Tietojenkäsittelysopimus
Voimaantulopäivä: 26. helmikuuta 2026
Tämä tietojenkäsittelysopimus ("TKS") solmitaan OpenMatchDay-alustaa käyttävän asiakkaan ("rekisterinpitäjä", "sinä") ja POISE AB:n, ALV-tunnus SE556773092301 ("henkilötietojen käsittelijä", "me") välillä yleisen tietosuoja-asetuksen (EU) 2016/679 ("GDPR") artiklan 28 nojalla.
Tämä TKS täydentää käyttöehtoja ja koskee automaattisesti kaikkia asiakkaita, joiden palvelun käyttö sisältää henkilötietojen käsittelyä.
1. Määritelmät
- Henkilötiedot: Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot, kuten GDPR:n artiklan 4 kohdassa 1 määritellään.
- Käsittely: Mikä tahansa henkilötietoihin kohdistuva toiminto, kuten GDPR:n artiklan 4 kohdassa 2 määritellään.
- Rekisterinpitäjä: Asiakas (turnausjärjestäjä), joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot palvelun kautta.
- Henkilötietojen käsittelijä: POISE AB, joka käsittelee henkilötietoja rekisterinpitäjän puolesta OpenMatchDay-alustan kautta.
- Alikäsittelijä: Kolmas osapuoli, jonka henkilötietojen käsittelijä on valtuuttanut käsittelemmään henkilötietoja rekisterinpitäjän puolesta.
2. Käsittelyn laajuus ja tarkoitus
2.1 Käsittelyn kohde
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta OpenMatchDay-turnausten hallinta-alustan tarjoamiseksi.
2.2 Rekisteröityjen ryhmät
- Turnauksen ylläpitäjät ja henkilökunta (tilinomistajat)
- Joukkueiden edustajat ja yhteyshenkilöt
- Turnauksiin rekisteröidyt pelaajat
- Julkisia turnaussivuja käyttävät katsojat (vain vähäisiä tietoja)
2.3 Henkilötietojen tyypit
- Nimet (ylläpitäjät, pelaajat)
- Sähköpostiosoitteet (ylläpitäjät)
- Pelaajatiedot (nimi, pelinnumero)
- Joukkuetiedot (joukkueen nimi, yhteystiedot, jos annettu)
- Ottelu- ja suoritustiedot (tulokset, tapahtumat, tilastot)
- Käyttötiedot (IP-osoitteet, selaimen tiedot palvelinlokeista)
2.4 Kesto
Käsittely jatkuu rekisterinpitäjän tilauksen ajan ja tietosuojakäytännössä määritellyn tietojen säilytysajan.
3. Henkilötietojen käsittelijän velvollisuudet
3.1 Käsittelyohjeet
Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, paitsi jos EU:n tai jäsenvaltion laki sitä edellyttää. Rekisterinpitäjän ohjeet määräytyvät palvelun ominaisuuksien ja rekisterinpitäjän käyttämän määrittelyn mukaan.
3.2 Luottamuksellisuus
Henkilötietojen käsittelijä varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitovelvollisuuteen tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.
3.3 Turvatoimet
Henkilötietojen käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiin nähden riittävän turvallisuustason varmistamiseksi, mukaan lukien:
- Salaus siirrossa: Kaikki tiedot siirretään HTTPS/TLS-protokollalla
- Tunnistautuminen: Salasanat tallennetaan bcrypt-tiivisteellä; CSRF-suojaus kaikissa toiminnoissa
- Pääsynhallinta: Roolipohjaiset oikeudet (alustan ylläpitäjä, turnauksen ylläpitäjä, tuomari, katsoja)
- Content Security Policy: CSP-otsikot nonce-tunnisteilla injektiohyökkäysten estämiseksi
- Palvelinympäristö: Tiedot tallennetaan EU:n palvelimille
- Valvonta: Palvelimen lokitiedostot säilytetään 90 päivää tietoturvatarkastusta varten
- Päivitykset: Säännölliset tietoturvapäivitykset ja alustan päivitykset
3.4 Alikäsittelijät
Rekisterinpitäjä antaa yleisen valtuutuksen henkilötietojen käsittelijälle alikäsittelijöiden käyttöön. Nykyinen alikäsittelijäluettelo:
| Alikäsittelijä | Tarkoitus | Sijainti |
|---|---|---|
| EU-palveluntarjoaja | Palvelininfrastruktuuri ja tietojen tallennus | Euroopan unioni |
| Lettermint | Tapahtumakohtaisten sähköpostien toimitus | Euroopan unioni |
Henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle kaikista alikäsittelijäluettelon muutosaikomuksista vähintään 30 päivää etukäteen. Rekisterinpitäjä voi vastustaa uutta alikäsittelijää tämän ajan kuluessa. Jos erimielisyyttä ei voida ratkaista, rekisterinpitäjä voi irtisanoa sopimuksen.
3.5 Rekisteröidyn oikeudet
Henkilötietojen käsittelijä avustaa rekisterinpitäjää vastaamaan rekisteröityjen GDPR:n mukaisiin pyyntoihin (pääsy, oikaisu, poistaminen, siirrettävyys, rajoittaminen, vastustaminen). Henkilötietojen käsittelijä tarjoaa alustassa työkalut, joilla rekisterinpitäjä voi hallita pelaaja- ja joukkuetietoja suoraan.
3.6 Tietoturvaloukkauksesta ilmoittaminen
Henkilötietojen tietoturvaloukkauksen sattuessa henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta. Ilmoituksen tulee sisältää:
- Kuvaus loukkauksen luonteesta
- Vaikutuksen piirissä olevien rekisteröityjen ryhmät ja likimääräinen lukumäärä
- Loukkauksen todennäköiset seuraukset
- Loukkauksen korjaamiseksi toteutetut tai ehdotetut toimenpiteet
3.7 Tietosuojan vaikutustenarvioinnit
Henkilötietojen käsittelijä avustaa rekisterinpitäjää tietosuojan vaikutustenarvioinneissa ja valvontaviranomaisen ennakkokuulemisissa GDPR:n artiklojen 35 ja 36 edellyttäessä.
4. Rekisterinpitäjän velvollisuudet
Rekisterinpitäjä vastaa:
- Palveluun syötettyjen henkilötietojen käsittelyn lainmukaisuuden varmistamisesta
- Asianmukaisen suostumuksen hankkimisesta rekisteröidyiltä (kuten pelaajilta) tarvittaessa
- Tietosuojainformaation toimittamisesta rekisteröidyille heidän tietojensa käytöstä turnauksessa
- Turnaustietojen säilytysajan määrittämisestä palvelun mahdollisuuksien puitteissa
5. Tietojen poistaminen ja palauttaminen
5.1 Tilauksen aikana
Rekisterinpitäjä voi poistaa turnaustietoja, joukkueita ja pelaajia milloin tahansa alustan hallintatyökalujen kautta.
5.2 Tilauksen päättyessä
Tilauksen päättyessä rekisterinpitäjä voi pyytää tietojen vientiä 30 päivän kuluessa. Tämän jälkeen henkilötietojen käsittelijä poistaa kaikki rekisterinpitäjän puolesta käsitellyt henkilötiedot, ellei EU:n tai jäsenvaltion laki edellyttä säilyttämistä.
5.3 Automaattinen siivous
Päättyneet turnaukset poistetaan automaattisesti 60 päivää päättymisen jälkeen. Luonnosturnaukset, joita ei aktivoida, poistetaan 24 tunnin jälkeen. Nämä säilytysajat pätevät, ellei rekisterinpitäjä poista tietoja aiemmin.
6. Tarkastukset
Henkilötietojen käsittelijä asettaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen GDPR:n artiklan 28 mukaisten velvoitteiden noudattamisen osoittamiseksi. Tämä sisältää:
- Vuosittaisen vaatimustenmukaisuusdokumentaation saatavilla kirjallisesta pyynnöstä
- Yhteistyön rekisterinpitäjän tai rekisterinpitäjän valtuuttaman riippumattoman tarkastajan suorittamissa tarkastuksissa, kohtuullisella ennakkoilmoituksella ja laajuuden rajoituksin
Tarkastukset suoritetaan normaalina työaikana eikä niistä saa aiheutua kohtuutonta haittaa henkilötietojen käsittelijän toiminnalle.
7. Kansainväliset siirrot
Henkilötietojen käsittelijä tallentaa ja käsittelee kaikki henkilötiedot Euroopan unionissa. Jos jokin alikäsittelijä käsittelee tietoja EU:n/ETA:n ulkopuolella, henkilötietojen käsittelijä varmistaa asianmukaiset suojatoimet (kuten vakiosopimuslausekkeet) GDPR:n V luvun mukaisesti.
8. Vastuu
Kummankin osapuolen vastuu tämän TKS:n nojalla on käyttöehdoissa määritettyjen rajoitusten alainen.
9. Voimassaolo ja irtisanominen
Tämä TKS tulee voimaan, kun rekisterinpitäjä aloittaa palvelun käytön, ja pysyy voimassa niin kauan kuin henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta. TKS päättyy automaattisesti, kun kaikki henkilötiedot on poistettu tai palautettu kohdan 5 mukaisesti.
10. Yhteystiedot
Tätä tietojenkäsittelysopimusta koskevissa kysymyksissä ota yhteyttä:
POISE AB
Sähköposti: hello@openmatchday.com
ALV-tunnus: SE556773092301