Databehandleravtale mellom Idrettslaget/Klubben og CLUB UNITED AS
1 AVTALENS HENSIKT
Avtalens hensikt er å regulere rettigheter og plikter etter Lov om behandling av personopplysninger 14. april 2000 nr. 31 og nytt personvernregelverk som trer i kraft 25. mai 2018, samt EUs Personvernforordning 2016/679 (”GDPR”).
Avtalen skal sikre at personopplysninger om de registrerte, ikke brukes urettmessig eller kommer uberettigede i hende. Den Behandlingsansvarlige bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Det er den Behandlingsansvarlige som har ansvaret for at opplysninger behandles i henhold til de kravene som personopplysningsloven oppstiller.
Den Behandlingsansvarlige må sikre at det er rettslig grunnlag for behandling av personopplysningene som behandles av Databehandleren.
Avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
2 DEFINISJONER
2.1 Personopplysninger
Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
2.2 Behandling
Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
2.3 Behandlingsansvarlig
En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.
2.4 Databehandler
En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
2.5 Tredjepart
Enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger.
3 OVERORDNET FORMÅL
Formålet med denne databehandleravtalen er at Club United skal få tilgang til informasjon om klubbmedlemmer, klubbaktiviteter (terminliste, arrangementer m.v) for å kunne drive informasjonsplattformen Hoopit™.
Behandling beskrives for øvrig nærmere i samarbeidsavtalen mellom idrettslaget og Club United.
4 HVILKE OPPLYSNINGER SOM BEHANDLES
Følgende personopplysninger håndteres i Club United sine løsninger:
Personinformasjon om klubbmedlemmer og foresatte:
– Kontaktinformasjon som navn, adresse, telefonnummer, epost på medlem og/eller foresatte.
– Fødselsår på klubbmedlemmet.
– Tilknytningsforhold mellom medlem og foresatte.
– Medlemmets deltakelse på arrangementer (terminlister, innplassering på lag osv).
– Personinformasjon om ansatte hos Behandlingsansvarlig.
– Brukerinfo som navn, brukernavn, telefon og epostadresse på ansatte, trenere og kontaktpersoner i klubben/foreningen og andre ansatte.
5 DATABEHANDLERS PLIKTER
CLUB UNITED AS er underlagt Behandlingsansvarliges instruksjonsmyndighet m.h.t. enhver lagring, bearbeidelse og utnyttelse av opplysningene.
Databehandleren plikter å gi den Behandlingsansvarlige tilgang til sin sikkerhetsdokumentasjon, og bistå slik at den Behandlingsansvarlige kan ivareta sitt eget ansvar etter lov og forskrift.
Den Behandlingsansvarlige har, med mindre annet er avtalt eller følger av loven, rett til tilgang til og innsyn i de personopplysningene som behandles og systemene som benyttes i henhold til denne avtalen. Databehandleren plikter å gi nødvendig bistand til dette.
Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Databehandleren har ansvar for å sikre at nødvendige avtaler eller forpliktelser til konfidensiell behandling er etablert med enhver som får tilgang til de opplysningene for et bestemt formål.
6 SIKKERHET
Databehandleren skal oppfylle de kravene til sikkerhetstiltak som stilles etter enhver tid gjeldende norsk personvernlovgivning. Dersom det innføres endringer i krav til tjenestenivå og løsninger som medfører en økning i kostnader og ressursbruk hos Databehandler ut over det som er naturlig å påregne på tidspunktet for etablering av Databehandleravtalen, vil Databehandler kunne kreve slike kostnader dekket av Behandlingsansvarlig gjennom regulering av vederlaget for leveranse av tjenesten.
Sikkerhetsnivået skal hensynta arten av personopplysninger og risiko for brudd på datasikkerhet for den registrerte. Av den grunn skal Databehandler og Behandlingsansvarlig gjennomføre en risikogjennomgang for å sikre tilfredsstillende datasikkerhet. Risikovurdering og identifiserte sikkerhetstiltak vil ta utgangspunkt i mal for risikovurdering, som vedlagt eller ved bruk av Behandlingsansvarliges mal for risikovurdering.
Databehandleren skal ved behov på forespørsel dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.
Databehandleren garanterer at personopplysningene behandles konfidensielt og at de ikke under noen omstendighet vil bli overdratt til tredjepart eller benyttet i kommersiell sammenheng, unntatt hvor det er tillatt i henhold til gjeldende lovgivning. Opplysningene skal kun benyttes av Databehandleren i forbindelse med levering av tjenesten til Bedriften og skal kun gjøres tilgjengelig for den/de av Databehandlerens ansatte som har tjenstlig behov for tilgang til opplysningene for å kunne levere tjenesten.
7 OVERFØRING AV PERSONOPPLYSNINGER TIL UTLANDET
Personopplysninger, som behandles av Databehandleren på vegne av den Behandlingsansvarlige, kan bli overført til, lagret i og behandlet i de landene hvor Databehandleren, og underleverandøren av den aktuelle og dennes underleverandører, driver sin virksomhet. Personopplysningene kan også overføres til databehandlere/underleverandører utenfor EØS.
Databehandleren skal påse at alle krav til avtaler, sikkerhetsnivåer m.v. er forsvarlig og lovmessig etablert før overføring til utlandet finner sted.
8 UNDERLEVERANDØRER
Databehandleren gis generell tillatelse til engasjere underleverandører. Behandlingsansvarlig orienteres løpende om eventuelle endringer og har rett til å motsette seg disse. Behandlingsansvarlig skal ha en rimelig grunn til å motsette seg eventuelle underleverandører.
Databehandleren er ansvarlig for å gjennomføre en sikkerhetsanalyse av underleverandørens evne til å oppfylle de kravene som følger av denne Databehandleravtalen og øvrige lovfestede krav til behandling av personopplysninger.
Databehandleren skal påse at alle underleverandører er bundet av de samme kravene til informasjonssikkerhet og utnyttelse som fremgår av denne Databehandleravtalen. Databehandleren er fullt ansvarlig overfor den Behandlingsansvarlige for alle brudd på de kravene og retningslinjene som gjelder etter denne Databehandleravtalen.
9 VARSLINGSREGLER – SIKKERHETSBRUDD MV.
Databehandleren forplikter seg til å varsle den Behandlingsansvarlige uten ugrunnet opphold dersom Databehandleren har informasjon om, eller grunn til å tro, at personopplysninger brukes på uberettiget måte eller på annen måte håndteres i strid med regelverket forhåndtering av personopplysninger og/eller vilkårene i denne Databehandleravtalen.
Databehandleren skal uten ugrunnet opphold varsle den Behandlingsansvarlige om ethvert brudd på datasikkerhet som Databehandleren blir kjent med. Dette omfatter, men er ikke begrenset til, uautorisert tilgang, spredning, endring, skade/ødeleggelse. Avviksmelding skal inneholde nødvendige opplysninger om hvem som er berørt av sikkerhetsbruddet, hvilke opplysninger sikkerhetsbruddet omfatter og nærmere opplysninger om hvilke tiltak Databehandleren har tatt, eller vil ta, for å håndtere situasjonen.
Den Behandlingsansvarlige har ansvaret for at avviksmeldingen sendes til Datatilsynet og den registrerte dersom påkrevd, innen 72 timer.
10 SIKKERHETSREVISJONER
Databehandleren skal årlig gjennomføre sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen. En sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører, og tilfredsstille krav til sikkerhetstiltak etter gjeldende lovgivning. Resultat av sikkerhetsrevisjonen gjøres tilgjengelig for Behandlingsansvarlig ved forespørsel.
Dersom Behandlingsansvarlig ønsker sikkerhetsrevisjon gjennomført av tredjepart skal samtlige kostnader forbundet med dette belastes den Behandlingsansvarlige. Dette inkluderer også kostnader forbundet med intern ressursbruk hos Databehandler. Tredjepart som skal utføre revisjon skal være uavhengig og godkjent av begge parter. Manglende godkjenning skal dokumenteres.
11 FORVALTNING AV FORHOLDET TIL DE REGISTRERTE
Databehandleren skal bistå den Behandlingsansvarlige ved ivaretakelse av rettighetene til de registrerte. Dette gjelder, men er ikke begrenset til, å gi informasjon om hvordan opplysningene behandles, håndtering av henvendelser som gjelder innsyn i egne personopplysninger og oppfyllelse av de registrertes rett til å kreve retting eller sletting av personopplysningene. Se detaljert beskrivelse av hvilke personopplysninger som lagres i CLUB UNITED AS sine løsninger i dokumentet personvernerklæring. Til enhver tid gjeldende versjon av dette dokumentet blir tilgjengeliggjort for Behandlingsansvarlig på forespørsel.
12 AVTALENS VARIGHET
Avtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige. Ved opphør av Tjenesteavtalen skal Databehandleren avslutte behandling av alle personopplysninger med mindre dette er nødvendig for oppfyllelse av forpliktelser som fremgår uttrykkelig av denne avtalen.
Ved brudd på denne avtalen eller personopplysningsloven kan den Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
13 VED OPPHØR
Ved opphør av denne avtalen skal Databehandleren overlevere til den Behandlingsansvarlige, eller forsvarlig destruere alle dokumenter, data, mv. som inneholder opplysninger som omfattes av avtalen, etter nærmere instruks. Dette gjelder også for eventuelle sikkerhetskopier.
Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
14 ANSVARSBEGRENSNING TREDJEPART
Databehandler kan ikke holdes ansvarlig for indirekte skade eller tap som forårsakes av Databehandlers brudd på de avtalte forpliktelser med mindre dette skyldes grov uaktsomhet eller forsettlig forhold. For direkte tap er Databehandlers ansvar etter denne avtalen oppad begrenset til det vederlag som er betalt av Behandlingsansvarlige for de tjenester som avtalebruddet relaterer seg til betalt i løpet av de siste 12 mnd frem til avtalebruddet fant sted.
Behandlingsansvarlig skal under enhver omstendighet holde Databehandler skadesløs i forhold til krav fra tredjepart forårsaket av Behandlingsansvarlig.
15 ENDRINGER
Alle endringer av denne avtalen skal gjøres skriftlig.
16 LOVVALG OG VERNETING
Avtalen er underlagt norsk rett og tvister mellom partene behandles ved de ordinære domstoler. Dette gjelder også etter opphør av avtalen. Verneting er Sør-Trøndelag tingrett.
