Databehandleravtale
Consio Idrett

Versjon 03.09.2020

Denne Databehandleravtalen er inngått mellom Bruker/Organisasjonsom benytter Consio Idrett, heretter kalt Behandlingsansvarlig, og Team DataSystem AS (Team Data) med org. nr. NO 975 950 476 MVA heretter kaltDatabehandler, og gjelder for behandling av personopplysninger som følge avBrukeravtalen for Consio Idrett.Databehandleravtalen utgjør en del av og regulerer behandling avpersonopplysninger i tilknytning til den generelle Brukeravtalen mellompartene.

1.    Avtalens bakgrunn og hensikt Databehandlerhar inngått databehandleravtale med Norges Idrettsforbund (NIF) som et ledd i åbistå NIF og NIFs organisasjonsledd med tilgang til Idrettens digitaleøkosystem og integrasjon mot Idrettens sentrale database gjennom en Hovedavtale.Hovedavtalen innebærer at NIF er behandlingsansvarlig for behandling avpersonopplysninger etter Hovedavtalen, og Team Data er databehandler. Organisasjonog NIF er felles behandlingsansvarlig for personopplysningene som behandles ihenhold til Hovedavtalen.Personopplysningene som omfattes av databehandleravtalen mellomTeam Data og NIF omfattes ikke av denne Databehandleravtalen. Behandlingsansvarlig har inngått en avtale (heretter kalt Brukeravtale)med Databehandler som innebærer behandling av personopplysninger på vegne avBehandlingsansvarlig. Databehandleravtalens hensikt er å regulere rettigheter og pliktersom følger av Personopplysningsloven og Personvernforordningen, General DataProtection Regulation (GDPR). Avtalen skal sikre at personopplysninger om de registrerte ikkebrukes urettmessig eller kommer uberettigede i hende.Avtalen regulerer Databehandlers bruk av personopplysninger påvegne av den Behandlingsansvarlige, herunder innsamling, registrering,sammenstilling, lagring, utlevering eller kombinasjoner av disse.

2.    GenereltVedå akseptere Brukeravtalen elektronisk og bekrefte e-postadressen aksepteresogså denne Databehandleravtalen. Det kan gjøres endringer tilDatabehandleravtalen. Endringer i gjeldende Databehandleravtale som vil fåstørre konsekvenser for deg som behandlingsansvarlig vil bli kunngjort påe-post. Den til enhver tid gjeldende versjonen av Databehandleravtalen kanleses på www.consio.no.

3.    Formål,behandlingens art og typer opplysninger som behandles Databehandler leverer nettbaserte tjenester der brukere kanregistrere personopplysninger. Hvilke opplysninger som registreres i tjenesteneer overlatt til Behandlingsansvarlig i den grad det er tilrettelagt for åregistrere opplysningene i tjenesten. Noen felt er påkrevd for å benytte tjenesten.Formålet med behandlingen er å kunne tilby NIF og NIFsorganisasjonsledd tjenester knyttet til ekstern medlemsadministrasjon og driftav idrettslaget i henhold til Hovedavtalen inngått mellom Team Data og NIF,samt Brukeravtalen.Behandlingen vil omfatte opplysninger om idrettslagets medlemmer,tillitsvalgte, frivillige og ansatte i idrettens medlems- ogorganisasjonsregister, slik dette til enhver tid følger av NIFs regelverk,herunder interne Forskrift om idrettens medlems- og organisasjonsregister ogutfyllende bestemmelser til denne. Medlemskap og informasjon om betalingstransaksjoner knyttet tilmedlemskontingenter og trening-/aktivitetsavgifter vil bli oppdatert via APItil idrettens sentrale database, og omfatter minimum følgende medlemsinformasjon:•          Person ID•          Fornavn•          Etternavn•          Fødselsdato•          Kjønn•          Mobil •          Epost •          AdresseDatabehandler skal bare behandle personopplysninger for deformålene som er angitt med mindre annet er skriftlig instruert avBehandlingsansvarlig.Ved motstrid mellom denne Databehandleravtalen og Brukeravtalenskal denne Databehandleravtalen legges til grunn. Avtalen erstatter i sin helhet eventuelle tidligeredatabehandleravtaler mellom Databehandler og Behandlingsansvarlig.

4.    Behandlingsansvarligesplikter Behandlingsansvarliger ansvarlig for at det foreligger et juridisk grunnlag for behandlingen avpersonopplysninger som utføres av Databehandleren i henhold til Brukeravtalenog i henhold til denne Databehandlingsavtalen.Den behandlingsansvarlige ·     er ansvarlig for at personopplysninger blir behandlet i samsvarmed personvernforordningen og personopplysningsloven (jf. artikkel 24).·     har både en rett og en forpliktelse til å bestemme hvilke formål,og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).·     gir gjennom denne avtalen og Brukeravtalen Databehandlerdokumenterte instrukser for hvordan personopplysninger skal behandles (jf.artikkel 28 nr. 3 bokstav a).·     har rett til å si opp avtalen dersom databehandleren ikke lengeroppfyller lovens krav etter artikkel 28 nr. 1. HvorBehandlingsansvarlig består av flere selvstendige juridiske enheter evt underenheter,er Behandlingsansvarlig ansvarlig for at det foreligger et internt grunnlag(f.eks internavtale, delegering av ansvaret eller lignende) for å benytteløsningen levert av Databehandler. Dette ansvaret gjelder også i tilfeller hvordet foreligger flere selvstendige hovedavtaler mellom Behandlingsansvarlig ogDatabehandler innenfor samme organisasjon.

5.    DatabehandlersplikterDatabehandleren skal bare behandle personopplysningene basert på dokumenterteinstrukser fra den Behandlingsansvarlige, og bare i den grad det er nødvendigfor å oppfylle Brukeravtalen. Databehandler skal bistå Behandlingsansvarlig med oppfyllelse avkravene i gjeldende personvernsregelverk, herunder GDPR Artikkel 32-36.Databehandler skal på bakgrunn av den behandling avpersonopplysninger som gjøres, bistå Behandlingsansvarlig til å oppfylle pliktenesom følger av GDPR kapittel III vedrørende rettigheter til de registrerte. Databehandler skal sørge for at personopplysninger ikke bliroffentliggjort til noen tredjepart, med mindre det er pålagt å gjøre det avBehandlingsansvarlig eller som følge av lovkrav.Databehandler erverver ingen rettigheter i personopplysningene somfølge av Brukeravtalen eller denne Databehandleravtalen.Databehandler skal sikre at personer som får tilgang til personopplysningenehar forpliktet seg til konfidensialitet.

6.    Bruk avunderleverandørBehandlingsansvarlig samtykker i Databehandlers bruk avunderleverandører for å oppfylle Brukeravtalen, herunder de mest sentrale:·      Visolit AS, Norge·      PC Support AS, Norge·      Invite AS, Norge·      Smtp2go·      Eurobate

7.    SikkerhetDatabehandler skal ved hjelp av planlagte, organisatoriske ogtekniske tiltak sikre et sikkerhetsnivå som samsvarer med risikoen knyttet tilbehandling av personopplysninger.Databehandlers sikkerhetstiltak skal spesielt forhindre atpersonopplysningene behandles:(i)          ulovlig eller ved uhell ødelegges, slettes eller endres;(ii)         gjøres tilgjengelig uten tillatelse eller(iii)       på annen måte behandles i strid med gjeldende personvernregelverk.På forespørsel fra Behandlingsansvarlig skal Databehandlertilgjengeliggjøre nødvendig informasjon for å vise etterlevelse av denneDatabehandlingsavtalen.Databehandler har taushetsplikt om dokumentasjon ogpersonopplysninger som vedkommende får tilgang til i henhold til denne avtalen,og denne bestemmelsen gjelder også etter avtalens opphør.

8.    Brudd påpersonopplysningssikkerhetenDatabehandler skal ha rutiner og systematiske prosesser for åfølge opp brudd på personopplysningssikkerheten, som skal inkluderegjenopprettelse av normaltilstanden, eliminere årsaken til bruddet og forhindregjentagelse.Etter å ha fått kjennskap til et brudd påpersonopplysningssikkerheten skal Databehandleren uten ugrunnet oppholdunderrette den Behandlingsansvarlige.Ved brudd på personopplysningssikkerheten skal Databehandler, sålangt det er nødvendig, bistå Behandlingsansvarlig til å sikre oppfyllelse avkravene til rapportering til tilsynsmyndigheten i GDPR artikkel 33.

9.    Varighet ogoppsigelseAvtalen gjelder så lenge Databehandler behandlerpersonopplysninger på vegne av Behandlingsansvarlig etter Brukeravtalen.Ved brudd på denne avtalen eller gjeldende personvernsregelverkkan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingenav personopplysningene og ved vesentlig mislighold, si opp avtalen.Ved opphør av denne avtalen plikter Databehandler å slette eller isamsvar med Brukeravtalen, å tilbakelevere alle personopplysninger som ermottatt på vegne av den Behandlingsansvarlige og som omfattes av denne avtalen.Det skal avtales at Databehandler skal slette eller forsvarligdestruere alle dokumenter, data, disketter, cd-er mv, som inneholderopplysninger som omfattes av avtalen. Databehandler skal skriftlig dokumentere at sletting og ellerdestruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalensopphør.

10.        Lovvalg og vernetingAvtalener underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dettegjelder også etter opphør av avtalen.