English (US)
Dansk
Norsk
Svenska
Suomi
English (UK)
Deutsch
Español
Français
Nederlands
Virksomhedsoplysninger
- Virksomhed
- Booking Board ApS
- Adresse
- Aabenraavej 44, 6100 Haderslev, Danmark
- CVR-nr.
- CVR: DK43231952
Baggrund for databehandleraftalen
Denne aftale fastsætter de rettigheder og forpligtelser, der gælder, når Booking Board (databehandleren) behandler personoplysninger på vegne af en kunde (den dataansvarlige).
Aftalen er udformet med henblik på at sikre overholdelse af artikel 28, stk. 3, i Databeskyttelsesforordningen (EU) 2016/679, som stiller specifikke krav til indholdet af en databehandleraftale.
Databehandlerens behandling af personoplysninger sker i forbindelse med den dataansvarliges brug af Booking Board-systemet, som beskrevet i Booking Boards forretningsbetingelser.
Databehandleraftalen og Booking Boards forretningsbetingelser er indbyrdes afhængige og kan ikke opsiges særskilt. Databehandleraftalen kan dog erstattes af en anden gyldig databehandleraftale uden at påvirke forretningsbetingelserne. Ved ændring skal Booking Board underrette den dataansvarlige og fremsende den nye aftale.
Denne databehandleraftale har forrang frem for eventuelle lignende bestemmelser i andre aftaler mellem parterne, herunder Booking Boards forretningsbetingelser.
Rettigheder og forpligtelser
Den dataansvarlige er i sidste ende ansvarlig for at sikre, at behandlingen af personoplysninger sker inden for rammerne af Databeskyttelsesforordningen og databeskyttelsesloven.
Databehandleren skal altid uden unødig forsinkelse efterkomme rimelige anmodninger fra den dataansvarlige for at sikre overholdelse af Databeskyttelsesforordningen og databeskyttelsesloven.
Databehandleren handler efter instruks
- Databehandleren må kun behandle personoplysninger i overensstemmelse med dokumenterede instrukser fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller national lovgivning. I sådanne tilfælde skal databehandleren informere den dataansvarlige om dette lovkrav inden behandlingen, medmindre den pågældende lovgivning forbyder en sådan meddelelse af væsentlige samfundsmæssige hensyn.
- Databehandleren skal straks informere den dataansvarlige, hvis en instruks efter databehandlerens opfattelse er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller national lovgivning.
Fortrolighed
Databehandleren sikrer, at kun personer, der har behov for adgang i forbindelse med deres arbejde for Booking Board, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til data skal straks tilbagekaldes, hvis personen ikke længere har behov for adgang eller ikke længere er tilknyttet Booking Board.
Datasikkerhed
Databehandleren skal implementere alle foranstaltninger, der kræves i henhold til artikel 32 i Databeskyttelsesforordningen, og sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger baseret på risikoen for fysiske personers rettigheder og frihedsrettigheder:
- Pseudonymisering og kryptering af personoplysninger
- Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af behandlingssystemer
- Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
- En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden
Anvendelse af underdatabehandlere
Databehandleren skal opfylde betingelserne i artikel 28, stk. 2 og 4, i Databeskyttelsesforordningen for at gøre brug af en anden databehandler (underdatabehandler). Databehandleren må ikke gøre brug af en underdatabehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
Overførsel af oplysninger til tredjelande eller internationale organisationer
Databehandleren må kun behandle personoplysninger i overensstemmelse med dokumenterede instrukser fra den dataansvarlige, herunder ved overførsler til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller national lovgivning.
Bistand til den dataansvarlige
Databehandleren skal bistå den dataansvarlige med at opfylde sine forpligtelser til at besvare anmodninger fra registrerede vedrørende deres rettigheder i henhold til kapitel 3 i Databeskyttelsesforordningen.
Underretning om brud på persondatasikkerheden
Databehandleren skal uden unødig forsinkelse underrette den dataansvarlige, når databehandleren bliver opmærksom på et brud på persondatasikkerheden.
Sletning og returnering af data
Ved ophør af de tjenester, der vedrører behandling, skal databehandleren efter den dataansvarliges valg slette eller tilbagelevere alle personoplysninger til den dataansvarlige og slette eksisterende kopier, medmindre EU-ret eller national lovgivning foreskriver opbevaring af personoplysningerne.
Tilsyn og revision
Databehandleren skal stille alle nødvendige oplysninger til rådighed for at påvise overholdelse af artikel 28 i Databeskyttelsesforordningen og denne aftale samt muliggøre revisioner eller inspektioner udført af den dataansvarlige.
Ikrafttræden og ophør
Denne aftale træder i kraft, når den dataansvarlige begynder at anvende Booking Boards system. Aftalen forbliver i kraft, så længe behandlingen fortsætter, og kan ikke opsiges særskilt fra Booking Boards forretningsbetingelser.
Kontaktperson hos databehandleren
Henvendelser vedrørende personoplysninger kan rettes til følgende kontakt:
- Navn
- Casper S. Paulsen
- Partner/Udvikler
- Telefon
- 60534462
Bilag A: Oplysninger om behandlingen
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:
- At give den dataansvarlige mulighed for at anvende Booking Board-systemet, som ejes og administreres af databehandleren, til at indsamle og behandle oplysninger om den dataansvarliges medlemmer.
Behandlingen omfatter følgende typer personoplysninger om de registrerede:
- Navn, e-mailadresse, telefonnummer, adresse, fødselsdato, medlemskabstype, tilmelding og fremmøde til den dataansvarliges hold.
Behandlingen omfatter følgende kategorier af registrerede:
- Personer, der har oprettet en profil hos den dataansvarlige via Booking Board.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen er ikke tidsbegrænset og varer, indtil aftalen opsiges eller ophæves af en af parterne.
Bilag B: Underdatabehandlere
B.1 Betingelser for brug af underdatabehandlere
Databehandleren har den dataansvarliges generelle godkendelse til at anvende underdatabehandlere. Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, således at den dataansvarlige kan gøre indsigelse.
En sådan meddelelse skal nå den dataansvarlige mindst én måned før ændringen gennemføres. Hvis den dataansvarlige gør indsigelse, skal denne underrette databehandleren inden 14 dage. Den dataansvarlige kan kun gøre indsigelse, hvis der foreligger rimelige, konkrete grunde.
B.2 Godkendte underdatabehandlere
Den dataansvarlige har ved aftalens indgåelse godkendt brugen af følgende underdatabehandlere:
| Navn | Beskrivelse af behandling |
|---|---|
| Twilio | Håndterer afsendelse af SMS-beskeder fra systemet. |
| Mailgun | Håndterer afsendelse af e-mails fra systemet. |
| DigitalOcean | Leverer IT-infrastruktur til drift af systemet. |
| Hetzner | Leverer IT-infrastruktur til drift af systemet. |
| Scaleway | Leverer IT-infrastruktur til drift af systemet. |
| OneSignal | Håndterer afsendelse af push-notifikationer fra systemet. |
| Sentry | Håndterer fejllogning af hændelser i systemet. |
Den dataansvarlige har specifikt godkendt brugen af ovennævnte underdatabehandlere til den nøjagtige behandling, der er beskrevet. Databehandleren må ikke uden den dataansvarliges specifikke og skriftlige godkendelse anvende en underdatabehandler til en anden type behandling eller lade en anden underdatabehandler udføre den beskrevne behandling.
Bilag C: Instruks vedrørende behandlingen
C.1 Behandlingens genstand / Instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker som følger: Administrering af den dataansvarliges kunders data i forbindelse med den dataansvarliges brug af Booking Board til administration af hold, kurser, betalinger m.v.
C.2 Datasikkerhed
Sikkerhedsniveauet skal afspejle, at de behandlede data omfatter grundlæggende personoplysninger om de registrerede samt oplysninger om deres køb og brug af den dataansvarliges produkter, men generelt ikke særlige kategorier af personoplysninger som beskrevet i artikel 9 i Databeskyttelsesforordningen.
Databehandleren er derfor bemyndiget og forpligtet til at beslutte, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er nødvendige for at sikre det påkrævede sikkerhedsniveau for dataene.
C.3 Opbevaringsperiode / Sletterutine
Personoplysninger opbevares af databehandleren, indtil den dataansvarlige anmoder om sletning eller tilbagelevering af dataene.
Derudover anonymiseres medlemskonti, der har været inaktive i mere end 24 måneder, automatisk af systemet, forudsat at de ikke har aktive medlemskaber, udestående betalinger eller anden igångværende aktivitet.
Når en individuel bruger slettes fra systemet, fjernes alle direkte identificerbare oplysninger, herunder navn, adresse, e-mail, fødselsdato og eventuelle beskrivende kommentarer. Hvad der står tilbage, er en anonymiseret bruger, så den dataansvarlige fortsat kan udtrække rapporter.
C.4 Tilsynsprocedurer
Den dataansvarlige bærer eventuelle omkostninger forbundet med fysisk tilsyn. Databehandleren er dog forpligtet til at stille de nødvendige ressourcer til rådighed for, at den dataansvarlige kan udføre tilsyn.