Databehandleraftale
Sidst opdateret: 12. juli 2026
Denne databehandleraftale er indgået i henhold til kravene i GDPR artikel 28 og regulerer KlubKlars behandling af personoplysninger på vegne af foreninger, der benytter vores infoskærmsløsning.
Som kunde accepterer du denne aftale ved oprettelse af abonnement hos KlubKlar.
1. Aftalens parter
Denne databehandleraftale er indgået mellem:
Databehandler:
KlubKlar
CVR: 40309896
Præstelyngen 3, 4296 Nyrup
E-mail: kontakt@klubklar.dk
Telefon: +45 61 67 39 79
og
Dataansvarlig:
Den forening, der har indgået abonnementsaftale med KlubKlar og dermed er ansvarlig for behandlingen af egne medlemmers og brugeres personoplysninger.
I denne aftale omtales den dataansvarlige forening som "Foreningen" og KlubKlar som "Databehandleren".
2. Baggrund og formål
Denne aftale fastlægger de vilkår, hvorunder KlubKlar som databehandler behandler personoplysninger på vegne af Foreningen i forbindelse med levering af KlubKlars infoskærmsløsning og tilhørende tjenester.
Formålet med databehandlingen er at levere og drifte følgende tjenester:
- Administrationspanel til opsætning og styring af infoskærme
- Visning af indhold på digitale infoskærme i foreningens lokaler
- Interaktive funktioner såsom quiz, meningsmålinger, lodtrækninger og forslagssystem
- Visning af foreningens ansatte og frivillige på infoskærmen
- Integration med foreningens sociale medier
3. Behandlingens omfang
3.1 Kategorier af registrerede
Behandlingen omfatter personoplysninger om følgende kategorier af registrerede:
- Foreningens kontaktpersoner og administratorer
- Foreningsmedlemmer, der deltager i interaktive funktioner
- Frivillige og bestyrelsesmedlemmer (ved visning på infoskærm)
- Gæster og besøgende, der deltager i quizzer, lodtrækninger m.v.
3.2 Typer af personoplysninger
Behandlingen omfatter følgende kategorier af personoplysninger:
| Kategori | Personoplysninger |
|---|---|
| Kontaktoplysninger | Navn, e-mailadresse, telefonnummer |
| Brugerkontodata | Login-tidspunkter, IP-adresse, brugeraktivitet |
| Interaktionsdata | Svar på quizzer, stemmer i meningsmålinger, forslag, problemrapporter |
| Mediefiler | Billeder af medlemmer/frivillige (uploadet af Foreningen) |
Ingen følsomme oplysninger: KlubKlar behandler som udgangspunkt ikke særlige kategorier af personoplysninger (følsomme oplysninger) som defineret i GDPR artikel 9.
3.3 Behandlingsaktiviteter
Databehandleren udfører følgende behandlingsaktiviteter på vegne af Foreningen:
- Opbevaring af personoplysninger i sikret database
- Visning af indhold på infoskærme via API
- Administration og vedligeholdelse af brugerkonti
- Indsamling og opbevaring af svar fra interaktive funktioner
- Sikkerhedslogning og fejlfinding
- Backup af data
4. Instruks til databehandleren
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra Foreningen. Denne databehandleraftale udgør den primære instruks.
Generel instruks
Databehandleren instrueres i at behandle personoplysninger med det formål at levere og drifte KlubKlars tjenester som beskrevet i denne aftale. Behandlingen må kun ske inden for EU/EØS, medmindre andet er aftalt skriftligt.
Yderligere instrukser
Foreningen kan give yderligere instrukser til Databehandleren via e-mail til kontakt@klubklar.dk. Sådanne instrukser skal være skriftlige og vil blive arkiveret som tillæg til denne aftale.
Underretning om ulovlige instrukser
Hvis Databehandleren vurderer, at en instruks fra Foreningen er i strid med GDPR eller anden databeskyttelseslovgivning, skal Databehandleren straks underrette Foreningen herom, inden instruksen udføres.
5. Fortrolighed
Databehandleren sikrer, at kun autoriserede personer har adgang til personoplysninger, der behandles på vegne af Foreningen.
- Alle personer, der er autoriseret til at behandle personoplysninger, er underlagt tavshedspligt eller en passende lovbestemt fortrolighedspligt.
- Adgang til personoplysninger begrænses til de medarbejdere, der har et arbejdsmæssigt behov for at tilgå oplysningerne.
- Tavshedspligten gælder også efter aftalens ophør.
6. Behandlingssikkerhed
Databehandleren træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger i henhold til GDPR artikel 32 for at beskytte personoplysninger mod uautoriseret eller ulovlig behandling, hændelig eller ulovlig tilintetgørelse, tab, ændring eller videregivelse.
Al datatransmission krypteres med SSL/TLS (HTTPS)
Alle adgangskoder hashes med bcrypt
Servere beskyttet med firewall og adgangskontrol
Data opbevares hos DigitalOcean i EU
Logning af aktivitet for at opdage uautoriseret adgang
Cloudflare beskytter mod distribuerede angreb
7. Underdatabehandlere
Foreningen giver hermed generel godkendelse til, at Databehandleren kan anvende underdatabehandlere til at opfylde sine forpligtelser under denne aftale.
7.1 Aktuelle underdatabehandlere
Ved aftalens indgåelse anvender Databehandleren følgende underdatabehandlere:
| Underdatabehandler | Formål | Lokation |
|---|---|---|
| DigitalOcean, LLC | Server-hosting og dataopbevaring | EU (Amsterdam) |
| Cloudflare, Inc. | CDN, DDoS-beskyttelse, sikkerhed | EU/Global (med EU-databehandling) |
Eventuelle overførsler til tredjelande sker alene på grundlag af et gyldigt overførselsgrundlag, herunder EU-Kommissionens standardkontraktbestemmelser (SCC) eller EU-U.S. Data Privacy Framework.
7.2 Ændring af underdatabehandlere
Databehandleren informerer Foreningen om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere. Foreningen har mulighed for at gøre indsigelse mod sådanne ændringer inden for 14 dage.
7.3 Krav til underdatabehandlere
Databehandleren sikrer, at alle underdatabehandlere er underlagt samme databeskyttelsesforpligtelser som fastsat i denne aftale gennem en skriftlig aftale.
8. De registreredes rettigheder
Databehandleren bistår Foreningen med at opfylde sin forpligtelse til at besvare anmodninger fra registrerede om udøvelse af deres rettigheder i henhold til GDPR kapitel III.
Ret til indsigt
Databehandleren stiller værktøjer til rådighed, så Foreningen kan eksportere relevante data.
Ret til berigtigelse
Foreningen kan selv rette oplysninger direkte i administrationspanelet.
Ret til sletning
Foreningen kan slette data via administrationspanelet, eller anmode Databehandleren om bistand.
Ved henvendelser om registreredes rettigheder, som Foreningen ikke selv kan håndtere via administrationspanelet, kan Foreningen kontakte Databehandleren på kontakt@klubklar.dk.
9. Underretning om sikkerhedsbrud
Ved brud på persondatasikkerheden, der berører personoplysninger behandlet på vegne af Foreningen, underretter Databehandleren Foreningen uden unødig forsinkelse og som udgangspunkt inden for 24 timer efter, at bruddet er konstateret.
9.1 Underretningens indhold
Underretningen skal som minimum indeholde:
- En beskrivelse af sikkerhedsbruddets art
- Kategorier og omtrentligt antal berørte registrerede
- Kategorier og omtrentligt antal berørte datasæt
- De sandsynlige konsekvenser af bruddet
- De foranstaltninger, der er truffet eller foreslås for at afhjælpe bruddet
9.2 Bistand
Databehandleren bistår Foreningen med at opfylde sine forpligtelser om anmeldelse til Datatilsynet og underretning af de registrerede, hvis det er påkrævet.
10. Sletning og tilbagelevering
Ved aftalens ophør skal Databehandleren – efter Foreningens valg – enten:
- Tilbagelevere alle personoplysninger til Foreningen i et almindeligt anvendt, maskinlæsbart format, og herefter slette alle kopier, eller
- Slette alle personoplysninger og bekræfte skriftligt, at sletning er sket.
Sletning skal ske senest 30 dage efter aftalens ophør, medmindre lovgivning kræver fortsat opbevaring af personoplysningerne.
Bemærk: Foreningen kan selv eksportere alle data via administrationspanelet inden abonnementets ophør. Kontakt os, hvis du har brug for assistance.
11. Tilsyn og revision
Databehandleren stiller alle nødvendige oplysninger til rådighed for Foreningen, så denne kan påvise overholdelse af GDPR artikel 28.
11.1 Dokumentation
Databehandleren giver på anmodning adgang til:
- Dokumentation for sikkerhedsforanstaltninger
- Oversigt over underdatabehandlere og deres aftaler
- Log over behandlingsaktiviteter
11.2 Revision
Foreningen har ret til at foretage eller lade foretage revision (audit) af Databehandlerens overholdelse af denne aftale. Revision skal varsles mindst 14 dage i forvejen og gennemføres på en måde, der ikke unødigt forstyrrer Databehandlerens drift.
Omkostninger til revision afholdes af Foreningen, medmindre revisionen afdækker væsentlige brud på aftalen fra Databehandlerens side.
12. Ansvar
Parterne er hver især ansvarlige for deres egne handlinger og undladelser i forbindelse med behandling af personoplysninger.
- Foreningen er ansvarlig for, at behandlingen af personoplysninger sker i overensstemmelse med GDPR, herunder at der er et gyldigt retsgrundlag for behandlingen.
- Databehandleren er ansvarlig for at behandle personoplysninger i overensstemmelse med Foreningens instrukser og denne aftale.
Hver part er ansvarlig over for registrerede og tilsynsmyndigheder i overensstemmelse med GDPR artikel 82.
13. Varighed og ophør
Denne databehandleraftale træder i kraft ved oprettelse af abonnement hos KlubKlar og gælder, så længe Databehandleren behandler personoplysninger på vegne af Foreningen.
Aftalen ophører automatisk ved:
- Opsigelse af abonnementsaftalen mellem parterne
- Ophør af Databehandlerens behandling af personoplysninger for Foreningen
Bestemmelserne om fortrolighed, sletning og ansvar forbliver gældende efter aftalens ophør.
14. Kontaktoplysninger
Spørgsmål vedrørende denne databehandleraftale kan rettes til:
Relaterede dokumenter
Se også vores øvrige juridiske dokumenter:
- Privatlivspolitik – Hvordan vi behandler personoplysninger
- Guide: GDPR og infoskærme i foreningen – Hvad foreningen må vise på skærmen