Avtal enligt GDPR artikel 28 mellan din förening (personuppgiftsansvarig) och Gamely (personuppgiftsbiträde). Avtalet reglerar hur Gamely behandlar personuppgifter för din förenings räkning och utgör en del av användarvillkoren.
Detta personuppgiftsbiträdesavtal (”Avtalet”) gäller mellan din förening, som personuppgiftsansvarig (”Föreningen”), och Gamely AB, org.nr [Org.nr kommer], som personuppgiftsbiträde (”Gamely”). Föreningens uppgifter framgår av det konto Föreningen registrerat.
Gamely tillhandahåller en evenemangstjänst genom vilken Föreningen kan skapa och administrera cuper, poolspel och matcher samt dela information med besökare. Vid användningen behandlar Gamely personuppgifter för Föreningens räkning. Föreningen är personuppgiftsansvarig och Gamely är personuppgiftsbiträde enligt GDPR.
Avtalet uppfyller kravet på skriftligt biträdesavtal enligt artikel 28.3 GDPR. Vid motstrid i fråga om behandling av personuppgifter gäller Avtalet före övriga avtal mellan parterna.
Behandlingens art, ändamål och varaktighet samt kategorier av registrerade och typer av personuppgifter framgår av Bilaga A. Gamely får endast behandla personuppgifter enligt dokumenterade instruktioner från Föreningen. Avtalet med bilagor utgör Föreningens fullständiga instruktion vid Avtalets ingående; ytterligare instruktioner lämnas skriftligen.
Gamely ska informera Föreningen om Gamely anser att en instruktion strider mot dataskyddslagstiftning, och får inte behandla uppgifterna för egna ändamål.
Gamely ska:
Parterna är medvetna om att tjänsten kan behandla personuppgifter om barn (t.ex. spelare i lagtrupper). Föreningen ansvarar för att det finns rättslig grund och för att inhämta nödvändiga samtycken från vårdnadshavare. Gamely tillämpar uppgiftsminimering och behandlar endast de uppgifter som är nödvändiga för tjänsten.
Föreningen ger Gamely ett generellt förhandsgodkännande att anlita underbiträden. De som anlitas vid Avtalets ingående framgår av Bilaga C. Gamely ålägger varje underbiträde minst samma dataskyddsskyldigheter som följer av Avtalet och ansvarar för deras fullgörande. Gamely underrättar Föreningen i rimlig tid i förväg om planerade byten eller tillägg, så att Föreningen ges möjlighet att invända.
Personuppgifter får överföras till land utanför EU/EES endast om det finns en giltig överföringsmekanism enligt kapitel V GDPR, t.ex. EU-kommissionens standardavtalsklausuler (SCC) eller beslut om adekvat skyddsnivå (t.ex. EU-US Data Privacy Framework för certifierade mottagare). Faktiska överföringar och tillämplig mekanism per underbiträde framgår av Bilaga C.
Gamely ska, med hänsyn till behandlingens art, bistå Föreningen med lämpliga åtgärder för att besvara registrerades begäran om utövande av sina rättigheter enligt kapitel III GDPR, samt bistå med skyldigheterna enligt artiklarna 32–36 (säkerhet, anmälan av incidenter och konsekvensbedömning) med beaktande av tillgänglig information.
Gamely ska utan onödigt dröjsmål, och senast inom [48] timmar efter att ha fått kännedom om en personuppgiftsincident som rör behandlingen, underrätta Föreningen. Underrättelsen ska i möjligaste mån innehålla den information som anges i artikel 33.3 GDPR samt vidtagna och föreslagna åtgärder.
Gamely ska på begäran ge Föreningen den information som krävs för att visa att skyldigheterna enligt artikel 28 GDPR fullgörs, samt möjliggöra och bidra till granskningar. Granskning sker på ett sätt som inte i onödan stör Gamelys verksamhet och med iakttagande av tystnadsplikt. Parterna kan komma överens om att en oberoende revisors rapport eller relevant certifiering uppfyller granskningsbehovet.
När behandlingen upphör ska Gamely, efter Föreningens val, radera eller återlämna samtliga personuppgifter och radera befintliga kopior, om inte lagring krävs enligt lag. Gamely bekräftar på begäran skriftligen att detta skett.
Vardera parts skadeståndsansvar regleras av artikel 82 GDPR och av användarvillkoren. Eventuell ansvarsbegränsning i användarvillkoren ska inte tolkas så att den begränsar ansvar som inte får begränsas enligt tvingande rätt.
Avtalet gäller så länge Gamely behandlar personuppgifter för Föreningens räkning, dvs. så länge avtalet om tjänsten är i kraft. Bestämmelser som till sin natur ska bestå efter upphörande (t.ex. tystnadsplikt och radering) fortsätter att gälla.
På Avtalet tillämpas svensk rätt. Tvist avgörs av svensk allmän domstol med [Stockholms tingsrätt] som första instans.
Lagring och tillhandahållande av evenemangsinformation (cuper, poolspel, matcher, scheman, lag, resultat) samt utskick av inbjudningar och relaterad kommunikation för Föreningens räkning.
Under den tid tjänsten används av Föreningen, samt eventuell ytterligare tid enligt punkt 11.
| Underbiträde | Tjänst | Plats | Överföringsmekanism |
|---|---|---|---|
| Supabase Inc. | Databas, autentisering, lagring | [Region – bekräftas] | Vid EU-region: ingen tredjelandsöverföring. Vid USA: SCC / DPF. |
| Resend, Inc. | Transaktionell e-post (inbjudningar) | USA | SCC och/eller EU-US Data Privacy Framework |
| Netlify, Inc. | Webbhotell / CDN | USA | SCC och/eller EU-US Data Privacy Framework |
| Google LLC | Google Places API (platssökning) | USA | SCC och/eller EU-US Data Privacy Framework |
Leverantörers exakta placering och giltig överföringsmekanism bekräftas innan avtalet används skarpt. Körs Supabase i en EU-region hanteras huvuddelen av uppgifterna inom EU/EES.