Version 1.3. juni 2026
Mellem:
Holdsport.dk ApS(herefter benævnt ”Holdsport”)
Og:
Klubben, grupperingen eller organisationen som benytter Holdsport ApS platform, og som digitalt har accepteret gældende vilkår og nærværende databehandleraftale.
(herefter benævnt ”Klubben”)
(herefter hver for sig benævnt ”Part” og sammen ”Parterne”) er dags dato indgået databehandleraftale på følgende vilkår og betingelser:
1.1 Personoplysninger” og “behandling” skal have den betydning, som følger af artikel 4 i Forordning 2016/679 af Europa-Parlamentets og Rådet af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter ”persondataforordningen”).
1.2 Klubben afgør til hvilket formål og med hvilke hjælpemidler personoplysningerne i forbindelse med denne aftale skal behandles, og er derfor den dataansvarlige, jf. artikel 4, nr. 7 i persondataforordningen.
1.3 Holdsport behandler data på vegne af den dataansvarlige, hvorfor Holdsport er databehandler, jf. artikel 4, nr. 8 i persondataforordningen.
2.1 Klubben kan benytte Holdsports tjeneste til at:
2.2 Oplysninger til brug for det angivne system vil blive indsamlet fra Klubben og spillere, trænere, forældre m.fl.
2.3 Der sker ikke behandling af personoplysninger om helbredsoplysninger, straffedomme, CPR-nr. (medmindre Klubben er lovmæssigt forpligtet til dette) og lovovertrædelser.
2.4 Der behandles oplysninger for følgende kategorier af registrerede personer: Spillere, trænere, forældre eller andre tilknyttede personer, medarbejdere og eventuelt dommere.
3.1 Holdsport anvender primært Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany til opbevaring af egne data og software, herunder persondata. Se også punkt 7 og bilag 1 for supplerende oplysninger, samt oplysninger om underleverandører mv.
3.2 Holdsport må ikke overføre eller behandle de af nærværende aftale omfattede persondata i andre lande uden for EU, uden den Dataansvarliges forudgående skriftlige godkendelse.
4.1 Holdsport forpligter sig til alene at behandle personoplysninger på baggrund af dokumenterede instrukser fra Klubben, herunder med hensyn til overførsel af personoplysninger til et tredjeland eller en international organisation.
4.2 Hvis Holdsport er forpligtet til at overføre personoplysninger til et tredjeland eller en international organisation, skal Holdsport underrette Klubben om denne pligt forinden behandlingen sker, medmindre loven forbyder sådanne oplysninger grundet samfundets interesse.
4.3 Holdsport skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre, at alle personoplysninger, der er til rådighed eller som behandles af Holdsport, behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, eller enhver anden behandling af personoplysninger i strid med persondataforordningen. Disse tekniske og organisatoriske foranstaltninger findes i bilag 1.
4.4 Holdsport sikrer, at personer, der er bemyndiget til at behandle personoplysningerne, er underlagt fortrolighed enten ved aftale eller efter lov.
4.5 Holdsport skal give Klubben meddelelse om brud på persondatasikkerheden uden unødig forsinkelse. Ved brud på persondatasikkerheden forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. persondataforordningens artikel 4, stk. 12.
4.6 Holdsport har indført procedure for løbende overvågning af alle systemer, implementering af alarmer, samt advisering af selskabets DPO som er ansvarlig for at der gennemføres alle relevante tekniske handlinger, samt information af alle berørte parter ved et databrud. Efter mere end 20 års drift, har Holdsport til dato ikke oplevet et brud på persondatasikkerheden.
4.7 Holdsport skal behandle personoplysninger, der behandles af Holdsport på vegne af Klubben, fortroligt. Holdsport må ikke videregive personoplysninger leveret til Holdsport af, for, eller på vegne af Klubben til tredjemand, medmindre der foreligger samtykke eller andet lovligt grundlag.
4.8 Intet i denne aftale forhindrer en af Parterne i at opfylde en retlig forpligtelse pålagt af myndigheder eller domstole. Begge Parter skal dog så vidt muligt drøfte den passende reaktion på enhver anmodning fra en myndighed eller domstol ved videregivelse af oplysninger.
5.1 Holdsport stiller alle nødvendige oplysninger til rådighed for Klubben for at påvise overensstemmelse med bestemmelserne i denne aftales forpligtelser i elektronisk form. Dette i form af nærværende databehandleraftale, tilhørende bilag, aftaledokumenter mellem Holdsport og Klubben, samt informationer på vores hjemmeside.
5.2 Holdsport skal straks underrette Klubben, såfremt der efter Holdsports opfattelse foreligger en instruktion fra Klubben, der overtræder persondataforordningen.
5.3 Holdsport bistår Klubben med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, for opfyldelsen af Klubbens forpligtelse til at svare på anmodninger om udøvelse af den registreredes rettigheder.
5.4 Holdsport assisterer - idet der tages hensyn til arten af behandlingen og de oplysninger, der er til rådighed for Holdsport - Klubben i at sikre overholdelse af forpligtelser med hensyn til:
5.4.1 behandlingssikkerhed,
5.4.2 anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden,
5.4.3 underretning om brud på persondatasikkerheden til den registrerede, og
5.4.4 konsekvensanalyse vedrørende databeskyttelse.
5.5 Holdsport skal - hvis artikel 30 i persondataforordningen finder anvendelse - føre en fortegnelse over behandlingsaktiviteter under deres ansvar og efter anmodning give Klubben en kopi heraf.
6.1 Klubben har i overensstemmelse med persondataforordningen en generel forpligtelse til at sikre, at de tekniske og organisatoriske foranstaltninger overholdes, hvilket omfatter tekniske og organisatoriske foranstaltninger fortaget af en databehandler. Holdsport har vurderet de risici som Holdsports behandling af persondata efter denne aftale medfører og har gennemført passende foranstaltninger, jf. punkt 5.3.
6.2 Klubben erklærer, at de personoplysninger, som Holdsport behandler efter denne aftale, må behandles af Holdsport. Det vil sige at Klubben indestår for, at der er tale om oplysninger som Klubben har indhentet samtykke til behandling af, samt at samtykket omfatter efterfølgende behandling hos Holdsport. Klubben friholder Holdsport fra ethvert ansvar i denne forbindelse.
6.3 Det nævnes for en god ordens skyld, at Klubben som dataansvarlig skal overholde reglerne i persondataforordningen, hvilket blandet andet omfatter indgåelse af databehandleraftaler med leverandører.
6.4 For at sikre hurtig og præcis kommunikation og support af dig som bruger, kan vi hos Holdsport benytte automatiserede værktøjer, herunder OpenAI’s ChatGPT og beslægtede værktøjer, til at analysere og besvare henvendelser fra dig og andre brugere. Vi bruger dialogen med alle brugere som grundlag for udvikling af disse værktøjer. Dialogen med dig anonymiseres. Som bruger er du indforstået med denne udnyttelse.
7.1 Klubben giver Holdsport en generel ret til at gøre brug af underdatabehandlere. Holdsport skal underrette Klubben om eventuelle planlagte ændringer vedrørende underdatabehandlere med mindst 30 dages varsel og derved give Klubben mulighed for at gøre indsigelse mod sådanne ændringer.
7.2 Liste over underdatabehandlere fremgår af bilag 1.
7.3 Som supplement hertil anvender Holdsport en række betalingstjenester, fx MobilePay, Stripe, Altapay m.fl. De relevante og nødvendige oplysninger til at kunne gennemføre betalinger henligger hos de respektive tjenester i overensstemmelse med de vilkår og regler som gælder herfor, og Holdsport gemmer ikke kopi af disse oplysninger, ud over hvad der er nødvendigt for at kunne sikre betalerens rettigheder, fx adgang til et hold eller en betalingsaktivitet.
8.1 Denne aftale er gældende, så længe Holdsport behandler personoplysninger på vegne af Klubben.
8.2 Efter ophævelse eller opsigelse af denne aftale skal Holdsport efter påkrav fra Klubben destruere alle sådanne oplysninger. Foranstående gælder dog ikke, såfremt lovgivningen giver ret eller pligt til opbevaringen.
9.1 Denne aftale er underlagt dansk ret.
9.2 Enhver tvist, der udspringer af eller i forbindelse med denne aftale, herunder tvister vedrørende eksistens, gyldighed eller ophør, skal afgøres af retten i Aarhus, hvis tvisten ikke kan løses efter forhandling.
| Databehandler | HOLDSPORT.DK ApS, CVR-nr. 33765509, Filmbyen 23, 3., 8000 Aarhus C |
| Tjeneste | Holdsport / SportMember — klubadministrationsplatform (web, app og API) |
| Dokumenttype | Bilag til databehandleraftale — dokumentation af sikkerhedsforanstaltninger jf. databeskyttelsesforordningen (GDPR) art. 32 |
| Version | 1.3 |
| Dato | 2026-06-30 |
Dette dokument beskriver de tekniske og organisatoriske sikkerhedsforanstaltninger (Technical and Organizational Measures, TOM), som Holdsport som databehandler har implementeret for at beskytte personoplysninger, der behandles på vegne af den dataansvarlige (klubben/kunden).
Dokumentet udgør den dokumentation, der stilles til rådighed efter databehandleraftalen og GDPR art. 28, stk. 3, litra h, og kan anvendes som grundlag for den dataansvarliges tilsyn/revision (se afsnit 10).
Beskrivelsen afspejler driftsmiljøet på dokumentets dato. Foranstaltningerne videreudvikles løbende; væsentlige ændringer afspejles i en ny version af dette dokument.
Kategorier af personoplysninger
Holdsport behandler bl.a. navn, kontaktoplysninger (e-mail, telefon, adresse), alder/køn samt aktivitets- og betalingsoplysninger for klubbens medlemmer, trænere, forældre m.fl. Der behandles ikke følsomme oplysninger om helbred, strafbare forhold eller lovovertrædelser, og som udgangspunkt ikke CPR-numre (medmindre klubben er lovmæssigt forpligtet hertil).
Kryptering under transport (in transit)
Kryptering i hvile (at rest)
Brugerautentifikation
Administrativ og driftsmæssig adgang
Organisatorisk og fysisk adgang
Sikkerhedskopiering (backup)
Redundans
Holdsport anvender følgende underdatabehandlere:
| Underdatabehandler | Funktion | Behandlingssted | Overførselsgrundlag |
|---|---|---|---|
| Hetzner Online GmbH | Server- og infrastrukturhosting | Tyskland (EU) | Inden for EU/EØS |
| Amazon Web Services (AWS) | Lagring af krypterede databasesikkerhedskopier | Irland (EU) | Inden for EU/EØS |
| AppSignal B.V. | Performance- og fejlovervågning (backend) | Holland (EU) | Inden for EU/EØS |
| Elastic Email | Udsendelse af system- og transaktionse-mails | Leverandørens europæiske servere (EU — Irland, Frankrig og Polen) | Inden for EU/EØS |
| Honeybadger | Fejlovervågning (backend) | USA — AWS us-east-1 (Northern Virginia) | SCC'er via Honeybadgers databehandleraftale |
| Sentry | Fejlovervågning (mobilapp) | USA — Sentrys US-region, Iowa (Google Cloud us-central1) | SCC'er via Sentrys databehandleraftale |
| Meta Platforms (Facebook) | Facebook-login samt app-event-data fra mobilappen (Facebook SDK) | USA — Meta Platforms, Inc. (EU-enhed: Meta Platforms Ireland) | EU-US Data Privacy Framework (Meta selvcertificeret) + SCC'er |
Bemærk: Overvågningstjenesterne (fejl/performance) behandler primært tekniske diagnose- og driftsdata, men kan i fejlsituationer indeholde begrænsede personhenførbare oplysninger. For underdatabehandlere uden for EU/EØS sikres overførselsgrundlag (fx EU-Kommissionens standardkontraktbestemmelser, SCC'er) via den pågældende leverandørs databehandleraftale (se Internationale overførsler nedenfor).
Internationale overførsler (tredjelandsoverførsler)
Personoplysninger behandles og lagres som udgangspunkt inden for EU/EØS (jf. afsnit 6 og tabellen ovenfor). Følgende underdatabehandlere kan behandle begrænsede oplysninger i USA: Honeybadger (fejlovervågning) hos AWS us-east-1 (Northern Virginia), Sentry (fejlovervågning) i Iowa (Google Cloud us-central1) samt Meta/Facebook (Facebook-login og app-events fra mobilappen). Overførslen sker på følgende grundlag:
Som supplerende foranstaltninger arbejder Holdsport på at (i) minimere de personoplysninger, der sendes til disse tjenester — herunder fravalg af IP-/PII-indsamling i mobilappen (Sentry) og frafiltrering af personhenførbare felter (fx navn, e-mail, telefon, adresse, CPR- og kontooplysninger) i fejlrapporter (Honeybadger) — og (ii) flytte begge tjenester til EU-regioner, hvorefter overførsel til tredjeland bortfalder.
I tilfælde af brud på persondatasikkerheden underretter Holdsport den dataansvarlige uden unødig forsinkelse i overensstemmelse med databehandleraftalen, så den dataansvarlige kan opfylde sine forpligtelser efter GDPR art. 33–34.
Holdsport har etableret en procedure for løbende overvågning af alle systemer med alarmering og intern underretning af Holdsports DPO, der er ansvarlig for, at relevante tekniske handlinger gennemføres, og at berørte parter informeres ved et eventuelt brud.