Spond Club DPA (Data Processor Agreement)

DATABEHANDLERAVTALE FOR SPOND CLUB

Denne databehandleravtalen («Databehandleravtalen») er et vedlegg til tjenestevilkårene («Tjenestevilkårene») som regulerer bruken av Spond AS’ («Spond») klubbløsning («Tjenesten»). Partene i Databehandleravtalen er Spond og klubben som er registrert som bruker av Tjenesten (“Klubben”) på Sponds nettside, og som dermed har akseptert vilkårene for bruk.

Ord og begreper som ellers er udefinerte skal ha samme betydning som personopplysningsloven, jfr. artikkel 4 i databeskyttelsesforordningen.

1. BEHANDLING AV PERSONOPPLYSNINGER

Når klubben bruker tjenesten, blir Spond databehandler for klubben og vil behandle dens personopplysninger. Klubben er behandlingsansvarlig.

Spond skal kun behandle personopplysninger i henhold til klubbens dokumenterte instrukser, med mindre annet er bestemt av loven. Vedlegg 1 inneholder klubbens instrukser.

2. HJELP TIL DATAKONTROLLEREN
2.1 Generelt

Spond skal hjelpe klubben med å oppfylle sine forpliktelser i henhold til gjeldende personvernlovgivning.

2.2 Forespørsler fra tredjeparter

Dersom den registrerte, offentlige myndigheter eller andre ber Spond om informasjon om behandling av personopplysninger i henhold til denne Databehandleravtalen, skal Spond henvise forespørselen til Klubben.

Spond skal ikke, unntatt som tidligere instruert av klubben, overføre eller på annen måte utlevere personopplysninger – eller annen informasjon knyttet til behandling av personopplysninger – til en tredjepart. Dersom Spond er forpliktet ved lov til å distribuere personopplysninger som behandles av Spond på vegne av klubben, må Spond umiddelbart varsle klubben.

2.3 Gjøre informasjon tilgjengelig

Spond skal gi klubben all informasjon og assistanse som er nødvendig for å vise at forpliktelsene i henhold til denne databehandleravtalen og personvernloven blir overholdt. Spond skal bidra til og muliggjøre revisjoner, herunder tilsyn. Eventuelle revisjoner og inspeksjoner vil bli utført på klubbens forespørsel, men ikke mer enn én gang i året.

2.4 Retting, sletting og retur

Ved å bruke sin tilgang til Tjenesten kan klubben rette og slette personopplysninger og annen informasjon som ikke lenger behandles. Ved oppsigelse av databehandleravtalen og innen tre – 3- måneder etter utløpet av databehandleravtalen, vil Spond, basert på klubbens instruks, slette eller returnere alle personopplysninger den har behandlet på vegne av klubben. Løsningens dataeksportfunksjon vil utføre slik retur. Dette gjelder med mindre oppbevaring av personopplysningene er lovpålagt.

3. UNDERLEVERANDØR

Klubben godtar Sponds bruk av underleverandører. Spond skal på sin hjemmeside føre en liste over underleverandører, og denne listen skal reflektere eventuelle underleverandørendringer og tjene som varsel om disse. Derfor oppfordres klubben til å sjekke listen ofte. Klubben kan protestere mot underleverandørendringer, og må i så fall gi beskjed til Spond innen fjorten – 14 – dager etter at endringen ble offentliggjort. Hvis klubben ikke godkjenner endringen, kan Spond si opp avtalen som regulerer tjenesten, med virkning fra implementeringen av endringen.

Spond skal sørge for at autoriserte underleverandører inngår skriftlige avtaler som pålegger dem de samme forpliktelsene med hensyn til beskyttelse av personopplysninger som de som fremgår av denne databehandleravtalen.

4. OVERFØRING TIL TREDJELAND

Klubben samtykker i at Spond kan overføre personopplysninger til tredjeland identifisert i underleverandørlisten på Sponds nettside, jfr. punkt 3. Melding om eventuelle endringer vil også bli publisert der. Dersom klubben trekker tilbake sin avtale om overføring av personopplysninger til ett eller flere tredjeland eller ikke godkjenner en endring, må klubben varsle Spond senest innen fjorten – 14 – dager. Hvis det er umulig å stanse overføringen på grunn av tekniske eller andre problemer, kan Spond si opp avtalen om bruk av Tjenesten, med virkning fra utløpet av varslingsfristen nevnt ovenfor. Spond bekrefter at gjeldende personvernlovsvilkår for overføringer til tredjeland er oppfylt for alle overføringer av personopplysninger til tredjeland, normalt ved bruk av EUs standardkontrakt for overføringer til databehandlere i tredjeland.

5. INFORMASJONSSIKKERHET OG KONFIDENSIALITET
5.1 Generelt

Spond er forpliktet til å iverksette og dokumentere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger som behandles. Spond skal overholde klubbens og alle gjeldende skriftlige krav eller retningslinjer knyttet til datasikkerhet.

5.2 Plikt til å opprettholde tilstrekkelig sikkerhetsnivå

Spond skal opprettholde et tilstrekkelig sikkerhetsnivå for behandling av personopplysninger, tatt i betraktning risikoen ved behandlingen. Spond skal beskytte personopplysninger mot ødeleggelse, modifikasjon, uautorisert avsløring eller uautorisert tilgang.

5.3 Logging og internkontroll

Spond skal føre en logg over alle kategorier av behandlingsaktiviteter som utføres på vegne av klubben. Spond skal utarbeide og holde oppdatert en beskrivelse av tekniske, organisatoriske og fysiske tiltak det iverksetter for å opprettholde sikkerheten og overholde gjeldende databeskyttelseslover, herunder dets sikkerhetsorganisasjon, prosedyrer og risikovurderinger. Dokumentasjonen skal gjøres tilgjengelig for klubben.

5.4 Konfidensialitet

Spond skal ikke uten klubbens forhåndsgodkjennelse avsløre eller på annen måte gjøre personopplysninger behandlet i henhold til denne databehandlingsavtalen tilgjengelig for tredjeparter, bortsett fra underleverandører som er engasjert i henhold til databehandleravtalen.

Spond skal sørge for at kun personer som trenger tilgang til personopplysninger for å yte Tjenesten til Klubben får tilgang til slike data og at de har forpliktet seg til taushetsplikt.

Ovennevnte taushetsplikt fortsetter etter oppsigelsen av denne databehandleravtalen.

6. PROSEDYRER FOR BRUDD AV PERSONOPPLYSNINGER

Ved brudd på personopplysninger vil Spond bistå Klubben med å overholde klubbens forpliktelser, herunder plikten til å varsle om personopplysningsbruddet. Uten unødig opphold skal Spond varsle klubben skriftlig så snart den blir kjent med et slikt brudd. Meldingen skal:

beskrive typen brudd på personopplysninger, inkludert, hvis mulig, kategoriene og det omtrentlige antallet registrerte og personopplysninger som er berørt;
inkludere navn og kontaktinformasjon til personen som kan kontaktes for mer informasjon;
beskrive de sannsynlige konsekvensene av bruddet på personopplysninger;
beskrive tiltakene som er tatt eller foreslått av Spond for å håndtere bruddet på personopplysninger, inkludert, hvis det er hensiktsmessig, tiltak for å redusere potensielle negative konsekvenser.

7. AVTALENS VARIGHET

Databehandleravtalen gjelder så lenge Klubben og Spond har en gyldig avtale for bruk av Tjenesten.

Uavhengig av oppsigelsesbestemmelsene kan klubben, dersom Spond bryter gjeldende personvernlovgivning, Databehandleravtalen eller instruksjoner gitt i eller i medhold av denne Databehandleravtalen, instruere Spond og eventuelle underleverandører om å stoppe behandlingen av personopplysningene med umiddelbar virkning.

8. ANSVAR

Partenes ansvar og ansvarsbegrensninger fremgår av Vilkårene.

9. MERKNADER OG ANDRE KUNNGJØRING

Varsler om sikkerhetsbrudd og andre kunngjøringer i henhold til Databehandleravtalen skal sendes til motpartens kontaktperson som oppgitt i forbindelse med registrering av Klubben som bruker av Tjenesten.

10. LOVVALG OG JURISDIKSJON

Denne databehandleravtalen skal styres og tolkes i samsvar med norsk lov, med Oslo tingrett som verneting. Dette gjelder også ved oppsigelse av Databehandleravtalen.

Vedlegg 1 til Databehandleravtalen for Spond Club-løsningen

Instruksjoner for databehandling