Databehandleraftale
Ikrafttrædelsesdato: 26. februar 2026
Denne databehandleraftale ("DPA") er indgået mellem kunden, der bruger OpenMatchDay-platformen ("Dataansvarlig", "du") og POISE AB, VAT ID SE556773092301 ("Databehandler", "vi", "os"), i henhold til artikel 28 i den generelle forordning om databeskyttelse (EU) 2016/679 ("GDPR").
Denne DPA supplerer Servicevilkårene og gælder automatisk for alle kunder, hvis brug af Tjenesten indebærer behandling af personoplysninger.
1. Definitioner
- Personoplysninger: Enhver oplysning vedrørende en identificeret eller identificerbar fysisk person, som defineret i GDPR artikel 4(1).
- Behandling: Enhver handling udført på personoplysninger, som defineret i GDPR artikel 4(2).
- Dataansvarlig: Kunden (turneringsarrangøren) der bestemmer formålene med og midlerne til behandling af personoplysninger via Tjenesten.
- Databehandler: POISE AB, der behandler personoplysninger på vegne af den Dataansvarlige via OpenMatchDay-platformen.
- Underdatabehandler: En tredjemand engageret af Databehandleren til at behandle personoplysninger på vegne af den Dataansvarlige.
2. Omfang og formål med behandlingen
2.1 Genstand
Databehandleren behandler personoplysninger på vegne af den Dataansvarlige med det formål at levere OpenMatchDay-turneringsplatformen.
2.2 Kategorier af registrerede
- Turneringsadministratorer og personale (kontoindehavere)
- Holdrepræsentanter og kontaktpersoner
- Spillere registreret i turneringer
- Tilskuere der tilgår offentlige turneringssider (kun minimale data)
2.3 Typer af personoplysninger
- Navne (administratorer, spillere)
- E-mailadresser (administratorer)
- Spilleroplysninger (navn, trøjenummer)
- Holdoplysninger (holdnavn, kontaktoplysninger hvis angivet)
- Kamp- og præstationsdata (resultater, hændelser, statistik)
- Brugsdata (IP-adresser, browseroplysninger fra serverlogfiler)
2.4 Varighed
Behandlingen fortsætter i løbet af den Dataansvarliges abonnementsperiode og i den dataopbevaringsperiode, der er angivet i vores Privatlivspolitik.
3. Databehandlerens forpligtelser
3.1 Behandlingsinstrukser
Databehandleren behandler kun personoplysninger på grundlag af dokumenterede instrukser fra den Dataansvarlige, undtagen hvor EU- eller medlemsstatslovgivning kræver det. Den Dataansvarliges instrukser er defineret af de funktioner og den konfiguration af Tjenesten, som den Dataansvarlige anvender.
3.2 Fortrolighed
Databehandleren sikrer, at personer med tilladelse til at behandle personoplysninger har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
3.3 Sikkerhedsforanstaltninger
Databehandleren implementerer passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risikoen, herunder:
- Kryptering under overførsel: Alle data overføres via HTTPS/TLS
- Autentificering: Adgangskoder gemt med bcrypt-hashing; CSRF-tokenbeskyttelse på alle handlinger
- Adgangskontrol: Rollebaserede tilladelser (platformadministrator, turneringsadministrator, dommer, tilskuer)
- Content Security Policy: CSP-headere med nonces for at forhindre injektionsangreb
- Hosting: Data opbevares på EU-baserede servere
- Overvågning: Serveradgangslogfiler opbevares i 90 dage til sikkerhedsgennemgang
- Opdateringer: Regelmæssige sikkerhedsrettelser og platformopdateringer
3.4 Underdatabehandlere
Den Dataansvarlige giver generel godkendelse til, at Databehandleren kan engagere underdatabehandlere. Den aktuelle liste over underdatabehandlere er:
| Underdatabehandler | Formål | Placering |
|---|---|---|
| EU-hostingudbyder | Serverinfrastruktur og dataopbevaring | EU |
| Lettermint | Transaktionel e-maillevering | EU |
Databehandleren skal informere den Dataansvarlige om eventuelle planlagte ændringer i listen over underdatabehandlere mindst 30 dage i forvejen. Den Dataansvarlige kan gøre indsigelse mod en ny underdatabehandler inden for denne periode. Hvis indsigelsen ikke kan løses, kan den Dataansvarlige opsige aftalen.
3.5 Den registreredes rettigheder
Databehandleren bistår den Dataansvarlige med at besvare anmodninger fra registrerede, der udøver deres rettigheder i henhold til GDPR (indsigt, berigtigelse, sletning, portabilitet, begrænsning, indsigelse). Databehandleren stiller værktøjer til rådighed i platformen, så den Dataansvarlige kan administrere spiller- og holddata direkte.
3.6 Brudmeddelelse
I tilfælde af brud på persondatasikkerheden underretter Databehandleren den Dataansvarlige uden unødig forsinkelse og senest 72 timer efter at være blevet bekendt med bruddet. Underretningen skal indeholde:
- En beskrivelse af bruddets art
- Kategorierne og det omtrentlige antal berørte registrerede
- De sandsynlige konsekvenser af bruddet
- De foranstaltninger, der er truffet eller foreslået for at afbøde bruddet
3.7 Konsekvensanalyse vedrørende databeskyttelse
Databehandleren bistår den Dataansvarlige med konsekvensanalyser vedrørende databeskyttelse og forhåndshøringer hos tilsynsmyndigheder, hvor det er påkrævet i henhold til GDPR artikel 35 og 36.
4. Den Dataansvarliges forpligtelser
Den Dataansvarlige er ansvarlig for:
- At sikre et lovligt grundlag for behandling af personoplysninger, der indtastes i Tjenesten
- At indhente passende samtykke fra registrerede (såsom spillere), hvor det er påkrævet
- At give privatlivsoplysninger til registrerede om brugen af deres data i turneringen
- At fastlægge opbevaringsperioden for turneringsdata inden for Tjenestens muligheder
5. Sletning og tilbagelevering af data
5.1 Under abonnement
Den Dataansvarlige kan til enhver tid slette turneringsdata, hold og spillere via platformens administrationsværktøjer.
5.2 Ved opsigelse
Ved opsigelse af abonnementet kan den Dataansvarlige anmode om dataeksport inden for 30 dage. Efter denne periode sletter Databehandleren alle personoplysninger behandlet på vegne af den Dataansvarlige, medmindre opbevaring er påkrævet i henhold til EU- eller medlemsstatslovgivning.
5.3 Automatisk oprydning
Afsluttede turneringer slettes automatisk 60 dage efter afslutning. Kladdeturneringer, der ikke aktiveres, slettes efter 24 timer. Disse opbevaringsperioder gælder, medmindre den Dataansvarlige sletter dataene før.
6. Revisioner
Databehandleren stiller al nødvendig information til rådighed for den Dataansvarlige for at påvise overholdelse af forpligtelserne i GDPR artikel 28. Dette omfatter:
- Årlig overensstemmelsesdokumentation tilgængelig efter skriftlig anmodning
- Samarbejde med revisioner udført af den Dataansvarlige eller en uafhængig revisor bemyndiget af den Dataansvarlige, med forbehold for rimeligt varsel og omfangsbegrænsninger
Revisioner skal gennemføres i normal åbningstid og må ikke urimødigt forstyrre Databehandlerens drift.
7. Internationale overførsler
Databehandleren opbevarer og behandler alle personoplysninger inden for EU. Hvis en underdatabehandler behandler data uden for EU/EØS, sikrer Databehandleren, at passende garantier er på plads (såsom standardkontraktbestemmelser) i overensstemmelse med GDPR kapitel V.
8. Ansvar
Hver parts ansvar i henhold til denne DPA er underlagt de begrænsninger, der er fastsat i Servicevilkårene.
9. Løbetid og opsigelse
Denne DPA træder i kraft, når den Dataansvarlige begynder at bruge Tjenesten, og forbliver gældende, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige. DPA'en ophører automatisk, når alle personoplysninger er slettet eller tilbageleveret i overensstemmelse med afsnit 5.
10. Kontakt
For spørgsmål om denne databehandleraftale, kontakt:
POISE AB
E-mail: hello@openmatchday.com
VAT ID: SE556773092301