Databehandleraftale

Senest opdateret: 19/4-26

Denne databehandleraftale regulerer Skyttekassens behandling af personoplysninger på vegne af kunden.

1. Parterne

Dataansvarlig:

Den skytteforening eller klub, som indgår aftale om brug af Skyttekassen.

Databehandler:

Torben Kjærulff
E-mail: support@skyttekassen.dk
Telefon: 55227389

2. Formål

Databehandleren stiller Skyttekassen til rådighed og behandler i den forbindelse personoplysninger på vegne af den dataansvarlige med henblik på levering, drift, support og vedligeholdelse af systemet.

3. Instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre behandling er påkrævet efter gældende ret. Brugen af Skyttekassen og den indgåede aftale anses som den primære instruks, suppleret af den dataansvarliges løbende anvisninger.

4. Kategorier af registrerede og oplysninger

Behandlingen kan omfatte følgende kategorier af registrerede:

  • medlemmer
  • kontaktpersoner
  • klubbens administratorer og nøglemedarbejdere
  • andre personer, som kunden registrerer lovligt i systemet

Behandlingen kan omfatte følgende typer oplysninger:

  • navn
  • adresse
  • e-mail
  • telefonnummer
  • medlemsnummer
  • fødselsdato
  • SKV-relaterede udløbsdatoer
  • våbenoplysninger og ejeroplysninger
  • aktivitets-, udlåns- og afleveringslog
  • salgs- og transaktionsoplysninger i det omfang kunden registrerer disse
  • øvrige oplysninger, som kunden selv vælger at registrere inden for systemets rammer

Databehandleren må ikke anvende oplysningerne til egne formål.

5. Varighed

Aftalen gælder, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med levering af Skyttekassen.

6. Fortrolighed

Databehandleren sikrer, at personer med adgang til personoplysninger er underlagt fortrolighed eller passende tavshedspligt.

7. Sikkerhed

Databehandleren gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltninger under hensyntagen til løsningens karakter, risici og den aktuelle tekniske udvikling. Dette omfatter efter omstændighederne blandt andet:

  • rollebaseret adgang
  • adgangsbegrænsning
  • backup
  • brug af flerfaktorgodkendelse på relevante administrative konti
  • begrænsning af adgang til kundedata
  • almindelig sikring af driftssystemer og hostingmiljø

8. Underdatabehandlere

Databehandleren er berettiget til at anvende underdatabehandlere i det omfang, det er nødvendigt for levering af tjenesten. Databehandlerens primære underdatabehandler/platform er:

  • Firebase / Google Cloud, til hosting, database, autentifikation, lagring og backup

Den dataansvarlige giver ved aftalens indgåelse generel godkendelse til anvendelse af sådanne underdatabehandlere. Ved væsentlige ændringer i underdatabehandlere varsles kunden med rimeligt varsel.

9. Overførsel til tredjelande

Databehandleren kan anvende leverandører og infrastrukturer, hvor personoplysninger behandles i eller overføres til lande uden for EU/EØS, herunder USA. Databehandleren skal i sådanne tilfælde søge at sikre et gyldigt overførselsgrundlag efter gældende databeskyttelsesret.

10. Bistand til den dataansvarlige

Databehandleren bistår i rimeligt omfang den dataansvarlige med at:

  • besvare anmodninger fra registrerede
  • håndtere sikkerhedshændelser
  • stille relevante oplysninger til rådighed, når dette er nødvendigt for den dataansvarliges efterlevelse af lovgivningen

Bistanden ydes under hensyntagen til behandlingens karakter, de oplysninger databehandleren råder over, og løsningens tekniske muligheder.

11. Brud på persondatasikkerheden

Hvis databehandleren bliver opmærksom på et brud på persondatasikkerheden vedrørende den dataansvarliges oplysninger, underretter databehandleren den dataansvarlige uden unødig forsinkelse.

12. Tilsyn og dokumentation

Den dataansvarlige kan anmode om rimelig dokumentation for de sikkerhedsforanstaltninger, der er etableret i relation til tjenesten. Eventuelle mere omfattende revisionsønsker eller særlige kontrolforanstaltninger skal aftales særskilt og kan være forbundet med betaling, hvis omfanget går ud over almindelig rimelig dokumentation.

13. Ophør

Ved ophør af hovedaftalen gives den dataansvarlige som udgangspunkt mulighed for at eksportere egne data i op til 30 dage efter ophøret. Herefter slettes eller anonymiseres oplysningerne, medmindre fortsat opbevaring er påkrævet efter lovgivning eller nødvendig af dokumentationshensyn.

14. Kundens ansvar

Den dataansvarlige er ansvarlig for:

  • at have lovligt behandlingsgrundlag for de personoplysninger, der registreres i systemet
  • at give de registrerede korrekt information
  • at sikre korrekt brugeroprettelse og rettighedsstyring i egen organisation
  • at anvende systemet lovligt og sagligt
  • at instruere databehandleren korrekt

15. Forrang

Ved modstrid mellem denne databehandleraftale og hovedaftalen går denne databehandleraftale forud i det omfang, modstriden angår behandling af personoplysninger.