DATABEHANDLERAVTALE FOR SPOND CLUB
Denne databehandleravtalen («Databehandleravtalen») er et vedlegg til tjenestevilkårene («Tjenestevilkårene») som regulerer bruken av Spond AS’ («Spond») klubbløsning («Tjenesten»). Partene i Databehandleravtalen er Spond og klubben som er registrert som bruker av Tjenesten (“Klubben”) på Sponds nettside, og som dermed har akseptert vilkårene for bruk.
Ord og begreper som ellers er udefinerte skal ha samme betydning som personopplysningsloven, jfr. artikkel 4 i databeskyttelsesforordningen.
1. BEHANDLING AV PERSONOPPLYSNINGER
Når klubben bruker tjenesten, blir Spond databehandler for klubben og vil behandle dens personopplysninger. Klubben er behandlingsansvarlig.
Spond skal kun behandle personopplysninger i henhold til klubbens dokumenterte instrukser, med mindre annet er bestemt av loven. Vedlegg 1 inneholder klubbens instrukser.
2. HJELP TIL DATAKONTROLLEREN
2.1 Generelt
Spond skal hjelpe klubben med å oppfylle sine forpliktelser i henhold til gjeldende personvernlovgivning.
2.2 Forespørsler fra tredjeparter
Dersom den registrerte, offentlige myndigheter eller andre ber Spond om informasjon om behandling av personopplysninger i henhold til denne Databehandleravtalen, skal Spond henvise forespørselen til Klubben.
Spond skal ikke, unntatt som tidligere instruert av klubben, overføre eller på annen måte utlevere personopplysninger – eller annen informasjon knyttet til behandling av personopplysninger – til en tredjepart. Dersom Spond er forpliktet ved lov til å distribuere personopplysninger som behandles av Spond på vegne av klubben, må Spond umiddelbart varsle klubben.
2.3 Gjøre informasjon tilgjengelig
Spond skal gi klubben all informasjon og assistanse som er nødvendig for å vise at forpliktelsene i henhold til denne databehandleravtalen og personvernloven blir overholdt. Spond skal bidra til og muliggjøre revisjoner, herunder tilsyn. Eventuelle revisjoner og inspeksjoner vil bli utført på klubbens forespørsel, men ikke mer enn én gang i året.
2.4 Retting, sletting og retur
Ved å bruke sin tilgang til Tjenesten kan klubben rette og slette personopplysninger og annen informasjon som ikke lenger behandles. Ved oppsigelse av databehandleravtalen og innen tre – 3- måneder etter utløpet av databehandleravtalen, vil Spond, basert på klubbens instruks, slette eller returnere alle personopplysninger den har behandlet på vegne av klubben. Løsningens dataeksportfunksjon vil utføre slik retur. Dette gjelder med mindre oppbevaring av personopplysningene er lovpålagt.
3. UNDERLEVERANDØR
Klubben godtar Sponds bruk av underleverandører. Spond skal på sin hjemmeside føre en liste over underleverandører, og denne listen skal reflektere eventuelle underleverandørendringer og tjene som varsel om disse. Derfor oppfordres klubben til å sjekke listen ofte. Klubben kan protestere mot underleverandørendringer, og må i så fall gi beskjed til Spond innen fjorten – 14 – dager etter at endringen ble offentliggjort. Hvis klubben ikke godkjenner endringen, kan Spond si opp avtalen som regulerer tjenesten, med virkning fra implementeringen av endringen.
Spond skal sørge for at autoriserte underleverandører inngår skriftlige avtaler som pålegger dem de samme forpliktelsene med hensyn til beskyttelse av personopplysninger som de som fremgår av denne databehandleravtalen.
4. OVERFØRING TIL TREDJELAND
Klubben samtykker i at Spond kan overføre personopplysninger til tredjeland identifisert i underleverandørlisten på Sponds nettside, jfr. punkt 3. Melding om eventuelle endringer vil også bli publisert der. Dersom klubben trekker tilbake sin avtale om overføring av personopplysninger til ett eller flere tredjeland eller ikke godkjenner en endring, må klubben varsle Spond senest innen fjorten – 14 – dager. Hvis det er umulig å stanse overføringen på grunn av tekniske eller andre problemer, kan Spond si opp avtalen om bruk av Tjenesten, med virkning fra utløpet av varslingsfristen nevnt ovenfor. Spond bekrefter at gjeldende personvernlovsvilkår for overføringer til tredjeland er oppfylt for alle overføringer av personopplysninger til tredjeland, normalt ved bruk av EUs standardkontrakt for overføringer til databehandlere i tredjeland.
5. INFORMASJONSSIKKERHET OG KONFIDENSIALITET
5.1 Generelt
Spond er forpliktet til å iverksette og dokumentere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger som behandles. Spond skal overholde klubbens og alle gjeldende skriftlige krav eller retningslinjer knyttet til datasikkerhet.
5.2 Plikt til å opprettholde tilstrekkelig sikkerhetsnivå
Spond skal opprettholde et tilstrekkelig sikkerhetsnivå for behandling av personopplysninger, tatt i betraktning risikoen ved behandlingen. Spond skal beskytte personopplysninger mot ødeleggelse, modifikasjon, uautorisert avsløring eller uautorisert tilgang.
5.3 Logging og internkontroll
Spond skal føre en logg over alle kategorier av behandlingsaktiviteter som utføres på vegne av klubben. Spond skal utarbeide og holde oppdatert en beskrivelse av tekniske, organisatoriske og fysiske tiltak det iverksetter for å opprettholde sikkerheten og overholde gjeldende databeskyttelseslover, herunder dets sikkerhetsorganisasjon, prosedyrer og risikovurderinger. Dokumentasjonen skal gjøres tilgjengelig for klubben.
5.4 Konfidensialitet
Spond skal ikke uten klubbens forhåndsgodkjennelse avsløre eller på annen måte gjøre personopplysninger behandlet i henhold til denne databehandlingsavtalen tilgjengelig for tredjeparter, bortsett fra underleverandører som er engasjert i henhold til databehandleravtalen.
Spond skal sørge for at kun personer som trenger tilgang til personopplysninger for å yte Tjenesten til Klubben får tilgang til slike data og at de har forpliktet seg til taushetsplikt.
Ovennevnte taushetsplikt fortsetter etter oppsigelsen av denne databehandleravtalen.
6. PROSEDYRER FOR BRUDD AV PERSONOPPLYSNINGER
Ved brudd på personopplysninger vil Spond bistå Klubben med å overholde klubbens forpliktelser, herunder plikten til å varsle om personopplysningsbruddet. Uten unødig opphold skal Spond varsle klubben skriftlig så snart den blir kjent med et slikt brudd. Meldingen skal:
beskrive typen brudd på personopplysninger, inkludert, hvis mulig, kategoriene og det omtrentlige antallet registrerte og personopplysninger som er berørt;
inkludere navn og kontaktinformasjon til personen som kan kontaktes for mer informasjon;
beskrive de sannsynlige konsekvensene av bruddet på personopplysninger;
beskrive tiltakene som er tatt eller foreslått av Spond for å håndtere bruddet på personopplysninger, inkludert, hvis det er hensiktsmessig, tiltak for å redusere potensielle negative konsekvenser.
7. AVTALENS VARIGHET
Databehandleravtalen gjelder så lenge Klubben og Spond har en gyldig avtale for bruk av Tjenesten.
Uavhengig av oppsigelsesbestemmelsene kan klubben, dersom Spond bryter gjeldende personvernlovgivning, Databehandleravtalen eller instruksjoner gitt i eller i medhold av denne Databehandleravtalen, instruere Spond og eventuelle underleverandører om å stoppe behandlingen av personopplysningene med umiddelbar virkning.
8. ANSVAR
Partenes ansvar og ansvarsbegrensninger fremgår av Vilkårene.
9. MERKNADER OG ANDRE KUNNGJØRING
Varsler om sikkerhetsbrudd og andre kunngjøringer i henhold til Databehandleravtalen skal sendes til motpartens kontaktperson som oppgitt i forbindelse med registrering av Klubben som bruker av Tjenesten.
10. LOVVALG OG JURISDIKSJON
Denne databehandleravtalen skal styres og tolkes i samsvar med norsk lov, med Oslo tingrett som verneting. Dette gjelder også ved oppsigelse av Databehandleravtalen.
Vedlegg 1 til Databehandleravtalen for Spond Club-løsningen
Instruksjoner for databehandling
Behandlingsansvarlig | Klubben som definert i vilkårene |
Formål | Den behandlingsansvarliges formål med å behandle personopplysningene er:
Administrere klubbens aktiviteter, inkludert intern klubbkommunikasjon, medlemsregisteradministrasjon, administrasjon av medlemskontoer og andre betalinger, ekstern medlemskommunikasjon. |
Datakategorier | Personopplysningene som vil bli behandlet inkluderer følgende kategorier:
Personlig kontaktinformasjon som navn, hjemmeadresse, mobiltelefonnummer og e-postadresse. Alder, fødselsdato og all annen informasjon som klubben registrerer om de registrerte (f.eks. trøyenummer, trøyestørrelse, posisjon, om spilleren er skadet eller ikke.) Vergeforhold mellom registrerte. Dersom den registrerte har levert gyldig vandelsattest. Informasjon om utsendte betalingskrav og status (betalt, ikke betalt, forfallsdato osv.) Kommunikasjon mellom klubben og de registrerte. |
Datasubjektkategorier | Den behandlingsansvarliges medlemmer, ansatte og frivillige, medlemmenes foresatte |
Behandling av operasjoner/aktiviteter | Innsamling og oppbevaring av personopplysninger i medlemsregisteret
Overføring av personopplysninger i intern kommunikasjon Innsamling og lagring av personopplysninger i forbindelse med innkreving/betaling av gebyrer |
Oppbevaringsperiode/sletting | Personopplysninger som behandles skal slettes i henhold til følgende retningslinjer:
Skal slettes innen tre – 3 – måneder etter oppsigelse av avtalen eller på forespørsel fra behandlingsansvarlig |
Underleverandører og overføringer til tredjeland | Se oversikt her |