Denne Databehandleravtalen er inngått mellom Bruker/Organisasjon som benytter Consio Idrett, heretter kalt Behandlingsansvarlig, og Team Data System AS (Team Data) med org. nr. NO 975 950 476 MVA heretter kalt Databehandler, og gjelder for behandling av personopplysninger som følge av Brukeravtalen for Consio Idrett. Databehandleravtalen utgjør en del av og regulerer behandling av personopplysninger i tilknytning til den generelle Brukeravtalen mellom partene.

1. Avtalens bakgrunn og hensikt
Databehandler har inngått databehandleravtale med Norges Idrettsforbund (NIF) som et ledd i å bistå NIF og NIFs organisasjonsledd med tilgang til Idrettens digitale økosystem og integrasjon mot Idrettens sentrale database gjennom en Hovedavtale. Hovedavtalen innebærer at NIF er behandlingsansvarlig for behandling av personopplysninger etter Hovedavtalen, og Team Data er databehandler. Organisasjon og NIF er felles behandlingsansvarlig for personopplysningene som behandles i henhold til Hovedavtalen.

Personopplysningene som omfattes av databehandleravtalen mellom Team Data og NIF omfattes ikke av denne Databehandleravtalen.

Behandlingsansvarlig har inngått en avtale (heretter kalt Brukeravtale) med Databehandler som innebærer behandling av personopplysninger på vegne av Behandlingsansvarlig.

Databehandleravtalens hensikt er å regulere rettigheter og plikter som følger av Personopplysningsloven og Personvernforordningen, General Data Protection Regulation (GDPR).

Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

2. Generelt
Ved å akseptere Brukeravtalen elektronisk og bekrefte e-postadressen aksepteres også denne Databehandleravtalen. Det kan gjøres endringer til Databehandleravtalen. Endringer i gjeldende Databehandleravtale som vil få større konsekvenser for deg som behandlingsansvarlig vil bli kunngjort på e-post. Den til enhver tid gjeldende versjonen av Databehandleravtalen kan leses på www.consio.no.

3. Formål, behandlingens art og typer opplysninger som behandles
Databehandler leverer nettbaserte tjenester der brukere kan registrere personopplysninger. Hvilke opplysninger som registreres i tjenestene er overlatt til Behandlingsansvarlig i den grad det er tilrettelagt for å registrere opplysningene i tjenesten. Noen felt er påkrevd for å benytte tjenesten.

Formålet med behandlingen er å kunne tilby NIF og NIFs organisasjonsledd tjenester knyttet til ekstern medlemsadministrasjon og drift av idrettslaget i henhold til Hovedavtalen inngått mellom Team Data og NIF, samt Brukeravtalen.

Behandlingen vil omfatte opplysninger om idrettslagets medlemmer, tillitsvalgte, frivillige og ansatte i idrettens medlems- og organisasjonsregister, slik dette til enhver tid følger av NIFs regelverk, herunder interne Forskrift om idrettens medlems- og organisasjonsregister og utfyllende bestemmelser til denne.

Medlemskap og informasjon om betalingstransaksjoner knyttet til medlemskontingenter og trening-/aktivitetsavgifter vil bli oppdatert via API til idrettens sentrale database, og omfatter minimum følgende medlemsinformasjon:
• Person ID
• Fornavn
• Etternavn
• Fødselsdato
• Kjønn
• Mobil
• Epost
• Adresse

Databehandler skal bare behandle personopplysninger for de formålene som er angitt med mindre annet er skriftlig instruert av Behandlingsansvarlig.

Ved motstrid mellom denne Databehandleravtalen og Brukeravtalen skal denne Databehandleravtalen legges til grunn.

Avtalen erstatter i sin helhet eventuelle tidligere databehandleravtaler mellom Databehandler og Behandlingsansvarlig.

4. Behandlingsansvarliges plikter
‍Behandlingsansvarlig er ansvarlig for at det foreligger et juridisk grunnlag for behandlingen av personopplysninger som utføres av Databehandleren i henhold til Brukeravtalen og i henhold til denne Databehandlingsavtalen.

Den behandlingsansvarlige
• er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
• har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
• gir gjennom denne avtalen og Brukeravtalen Databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a).
• har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

Hvor Behandlingsansvarlig består av flere selvstendige juridiske enheter evt underenheter, er Behandlingsansvarlig ansvarlig for at det foreligger et internt grunnlag (f.eks internavtale, delegering av ansvaret eller lignende) for å benytte løsningen levert av Databehandler. Dette ansvaret gjelder også i tilfeller hvor det foreligger flere selvstendige hovedavtaler mellom Behandlingsansvarlig og Databehandler innenfor samme organisasjon.

5. Databehandlers plikter
Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige, og bare i den grad det er nødvendig for å oppfylle Brukeravtalen.

Databehandler skal bistå Behandlingsansvarlig med oppfyllelse av kravene i gjeldende personvernsregelverk, herunder GDPR Artikkel 32-36.

Databehandler skal på bakgrunn av den behandling av personopplysninger som gjøres, bistå Behandlingsansvarlig til å oppfylle pliktene som følger av GDPR kapittel III vedrørende rettigheter til de registrerte.

Databehandler skal sørge for at personopplysninger ikke blir offentliggjort til noen tredjepart, med mindre det er pålagt å gjøre det av Behandlingsansvarlig eller som følge av lovkrav.

Databehandler erverver ingen rettigheter i personopplysningene som følge av Brukeravtalen eller denne Databehandleravtalen.

Databehandler skal sikre at personer som får tilgang til personopplysningene har forpliktet seg til konfidensialitet.

6. Bruk av underleverandør
Behandlingsansvarlig samtykker i Databehandlers bruk av underleverandører for å oppfylle Brukeravtalen, herunder de mest sentrale:
• Visolit AS, Norge
• PC Support AS, Norge
• Smtp2go
• Eurobate

7. Sikkerhet
Databehandler skal ved hjelp av planlagte, organisatoriske og tekniske tiltak sikre et sikkerhetsnivå som samsvarer med risikoen knyttet til behandling av personopplysninger.

Databehandlers sikkerhetstiltak skal spesielt forhindre at personopplysningene behandles:
(i) ulovlig eller ved uhell ødelegges, slettes eller endres;
(ii) gjøres tilgjengelig uten tillatelse eller
(iii) på annen måte behandles i strid med gjeldende personvernregelverk.

På forespørsel fra Behandlingsansvarlig skal Databehandler tilgjengeliggjøre nødvendig informasjon for å vise etterlevelse av denne Databehandlingsavtalen.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen, og denne bestemmelsen gjelder også etter avtalens opphør.

8. Brudd på personopplysningssikkerheten
Databehandler skal ha rutiner og systematiske prosesser for å følge opp brudd på personopplysningssikkerheten, som skal inkludere gjenopprettelse av normaltilstanden, eliminere årsaken til bruddet og forhindre gjentagelse.

Etter å ha fått kjennskap til et brudd på personopplysningssikkerheten skal Databehandleren uten ugrunnet opphold underrette den Behandlingsansvarlige.

Ved brudd på personopplysningssikkerheten skal Databehandler, så langt det er nødvendig, bistå Behandlingsansvarlig til å sikre oppfyllelse av kravene til rapportering til tilsynsmyndigheten i GDPR artikkel 33.

9. Varighet og oppsigelse
‍Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig etter Brukeravtalen.

Ved brudd på denne avtalen eller gjeldende personvernsregelverk kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av personopplysningene og ved vesentlig mislighold, si opp avtalen.

Ved opphør av denne avtalen plikter Databehandler å slette eller i samsvar med Brukeravtalen, å tilbakelevere alle personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne avtalen.

Det skal avtales at Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

10. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.