Instruks vedrørende behandling af personoplysninger. B. 1. Behandlingens genstand/instruks
Instruks vedrørende behandling af personoplysninger. Behandlingens genstand/ instruks Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende: [Beskriv behandlingen, som databehandleren instrueres i at foretage eller henvis eventuelt til konkrete afsnit i ”hovedaftalen”].
Instruks vedrørende behandling af personoplysninger. For Persondata, som Kunden anvender ERP-systemet til at behandle, gælder denne Databehandleraftales bestemmelser. For hvad angår Leverandørens behandling af personoplysninger relateret til kunde-/leverandørforholdet mellem Kunden og Databehandler, henvises der til vores Generelle Forretningsbetingelser. Leverandøren har tavshedspligt om alle informationer, der måtte komme i hænde om Kunden, og er ikke berettiget til at videregive sådanne informationer til tredjemand, medmindre sådan information er offentlig tilgængelig, eller hvor Leverandøren har fået informationen fra en tredjepart uden for fortrolighed, eller hvor Leverandøren er forpligtet til at videregive informationen ifølge lovgivning eller efter pålæg fra en myndighed eller domstol.
Instruks vedrørende behandling af personoplysninger. .3Behandlingens genstand/ instruks Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende: [Beskriv behandlingen, som databehandleren instrueres i at foretage eller henvis eventuelt til konkrete afsnit i ”hovedaftalen”]. .4Behandlingssikkerhed Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] .5Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at ...
Instruks vedrørende behandling af personoplysninger. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Da- tabehandleren udfører følgende: - Sletter og anonymiserer personoplysninger, der indgår i fakturadata overdraget fra den Da- taansvarlige. - Foretager øvrige behandlingsaktiviteter med henblik på at opfylde sine forpligtelser som anført i Tilmeldingsskemaet, Databehandleraftalen og eventuelle øvrige aftaler med den Dataansvarlige.
Instruks vedrørende behandling af personoplysninger. Databehandleraftalen med tilhørende bilag opbevares i elektronisk arkiv af begge parter. Bilagene ligger på xxx.xxx.xx og vil løbende blive ajourført. Såfremt den dataansvarlige berøres direkte af en ændring giver RIT A/S besked.
Instruks vedrørende behandling af personoplysninger. Behandlingens genstand/instruks Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende: Leverandøren må behandle oplysninger om de borgere i Viborg Kommune, som de skal levere ydelser til. Disse oplysninger kan leverandøren tilgå via kommunens omsorgssystem (KMD Nexus), hvor adgangen er afgrænset til disse borgere. Derudover skal leverandøren dokumentere i KMD Nexus. Anvendelsen af KMD Nexus og krav til dokumentation er reguleret i Hovedaftalen. Leverandøren må ikke tilgå oplysninger om borgeren, som ikke er relevante for deres arbejde, jf. FVL § 32. Dette gælder for eksempel, men er ikke afgrænset til, adviser i korrespondancemodulet i KMD Nexus. Leverandøren er kun berettiget til at læse adviser, som er adresseret direkte til dem. Leverandøren må overføre stamoplysninger om borgerne til eget system med henblik på udarbejdelse af kørelister eller lignende. Leverandøren må printe disse oplysninger og arbejde med uddata i det omfang, det er nødvendigt. Disse under forudsætning af at Leverandøren etablerer passende sikkerhedsforanstaltninger udarbejdet efter en risikobaseret tilgang. Disse skal være beskrevet i Bilag C, afsnit C.2.7. Såfremt Leverandørens eget system er hosted ved 3. part (underdatabehandler) skal dette naturligvis oplyses ved databehandleraftalens indgåelse og noteres i Bilag B.
Instruks vedrørende behandling af personoplysninger. Databehandleren handler alene efter instruks fra den dataansvarlige. Den dataansvarlige afgør til hvilke formål og hvordan, der må foretages behandling af personoplysninger i databehandlerens systemer. Hermed accepterer databehandleren i enhver henseende at behandle personoplysninger i overensstemmelse med persondataforordningen og kun med de formål og på en sådan måde, som fremgår af denne databehandleraftale. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlig sker ved, at databehandleren udfører følgende: ● Registrering af personoplysninger i forbindelse med tilmeldinger til arrangementer (stævner, kurser, foredrag, motionsløb m.v.) ● Registrering af personoplysninger i forbindelse med billetsalg ● Registrering af personoplysninger i forbindelse med registrering af medlemmer ● Registrering af personoplysninger på ledere og trænere
Instruks vedrørende behandling af personoplysninger. Behandlingens genstand/ instruks Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende: Databehandleren må ikke anvende den viden om de kundeoplysninger som opbevares for den dataansvarlige. Det er alene den dataansvarlige der har brugsretten over disse informationer.
Instruks vedrørende behandling af personoplysninger. C.1 Behandlingens genstand/instruks . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.1.1 Ændringer i behandlingens genstand/instruks . . . . . . . . . . . . . . . .
C.2 Behandlingssikkerhed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.2.1 Fysisk sikkerhed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.2.2 Organisatorisk sikkerhed . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.3 Bistand til den Dataansvarlige . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.4 Opbevaringsperiode/sletterutine . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.5 Lokalitet for behandling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .