Databehandleravtale
Ikrafttredelsesdato: 26. februar 2026
Denne databehandleravtalen («DBA») er inngått mellom kunden som bruker OpenMatchDay-plattformen («Behandlingsansvarlig», «du») og POISE AB, Org.nr SE556773092301 («Databehandler», «vi», «oss»), i henhold til artikkel 28 i den generelle personvernforordningen (EU) 2016/679 («GDPR»).
Denne DBA-en supplerer Tjenestevilkårene og gjelder automatisk for alle kunder der bruken av Tjenesten innebærer behandling av personopplysninger.
1. Definisjoner
- Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person, som definert i GDPR artikkel 4(1).
- Behandling: Enhver operasjon utført på personopplysninger, som definert i GDPR artikkel 4(2).
- Behandlingsansvarlig: Kunden (turneringsarrangøren) som bestemmer formålene og midlene for behandling av personopplysninger gjennom Tjenesten.
- Databehandler: POISE AB, som behandler personopplysninger på vegne av den Behandlingsansvarlige gjennom OpenMatchDay-plattformen.
- Underleverandør: En tredjepart engasjert av Databehandleren for å behandle personopplysninger på vegne av den Behandlingsansvarlige.
2. Omfang og formål med behandlingen
2.1 Gjenstand
Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige for å levere OpenMatchDay turneringshåndteringsplattformen.
2.2 Kategorier av registrerte
- Turneringsadministratorer og personale (kontoinnehavere)
- Lagrepresentanter og kontaktpersoner
- Spillere registrert i turneringer
- Tilskuere som besøker offentlige turneringssider (minimale data)
2.3 Typer personopplysninger
- Navn (administratorer, spillere)
- E-postadresser (administratorer)
- Spillerinformasjon (navn, draktnummer)
- Laginformasjon (lagnavn, kontaktdetaljer hvis oppgitt)
- Kamp- og prestasjonsdata (resultater, hendelser, statistikk)
- Bruksdata (IP-adresser, nettleserinformasjon fra serverlogger)
2.4 Varighet
Behandlingen fortsetter i varigheten av den Behandlingsansvarliges abonnement og i dataoppbevaringsperioden angitt i vår Personvernerklæring.
3. Databehandlerens forpliktelser
3.1 Behandlingsinstrukser
Databehandleren skal kun behandle personopplysninger basert på dokumenterte instrukser fra den Behandlingsansvarlige, med mindre EU-rett eller medlemsstatsrett krever annet. Den Behandlingsansvarliges instrukser defineres av funksjonene og konfigurasjonen av Tjenesten slik den brukes av den Behandlingsansvarlige.
3.2 Konfidensialitet
Databehandleren sikrer at personer som er autorisert til å behandle personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en passende lovfestet taushetsplikt.
3.3 Sikkerhetstiltak
Databehandleren implementerer passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende i forhold til risikoen, inkludert:
- Kryptering under overføring: Alle data overføres via HTTPS/TLS
- Autentisering: Passord lagres med bcrypt-hashing; CSRF-tokenbeskyttelse på alle operasjoner
- Tilgangskontroll: Rollebaserte tillatelser (plattformadministrator, turneringsadministrator, dommer, leser)
- Content Security Policy: CSP-headere med nonces for å forhindre injeksjonsangrep
- Hosting: Data lagres på EU-baserte servere
- Overvåking: Servertilgangslogger beholdes i 90 dager for sikkerhetsgjennomgang
- Oppdateringer: Regelmessige sikkerhetsoppdateringer og plattformoppdateringer
3.4 Underleverandører
Den Behandlingsansvarlige gir generell autorisasjon for Databehandleren til å engasjere underleverandører. Gjeldende liste over underleverandører er:
| Underleverandør | Formål | Lokasjon |
|---|---|---|
| EU-hostingleverandør | Serverinfrastruktur og datalagring | Den europeiske union |
| Lettermint | Transaksjonell e-postlevering | Den europeiske union |
Databehandleren skal informere den Behandlingsansvarlige om eventuelle planlagte endringer i underleverandørlisten minst 30 dager i forveien. Den Behandlingsansvarlige kan protestere mot en ny underleverandør innen denne perioden. Hvis innsigelsen ikke kan løses, kan den Behandlingsansvarlige si opp avtalen.
3.5 Registrertes rettigheter
Databehandleren skal bistå den Behandlingsansvarlige med å besvare forespørsler fra registrerte som utøver sine rettigheter etter GDPR (innsyn, retting, sletting, dataportabilitet, begrensning, innsigelse). Databehandleren tilbyr verktøy i plattformen for at den Behandlingsansvarlige kan administrere spiller- og lagdata direkte.
3.6 Varsling om brudd
I tilfelle brudd på personopplysningssikkerheten skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold og senest 72 timer etter at bruddet ble oppdaget. Varslingen skal inneholde:
- En beskrivelse av bruddets art
- Kategoriene og det omtrentlige antallet registrerte som er berørt
- De sannsynlige konsekvensene av bruddet
- De tiltakene som er truffet eller foreslått for å håndtere bruddet
3.7 Personvernkonsekvensvurderinger
Databehandleren skal bistå den Behandlingsansvarlige med personvernkonsekvensvurderinger og forhåndsdrøftinger med tilsynsmyndigheter, der dette kreves etter GDPR artikkel 35 og 36.
4. Den Behandlingsansvarliges forpliktelser
Den Behandlingsansvarlige er ansvarlig for:
- Å sikre et lovlig grunnlag for behandling av personopplysninger som legges inn i Tjenesten
- Å innhente passende samtykke fra registrerte (som spillere) der dette kreves
- Å gi personverninformasjon til registrerte om bruken av deres data i turneringen
- Å bestemme oppbevaringsperioden for turneringsdata innenfor Tjenestens muligheter
5. Sletting og retur av data
5.1 Under abonnementet
Den Behandlingsansvarlige kan slette turneringsdata, lag og spillere når som helst gjennom plattformens administrative verktøy.
5.2 Ved oppsigelse
Ved oppsigelse av abonnementet kan den Behandlingsansvarlige be om dataeksport innen 30 dager. Etter denne perioden skal Databehandleren slette alle personopplysninger behandlet på vegne av den Behandlingsansvarlige, med mindre oppbevaring er påkrevd av EU-rett eller medlemsstatsrett.
5.3 Automatisk opprydding
Fullførte turneringer slettes automatisk 60 dager etter fullføring. Utkastturneringer som ikke aktiveres slettes etter 24 timer. Disse oppbevaringsperiodene gjelder med mindre den Behandlingsansvarlige sletter dataene tidligere.
6. Revisjoner
Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise samsvar med forpliktelsene fastsatt i GDPR artikkel 28. Dette inkluderer:
- Årlig samsvarsdokumentasjon tilgjengelig på skriftlig forespørsel
- Samarbeid med revisjoner utført av den Behandlingsansvarlige eller en uavhengig revisor utpekt av den Behandlingsansvarlige, med forbehold om rimelig varsel og omfangsbegrensninger
Revisjoner skal gjennomføres i normal arbeidstid og skal ikke urimelig forstyrre Databehandlerens drift.
7. Internasjonale overføringer
Databehandleren lagrer og behandler alle personopplysninger innenfor Den europeiske union. Dersom noen underleverandør behandler data utenfor EU/EØS, skal Databehandleren sikre at passende garantier er på plass (som standardkontraktsklausuler) i samsvar med GDPR kapittel V.
8. Ansvar
Hver parts ansvar under denne DBA-en er underlagt begrensningene fastsatt i Tjenestevilkårene.
9. Varighet og oppsigelse
Denne DBA-en trer i kraft når den Behandlingsansvarlige begynner å bruke Tjenesten og forblir gjeldende så lenge Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige. DBA-en opphører automatisk når alle personopplysninger er slettet eller returnert i samsvar med punkt 5.
10. Kontakt
For spørsmål om denne databehandleravtalen, kontakt:
POISE AB
E-post: hello@openmatchday.com
Org.nr: SE556773092301