English (US)
Dansk
Norsk
Svenska
Suomi
English (UK)
Deutsch
Español
Français
Nederlands
Selskapsinformasjon
- Selskap
- Booking Board ApS
- Adresse
- Aabenraavej 44, 6100 Haderslev, Danmark
- Registrering
- CVR: DK43231952
Bakgrunn for databehandleravtalen
Denne avtalen fastsetter rettighetene og forpliktelsene som gjelder når Booking Board (databehandleren) behandler personopplysninger på vegne av en kunde (den behandlingsansvarlige).
Avtalen er utformet for å sikre samsvar med artikkel 28(3) i Personvernforordningen (EU) 2016/679, som stiller spesifikke krav til innholdet i en databehandleravtale.
Databehandlerens behandling av personopplysninger skjer i forbindelse med den behandlingsansvarliges bruk av Booking Board-systemet, som beskrevet i Booking Boards forretningsvilkår.
Databehandleravtalen og Booking Boards forretningsvilkår er gjensidig avhengige og kan ikke sies opp separat. Databehandleravtalen kan imidlertid erstattes av en annen gyldig databehandleravtale uten å påvirke forretningsvilkårene. Ved endring må Booking Board varsle den behandlingsansvarlige og fremlegge den nye avtalen.
Denne databehandleravtalen har forrang fremfor lignende bestemmelser i andre avtaler mellom partene, inkludert Booking Boards forretningsvilkår.
Rettigheter og forpliktelser
Den behandlingsansvarlige er i siste instans ansvarlig for å sikre at behandlingen av personopplysninger utføres innenfor rammen av Personvernforordningen og personopplysningsloven.
Databehandleren må alltid uten ugrunnet opphold etterkomme rimelige henvendelser fra den behandlingsansvarlige for å sikre samsvar med Personvernforordningen og personopplysningsloven.
Databehandleren handler etter instrukser
- Databehandleren kan kun behandle personopplysninger i samsvar med dokumenterte instrukser fra den behandlingsansvarlige, med mindre EU-rett eller nasjonal rett krever det. I slike tilfeller skal databehandleren informere den behandlingsansvarlige om dette rettslige kravet før behandlingen, med mindre gjeldende lov forbyr slik varsling av viktige samfunnsmessige hensyn.
- Databehandleren skal umiddelbart informere den behandlingsansvarlige dersom en instruks etter databehandlerens oppfatning er i strid med Personvernforordningen eller personvernbestemmelser i annen EU- eller nasjonal lovgivning.
Konfidensialitet
Databehandleren sikrer at kun personer som trenger tilgang for sitt arbeid for Booking Board har tilgang til personopplysningene som behandles på vegne av den behandlingsansvarlige. Tilgangen til dataene må umiddelbart oppheves dersom personen ikke lenger har behov for tilgang eller ikke lenger er tilknyttet Booking Board.
Datasikkerhet
Databehandleren skal iverksette alle tiltak som kreves i henhold til artikkel 32 i Personvernforordningen, og sikre hensiktsmessige tekniske og organisatoriske sikkerhetstiltak basert på risikoen for fysiske personers rettigheter og friheter:
- Pseudonymisering og kryptering av personopplysninger
- Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene
- Evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger innen rimelig tid ved en fysisk eller teknisk hendelse
- En prosess for regelmessig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for å sikre behandlingssikkerheten
Bruk av underdatabehandlere
Databehandleren må oppfylle vilkårene fastsatt i artikkel 28(2) og (4) i Personvernforordningen for å engasjere en annen databehandler (underdatabehandler). Databehandleren kan ikke engasjere en underdatabehandler uten forhåndsgodkjenning, spesifikk eller generell, skriftlig fra den behandlingsansvarlige.
Overføring av informasjon til tredjeland eller internasjonale organisasjoner
Databehandleren kan kun behandle personopplysninger i samsvar med dokumenterte instrukser fra den behandlingsansvarlige, herunder for overføringer til tredjeland eller internasjonale organisasjoner, med mindre EU- eller nasjonal rett krever det.
Bistand til den behandlingsansvarlige
Databehandleren skal bistå den behandlingsansvarlige med å oppfylle sine forpliktelser til å besvare henvendelser fra registrerte vedrørende deres rettigheter i henhold til kapittel 3 i Personvernforordningen.
Varsling om brudd på personopplysningssikkerheten
Databehandleren skal varsle den behandlingsansvarlige uten ugrunnet opphold når databehandleren blir oppmerksom på et brudd på personopplysningssikkerheten.
Sletting og tilbakelevering av data
Ved opphør av tjenestene knyttet til behandlingen skal databehandleren, etter den behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige og slette eventuelle eksisterende kopier, med mindre EU- eller nasjonal rett krever oppbevaring av personopplysningene.
Tilsyn og revisjon
Databehandleren skal stille all nødvendig informasjon til rådighet for å påvise samsvar med artikkel 28 i Personvernforordningen og denne avtalen, og tillate revisjon eller inspeksjon utført av den behandlingsansvarlige.
Ikrafttredelse og opphør
Denne avtalen trer i kraft når den behandlingsansvarlige begynner å bruke Booking Boards system. Avtalen forblir gjeldende så lenge behandlingen pågår og kan ikke sies opp separat fra Booking Boards forretningsvilkår.
Kontaktperson hos databehandleren
Henvendelser vedrørende personopplysninger kan rettes til følgende kontaktperson:
- Navn
- Casper S. Paulsen
- Partner/Utvikler
- Telefon
- 60534462
Vedlegg A: Informasjon om behandling
Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
- Å gjøre det mulig for den behandlingsansvarlige å bruke Booking Board-systemet, som eies og forvaltes av databehandleren, til å samle inn og behandle informasjon om den behandlingsansvarliges medlemmer.
Behandlingen omfatter følgende typer personopplysninger om de registrerte:
- Navn, e-postadresse, telefonnummer, adresse, fødselsdato, type medlemskap, registrering og oppmøte for den behandlingsansvarliges klasser.
Behandlingen omfatter følgende kategorier av registrerte:
- Personer som har opprettet en profil hos den behandlingsansvarlige ved bruk av Booking Board.
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynne etter at denne avtalen har trådt i kraft. Behandlingen er ikke tidsbegrenset og varer til avtalen blir sagt opp eller kansellert av en av partene.
Vedlegg B: Underdatabehandlere
B.1 Vilkår for bruk av underdatabehandlere
Databehandleren har den behandlingsansvarliges generelle godkjenning til å bruke underdatabehandlere. Databehandleren må imidlertid varsle den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tillegg av eller erstatning av underdatabehandlere, slik at den behandlingsansvarlige kan gjøre innsigelse.
Slik varsling må nå den behandlingsansvarlige minst én måned før endringen gjennomføres. Dersom den behandlingsansvarlige gjør innsigelse, må vedkommende varsle databehandleren innen 14 dager. Den behandlingsansvarlige kan kun gjøre innsigelse dersom det foreligger rimelige, spesifikke grunner.
B.2 Godkjente underdatabehandlere
Den behandlingsansvarlige har, på tidspunktet for avtalens ikrafttredelse, godkjent bruk av følgende underdatabehandlere:
| Navn | Beskrivelse av behandling |
|---|---|
| Twilio | Håndterer sending av SMS-meldinger fra systemet. |
| Mailgun | Håndterer sending av e-post fra systemet. |
| DigitalOcean | Leverer IT-infrastruktur for drift av systemet. |
| Hetzner | Leverer IT-infrastruktur for drift av systemet. |
| Scaleway | Leverer IT-infrastruktur for drift av systemet. |
| OneSignal | Håndterer sending av push-varsler fra systemet. |
| Sentry | Håndterer feillogging av hendelser i systemet. |
Den behandlingsansvarlige har spesifikt godkjent bruken av ovennevnte underdatabehandlere for den eksakte behandlingen som er beskrevet. Databehandleren kan ikke, uten den behandlingsansvarliges spesifikke og skriftlige godkjenning, benytte en individuell underdatabehandler til en annen type behandling eller la en annen underdatabehandler utføre den beskrevne behandlingen.
Vedlegg C: Instrukser om behandling
C.1 Behandlingens formål / Instrukser
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer som følger: Forvaltning av den behandlingsansvarliges kundedata i forbindelse med den behandlingsansvarliges bruk av Booking Board for å administrere klasser, kurs, betalinger osv.
C.2 Datasikkerhet
Sikkerhetsnivået må gjenspeile at de behandlede dataene inkluderer grunnleggende personopplysninger om de registrerte samt opplysninger om deres kjøp og bruk av den behandlingsansvarliges produkter, men generelt ikke særlige kategorier av personopplysninger som beskrevet i artikkel 9 i Personvernforordningen.
Databehandleren er derfor autorisert og forpliktet til å avgjøre hvilke tekniske og organisatoriske sikkerhetstiltak som er nødvendige for å sikre det påkrevde sikkerhetsnivået for dataene.
C.3 Oppbevaringsperiode / Sletterutine
Personopplysninger oppbevares av databehandleren inntil den behandlingsansvarlige ber om sletting eller tilbakelevering av dataene.
I tillegg anonymiseres medlemskontoer som har vært inaktive i mer enn 24 måneder automatisk av systemet, forutsatt at de ikke har aktive medlemskap, utestående betalinger eller annen pågående aktivitet.
Når en individuell bruker slettes fra systemet, fjernes all direkte identifiserbar informasjon, inkludert navn, adresse, e-post, fødselsdato og eventuelle beskrivende kommentarer. Det som gjenstår er en anonymisert bruker, som gjør det mulig for den behandlingsansvarlige å fortsette å ta ut rapporter.
C.4 Tilsynsprosedyrer
Den behandlingsansvarlige bærer eventuelle kostnader knyttet til fysisk tilsyn. Databehandleren er imidlertid forpliktet til å stille nødvendige ressurser til rådighet for at den behandlingsansvarlige kan gjennomføre tilsyn.