1. Fælles dataansvar
1.1. Denne aftale fastsætter ansvarsfordelingen mellem Danmarks Motor Union (DMU) og klubben
DMU og klubben indsamler personoplysninger på medlemmer i organisationen med henblik på:
• Medlemshåndtering, herunder kontingentopkrævning
• Sportsaktiviteter og andre DMU relaterede aktiviteter, herunder planlægning,
resultatformidling, gennemførelse og opfølgning
• Opfyldelse af lovkrav, herunder folkeoplysningsloven og persondataforordningen
• Levering af varer og ydelser bestilt hos DMU
• Administration af medlemmernes relation til DMU

Hvilke oplysninger deles mellem DMU og klubben
Almindelige personoplysninger, som: Navn, adresse, indmeldelsesdato, e-mailadresse, køn, fødselsdato, uheldsregistrering, løbsresultater, licenskategori- og licenstype, tilhørsforhold til børn og unge.

1.2. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Såfremt der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.
Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor både Danmarks Motor Union 1 og klubben.

1.3. Der er mellem Danmarks Motor Union og Klubben enighed om, at der i forbindelse med håndtering af persondata på medlemmer og udøvere foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på:
Både Danmarks Motor Union og Klubben indsamler og registrerer data om medlemmer, trænere, dommere m.v. Selve indsamlingen af data sker til fælles formål og med fælles hjælpemidler.
Personoplysninger, som Klubben registrerer og behandler, bliver ligeledes indsamlet til Danmarks Motor Union, som Danmarks Motor Union skal bruge oplysningerne til en viderebehandling, som foretages uden instruks fra Klubben.
Danmarks Motor Union vil f.eks. bruge personoplysninger til administrative opgaver, der er uafhængige af Klubben, inklusive f.eks. afvikling af visse løbs- og træningsaktiviteter, administration af motorsportens love og regler, statistikformål, complianceanalyser, lovbestemt afrapportering, etc.
Det fælles dataansvar omfatter derfor primært indsamlingen og registreringen af data, hvorefter Danmarks Motor Unions viderebehandling af disse data som udgangspunkt sker til organisationernes egne formål og derfor ikke er omfattet af aftalen om fælles dataansvar.
Det er derfor Danmarks Motor Unions vurdering, at der som udgangspunkt foreligger et fælles dataansvar mellem Danmarks Motor Union og Klubben for så vidt angår personoplysninger om følgende kategorier af registrerede:
• Udøvere
• Medlemmer
• Klubbestyrelsesmedlemmer
• Trænere
• Ledende officials f.eks. dommere
• Deltagere og frivillige ved arrangementer
• Forældre/kontaktpersoner

1.4. Denne aftale er udformet med henblik på, at Danmarks Motor Union og Klubben kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I aftalen fastlægges Danmark Motor Unions og Klubbens respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.

2. Overordnet ansvarsfordeling
2.1. Danmarks Motor Union har ansvaret for:
For så vidt angår de data, hvor der er et fælles dataansvar for, har Danmarks Motor Union ansvaret for:
• At overholde de grundlæggende principper om behandling af personoplysninger (art. 5)
• At bistå Klubben med at efterkomme rettighedsanmodninger
• At iagttage principperne om databeskyttelses gennem design og databeskyttelse gennem standardindstillinger
• At efterleve kravene i GDPR art. 28 og forestå kontakten til og tilsyn med leverandører/databehandlere
• At udarbejde og vedligeholde artikel 30-fortegnelser
• At iagttage kravet i GDPR artikel 32 om behandlingssikkerhed
• At anmelde sikkerhedsbrud til Datatilsynet og underrette de berørte registrerede herom, i det omfang bruddet skyldes Danmarks Motor Unions handlinger
• At gennemføre konsekvensanalyser
• At sikre reglerne om tredjelandsoverførsler overholdes
• At behandle klager i samarbejde med klubben, idet omfang klagen vedrører behandlinger, der er fælles dataansvar for
• Danmarks Motor Union påtager sig det overordnede ansvar for at sikre, at unødvendige data slettes løbende fra systemerne og at rettighedsadgangen er tilstrækkelig.

2.2. Klubben har ansvaret for:
For så vidt angår de data, hvor der er et fælles dataansvar for, har Klubben ansvaret for:
• At overholde de grundlæggende principper om behandling af personoplysninger (art. 5)
• At sikre der er hjemmel til behandling af de personoplysninger, som klubberne registrerer i systemerne
• At iagttage de registreredes rettigheder (GDPR art. 13-22) og besvare rettighedsanmodninger
• At udarbejde og vedligeholde artikel 30-fortegnelser
• At iagttage kravet i GDPR artikel 32 om behandlingssikkerhed ved at gennemføre tilstrækkelige sikkerhedsforanstaltninger, som knytter sig til Klubbens anvendelse af systemerne, herunder f.eks. foranstaltninger i forbindelse med den fysiske sikkerhed
• At anmelde sikkerhedsbrud til Datatilsynet og underrette de berørte registrerede herom, i det omfang bruddet skyldes klubbens handlinger
• At behandle klager i samarbejde med Danmarks Motor Union, idet omfang klagen vedrører behandlinger, som der er fælles dataansvar for.

3. Principper og behandlingshjemmel
3.1. Begge Parter har ansvaret for, at der er hjemmel til behandling af de personoplysninger, der registreres i systemerne.

3.2. Danmarks Motor Union og Klubben er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale.

4. De registreredes rettigheder
4.1. Begge parter er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:
• oplysningspligt ved indsamling af personoplysninger hos den registrerede,
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,
• den registreredes indsigtsret,
• ret til berigtigelse,
• ret til sletning (retten til at blive glemt),
• ret til begrænsning af behandling,
• underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling,
• ret til dataportabilitet (dog ikke for offentlige myndigheder) og
• ret til indsigelse mod en behandling.

4.2. Såfremt Danmarks Motor Union modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af Klubbens ansvar, jf. ovenstående, oversendes denne til besvarelse hos Klubben snarest muligt.

4.3. Såfremt klubben modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af Danmarks Motor Unions ansvar, jf. ovenstående, oversendes denne til besvarelse hos Danmarks Motor Union snarest muligt.

4.4. Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.

5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen
5.1. Begge parter er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. (databeskyttelsesforordnin-gens artikel 24). Dette kan eksempelvis indebære, at Danmarks Motor Union udarbejder procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt eller opfyldelse af oplysningspligten.

5.2. Begge parters foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.

5.3. Begge parter er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.

5.4. Begge parter er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at begge parter under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Begge parter skal derfor foretage (og kunne dokumentere) en risikovurdering, og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.

6. Anvendelse af databehandlere og underdatabehandlere
6.1. Begge parter er berettiget til at anvende databehandlere og/eller eventuelle underdata-behandlere i tilknytning til den fælles behandling.

6.2. Ved eventuel anvendelse af databehandlere og/ eller underdatabehandlere er begge parter ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Begge parter er herefter bl.a. forpligtet til:
• alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
• at sikre, at der foreligger en gyldig databehandleraftale mellem parten og databehandleren, og
• at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.

6.3. Begge parter skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere og evt. underdatabehandlere hos den anden part.

7. Fortegnelse
7.1. Begge parter er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at begge parter udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.

8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
8.1. Begge parter er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden.

8.2. Danmarks Motor Union vil være behjælpelig med anmeldelsen af brud på persondatasikkerheden såfremt klubben ønsker dette.

9. Underretning om brud på persondatasikkerheden til den registrerede
9.1. Begge parter er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.

10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
10.1. Begge parter er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at begge parter, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

10.2. Begge parter er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt.

11. Overførsel af personoplysninger til tredjelande eller internationale organisationer
11.1. Begge parter kan træffe afgørelse om, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.

11.2. Begge parter er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.

12. Klager
12.1. Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke parten efter denne aftale er ansvarlig.

12.2. Hvis én af parterne modtager en klage, som rettelig bør behandles af den anden part, oversendes klagen til denne dataansvarlig snarest muligt.

12.3. Hvis én af parterne modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, oversendes denne del til besvarelse hos parten snarest muligt.

12.4. Den registrerede skal, i forbindelse med partens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale.

13. Orientering af den anden part
13.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles behandling og denne aftale.

14. Ikrafttræden og ophør
14.1. Denne aftale træder i kraft ved begge parters accept heraf.

14.2. Aftalen er gældende, så længe de omhandlede oplysninger behandles, eller indtil aftalen afløses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.