Common use of Aftalens formål Clause in Contracts

Aftalens formål. Grundlaget for medindflydelse og medbestemmelse er information og drøftelse på alle niveauer, jfr. rammeaftalen §§ 6 og 7. Både ledelse og medarbejdere har en gensidig pligt til at informere om og drøfte alle forhold af betydning for arbejds-, personale-, samarbejds- og arbejdsmiljøforhold (APSA). Informationer skal gives på så tidligt et tidspunkt, på en sådan måde og i en sådan form, således at medarbejdernes synspunkter kan indgå i ledelsens eller byrådets beslutningsgrundlag. Som del af information og drøftelse påhviler det ledelsen at: a) informere om den seneste og forventede udvikling i aktiviteter og den økonomiske situation b) informere og drøfte situationen, strukturen og den forventede udvikling med hensyn til beskæftigelsen i institutionen/aftaleenheden samt alle planlagte forventede foranstaltninger, navnlig når beskæftigelsen er truet c) informere og drøfte de beslutninger, som kan medføre betydelige ændringer i arbejdets tilrettelæggelse og ansættelsesforholdene, herunder beslutning om virksomhedsoverdragelse. d) Hvis byrådet træffer beslutninger i medfør af punkt c, forudsættes en forudgående forhandling mellem ledelse og medarbejderrepræsentanterne i MED-udvalget. Medindflydelse betyder, at ledelsens beslutninger træffes på grundlag af en grundig drøftelse med medarbejderne og med inddragelse af medarbejdernes viden. Medarbejderne kan påvirke beslutningsgrundlaget og har dermed mulighed for at sætte sit præg på ledelsens endelige beslutning. Medbestemmelse betyder, at ledelse og medarbejdere træffer fælles beslutninger i form af retningslinjer, der skal være gældende for tilrettelæggelse af arbejds-, personale-, samarbejds- og arbejdsmiljøforhold. Når én af parterne ønsker det, skal der snarest muligt indledes drøftelser med henblik på fastlæggelse af retningslinjer. Der skal fra begge parters side udvises positiv forhandlingsvilje og søges opnået enighed. Retningslinjer skal være skriftlige. Aftaler om retningslinjer kan opsiges med 3 månedernes varsel. Inden eventuel opsigelse af retningslinjer finder sted, skal der søges gennemført ændringer af retningslinjerne gennem forhandling mellem parterne. Hvis der ikke opnås enighed om retningslinjer på et givet område, skal ledelsen, hvis medarbejderne fremsætter ønske herom, redegøre for, hvorledes man derefter vil forholde sig på det pågældende område. Aftalte retningslinjer er bindende for både ledelse og medarbejdere, og begge parter er forpligtet til at forsvare og anvende dem.

Aftalens formål. Grundlaget for medindflydelse og medbestemmelse er information og drøftelse Databehandleraftalen vedrører Parternes forpligtelser efter Databeskyttelsesreglerne i forbindelse med gennemførelsen af forskningsprojektet ’[Indsæt projekttitel]’ (herefter ’Projektet’). I forbindelse med Projektet skal Databehandleren på alle niveauer, jfrvegne af den Dataansvarlige bl.a. rammeaftalen §§ 6 og 7. Både ledelse og medarbejdere [indsæt beskrivelse af de(n) opgave(r) som Databehandleren skal løse] DEN DATAANSVARLIGES FORPLIGTELSER Den Dataansvarlige har en gensidig pligt til at informere instruere Databehandleren i hvordan personoplysninger skal håndteres. Instruksen fremgår nedenfor. Eventuelle ændringer i instruksen skal være skriftligt aftalt forinden. Såfremt Databehandleren skal behandle fortrolige eller følsomme personoplysninger jf. instruksen, og Databehandleren har behov for teknisk udstyr, som f.eks. computer, til løsning af databehandlingsopgave, skal den Dataansvarlige stille dette til rådighed for Databehandleren. Den Dataansvarlige har pligt til at orientere Databehandleren om hvordan personoplysninger skal håndteres, herunder om personoplysninger skal slettes eller tilbageleveres, når Databehandleren er færdig med at udføre den aftalte opgave. Dette er nærmere beskrevet i Databehandleraftalens pkt. 10. Hvis det er teknisk muligt, har den Dataansvarlige pligt til at beskytte personoplysninger ved at sætte password på dokumenter og/eller filer, der indeholder personoplysninger, inden at dokumenterne og/eller filen overlades til Databehandleren. Den Dataansvarlige skal sørge for, at Databehandleren modtager henholdsvis password og drøfte alle forhold dokumenter/filer separat fra hinanden. Den Dataansvarliges instruks til Databehandleren: Dette skema skal udfyldes af betydning for arbejds-, personale-, samarbejds- og arbejdsmiljøforhold (APSA). Informationer skal gives på den projektansvarlige AAU forsker – så tidligt et tidspunkt, på en sådan måde konkret som muligt og i en sådan formlægmandssprog. Til hvilket formål skal data behandles? Skal udfyldes ved aftaleindgåelse Hvilken type(r) behandling(er) skal Databehandleren foretage (Indsamling, transskribering, mv.) Skal udfyldes ved aftaleindgåelse Hvor mange personer skal Databehandleren behandle oplysninger om? (Det er tilstrækkeligt med et ”op til” eller ”ca. antal”) Skal udfyldes ved aftaleindgåelse Hvilken type data skal behandles? (navn, alder, køn, nationalitet, helbredsoplysninger, væsentlige sociale problemer mv.) Skal udfyldes ved aftaleindgåelse Hvilken type data er der tale om? Alm. personoplysninger (navn, adresse, mail, alder, selvoffentliggjorte data mv.) Fortrolige personoplysninger (cpr., karakterer, væsentlige sociale problemer, mv.) Følsomme personoplysninger (Helbredsoplysninger, race, politisk overbevisning mv.) Sæt kryds ved aftaleindgåelse ☐ Almindelige personoplysninger ☐ Fortrolige personoplysninger ☐ Følsomme personoplysninger Hvilke kategorier af registrerede, skal behandles? (voksne eller børn 0-17 år. Specificer om de registrerede har særlige forhold, som f.eks. fysisk, psykisk eller kognitiv forstyrrelse, sproglige vanskeligheder, misbrug mv.) Skal udfyldes ved aftaleindgåelse Angiv tidsperiode for Databehandlerens behandling af personoplysninger samt slutdato. (Start og slut dato) Skal udfyldes ved aftaleindgåelse Angiv om Databehandleren skal slette eller tilbageleverer data efter at databehandlingsopgaven er afsluttet. Anbefales at udfylde ved aftaleindgåelse, alternativt skal dette meddeles til Databehandleren senest 4 uger før databehandlingens ophør. Se afsnit 10. DATABEHANDLERENS FORPLIGTELSER Databehandleren handler alene på vegne af og efter skriftlig instruks fra den Dataansvarlige i forbindelse med gennemførelsen af de aftalte opgaver i forhold til Projektet. Det er således alene den Dataansvarlige, der afgør til hvilket formål, der må foretages behandling af personoplysninger. Databehandleren forpligter sig til at overholde Databeskyttelsesreglerne. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at der er iværksat passende tekniske og organisatoriske sikkerhedsforanstaltninger. Herved bl.a. oplysninger om hvor personoplysningerne befinder sig, samt fysisk adgang til disse, såfremt dette er påkrævet af den Dataansvarlige. Databehandleren skal sikre, at det kun er vedkommende selv og den Dataansvarlige som har adgang til personoplysningerne. Databehandleren må ikke uden instruks fra den Dataansvarlige videregive oplysninger, som man kommer i besiddelse af ved udførelsen af opgaven som Databehandler. Databehandleren må ej heller bruge eller behandle oplysninger fra databehandleropgaven til egne formål eller til andre formål end dem, som den Dataansvarlige har fastsat. Såfremt Databehandleren i modstrid med denne aftale behandler oplysninger til egne formål eller andre formål end de, som den Dataansvarlige har fastsat, kræver det et selvstændigt retsligt grundlag og Databehandleren vil få selvstændig status som Dataansvarlig for den konkrete behandling. Databehandleren skal sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningens art. 32, således at medarbejdernes synspunkter kan indgå i ledelsens der sikres at personoplysningerne ikke hændeligt eller byrådets beslutningsgrundlag. Som del af information og drøftelse påhviler det ledelsen at: a) informere om den seneste og forventede udvikling i aktiviteter og den økonomiske situation b) informere og drøfte situationenulovligt tilintetgøres, strukturen og den forventede udvikling med hensyn til beskæftigelsen i institutionen/aftaleenheden fortabes eller forringes samt alle planlagte forventede foranstaltninger, navnlig når beskæftigelsen er truet c) informere og drøfte de beslutninger, som kan medføre betydelige ændringer i arbejdets tilrettelæggelse og ansættelsesforholdene, herunder beslutning om virksomhedsoverdragelse. d) Hvis byrådet træffer beslutninger i medfør af punkt c, forudsættes en forudgående forhandling mellem ledelse og medarbejderrepræsentanterne i MED-udvalget. Medindflydelse betydermod, at ledelsens beslutninger træffes de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Databeskyttelsesreglerne. Databehandleren har som minimum pligt til at overholde nedenstående sikkerhedsforanstaltninger: Såfremt der er udleveret udstyr til brug for databehandlingen, skal Databehandleren benytte dette udstyr til at foretage den aftalte databehandlingsopgave. Såfremt Databehandleren til løsning af databehandlingsopgaven benytter eget udstyr, f.eks. computer mv., skal dette udstyr være password beskyttet. Hvis Databehandleren opretter dokumenter og/eller filer, har Databehandleren, hvis det er teknisk muligt, pligt til at beskytte personoplysninger ved at sætte password på grundlag af dokumenterne og/eller filerne. Databehandleren skal sørge for, at den Dataansvarlige modtager henholdsvis password og dokumenter/filer separat fra hinanden. Hvis Databehandleren modtager passwordbeskyttet dokumenter og/eller filer fra den Dataansvarlige, skal denne beskyttelse bevares. Såfremt der i forbindelse med databehandlingsopgaven er behov for, at sende personoplysninger pr. mail, skal dette ske ved, at Databehandleren benytter sin AAU e-mail konto og sender til den Dataansvarliges AAU e-mail konto. Databehandleren må ikke videresende personoplysningerne til en grundig drøftelse med medarbejderne og med inddragelse af medarbejdernes viden. Medarbejderne kan påvirke beslutningsgrundlaget andre e-mail adresser, og har dermed mulighed for derfor også pligt til at sætte sit præg på ledelsens endelige beslutning. Medbestemmelse betydersikre, at ledelse og medarbejdere træffer fælles beslutninger i form vedkommendes AAU e-mail konto ikke er opsat således, at der sker automatisk videre sendelse til anden e-mail adresse. I forbindelse med udførelse af retningslinjerdatabehandlingsopgaven må Databehandleren hverken benytte offentlige Wi-Fi netværk (f.eks. biblioteker, tog) eller internetforbindelser, der ikke er beskyttet af password. Datalagringsmedier (f.eks. USB nøgler) og prints skal være gældende for tilrettelæggelse af arbejds-, personale-, samarbejds- og arbejdsmiljøforhold. Når én af parterne ønsker det, skal der snarest muligt indledes drøftelser med henblik opbevares på fastlæggelse af retningslinjer. Der skal fra begge parters side udvises positiv forhandlingsvilje og søges opnået enighed. Retningslinjer skal være skriftlige. Aftaler om retningslinjer kan opsiges med 3 månedernes varsel. Inden eventuel opsigelse af retningslinjer finder sted, skal der søges gennemført ændringer af retningslinjerne gennem forhandling mellem parterne. Hvis der ikke opnås enighed om retningslinjer på et givet område, skal ledelsen, hvis medarbejderne fremsætter ønske herom, redegøre for, hvorledes man derefter vil forholde sig på det pågældende område. Aftalte retningslinjer er bindende for både ledelse og medarbejdereforsvarlig vis, og begge parter hvis teknisk muligt beskyttes af passwords, således disse ikke er forpligtet til at forsvare og anvende demtilgængelige for uvedkommende.

Aftalens formål. Grundlaget for medindflydelse og medbestemmelse er information og drøftelse på alle niveauer, jfr. rammeaftalen §§ 6 og 7. Både ledelse og medarbejdere har en gensidig pligt til at informere om og drøfte drøf- te alle forhold af betydning for arbejds-, personale-, samarbejds- og arbejdsmiljøforhold arbejdsmil- jøforhold (APSA). Informationer skal gives på så tidligt et tidspunkt, på en sådan måde og i en sådan form, således at medarbejdernes synspunkter kan indgå i ledelsens eller byrådets beslutningsgrundlag. Som del af information og drøftelse påhviler det ledelsen at: a) informere om den seneste og forventede udvikling i aktiviteter og den økonomiske øko- nomiske situation b) informere og drøfte situationen, strukturen og den forventede udvikling med hensyn til beskæftigelsen i institutionen/aftaleenheden samt alle planlagte plan- lagte forventede foranstaltninger, navnlig når beskæftigelsen er truet c) informere og drøfte de beslutninger, som kan medføre betydelige ændringer ændrin- ger i arbejdets tilrettelæggelse og ansættelsesforholdene, herunder beslutning beslut- ning om virksomhedsoverdragelse. d) Hvis byrådet træffer beslutninger i medfør af punkt c, forudsættes en forudgående for- udgående forhandling mellem ledelse og medarbejderrepræsentanterne i MED-udvalget. Medindflydelse betyder, at ledelsens beslutninger træffes på grundlag af en grundig drøftelse med medarbejderne og med inddragelse af medarbejdernes viden. Medarbejderne kan påvirke beslutningsgrundlaget og har dermed mulighed mulig- hed for at sætte sit præg på ledelsens endelige beslutning. Medbestemmelse betyder, at ledelse og medarbejdere træffer fælles beslutninger beslut- ninger i form af retningslinjer, der skal være gældende for tilrettelæggelse af arbejds-, personale-, samarbejds- og arbejdsmiljøforhold. Når én af parterne ønsker det, skal der snarest muligt indledes drøftelser med henblik på fastlæggelse af retningslinjer. Der skal fra begge parters side udvises udvi- ses positiv forhandlingsvilje og søges opnået enighed. Retningslinjer skal være skriftlige. Aftaler om retningslinjer kan opsiges med 3 månedernes måneders varsel. Inden eventuel opsigelse af retningslinjer finder sted, skal der søges gennemført ændringer af retningslinjerne gennem forhandling mellem parterne. Hvis der ikke opnås enighed om retningslinjer på et givet område, skal ledelsenledel- sen, hvis medarbejderne fremsætter ønske herom, redegøre for, hvorledes man derefter vil forholde sig på det pågældende område. Aftalte retningslinjer er bindende for både ledelse og medarbejdere, og begge parter er forpligtet til at forsvare og anvende dem.

Aftalens formål. Grundlaget for medindflydelse Databehandleraftalen vedrører Parternes rettigheder og medbestemmelse forpligtelser efter Databeskyttelsesreglerne i forbindelse med opfyldelse af aftale om [Indsæt titel på aftalen eller anden entydig identifikation]’ (herefter ’Hovedaftalen’). Det er information Hovedaftalens formål, at [indsæt kort beskrivelse af hovedaftalens formål], og drøftelse i den forbindelse skal Databehandleren på alle niveauervegne af den Dataansvarlige bl.a. [indsæt kort beskrivelse af de(n) opgave(r) som Databehandleren skal løse] Databehandleraftalen og ”Hovedaftalen” er indbyrdes afhængige, jfrog kan ikke opsiges særskilt. rammeaftalen §§ 6 og 7Databehandleraftalen kan dog – uden at ”Hovedaftalen” opsiges – erstattes af en anden gyldig Databehandleraftale. Både ledelse og medarbejdere For at den eksisterende databehandleraftale kan anses som gyldigt opsagt er det et krav, at den nye databehandleraftale underskrives samme dag, som den eksisterende databehandleraftale opsiges. Den nye databehandleraftale har en gensidig virkning ex tunc. Denne Databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem Parterne, herunder i ”Hovedaftalen”. Den Dataansvarlige har pligt til at informere instruere Databehandleren i hvordan de personoplysninger, der behandles i Hovedaftalen skal håndteres. Denne instruks fremgår af pkt. 3.3. Eventuelle ændringer i instruksen skal være skriftligt aftalt. Den Dataansvarlige har pligt til at orientere Databehandleren om hvordan personoplysningerne skal håndteres, herunder om personoplysningerne skal slettes eller tilbageleveres, når Databehandleren er færdig med at udføre den aftalte opgave. Dette er nærmere beskrevet i pkt. 11. Den Dataansvarliges instruks til Databehandleren: Dette skema skal udfyldes af parterne – så konkret som muligt og drøfte alle i lægmandssprog. Til hvilket formål skal data behandles? Skal udfyldes forud for aftaleindgåelse Hvilken type(r) behandling(er) skal Databehandleren foretage? (Indsamling, opbevaring, analyse, transskribering, mv.) Skal udfyldes forud for aftaleindgåelse ☐ Indsamling ☐ Registrering ☐ Organisering ☐ Systematisering ☐ Opbevaring ☐ Tilpasning eller ændring ☐ Genfinding ☐ Søgning ☐ Brug ☐ Sammenstilling eller samkøring ☐ Sletning ☐ Andet: Såfremt der er valgt ”andet”, skal dette specificeres her: Hvor mange personer skal Databehandleren behandle oplysninger om? (Det er tilstrækkeligt med et ”op til” eller ”ca. antal”) Skal udfyldes forud for aftaleindgåelse Hvilken type personoplysninger behandles: Alm. personoplysninger (Klassiske stamoplysninger, dvs. navn, køn, adresse, telefonnummer, fødselsdato, nær familie og foto-ID. Desuden omfatter almindelige personoplysninger oplysninger om uddannelse, kursusbeviser, arbejdsopgaver, nationalitet, deltagelse i hold/fag, oplysninger om løn, skat, pension, mv.) Fortrolige personoplysninger (Fortrolige personoplysninger kan omfatte: Personlighedstest, skilsmisse, registreret partnerskab, adoptionsforhold, alkohol- og narkotikatest, registrering af snyd til eksamen, logning af internetbrug, karakterer, væsentlige sociale problemer og familieforhold, bortvisningsgrund, disciplinære sager, referater af personlige samtaler, hvis disse indeholder oplysninger af særlig karakter, hemmelig adresse og telefonnummer, mv.) Følsomme personoplysninger (Race eller etnisk oprindelse, Politisk overbevisning, Religiøs overbevisning, Filosofisk overbevisning, Fagforeningsmæssigt, tilhørsforhold, Helbredsoplysninger, Seksuelle forhold eller orientering, Genetiske eller biometriske data til brug for identificering) Straffedomme og lovovertrædelser Herunder oplysninger om at den registrerede er sigtet eller dømt i strafbare forhold, oplysninger om at den registrerede har begået strafbare forhold, o.l. Sæt kryds forud for aftaleindgåelse ☐ Almindelige personoplysninger ☐ CPR-numre ☐ Fortrolige personoplysninger ☐ Følsomme personoplysninger ☐ Straffedomme og lovovertrædelser Hvilke kategorier af betydning registrerede, behandles, der personoplysninger om. Bekræft at oplysningerne kun behandles af personer, der er autoriseret af modtageren til have adgang til oplysningerne, og at der er givet fornøden instruktion til disse medarbejdere om databeskyttelse generelt og specifikt om håndtering af de modtagne personoplysninger. Udfyldes af databehandleren Hvem hos Databehandleren skal behandle data? (angiv stillingsbetegnelse) Udfyldes af databehandleren Angiv om Databehandleren skal slette eller tilbagelevere data efter at databehandlingsopgaven er afsluttet. Anbefales udfyldt forud for arbejds-aftaleindgåelse, personale-alternativt skal dette meddeles til Databehandleren senest 4 uger før databehandlingens ophør. Se pkt. 12.2 Såfremt personoplysningerne skal tilbageleveres, samarbejds- angiv hvorledes dette skal ske Anbefales udfyldt forud for aftaleindgåelse, alternativt skal angivelse af hvordan dette skal ske, meddeles til Databehandleren jf. pkt.12.3 Såfremt personoplysningerne skal slettes skal, Databehandleren beskrive den påtænkte fremgangsmåde herfor Anbefales udfyldt forud for aftaleindgåelse, alternativt skal beskrivelse af hvordan dette skal ske, meddeles til den dataansvarlige jf. pkt.12.4 Databehandleren handler alene på vegne af og arbejdsmiljøforhold efter instruks fra den Dataansvarlige i forbindelse med gennemførelsen af de aftalte opgaver i forhold til Hovedaftalen. Det er således alene den Dataansvarlige, der afgør til hvilket formål, der må foretages behandling af personoplysningerne. Databehandleren forpligter sig til at overholde Databeskyttelsesreglerne samt vederlagsfrit at bistå den Dataansvarlige med at overholde dennes forpligtelser i henhold til Xxxxxxxxxxxxxxxxxxxxxxxx. Databehandleren skal herunder, blandt andet (APSA)ikke udtømmende): Behandle personoplysninger i overensstemmelse med de generelle principper som er fastsat i Databeskyttelsesforordningens art. Informationer skal gives på så tidligt et tidspunkt5. Bistå den Dataansvarlige med overholdelse af og beskyttelse af de(n) registreredes rettigheder. Udarbejde fortegnelse over behandlingsaktiviteter, jf. Databeskyttelsesforordningens art. 00, xxx. 2. Databehandleren skal, på den Dataansvarliges anmodning, give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at der er iværksat passende tekniske og organisatoriske sikkerhedsforanstaltninger. Herved bl.a. oplysninger om hvor personoplysningerne befinder sig, samt fysisk adgang til disse, såfremt dette er påkrævet af den Dataansvarlige. Databehandleren skal sikre, at kun de personer, som har et behov herfor, til opfyldelse af Databehandleraftalens formål og instruks, har adgang til personoplysningerne. Databehandleren må ikke uden instruks fra den Dataansvarlige videregive oplysninger, som Databehandleren kommer i besiddelse af ved udførelsen af opgaven som Databehandler. Databehandleren må ej heller bruge eller behandle oplysninger fra databehandleropgaven til egne formål eller til andre formål end dem, som den Dataansvarlige har fastsat. Databehandleren må ikke anvende personoplysningerne til andre formål end dem, som er bestemt af den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan måde underretning af hensyn til vigtige samfundsmæssige interesser. Såfremt Databehandleren i modstrid med Databehandleraftalen anvender personoplysninger til andre formål end, de som er bestemt af den Dataansvarlige vil det medføre, at Databehandleren vil få selvstændig status som Dataansvarlig for den konkrete behandling. Såfremt den Dataansvarlige vurderer, at der skal foretages en konsekvensanalyse, jf. Databeskyttelsesforordningens art. 35, skal Databehandleren vederlagsfrit medvirke til at foretage denne analyse, såfremt den Dataansvarlige anmoder Databehandleren herom. Dette omfatter blandt andet, at Databehandleren på opfordring fra den Dataansvarlige skal udlevere oplysninger, der måtte være nødvendige i forhold til udarbejdelse af konsekvensanalysen. Databehandleren skal sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningens art. 32, således, at det sikres, at personoplysningerne ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt sikres mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Databeskyttelsesreglerne. Databehandleren har som minimum pligt til at overholde nedenstående sikkerhedsforanstaltninger: Elektronisk registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt og brugeradgange samt registrering af alle afviste adgangsforsøg. Indføre log-in og adgangsprocedurer samt opsætte og vedligeholde en sådan firewall og antivirus software. Systemer, herunder såvel software og 1hardware, der anvendes i forbindelse med databehandlingen, skal være sikre at anvende og være opdateret. Personoplysninger der skal opbevares og/eller transporteres elektronisk skal være i krypteret form, jf. Datatilsynets anbefalinger til krav til kryptering Personoplysninger skal være passwordbeskyttet. Datalagringsmedier og prints skal opbevares på forsvarlig vis, således at medarbejdernes synspunkter kan indgå i ledelsens eller byrådets beslutningsgrundlagdisse ikke er tilgængelige for uvedkommende. Som del af information og drøftelse påhviler det ledelsen at: a) informere om den seneste og forventede udvikling i aktiviteter og den økonomiske situation b) informere og drøfte situationen, strukturen og den forventede udvikling med hensyn til beskæftigelsen i institutionen/aftaleenheden samt alle planlagte forventede foranstaltninger, navnlig når beskæftigelsen er truet c) informere og drøfte de beslutninger, som kan medføre betydelige ændringer i arbejdets tilrettelæggelse og ansættelsesforholdene, herunder beslutning om virksomhedsoverdragelse. d) Hvis byrådet træffer beslutninger i medfør af punkt c, forudsættes en forudgående forhandling mellem ledelse og medarbejderrepræsentanterne i MED-udvalget. Medindflydelse betyderDatabehandleren skal sikre, at ledelsens beslutninger træffes på grundlag af en grundig drøftelse alene medarbejdere med medarbejderne og med inddragelse af medarbejdernes videnet arbejdsrelateret formål hertil, har adgang til personoplysningerne. Medarbejderne kan påvirke beslutningsgrundlaget og har dermed mulighed for at sætte sit præg på ledelsens endelige beslutning. Medbestemmelse betyderDet skal sikres, at ledelse Databehandlerens medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og medarbejdere træffer fælles beslutninger i form retningslinjer for behandlingen af retningslinjer, der skal være gældende for tilrettelæggelse af arbejds-, personale-, samarbejds- og arbejdsmiljøforholdpersonoplysningerne. Når én af parterne ønsker det, skal der snarest muligt indledes drøftelser med henblik på fastlæggelse af retningslinjer. Der skal fra begge parters side udvises positiv forhandlingsvilje og søges opnået enighed. Retningslinjer skal være skriftlige. Aftaler om retningslinjer kan opsiges med 3 månedernes varsel. Inden eventuel opsigelse af retningslinjer finder sted, skal der søges gennemført ændringer af retningslinjerne gennem forhandling mellem parterne. Hvis der ikke opnås enighed om retningslinjer på et givet område, skal ledelsen, hvis medarbejderne fremsætter ønske herom, redegøre for, hvorledes man derefter vil forholde sig på det pågældende område. Aftalte retningslinjer er bindende for både ledelse og medarbejdere, og begge parter Databehandleren er forpligtet til at forsvare sikre, at de medarbejdere, der er involveret i behandlingen af personoplysningerne, er bekendt med sikkerhedskravene. I forbindelse med reparation og anvende demservice af medier, der indeholder personoplysninger, samt ved kassation af anvendte medier, skal der træffes foranstaltninger for at sikre sikkerheden omkring personoplysningerne. Ovenstående sikkerhedsbestemmelser gælder ligeledes i det omfang Databehandleren gør brug af hjemme- eller fjernarbejdspladser. Bygninger og systemer, der anvendes i forbindelse med databehandlingen, skal være sikret, og der skal alene anvendes udstyr og programmel af høj kvalitet, som opdateres løbende. Inddata, som ikke indgår i en manuel sag eller et manuelt register, må kun anvendes af medarbejdere, som er beskæftiget med inddateringen. Inddatamateriale indeholdende fortrolige personhenførbare oplysninger, skal opbevares aflåst, når de ikke anvendes. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Hvis der skal foretages ændringer i ovennævnte opremsning, skal AAU’s CISO kontaktes med henblik på at godkende ændringen eller komme med et alternativ. Såfremt Databehandleren skal opbevare personoplysninger i kortere eller længere periode, har Databehandleren pligt til at oplyse, hvor data opbevares. Databehandleren skal inden for rimelig tid skriftligt orientere den Dataansvarlige om eventuelle ændringer af opbevaringssted. Dette skema skal udfyldes af Databehandleren. Datacenters placering (Angiv leverandør og den fysiske adresse) Primær opbevaring Skal udfyldes ved aftaleindgåelse Back-up opbevaring Skal udfyldes ved aftaleindgåelse Evt. Underdatabehandlers opbevaring Skal udfyldes ved aftaleindgåelse Databehandleren skal ajourføre oplysningerne over for den Dataansvarlige ved enhver ændring af adresseangivelsen. Kontaktoplysninger til den Dataansvarlige er angivet i pkt. 13.1.

Aftalens formål. Grundlaget for medindflydelse og medbestemmelse er information og drøftelse Databehandleraftalen vedrører Parternes forpligtelser efter Databeskyttelsesreglerne i forbindelse med gennemførelsen af forskningsprojektet ’[Indsæt projekttitel]’ (herefter ’Projektet’). I forbindelse med Projektet skal Databehandleren på alle niveauer, jfrvegne af den Dataansvarlige bl.a. rammeaftalen §§ 6 og 7. Både ledelse og medarbejdere [indsæt beskrivelse af de(n) opgave(r) som Databehandleren skal løse] Den Dataansvarlige har en gensidig pligt til at informere instruere Databehandleren i hvordan personoplysninger skal håndteres. Instruksen fremgår nedenfor. Eventuelle ændringer i instruksen skal være skriftligt aftalt forinden. Såfremt Databehandleren skal behandle fortrolige eller følsomme personoplysninger jf. instruksen, og Databehandleren har behov for teknisk udstyr, som f.eks. computer, til løsning af databehandlingsopgave, skal den Dataansvarlige stille dette til rådighed for Databehandleren. Den Dataansvarlige har pligt til at orientere Databehandleren om hvordan personoplysninger skal håndteres, herunder om personoplysninger skal slettes eller tilbageleveres, når Databehandleren er færdig med at udføre den aftalte opgave. Dette er nærmere beskrevet i Databehandleraftalens pkt. 10. Hvis det er teknisk muligt, har den Dataansvarlige pligt til at beskytte personoplysninger ved at sætte password på dokumenter og/eller filer, der indeholder personoplysninger, inden at dokumenterne og/eller filen overlades til Databehandleren. Den Dataansvarlige skal sørge for, at Databehandleren modtager henholdsvis password og drøfte alle forhold dokumenter/filer separat fra hinanden. Den Dataansvarliges instruks til Databehandleren: Dette skema skal udfyldes af betydning for arbejds-, personale-, samarbejds- og arbejdsmiljøforhold (APSA). Informationer skal gives på den projektansvarlige AAU forsker – så tidligt et tidspunkt, på en sådan måde konkret som muligt og i en sådan formlægmandssprog. Til hvilket formål skal data behandles? Skal udfyldes ved aftaleindgåelse Hvilken type(r) behandling(er) skal Databehandleren foretage (Indsamling, transskribering, mv.) Skal udfyldes ved aftaleindgåelse Hvor mange personer skal Databehandleren behandle oplysninger om? (Det er tilstrækkeligt med et ”op til” eller ”ca. antal”) Skal udfyldes ved aftaleindgåelse Hvilken type data skal behandles? (navn, alder, køn, nationalitet, helbredsoplysninger, væsentlige sociale problemer mv.) Skal udfyldes ved aftaleindgåelse Hvilken type data er der tale om? Alm. personoplysninger (navn, adresse, mail, alder, selvoffentliggjorte data mv.) Fortrolige personoplysninger (cpr., karakterer, væsentlige sociale problemer, mv.) Følsomme personoplysninger (Helbredsoplysninger, race, politisk overbevisning mv.) Sæt kryds ved aftaleindgåelse ☐ Almindelige personoplysninger ☐ Fortrolige personoplysninger ☐ Følsomme personoplysninger Hvilke kategorier af registrerede, skal behandles? (voksne eller børn 0-17 år. Specificer om de registrerede har særlige forhold, som f.eks. fysisk, psykisk eller kognitiv forstyrrelse, sproglige vanskeligheder, misbrug mv.) Skal udfyldes ved aftaleindgåelse Angiv tidsperiode for Databehandlerens behandling af personoplysninger samt slutdato. (Start og slut dato) Skal udfyldes ved aftaleindgåelse Angiv om Databehandleren skal slette eller tilbageleverer data efter at databehandlingsopgaven er afsluttet. Anbefales at udfylde ved aftaleindgåelse, alternativt skal dette meddeles til Databehandleren senest 4 uger før databehandlingens ophør. Se afsnit 10. Databehandleren handler alene på vegne af og efter skriftlig instruks fra den Dataansvarlige i forbindelse med gennemførelsen af de aftalte opgaver i forhold til Projektet. Det er således alene den Dataansvarlige, der afgør til hvilket formål, der må foretages behandling af personoplysninger. Databehandleren forpligter sig til at overholde Databeskyttelsesreglerne. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at der er iværksat passende tekniske og organisatoriske sikkerhedsforanstaltninger. Herved bl.a. oplysninger om hvor personoplysningerne befinder sig, samt fysisk adgang til disse, såfremt dette er påkrævet af den Dataansvarlige. Databehandleren skal sikre, at det kun er vedkommende selv og den Dataansvarlige som har adgang til personoplysningerne. Databehandleren må ikke uden instruks fra den Dataansvarlige videregive oplysninger, som man kommer i besiddelse af ved udførelsen af opgaven som Databehandler. Databehandleren må ej heller bruge eller behandle oplysninger fra databehandleropgaven til egne formål eller til andre formål end dem, som den Dataansvarlige har fastsat. Såfremt Databehandleren i modstrid med denne aftale behandler oplysninger til egne formål eller andre formål end de, som den Dataansvarlige har fastsat, kræver det et selvstændigt retsligt grundlag og Databehandleren vil få selvstændig status som Dataansvarlig for den konkrete behandling. Databehandleren skal sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningens art. 32, således at medarbejdernes synspunkter kan indgå i ledelsens der sikres at personoplysningerne ikke hændeligt eller byrådets beslutningsgrundlag. Som del af information og drøftelse påhviler det ledelsen at: a) informere om den seneste og forventede udvikling i aktiviteter og den økonomiske situation b) informere og drøfte situationenulovligt tilintetgøres, strukturen og den forventede udvikling med hensyn til beskæftigelsen i institutionen/aftaleenheden fortabes eller forringes samt alle planlagte forventede foranstaltninger, navnlig når beskæftigelsen er truet c) informere og drøfte de beslutninger, som kan medføre betydelige ændringer i arbejdets tilrettelæggelse og ansættelsesforholdene, herunder beslutning om virksomhedsoverdragelse. d) Hvis byrådet træffer beslutninger i medfør af punkt c, forudsættes en forudgående forhandling mellem ledelse og medarbejderrepræsentanterne i MED-udvalget. Medindflydelse betydermod, at ledelsens beslutninger træffes de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Databeskyttelsesreglerne. Databehandleren har som minimum pligt til at overholde nedenstående sikkerhedsforanstaltninger: Såfremt der er udleveret udstyr til brug for databehandlingen, skal Databehandleren benytte dette udstyr til at foretage den aftalte databehandlingsopgave. Såfremt Databehandleren til løsning af databehandlingsopgaven benytter eget udstyr, f.eks. computer mv., skal dette udstyr være password beskyttet. Hvis Databehandleren opretter dokumenter og/eller filer, har Databehandleren, hvis det er teknisk muligt, pligt til at beskytte personoplysninger ved at sætte password på grundlag af dokumenterne og/eller filerne. Databehandleren skal sørge for, at den Dataansvarlige modtager henholdsvis password og dokumenter/filer separat fra hinanden. Hvis Databehandleren modtager passwordbeskyttet dokumenter og/eller filer fra den Dataansvarlige, skal denne beskyttelse bevares. Såfremt der i forbindelse med databehandlingsopgaven er behov for, at sende personoplysninger pr. mail, skal dette ske ved, at Databehandleren benytter sin AAU e-mail konto og sender til den Dataansvarliges AAU e-mail konto. Databehandleren må ikke videresende personoplysningerne til en grundig drøftelse med medarbejderne og med inddragelse af medarbejdernes viden. Medarbejderne kan påvirke beslutningsgrundlaget andre e-mail adresser, og har dermed mulighed for derfor også pligt til at sætte sit præg på ledelsens endelige beslutning. Medbestemmelse betydersikre, at ledelse og medarbejdere træffer fælles beslutninger i form vedkommendes AAU e-mail konto ikke er opsat således, at der sker automatisk videre sendelse til anden e-mail adresse. I forbindelse med udførelse af retningslinjerdatabehandlingsopgaven må Databehandleren hverken benytte offentlige Wi-Fi netværk (f.eks. biblioteker, tog) eller internetforbindelser, der ikke er beskyttet af password. Datalagringsmedier (f.eks. USB nøgler) og prints skal være gældende for tilrettelæggelse af arbejds-, personale-, samarbejds- og arbejdsmiljøforhold. Når én af parterne ønsker det, skal der snarest muligt indledes drøftelser med henblik opbevares på fastlæggelse af retningslinjer. Der skal fra begge parters side udvises positiv forhandlingsvilje og søges opnået enighed. Retningslinjer skal være skriftlige. Aftaler om retningslinjer kan opsiges med 3 månedernes varsel. Inden eventuel opsigelse af retningslinjer finder sted, skal der søges gennemført ændringer af retningslinjerne gennem forhandling mellem parterne. Hvis der ikke opnås enighed om retningslinjer på et givet område, skal ledelsen, hvis medarbejderne fremsætter ønske herom, redegøre for, hvorledes man derefter vil forholde sig på det pågældende område. Aftalte retningslinjer er bindende for både ledelse og medarbejdereforsvarlig vis, og begge parter hvis teknisk muligt beskyttes af passwords, således disse ikke er forpligtet til at forsvare og anvende demtilgængelige for uvedkommende.