DATABEHANDLERAVTALE
mellom
Idrettslaget/Klubben
og
CLUB UNITED AS

1 AVTALENS HENSIKT
Avtalens hensikt er Ă„ regulere rettigheter og plikter etter Lov om behandling av personopplysninger 14. april 2000 nr. 31 og nytt personvernregelverk som trer i kraft 25. mai 2018, samt EUs Personvernforordning 2016/679 (”GDPR”).

Avtalen skal sikre at personopplysninger om de registrerte, ikke brukes urettmessig eller kommer uberettigede i hende. Den Behandlingsansvarlige bestemmer formÄlet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Det er den Behandlingsansvarlige som har ansvaret for at opplysninger behandles i henhold til de kravene som personopplysningsloven oppstiller.

Den Behandlingsansvarlige mÄ sikre at det er rettslig grunnlag for behandling av personopplysningene som behandles av Databehandleren.

Avtalen regulerer Databehandlerens behandling av personopplysninger pÄ vegne av den Behandlingsansvarlige, herunderinnsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overfÞring, spredning eller alle andre former for tilgjengeliggjÞring, sammenstilling eller samkjÞring, begrensning, sletting eller tilintetgjÞring.

2 DEFINISJONER
2.1 Personopplysninger
Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, sÊrlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, Þkonomiske, kulturelle eller sosiale identitet.

2.2 Behandling
Enhver operasjon eller rekke av operasjoner som gjĂžres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overfĂžring, spredning eller alle andre former for tilgjengeliggjĂžring, sammenstilling eller samkjĂžring, begrensning, sletting eller tilintetgjĂžring.

2.3 Behandlingsansvarlig
En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formÄlet med behandlingen av personopplysninger og hvilke midler som skal benyttes; nÄr formÄlet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de sÊrligekriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.

2.4 Databehandler
En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger pÄ vegne av den behandlingsansvarlige.

2.5 Tredjepart
Enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til Ă„ behandle personopplysninger.

3 OVERORDNET FORMÅL
FormĂ„let med denne databehandleravtalen er at Club United skal fĂ„ tilgang til informasjon om klubbmedlemmer, klubbaktiviteter (terminliste, arrangementer m.v) for Ă„ kunne drive informasjonsplattformen Hoopitℱ.

Behandling beskrives for Ăžvrig nĂŠrmere i samarbeidsavtalen mellom idrettslaget og Club United.

4 HVILKE OPPLYSNINGER SOM BEHANDLES
FÞlgende personopplysninger hÄndteres i Club United sine lÞsninger:

  • Personinformasjon om klubbmedlemmer og foresatte:
    • Kontaktinformasjon som navn, adresse, telefonnummer, epost pĂ„ medlem og/eller foresatte.
    • FĂždeselsĂ„r pĂ„ klubbmedlemmet
    • Tilknytningsforhold mellom medlem og foresatte
    • Medlemmets deltakelse pĂ„ arrangementer (terminlister, innplassering pĂ„ lag osv)
  • Personinformasjon om ansatte hos Behandlingsansvarlig
    • Brukerinfo som navn, brukernavn, telefon og epostadresse pĂ„ ansatte, trenere og kontaktpersoner i klubben/foreningen og andre ansatte.

5 DATABEHANDLERS PLIKTER
CLUB UNITED AS er underlagt Behandlingsansvarliges instruksjonsmyndighet m.h.t. enhver lagring, bearbeidelse og utnyttelse av opplysningene.

Databehandleren plikter Ä gi den Behandlingsansvarlige tilgang til sin sikkerhetsdokumentasjon, og bistÄ slik at den Behandlingsansvarlige kan ivareta sitt eget ansvar etter lov og forskrift.

Den Behandlingsansvarlige har, med mindre annet er avtalt eller fĂžlger av loven, rett til tilgang til og innsyn i de personopplysningene som behandles og systemene som benyttes i henhold til denne avtalen. Databehandleren plikter Ă„ gi nĂždvendig bistand til dette.

Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende fÄr tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder ogsÄ etter avtalens opphÞr. Databehandleren har ansvar for Ä sikre at nÞdvendige avtaler eller forpliktelser til konfidensiell behandling er etablert med enhver som fÄr tilgang til de opplysningene for et bestemt formÄl.

6 SIKKERHET
Databehandleren skal oppfylle de kravene til sikkerhetstiltak som stilles etter enhver tid gjeldende norsk personvernlovgivning. Dersom det innfÞres endringer i krav til tjenestenivÄ og lÞsninger som medfÞrer en Þkning i kostnader og ressursbruk hos Databehandler ut over det som er naturlig Ä pÄregne pÄ tidspunktet for etablering av Databehandleravtalen, vil Databehandler kunne kreve slike kostnader dekket av Behandlingsansvarlig gjennom regulering av vederlaget for leveranse av tjenesten.

SikkerhetsnivÄet skal hensynta arten av personopplysninger og risiko for brudd pÄ datasikkerhet for den registrerte. Av den grunn skal Databehandler og Behandlingsansvarlig gjennomfÞre en risikogjennomgang for Ä sikre tilfredsstillende datasikkerhet. Risikovurdering og identifiserte sikkerhetstiltak vil ta utgangspunkt i mal for risikovurdering, som vedlagt eller ved bruk av Behandlingsansvarliges mal for risikovurdering.

Databehandleren skal ved behov pÄ forespÞrsel dokumentere rutiner og andre tiltak for Ä oppfylle disse kravene. Dokumentasjonen skal vÊre tilgjengelig pÄ den Behandlingsansvarliges forespÞrsel.

Databehandleren garanterer at personopplysningene behandles konfidensielt og at de ikke under noen omstendighet vil bli overdratt til tredjepart eller benyttet i kommersiell sammenheng, unntatt hvor det er tillatt i henhold til gjeldende lovgivning. Opplysningene skal kun benyttes av Databehandleren i forbindelse med levering av tjenesten til Bedriften og skal kun gjĂžres tilgjengelig for den/de av Databehandlerens ansatte som har tjenstlig behov for tilgang til opplysningene for Ă„ kunne levere tjenesten.

7 OVERFØRING AV PERSONOPPLYSNINGER TIL UTLANDET
Personopplysninger, som behandles av Databehandleren pÄ vegne av den Behandlingsansvarlige, kan bli overfÞrt til, lagret i og behandlet i de landene hvor Databehandleren, og underleverandÞren av den aktuelle og dennes underleverandÞrer, driver sin virksomhet. Personopplysningene kan ogsÄ overfÞres til databehandlere/underleverandÞrer utenfor EØS.

Databehandleren skal pÄse at alle krav til avtaler, sikkerhetsnivÄer m.v. er forsvarlig og lovmessig etablert fÞr overfÞring til utlandet finner sted.

8 UNDERLEVERANDØRER
Databehandleren gis generell tillatelse til engasjere underleverandĂžrer. Behandlingsansvarlig orienteres lĂžpende om eventuelle endringer og har rett til Ă„ motsette seg disse. Behandlingsansvarlig skal ha en rimelig grunn til Ă„ motsette seg eventuelle underleverandĂžrer.

Databehandleren er ansvarlig for Ă„ gjennomfĂžre en sikkerhetsanalyse av underleverandĂžrens evne til Ă„ oppfylle de kravene som fĂžlger av denne Databehandleravtalen og Ăžvrige lovfestede krav til behandling av personopplysninger.

Databehandleren skal pÄse at alle underleverandÞrer er bundet av de samme kravene til informasjonssikkerhet og utnyttelse som fremgÄr av denne Databehandleravtalen. Databehandleren er fullt ansvarlig overfor den Behandlingsansvarlige for alle brudd pÄ de kravene og retningslinjene som gjelder etter denne Databehandleravtalen.

9 VARSLINGSREGLER – SIKKERHETSBRUDD MV.
Databehandleren forplikter seg til Ä varsle den Behandlingsansvarlige uten ugrunnet opphold dersom Databehandleren har informasjon om, eller grunn til Ä tro, at personopplysninger brukes pÄ uberettiget mÄte eller pÄ annen mÄte hÄndteres i strid med regelverket forhÄndtering av personopplysninger og/eller vilkÄrene i denne Databehandleravtalen.

Databehandleren skal uten ugrunnet opphold varsle den Behandlingsansvarlige om ethvert brudd pÄ datasikkerhet som Databehandleren blir kjent med. Dette omfatter, men er ikke begrenset til, uautorisert tilgang, spredning, endring, skade/Þdeleggelse. Avviksmelding skal inneholde nÞdvendige opplysninger om hvem som er berÞrt av sikkerhetsbruddet, hvilke opplysninger sikkerhetsbruddet omfatter og nÊrmere opplysninger om hvilke tiltak Databehandleren har tatt, eller vil ta, for Ä hÄndtere situasjonen.

Den Behandlingsansvarlige har ansvaret for at avviksmeldingen sendes til Datatilsynet og den registrerte dersom pÄkrevd, innen 72 timer.

10 SIKKERHETSREVISJONER
Databehandleren skal Ă„rlig gjennomfĂžre sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen. En sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandĂžrer, og tilfredsstille krav til sikkerhetstiltak etter gjeldende lovgivning. Resultat av sikkerhetsrevisjonen gjĂžres tilgjengelig for Behandlingsansvarlig ved forespĂžrsel.

Dersom Behandlingsansvarlig Þnsker sikkerhetsrevisjon gjennomfÞrt av tredjepart skal samtlige kostnader forbundet med dette belastes den Behandlingsansvarlige. Dette inkluderer ogsÄ kostnader forbundet med intern ressursbruk hos Databehandler. Tredjepart som skal utfÞre revisjon skal vÊre uavhengig og godkjent av begge parter. Manglende godkjenning skal dokumenteres.

11 FORVALTNING AV FORHOLDET TIL DE REGISTRERTE
Databehandleren skal bistÄ den Behandlingsansvarlige ved ivaretakelse av rettighetene til de registrerte. Dette gjelder, men er ikke begrenset til, Ä gi informasjon om hvordan opplysningene behandles, hÄndtering av henvendelser som gjelder innsyn i egne personopplysninger og oppfyllelse av de registrertes rett til Ä kreve retting eller sletting av personopplysningene. Se detaljert beskrivelse av hvilke personopplysninger som lagres i CLUB UNITED AS sine lÞsninger i dokumentet personvÊrnerklÊring. Til enhver tid gjeldende versjon av dette dokumentet blir tilgjengeliggjort for Behandlingsansvarlig pÄ forespÞrsel.

12 AVTALENS VARIGHET
Avtalen gjelder sÄ lenge Databehandleren behandler personopplysninger pÄ vegne av den Behandlingsansvarlige. Ved opphÞr av Tjenesteavtalen skal Databehandleren avslutte behandling av alle personopplysninger med mindre dette er nÞdvendig for oppfyllelse av forpliktelser som fremgÄr uttrykkelig av denne avtalen.

Ved brudd pÄ denne avtalen eller personopplysningsloven kan den Behandlingsansvarlige pÄlegge Databehandleren Ä stoppe den videre behandlingen av opplysningene med Þyeblikkelig virkning.

13 VED OPPHØR
Ved opphÞr av denne avtalen skal Databehandleren overlevere til den Behandlingsansvarlige, eller forsvarlig destruere alle dokumenter, data, mv. som inneholder opplysninger som omfattes av avtalen, etter nÊrmere instruks. Dette gjelder ogsÄ for eventuelle sikkerhetskopier.

Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphĂžr.

14 ANSVARSBEGRENSNING TREDJEPART
Databehandler kan ikke holdes ansvarlig for indirekte skade eller tap som forÄrsakes av Databehandlers brudd pÄ de avtalte forpliktelser med mindre dette skyldes grov uaktsomhet eller forsettlig forhold. For direkte tap er Databehandlers ansvar etter denne avtalen oppad begrenset til det vederlag somer betalt av Behandlingsansvarlige for de tjenester som avtalebruddet relaterer seg til betalt i lÞpet av de siste 12 mnd frem til avtalebruddet fant sted.

Behandlingsansvarlig skal under enhver omstendighet holde Databehandler skadeslÞs i forhold til krav fra tredjepart forÄrsaket av Behandlingsansvarlig.

15 ENDRINGER
Alle endringer av denne avtalen skal gjĂžres skriftlig.

16 LOVVALG OG VERNETING
Avtalen er underlagt norsk rett og tvister mellom partene behandles ved de ordinÊre domstoler. Dette gjelder ogsÄ etter opphÞr av avtalen. Verneting er SÞr-TrÞndelag tingrett.