaktpersoner/kontaktpunkter hos personuppgiftsbiträdet
Bilaga A Information om behandling
Bilaga B Villkor som berör personuppgiftsbiträdets användning av annat
personuppgiftsbiträde och lista över godkända andra personuppgiftsbiträden
B.1 Villkor som berör personuppgiftsbiträdets användning av annat
personuppgiftsbiträde
B.2 Övriga godkända personuppgiftsbiträden
Bilaga C Instruktioner avseende behandling av personuppgifter
C.1 Den registrerade/instruktioner för behandling
C.2 Säkerhet vid behandling
C.3 Lagringstid/procedurer för radering
C.4 Plats för behandlingen
C.5 Instruktioner eller godkännanden avseende överföring av personuppgifter till
tredjeland
C.6 Förfaranden för den personuppgiftsansvariges kontroll av den behandling som
utförs i personuppgiftsbiträdes lokaler
C.7 Förfaranden för kontroll av den behandling som utförs i annat
personuppgiftsbiträdes lokaler
Bilaga D Parternas förvaltning av övriga frågor
D.1 Huvudavtal
D.2 Begärande om ytterligare säkerhetsåtgärder
2 Grundval till databehandlingsavtalet
Detta avtal definierar de rättigheter och skyldigheter som föreligger då personuppgiftsbiträdet behandlar personuppgifter å den personuppgiftsansvariges vägnar.
Avtalet är avsett att säkerställa parternas efterlevnad av artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som definierar de specifika krav som gäller innehållet i ett avtal om databehandling.
Personuppgiftsbiträdets behandling av personuppgifter ska utföras i syfte att uppfylla parternas ”huvudavtal”, det vill säga det avtal som personuppgiftsansvarig har ingått endera med personuppgiftsbiträdet eller annan central idrottsorganisation som representerar den personuppgiftsansvarige.
Databehandlingsavtalet och ”huvudavtalet” är ömsesidigt beroende av varandra och kan inte avslutas separat. Trots detta kan databehandlingsavtalet, utan att ”huvudavtalet” upphör att gälla, ersättas av ett annat giltigt databehandlingsavtal.
Detta databehandlingsavtal ska ha företräde framför eventuella liknande bestämmelser i andra avtal parterna emellan, inklusive ”huvudavtalet”.
Detta avtal har fyra bilagor. Dessa bilagor är integrerade delar av databehandlingsavtalet.
Databehandlingsavtalet Bilaga A innehåller ytterligare information om behandlingen, inklusive ändamålet och arten av behandlingen, typen av personuppgifter, kategorier av registrerade och varaktigheten för behandlingen.
Databehandlingsavtalet Bilaga B innehåller den personuppgiftsansvariges villkor för personuppgiftsbiträdets användning av eventuella andra anlitade personuppgiftsbiträden samt en översikt över sådana som har godkänts av den personuppgiftsansvarige.
Databehandlingsavtalet Bilaga C innehåller ytterligare instruktioner avseende den behandling som personuppgiftsbiträdet ska utföra åt den personuppgiftsansvarige (behandlingens ändamål), vilka säkerhetsåtgärder som, som minst, måste vidtas samt hur tillsynen av personuppgiftsbiträdet och eventuella inhyrda personuppgiftsbiträden ska utföras.
Databehandlingsavtalet Bilaga D avser hur parterna ska hantera förhållanden som inte tas upp i databehandlingsavtalet eller i parternas ”huvudavtal”.
Databehandlingsavtalet och tillhörande bilagor ska arkiveras, även i elektroniskt format, hos bägge parterna.
Detta databehandlingsavtal innebär inte att personuppgiftsbiträdet befrias från förpliktelser som härrör direkt från den allmänna dataskyddsförordningen (GDPR) eller annan lagstiftning.
3 Den personuppgiftsansvariges rättigheter och skyldigheter
Den personuppgiftsansvarige har det generella ansvaret för att säkerställa att behandling av personuppgifter sker inom de begränsningar som stipuleras i GDPR och den danska dataskyddslagen.
Därför har den personuppgiftsansvarige både rättighet och skyldighet att fatta beslut avseende ändamålen med behandlingen och vilka verktyg som ska användas.
Den personuppgiftsansvariga är bland annat ansvarig för att säkerställa att det finns rättslig grund för den behandling som personuppgiftsbiträdet anmodas utföra.
4 Personuppgiftsbiträdet ska agera i enlighet med erhållna instruktioner.
Personuppgiftsbiträdet ska endast behandla personuppgifter i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige försåvitt inte annat krävs enligt EU-lagstiftning eller den nationella lagstiftningen i de medlemsstater där personuppgiftsbiträdet är baserat. Om så är fallet ska personuppgiftsbiträdet meddela den personuppgiftsansvarige om sådana juridiska krav innan någon behandling utförs, försåvitt inte lagen i fråga förhindrar ett sådant meddelande med hänvisning till ett viktigt allmänintresse, se artikel 28.3 a.
Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om biträdet anser att en instruktion strider mot GDPR eller dataskyddsbestämmelser i annan EU-lagstiftning eller nationell lagstiftning i medlemsländerna.
5 Konfidentialitet
Personuppgiftsbiträdet ska säkerställa att endast personer som har rätt till detta får åtkomst till de personuppgifter som behandlas för den personuppgiftsansvariges räkning. Åtkomst till information ska därför omgående förhindras om ett sådant tillstånd återkallas eller löper ut.
Endast personer som behöver tillgång till personuppgifter för att kunna fullgöra personuppgiftsbiträdets åligganden gentemot den personuppgiftsansvarige ska ges tillstånd.
Personuppgiftsbiträdet ska säkerställa att de personer som getts tillstånd att behandla personuppgifter som behandlas för den personuppgiftsansvariges räkning har medgett att upprätthålla konfidentialiteten för informationen eller omfattas av tillämpliga lagstadgade sekretessbestämmelser.
Personuppgiftsbiträdet ska, på förfrågan från den personuppgiftsansvarige, kunna bevisa att relevanta medarbetare omfattas av ovannämnda konfidentialitet.
6 Säkerhet vid behandling
Personuppgiftsbiträdet ska vidta alla åtgärder som krävs enligt artikel 32 i dataskyddsförordningen som bland annat anger att, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Ovannämnda skyldigheter innebär att personuppgiftsbiträdet måste utföra en riskbedömning och därefter vidta åtgärder för att hantera de identifierade riskerna. Detta kan, beroende på relevans, inbegripa följande åtgärder:
a. pseudonymisering och kryptering av personuppgifter
b. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna
c. förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident
d. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
I samband med ovanstående och under alla omständigheter ska personuppgiftsbiträdet som minst införa de säkerhetsnivåer och -åtgärder som specificeras närmare i bilaga C i detta avtal.
Eventuell förvaltning/överenskommelse avseende parternas ersättningar eller liknande i samband med att den personuppgiftsansvarige eller personuppgiftsbiträdet begär att ytterligare säkerhetsåtgärder vidtas ska regleras i parternas ”huvudavtal” eller i bilaga D i detta avtal.
7 Användning av annat personuppgiftsbiträde
För att använda ett annat personuppgiftsbiträde (ett anlitat personuppgiftsbiträde) måste personuppgiftsbiträdet uppfylla villkoren i artikel 28.2 och 28.4 i GDPR.
Detta innebär att personuppgiftsbiträdet inte kan anlita ett annat personuppgiftsbiträde för att uppfylla databehandlingsavtalet utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige.
Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
Den personuppgiftsansvariges ytterligare villkor för personuppgiftsbiträdets användning av annat personuppgiftsbiträde finns i Bilaga B i detta avtal.
Den personuppgiftsansvariges godkännande av eventuella specifika andra personuppgiftsbiträden finns i Bilaga B i detta avtal.
När personuppgiftsbiträdet har erhållit tillstånd från den personuppgiftsansvarige att anlita ett annat personuppgiftsbiträde ska personuppgiftsbiträdet säkerställa att detta regleras med ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken garantier ges för att personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder så att kraven i GDPR uppfylls.
Personuppgiftsbiträdet ansvarar därför, genom att upprätta ett databehandlingsavtal med annat personuppgiftsbiträde, för att säkerställa att annat personuppgiftsbiträde som minst binds av de skyldigheter som man själv underställs enligt dataskyddslagstiftningen samt detta databehandlingsavtal med tillhörande bilagor.
En kopia av databehandlingsavtalet med annat personuppgiftsbiträde och eventuella senare ändringar måste på förfrågan tillhandahållas den personuppgiftsansvarige för att denne därigenom ska kunna försäkra sig om att ett giltigt avtal har ingåtts mellan personuppgiftsbiträdet och annat personuppgiftsbiträde. Eventuella kommersiella villkor, t.ex. priser, som inte påverkar det juridiska innehållet i databehandlingsavtalet med annat personuppgiftsbiträde ska inte delges den personuppgiftsansvarige.
I det avtal som personuppgiftsbiträdet ingår med andra personuppgiftsbiträden ska den personuppgiftsansvarige anges som berättigad tredje part så att den personuppgiftsansvarige om personuppgiftsbiträdet går i konkurs kan överta personuppgiftsbiträdets rättigheter och hävda dessa gentemot annat personuppgiftsbiträdet, bl.a. så att den personuppgiftsansvarige kan instruera annat personuppgiftsbiträde att radera eller returnera all information.
Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.
8 Överföring av information till tredjeländer eller internationella organisationer
Personuppgiftsbiträdet ska endast behandla personuppgifter i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige, inklusive överföring (överföring, utlämnande och internt bruk) av personuppgifter till tredjeländer eller internationella organisationer, försåvitt inte annat krävs enligt EU-lagstiftning eller den nationella lagstiftningen i de medlemsstater där personuppgiftsbiträdet är baserat. Om så är fallet ska personuppgiftsbiträdet meddela den personuppgiftsansvarige om sådana juridiska krav innan någon behandling utförs, försåvitt inte lagen i fråga förhindrar ett sådant meddelande med hänvisning till ett viktigt allmänintresse, se artikel 28.3 a.
Saknas instruktioner eller godkännande från den personuppgiftsansvarige får personuppgiftsbiträdet därför inte, inom de begränsningar som specificerats i databehandlingsavtalet:
a. utlämna personuppgifter till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation
b. överlåta behandlingen av personuppgifter till annat personuppgiftsbiträde i ett tredjeland
c. behandla uppgifterna i en filial till personuppgiftsbiträdet som är baserat i tredjeland.
Eventuella instruktioner eller godkännanden från den personuppgiftsansvarige avseende överföring av personuppgifter till tredjeland finns i Bilaga C i detta avtal.
9 Hjälp till den personuppgiftsansvarige
Personuppgiftsbiträdet ska, beroende på behandlingens art och i den mån detta är möjligt, genom lämpliga tekniska och organisatoriska åtgärder hjälpa den personuppgiftsansvarige att fullgöra den personuppgiftsansvariges skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i GDPR.
Detta innebär att personuppgiftsbiträdet i den mån det är möjligt hjälpa och samarbeta med den personuppgiftsansvarige för att säkerställa efterlevnad av:
a. anmälningsskyldighet i samband med att personuppgifter samlas in från den registrerade
b. anmälningsskyldighet för den händelse personuppgifter inte har samlats in från den registrerade
c. den registrerades rätt till tillgång
d. rätten till rättelse
e. rätten till radering (”rätten att bli bortglömd”)
f. rätten till begränsning av behandling
g. anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling
h. rätten till dataportabilitet
i. rätten att göra invändningar
j. rätten att invända mot resultaten från automatiserat individuellt beslutsfattande, inbegripet profilering.
Personuppgiftsbiträdet ska hjälpa den personuppgiftsansvarige att säkerställa efterlevnad av dess skyldigheter enligt artikel 32–36 i GDPR avseende behandlingens art och de uppgifter som är tillgängliga för den personuppgiftsansvarige, se artikel 28.3 f.
Detta innebär att personuppgiftsbiträdet, med tanke på behandlingens art, ska bistå den personuppgiftsansvarige för att säkerställa efterlevnad av:
a. Plikten att vidta lämpliga tekniska och organisatoriska åtgärder för att etablera en lämplig säkerhetsnivå för de risker som är förknippade med behandlingen.
b. Plikten att rapportera personuppgiftsincidenter till tillsynsmyndigheterna (enligt den danska personuppgiftslagen) utan onödigt dröjsmål och senast 72 timmar efter att den personuppgiftsansvarige har fått kännedom om incidenten, utom om det är möjligt att påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter.
c. Plikten att utan onödigt dröjsmål informera de registrerade om personuppgiftsincidenter när en sådan incidenten sannolikt innebär en stor risk för fysiska personers rättigheter och friheter.
d. Plikten att utföra en konsekvensbedömning av dataskyddet om en viss typ av behandling sannolikt innebär en stor risk för fysiska personers rättigheter och friheter.
e. Plikten att samråda med tillsynsmyndigheten (i Danmark) före behandling om en konsekvensanalys av dataskyddet visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtagit åtgärder för att minska risken.
Eventuell förvaltning/överenskommelse avseende parternas ersättningar eller liknande i samband med att personuppgiftsbiträdet är den personuppgiftsansvarige behjälplig ska regleras i parternas ”huvudavtal” eller i bilaga D i detta avtal.
10 Anmälan om personuppgiftsincidenter
Personuppgiftsbiträdet ska utan onödigt dröjsmål informera den personuppgiftsansvarige så snart man har fått kännedom om en personuppgiftsincident hos personuppgiftsbiträdet eller anlitat personuppgiftsbiträde.
Personuppgiftsbiträdet ska om möjligt meddela den personuppgiftsansvarige senast 36 timmar efter att ha fått kännedom om incidenten för att säkerställa att den personuppgiftsansvarige har möjlighet att fullgöra sin skyldighet att anmäla incidenten till tillsynsmyndigheten inom 72 timmar.
Enligt avsnitt 10.2 b i detta avtal, ska personuppgiftsbiträdet, med tanke på behandlingens art och tillgänglig information, hjälpa den personuppgiftsansvarige att anmäla incidenter till tillsynsmyndigheterna.
Detta kan innebära att personuppgiftsbiträdet ska hjälpa till med att samla in följande information, som enligt artikel 33.3 i GDPR, måste finnas med i rapporten från den personuppgiftsansvarige till tillsynsmyndigheten:
a. Personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs.
b. Sannolika konsekvenser av personuppgiftsincidenten.
c. De åtgärder som har vidtagits eller föreslagits för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
11 Radering och återlämning av personuppgifter
Efter det att tillhandahållandet av behandlingstjänster har avslutats ska personuppgiftsbiträdet radera eller återlämna alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.
12 Kontroll och granskningar
Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i GDPR och detta avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.
Processen för den personuppgiftsansvariges kontroll av personuppgiftsbiträdet framgår av Bilaga C i detta avtal.
Den personuppgiftsansvariges kontroll av eventuella andra personuppgiftsbiträden ska i allmänhet äga rum via det ursprungliga personuppgiftsbiträdet. Processen för detta framgår av Bilaga C i detta avtal.
Personuppgiftsbiträdet är skyldigt att ge myndigheterna eller dess representanter, i enlighet med då gällande lagstiftning, tillgång till den personuppgiftsansvarige och personuppgiftsbiträdets lokaler förutsatt att lämpliga identitetshandlingar företes.
13 Parternas överenskommelser avseende övriga frågor
Eventuell (specifik) förvaltning av konsekvenserna av parternas brott mot databehandlingsavtalet framgår av parternas ”huvudavtal” eller i Bilaga D i detta avtal.
Eventuell förvaltning av övriga frågor parterna emellan återfinns i parternas ”huvudavtal” eller i Bilaga D i detta avtal.
14 Start och upphörande
Detta avtal träder automatiskt i kraft när personuppgiftsbiträdet använder Players 1sts programvara.
Bägge parterna har rätt att begära omförhandling av avtalet i händelse av förändringar i lagstiftningen eller om olämpligheter i avtalet gör en sådan omförhandling rimlig.
Databehandlingsavtalet kan sägas upp i enlighet med uppsägningsvillkoren, inklusive uppsägningsperiod, som specificerats i ”huvudavtalet”.
Avtalet ska gälla så länge behandling äger rum. Oavsett om ”huvudavtalet” och/eller databehandlingsavtalet upphör att gälla ska databehandlingsavtalet fortsätta gälla fram tills dess att behandlingen har upphört och personuppgifter har raderats av personuppgiftsbiträdet och eventuella andra personuppgiftsbiträden.
15 Kontaktpersoner/kontaktpunkter hos personuppgiftsbiträdet
All kontakt med personuppgiftsbiträdet avseende databehandling ska ske via: privacy@players1stgroup.com
Bilaga A Information om behandling
Syftet med personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning är:
Den personuppgiftsansvarige vill utföra en kontinuerlig kontroll av medlemmarnas och/eller gästernas upplevelser på klubben. För detta ändamål kommer uppgifter relaterade till medlemmar och/gäster att överföras så att personuppgiftsbiträdet kan skapa elektroniska frågeformulär om medlemmens eller gästens upplevelse på klubben. Svaren kommer att rapporteras och tillgängliggöras i sammanställt format för den personuppgiftsansvarige via en elektronisk kontrollpanel som administreras av den personuppgiftsansvarige.
Den personuppgiftsansvarige ska också ta emot individuella kommentarer i fritext som är en del av svaren. Detta får endast ske i de fall då respondenten aktivt har gett sitt medgivande till att den personuppgiftsansvarige får ta del av kommentaren, och då respondenten har uppgett sin kontaktinformation så att den personuppgiftsansvarige har möjlighet att kontakta respondenten i de fall då denne har gett sitt uttryckliga medgivande till detta.
Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning gäller i huvudsak (behandlingens art):
Skicka ut e-postmeddelanden med en länk till ett elektroniskt frågeformulär.
Illustrera undersökningsresultaten i en kontrollpanel och i rapporter online. Resultaten återges i sammanställt och/eller anonymiserat format.
Behandlingen omfattar följande typer av personuppgifter för de registrerade:
Namn, typ av medlemskap, kön, ålder, e-postadress och information om tid och plats för besöket på klubben om det är kopplat till en specifik aktivitet under respondentens besök på klubben. Endast generella personuppgifter behandlas.
Behandlingen omfattar följande kategorier av registrerade:
Personer som antingen är medlemmar i klubben eller som har deltagit i en aktivitet som arrangerats av klubben eller i samarbete med klubben.
Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning kan påbörjas så snart detta avtal träder i kraft. Varaktigheten för behandlingen är som följer:
Behandlingen ska inte vara tidsbegränsad och ska vara aktiv fram till dess alla licensperioder avslutas av någon av parterna.
Bilaga B Villkor som berör personuppgiftsbiträdets användning av annat personuppgiftsbiträde och lista över godkända andra personuppgiftsbiträden
B.1 Villkor som berör personuppgiftsbiträdets användning av annat personuppgiftsbiträde
Personuppgiftsbiträdet har den personuppgiftsansvariges generella tillstånd att anlita andra personuppgiftsbiträden. Personuppgiftsbiträdet måste dock informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. Sådan information måste erhållas av den personuppgiftsansvarige som minst 30 dagar innan en sådan förändring träder i kraft. Om den personuppgiftsansvarige invänder mot förändringarna ska denne informera personuppgiftsbiträdet senast 14 dagar efter att förhandsinformationen har tagits emot. Den personuppgiftsansvarige får endast göra invändningar i de fall då det finns rimliga och specifika skäl.
B.2 Övriga godkända personuppgiftsbiträden
Då databehandlingsavtalet träder i kraft har den personuppgiftsansvarige godkänt att följande andra personuppgiftsbiträden anlitas:
Namn | CVR-nr | Adress | Beskrivning av behandlingen |
Microsoft Azure | Azure-datacentra i Irland, Nederländerna, delstaterna Virginia, Texas och Kalifornien i USA samt Canberra i Australien | Värdtjänster, datalagring sker i: Europa för personuppgiftsbiträdets kunder i Europa i USA för personuppgiftsbiträdets kunder i Nordamerika Australien för personuppgiftsbiträdets kunder i Australien | |
SendGrid | Denver, CO, 1801 California Street, Suite 500, Denver, CO 80202 | E-posttjänst | |
MailJet | FR67524536992 | Mailjet SAS 37 bis Rue du Sentier 75002 Paris FRANKRIKE | E-posttjänst |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, USA | Hantering av supportfrågor | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | Information om användningen av webbplatsen samlas in i Google Analytics |
Då databehandlingsavtalet träder i kraft har den personuppgiftsansvarige uttryckligen godkänt att ovannämnda andra personuppgiftsbiträden anlitas för den behandling som beskrivs för respektive part. Personuppgiftsbiträdet kan inte, utan ett särskilt skriftligt godkännande från den personuppgiftsansvarige, anlita ett annat personuppgiftsbiträde för ”annan” behandling än vad som har överenskommits eller tillåta att ett annat personuppgiftsbiträde utför den specificerade behandlingen.
Bilaga C Instruktioner avseende behandling av personuppgifter
C.1 Den registrerade/instruktioner för behandling
Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning ska utföras av personuppgiftsbiträdet i samband med utförandet av en eller flera av dessa aktiviteter:
Registrera nödvändig medlemskapsinformation om den personuppgiftsansvariges medlemmar om medlemsundersökningar har valts.
Behandla information om spelade greenfee-rundor hos den personuppgiftsansvarige om gästundersökningar har valts.
Personuppgiftsbiträdet ska behandla informationen i den mån det är nödvändigt och relevant för att följa instruktionerna från den personuppgiftsansvarige. Informationen ska insamlas endera direkt från den personuppgiftsansvarige eller från ett annat personuppgiftsbiträde (tredje part) som den personuppgiftsansvarige specificerar. Den personuppgiftsansvarige ska ingå avtal med tredjeparts-personuppgiftsbiträden avseende utlämning av nödvändiga uppgifter till personuppgiftsbiträdet enligt detta avtal.
C.2 Säkerhet vid behandling
Säkerhetsnivån ska vara lämplig för:
Behandling av allmänna personuppgifter
Personuppgiftsbiträdet har både rättigheten och skyldigheten att fatta beslut om de tekniska och organisatoriska säkerhetsåtgärder som ska vidtas för att uppnå nödvändig (och överenskommen) säkerhetsnivå för informationen. Personuppgiftsbiträdet är dock skyldigt att säkerställa följande:
Att all information som överförs genom kommunikation med Players 1st-systemet överförs via https-protokollet som standard.
Players 1st ska lagra och behandla alla data hos internationellt välrenommerade IT-företag.
Players 1st värdtjänster ska vara krypterade och konfidentiella.
Players 1st har komplett dokumentation över funktion, dataspårning och datasäkerhet.
Players 1st behandlar endast personuppgifter när de så har instruerats av den personuppgiftsansvarige.
Players 1st ska säkerställa att alla personer som hanterar personuppgifter omfattas av sekretessavtal.
C.3 Lagringstid/procedurer för radering
Personuppgifter ska lagras av personuppgiftsbiträdet till dess att den personuppgiftsansvarige begär att de raderas eller återlämnas.
Efter 24 månader ska personuppgiftsbiträdet automatiskt utföra pseudonymisering av alla personuppgifter som har erhållits från den personuppgiftsansvarige. I samband med pseudonymisering kommer alla personuppgifter som inte längre är relevanta att raderas.
Efter 10 år ska personuppgiftsbiträdet automatiskt radera alla personuppgifter.
C.4 Plats för behandlingen
Behandling av de personuppgifter som omfattas av avtalet får inte, utan skriftligt förhandstillstånd från den personuppgiftsansvarige, utföras på andra platser än följande:
Namn | Adress | Kommentarer |
Microsoft Azure | Azure-datacentra i Irland, Nederländerna, delstaterna Virginia, Texas och Kalifornien i USA samt Canberra i Australien | Värdtjänster, datalagring sker i: Europa för personuppgiftsbiträdets kunder i Europa i USA för personuppgiftsbiträdets kunder i Nordamerika Australien för personuppgiftsbiträdets kunder i Australien |
SendGrid | 1801 California Street, Suite 500, Denver, CO 80202 | |
MailJet | Mailjet SAS, 37 bis Rue du Sentier, 75002 Paris, FRANKRIKE | |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, USA | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | |
Players 1st | Stadion Allé, 8000 Aarhus C, Danmark |
C.5 Instruktioner eller godkännanden avseende överföring av personuppgifter till tredjeland
Personuppgiftsbiträdet ska överföra, via andra anlitade personuppgiftsansvariga, personuppgifter till tredje part eftersom e-postadresser överförs till en amerikansk leverantör (SendGrid) för användning vid utskick av e-post (gäller dock ej tyska e-postadresser). Zendesk ska användas för att hantera supportförfrågningar från spelare och klubbar som har möjlighet att kontakta Players 1sts support via e-post. E-postadressen till frågeställaren överförs till Zendesk vid kontakttillfället. Google Analytics används på aggregerad nivå för att övervaka de webbläsare och enheter som användarna utnyttjar. Informationen används för att optimera användarnas upplevelser av frågeformulären.
Överföring sker i enlighet med Privacy Shield-överenskommelsen, se artikel 46 i GDPR. Personuppgiftsbiträdet ansvarar för att säkerställa att anlitade personuppgiftsbiträden i tredjeland uppfyller personuppgiftsbiträdets skyldigheter som specificeras i detta avtal.
C.6 Förfaranden för den personuppgiftsansvariges kontroll av den behandling som utförs i personuppgiftsbiträdes lokaler
Personuppgiftsbiträdet ska en gång per år anlita en oberoende tredje part som utfärdar en granskningsrapport avseende personuppgiftsbiträdets efterlevnad av detta databehandlingsavtal och tillhörande bilagor. Granskningsrapporten ska utfärdas för första gången 2019, och ska göras tillgänglig för den personuppgiftsansvarige.
Fram till dess ovannämnda granskningsrapport är tillgänglig ska den personuppgiftsansvarige varje år ha möjlighet att utföra en fysisk eller skriftlig granskning av efterlevnaden av detta databehandlingsavtal.
Utöver schemalagda kontroller kan en kontroll av personuppgiftsbiträdet utföras när den personuppgiftsansvarige bedömer att behov föreligger.
Eventuella kostnader som uppstår för den personuppgiftsansvarige i samband med en fysisk eller skriftlig kontroll bärs av den personuppgiftsansvarige själv. Trots detta är personuppgiftsbiträdet skyldigt att avsätta de resurser (huvudsakligen tid) som är rimliga och nödvändiga för att den personuppgiftsansvarige ska kunna utföra en sådan kontroll.
C.7 Förfaranden för kontroll av den behandling som utförs i annat personuppgiftsbiträdes lokaler
Personuppgiftsbiträdet ska en gång per år anlita en oberoende tredje part som utfärdar en granskningsrapport avseende annat anlitat personuppgiftsbiträdes efterlevnad av detta databehandlingsavtal och tillhörande bilagor.
Parterna har överenskommit om att följande typer av granskningsrapporter kan användas: ISAE 3402-rapporter av typ 2
Personuppgiftsbiträdet ska tillgängliggöra granskningsrapporten för den personuppgiftsansvarige via kontrollpanelslösningen.
Bilaga D Parternas förvaltning av övriga frågor
D.1 Huvudavtal
Förhållanden som inte omfattas av detta avtal ska hanteras i enlighet med huvudavtalet parterna emellan.
D.2 Begärande om ytterligare säkerhetsåtgärder
Ersättning eller liknande i samband med att den personuppgiftsansvarige eller personuppgiftsbiträdet senare begär att ytterligare försiktighetsåtgärder ska vidtas utöver vad som anges i detta avtal ska betalas av den part som framställer yrkandet. Ersättning ska normalt avse tidsåtgången för att vidta de utökade säkerhetsåtgärderna.