Databehandleravtale

1Bakgrunn og formål

Denne databehandleravtalen («DPA») er inngått i henhold til personvernforordningen (GDPR) artikkel 28, og regulerer Samspills behandling av personopplysninger på vegne av klubben.

Avtalen supplerer bruksvilkårene mellom partene og gjelder så lenge klubben benytter Samspill-plattformen.

2Behandlingens omfang

Formål med behandlingen

Samspill behandler personopplysninger utelukkende for å levere og drifte plattformens tjenester på vegne av klubben, herunder:

• Administrasjon av klubbmedlemmer, spillere, trenere og frivillige
• Kommunikasjon mellom brukere (meldinger, push-varsler, e-post)
• Koordinering av kamper, treninger og arrangementer
• Dugnadsstyring og vaktfordeling
• Betalingsoversikt og innkreving av treningsavgifter
• B2B-nettverket og sponsoradministrasjon (der aktivert)
• Statistikk og kamprapporter

Instruksgrunnlag

Samspill behandler kun personopplysninger etter dokumentert instruks fra klubben. Denne avtalen, sammen med bruksvilkårene og klubbens konfigurasjon i portalen, utgjør den samlede instruksen.

3Personopplysninger som behandles

Kategorier av registrerte

• Spillere og utøvere (inkl. mindreårige)
• Foresatte og foreldre
• Trenere, lagledere og frivillige
• Styremedlemmer og administrativt ansatte
• Sponsorer og B2B-kontakter

Kategorier av personopplysninger

• Identifikasjonsdata: Navn, e-postadresse, telefonnummer
• Demografiske data: Fødselsdato, alder, kjønn (der oppgitt)
• Klubbdata: Lag, roller, treningshistorikk, kampdata
• Kommunikasjonsdata: Meldinger sendt via plattformen
• Betalingsdata: Betalingsstatus og transaksjonshistorikk (ikke kortdata — håndteres av Stripe)
• Tekniske data: Push-token for varsler, siste innlogging, enhetstype
• Bilder og filer: Profilbilder og opplastede filer der dette er i bruk

Mindreårige

Mange klubbmedlemmer er under 18 år. Klubben er ansvarlig for å ha nødvendig samtykke fra foresatte der dette kreves etter norsk lov og GDPR. Samspill tilbyr funksjonalitet for foresatt-administrasjon for å støtte dette.

4Databehandlerens forpliktelser

Samspill forplikter seg til å:

• Kun behandle personopplysninger etter dokumentert instruks fra klubben
• Sikre at autorisert personell som behandler opplysningene er underlagt konfidensialitetsplikt
• Treffe alle påkrevde sikkerhetstiltak etter GDPR artikkel 32
• Bistå klubben med å oppfylle de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet)
• Varsle klubben uten ugrunnet opphold ved brudd på personopplysningssikkerheten
• Slette eller tilbakelevere alle personopplysninger etter avtaleperiodens slutt
• Gjøre all nødvendig informasjon tilgjengelig slik at klubben kan dokumentere etterlevelse
• Ikke engasjere nye underdatabehandlere uten forhåndsgodkjenning fra klubben

Ansattes konfidensialitet

Alle ansatte og konsulenter hos Samspill med tilgang til personopplysninger er bundet av konfidensialitetsplikt, enten gjennom ansettelsesavtale eller separat taushetserklæring.

5Tekniske og organisatoriske sikkerhetstiltak

Samspill har implementert følgende tiltak i henhold til GDPR artikkel 32:

Tekniske tiltak

• Kryptering i transit: All kommunikasjon skjer over TLS 1.2+
• Kryptering i hvile: Firebase Firestore og Storage krypterer data på serverside (AES-256)
• Autentisering: Firebase Authentication med e-post/passord; passord lagres aldri i klartekst
• Tilgangskontroll: Firestore Security Rules begrenser tilgang per klubb og brukerrolle
• Isolasjon mellom klubber: Data er logisk separert per klubbID — ingen klubb kan lese en annen klubbs data
• Push-tokens: Lagres kryptert og brukes kun til varsler til rettmessig eier

Organisatoriske tiltak

• Prinsippet om minste privilegium: tilgang gis kun der nødvendig
• Regelmessig gjennomgang av tilganger
• Rutiner for hendelseshåndtering og avvikslogging
• Utviklingspraksis: ingen produksjonsdata brukes i testing

6Underdatabehandlere

Samspill benytter følgende underdatabehandlere. Klubben gir ved aksept av denne avtalen en generell forhåndsgodkjenning for disse. Ved endringer varsles klubben med minst 30 dagers frist, slik at klubben kan motsette seg endringen.

Alle underdatabehandlere er pålagt tilsvarende personvernforpliktelser som fremgår av denne avtalen, enten gjennom standardkontraktsvilkår (SCC) eller egne DPA-er.

7Bistand til klubben

De registrertes rettigheter

Samspill bistår klubben med å oppfylle henvendelser fra registrerte om:

• Innsyn (art. 15): Eksport av brukerens data kan gjøres via admin-panelet
• Retting (art. 16): Klubbadmin kan redigere brukerdata direkte i portalen
• Sletting (art. 17): Bruker kan slettes fra admin-panelet; data fjernes fra Firestore innen 30 dager
• Dataportabilitet (art. 20): Brukerdata kan eksporteres som JSON eller CSV fra portalen
• Begrensning (art. 18): Konto kan settes inaktiv uten fullstendig sletting

Henvendelser som ikke kan løses via portalen rettes til hei@samspillklubb.no og besvares innen 72 timer.

Konsekvensutredning (DPIA)

Dersom klubbens behandling krever en personvernkonsekvensvurdering (DPIA) etter GDPR artikkel 35, stiller Samspill relevant teknisk dokumentasjon til rådighet.

8Avvik og brudd på personopplysningssikkerheten

Samspill har etablerte rutiner for håndtering av sikkerhetsavvik:

• Avvik logges og vurderes etter alvorlighetsgrad umiddelbart ved oppdagelse
• Klubben varsles uten ugrunnet opphold, og senest innen 36 timer etter at et brudd er bekreftet
• Varselet inneholder: type brudd, berørte data, berørte registrerte (estimat), sannsynlige konsekvenser og tiltak iverksatt
• Samspill bistår klubben med den videre rapporteringen til Datatilsynet dersom dette er nødvendig

9Sletting og retur av data

Ved opphør av avtalen

Når klubbens abonnement avsluttes eller avtalen på annen måte opphører, skal Samspill:

1. Gi klubben tilgang til dataeksport i 30 dager etter opphørstidspunktet
2. Deretter slette alle klubbens personopplysninger fra aktive systemer innen 60 dager
3. Slette data fra sikkerhetskopier innen 90 dager
4. På forespørsel skriftlig bekrefte at sletting er gjennomført

Løpende sletting

Brukere som slettes av klubbadmin fjernes fra aktive databaser umiddelbart. Logger og sikkerhetskopier renses i henhold til standard sletterutiner (innen 90 dager).

10Revisjon og etterlevelse

Klubben har rett til å kontrollere at Samspill etterlever denne avtalen. Samspill vil:

• På forespørsel stille relevant dokumentasjon til rådighet (sikkerhetstiltak, rutiner, loggfiler)
• Gi innsyn i systemer med rimelig varsel (minimum 14 dager) og etter avtale om taushetsplikt
• Besvare revisjonsspørsmål skriftlig innen 10 virkedager

Kostnader forbundet med revisjon bæres av klubben, med mindre revisjonen avdekker vesentlige brudd på avtalen.

11Overføringer utenfor EØS

Primær datalagring skjer i EU (Google Firebase, europe-west1-region). Visse tjenester, herunder push-varsler via Expo og Apple/Google, innebærer overføringer til USA.

Slike overføringer er sikret gjennom:

• EUs standardkontraktsvilkår (SCC): Inngått med alle relevante leverandører
• EU–US Data Privacy Framework: Der leverandøren er sertifisert under dette
• Tilleggstiltak: Kryptering og tilgangsbegrensning som reduserer risiko ved overføring

12Varighet og opphør

Denne avtalen gjelder fra klubbens akseptdato og løper så lenge klubben benytter Samspill-plattformen.

Avtalen opphører automatisk når abonnementet avsluttes. Sletteplikten i punkt 9 gjelder uavhengig av opphørsgrunn.

Samspill kan si opp avtalen med 30 dagers skriftlig varsel dersom klubben vesentlig misligholder avtalen og ikke retter forholdet innen varselsfristen.

13Aksept og signatur

Avtalen kan aksepteres digitalt ved klikk-aksept i portalen (se banner øverst), eller signeres fysisk av begge parter. Klikk-aksept registrerer dato, klokkeslett og e-postadresse til den som aksepterer, og anses som juridisk bindende.