Personuppgiftsbirädesavtal
Giltighetsdatum: 26 februari 2026
Detta personuppgiftsbirädesavtal ("PBA") ingås mellan kunden som använder OpenMatchDay-plattformen ("Personuppgiftsansvarig", "du") och POISE AB, VAT ID SE556773092301 ("Personuppgiftsbiräde", "vi", "oss"), i enlighet med artikel 28 i den allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR").
Detta PBA kompletterar Användarvillkoren och gäller automatiskt för alla kunder vars användning av Tjänsten innebär behandling av personuppgifter.
1. Definitioner
- Personuppgifter: All information som avser en identifierad eller identifierbar fysisk person, enligt definitionen i GDPR artikel 4(1).
- Behandling: Varje åtgärd som vidtas med personuppgifter, enligt definitionen i GDPR artikel 4(2).
- Personuppgiftsansvarig: Kunden (turneringsarrangören) som bestämmer ändamålen och medlen för behandling av personuppgifter genom Tjänsten.
- Personuppgiftsbiräde: POISE AB, som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige genom OpenMatchDay-plattformen.
- Underbiräde: En tredje part som anlitas av Personuppgiftsbirädet för att behandla personuppgifter på uppdrag av den Personuppgiftsansvarige.
2. Omfattning och syfte med behandlingen
2.1 Föremål
Personuppgiftsbirädet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige i syfte att tillhandahålla turneringshanteringsplattformen OpenMatchDay.
2.2 Kategorier av registrerade
- Turneringsadministratörer och personal (kontoinnehavare)
- Lagrepresentanter och kontaktpersoner
- Spelare registrerade i turneringar
- Åskådare som besöker publika turneringssidor (minimal data)
2.3 Typer av personuppgifter
- Namn (administratörer, spelare)
- E-postadresser (administratörer)
- Spelarinformation (namn, tröjnummer)
- Laginformation (lagnamn, kontaktuppgifter om sådana anges)
- Match- och prestationsdata (resultat, händelser, statistik)
- Användningsdata (IP-adresser, webläsarinformation från serverloggar)
2.4 Varaktighet
Behandlingen fortsätter under den Personuppgiftsansvariges prenumerationsperiod och under den datalagringsperiod som anges i vår Integritetspolicy.
3. Personuppgiftsbirädets skyldigheter
3.1 Behandlingsinstruktioner
Personuppgiftsbirädet ska behandla personuppgifter enbart enligt dokumenterade instruktioner från den Personuppgiftsansvarige, utom när det krävs enligt EU:s eller medlemsstaternas lagstiftning. Den Personuppgiftsansvariges instruktioner definieras av Tjänstens funktioner och konfiguration som används av den Personuppgiftsansvarige.
3.2 Sekretess
Personuppgiftsbirädet säkerställer att personer som är behöriga att behandla personuppgifter har åtagit sig sekretess eller omfattas av en lämplig lagstadgad sekretessplikt.
3.3 Säkerhetsåtgärder
Personuppgiftsbirädet vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inklusive:
- Kryptering under överföring: All data överförs via HTTPS/TLS
- Autentisering: Lösenord lagras med bcrypt-hashning; CSRF-tokenskydd på alla operationer
- Åtkomstkontroll: Rollbaserade behörigheter (plattformsadministratör, turneringsadministratör, domare, visare)
- Content Security Policy: CSP-huvuden med nonces för att förhindra injektionsattacker
- Hosting: Data lagras på EU-baserade servrar
- Övervakning: Serveråtkomstloggar lagras i 90 dagar för säkerhetsgranskning
- Uppdateringar: Regelbundna säkerhetsuppdateringar och plattformsuppdateringar
3.4 Underbiräden
Den Personuppgiftsansvarige ger allmänt tillstånd för Personuppgiftsbirädet att anlita underbiräden. Den aktuella listan över underbiräden är:
| Underbiräde | Syfte | Plats |
|---|---|---|
| EU-hostingleverantör | Serverinfrastruktur och datalagring | Europeiska unionen |
| Lettermint | Transaktionell e-postleverans | Europeiska unionen |
Personuppgiftsbirädet ska informera den Personuppgiftsansvarige om planerade ändringar i listan över underbiräden minst 30 dagar i förväg. Den Personuppgiftsansvarige kan invända mot ett nytt underbiräde inom denna period. Om invändningen inte kan lösas kan den Personuppgiftsansvarige säga upp avtalet.
3.5 Registrerades rättigheter
Personuppgiftsbirädet ska bistå den Personuppgiftsansvarige med att besvara förfrågningar från registrerade som utövar sina rättigheter enligt GDPR (tillgång, rättelse, radering, portabilitet, begränsning, invändning). Personuppgiftsbirädet tillhandahåller verktyg i plattformen för den Personuppgiftsansvarige att hantera spelar- och lagdata direkt.
3.6 Incidentrapportering
Vid en personuppgiftsincident ska Personuppgiftsbirädet meddela den Personuppgiftsansvarige utan onödigt dröjsmål och senast 72 timmar efter att ha fått kännedom om incidenten. Meddelandet ska innehålla:
- En beskrivning av incidentens karaktär
- De kategorier och ungefärligt antal registrerade som berörs
- De sannolika konsekvenserna av incidenten
- De åtgärder som vidtagits eller föreslagits för att hantera incidenten
3.7 Konsekvenbedömningar avseende dataskydd
Personuppgiftsbirädet ska bistå den Personuppgiftsansvarige med konsekvenbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheter, där så krävs enligt GDPR artiklarna 35 och 36.
4. Den Personuppgiftsansvariges skyldigheter
Den Personuppgiftsansvarige ansvarar för:
- Att säkerställa en laglig grund för behandling av personuppgifter som registreras i Tjänsten
- Att inhämta lämpligt samtycke från registrerade (t.ex. spelare) där så krävs
- Att tillhandahålla integritetsinformation till registrerade om användningen av deras uppgifter i turneringen
- Att fastställa lagringstiden för turneringsdata inom Tjänstens möjligheter
5. Radering och återlämnande av data
5.1 Under prenumerationen
Den Personuppgiftsansvarige kan radera turneringsdata, lag och spelare när som helst genom plattformens administrationsverktyg.
5.2 Vid uppsägning
Vid uppsägning av prenumerationen kan den Personuppgiftsansvarige begära en dataexport inom 30 dagar. Efter denna period ska Personuppgiftsbirädet radera alla personuppgifter som behandlats på uppdrag av den Personuppgiftsansvarige, om inte lagring krävs enligt EU:s eller medlemsstaternas lagstiftning.
5.3 Automatisk rensning
Avslutade turneringar raderas automatiskt 60 dagar efter avslut. Utkastturneringar som inte aktiveras raderas efter 24 timmar. Dessa lagringsperioder gäller såvida den Personuppgiftsansvarige inte raderar datan tidigare.
6. Revisioner
Personuppgiftsbirädet ska göra all information tillgänglig för den Personuppgiftsansvarige som är nödvändig för att visa efterlevnad av skyldigheterna i GDPR artikel 28. Detta inkluderar:
- Årlig efterlevnadsdokumentation tillgänglig på skriftlig begäran
- Samarbete vid revisioner utförda av den Personuppgiftsansvarige eller en oberoende revisor på den Personuppgiftsansvariges uppdrag, med förbehåll för rimligt varsel och avgränsning
Revisioner ska genomföras under normal kontorstid och får inte orimligt störa Personuppgiftsbirädets verksamhet.
7. Internationella överföringar
Personuppgiftsbirädet lagrar och behandlar alla personuppgifter inom Europeiska unionen. Om något underbiräde behandlar data utanför EU/EES ska Personuppgiftsbirädet säkerställa att lämpliga skyddsåtgärder finns på plats (såsom standardavtalsklausuler) i enlighet med GDPR kapitel V.
8. Ansvar
Vardera partens ansvar enligt detta PBA är föremål för de begränsningar som anges i Användarvillkoren.
9. Avtalstid och uppsägning
Detta PBA träder i kraft när den Personuppgiftsansvarige börjar använda Tjänsten och gäller så länge Personuppgiftsbirädet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige. PBA:t upphör automatiskt när alla personuppgifter har raderats eller återlämnats i enlighet med avsnitt 5.
10. Kontakt
För frågor om detta personuppgiftsbirädesavtal, kontakta:
POISE AB
E-post: hello@openmatchday.com
VAT ID: SE556773092301