Aftale vedrørende fælles dataansvar
KONTRAKTBILAG 4 - AFTALE OM FÆLLES DATAANSVAR
Aftale vedrørende fælles dataansvar
Mellem
Dataansvarlig 1
Garantifonden for skadesforsikringsselskaber CVR 33604084
Xxxxxx Xxxxxxx Xxxx 0 0000 Xxxxxxxx Xxxxxxx
og
Dataansvarlig 2
[Navn]
CVR [CVR-nummer]
[Adresse]
[Postnummer og by]
[Land]
[Måned] [År]
1. Fælles dataansvar
1.2. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Såfremt der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.
Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor både Dataansvarlig 1 og Dataansvarlig 2.
1.3. Der er mellem Dataansvarlig 1 og Dataansvarlig 2 enighed om, at der i forbindelse med Dataansvarlig 2’s varetages af opgaverne beskrevet i denne aftales punkt 1.1 i henhold til Rammeaftale mellem parterne, foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på:
• at Dataansvarlig 1 i henhold til lovbekendtgørelse nr. 2067 af 12. november 2021 om en garantifond for skadesforsikringsselskaber med senere ændringer (herefter ”Lov om Garantifonden”) formelt er forpligtet til at yde dækning til forsikringstagere og sikrede i forsikringsselskaber, der er under konkurs, eller som har fået tilbagekaldt tilladelsen til at udøve arbejdsulykkesforsikringsvirksomhed, og i den egenskab vil være dataansvarlig for behandling af personoplysninger i forbindelse med varetagelse af den i loven fastlagte opgave.
• at Dataansvarlig 2 varetager sagsbehandling for Dataansvarlig 1 af krav omfattet af Lov om Garantifonden, og at Dataansvarlig 2 i den forbindelse ikke er underlagt en detaljeret instruks fra Dataansvarlig 1.
• at det i praksis vil være Dataansvarlig 2, der har kontakt til de registrerede.
• at Dataansvarlig 1 og Dataansvarlig 2 derfor i fællesskab fastlægger formålet med og hjælpemidlerne til behandling af personoplysninger i forbindelse med sagsbehandlingen.
I tilfælde hvor behandlingsaktiviteter ikke vedrører varetagelse af opgaverne beskrevet i Rammeaftalen, vil Dataansvarlig 1 og Dataansvarlig 2 være selvstændigt dataansvarlige. Denne behandling er ikke omfattet af aftalen, og hver part indestår selv for lovligheden denne behandling, herunder den videre behandling af personoplysninger, der er indsamlet og behandlet som led i varetagelse af opgaverne beskrevet i Rammeaftalen
1.4. Denne aftale er udformet med henblik på, at Dataansvarlig 1 og Dataansvarlig 2 kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I aftalen fastlægges Dataansvarlig 1’s og Dataansvarlig 2’s respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.
2. Overordnet ansvarsfordeling
2.1. Dataansvarlig 1 er i henhold til Lov om Garantifonden forpligtet til at dække en række nærmere bestemte krav, samt ansvarlig for at antage fornøden medhjælp til at sikre, at behandling af eventuelle krav kan ske i overensstemmelse med Lov om Garantifonden. Dataansvarlig 1 er således overordnet ansvarlig for at vurdere, om betingelserne for udbetaling af erstatning / dækning af krav er opfyldt, samt for at fastsætte de overordnede rammer for Dataansvarlig 2’s administration af skadesanmeldelser og ristornokrav samt udbetaling af erstatning, herunder Dataansvarlig 2’s behandling af personoplysninger i forbindelse med varetagelse af denne administrationsopgave.
2.2. Dataansvarlig 2 vil som udgangspunkt forestå den praktiske behandling af personoplysninger, eftersom behandlingen af personoplysninger finder sted som led i Dataansvarlig 2’s levering af administrationsydelsen. Hvor Dataansvarlig 1 fastlægger rammerne for behandlingen af personoplysninger, er Dataansvarlig 2 ansvarlig for at tilrettelægge behandlingen på detailniveau. Dataansvarlig 2 er desuden den Part, der varetager kontakten til de registrerede, hvorved de registrerede oftest vil have en forventning om, at Dataansvarlig 2 er ansvarlig for behandling af deres oplysninger.
Dataansvarlig 2 er ikke underlagt Dataansvarlig 1’s instruks for behandling af personoplysninger; men kan og skal – indenfor de rammer, der fastlægges af Dataansvarlig 1 og den lovgivning, Dataansvarlig 2 selv er underlagt - tilrettelægge den behandling af personoplysninger, der er nødvendig for levering af administrationsydelserne.
3. Principper og behandlingshjemmel
3.1. Parterne er hver især ansvarlige for, at der foreligger et gyldigt behandlingsgrundlag for de behandlinger, de hver især foretager, og for at kunne dokumentere dette, fx over for tilsynsmyndigheden.
3.2. Dataansvarlig 1 og Dataansvarlig 2 er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale.
4. De registreredes rettigheder
• oplysningspligt ved indsamling af personoplysninger hos den registrerede,
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,
• den registreredes indsigtsret,
• ret til berigtigelse,
• ret til sletning (retten til at blive glemt),
• ret til begrænsning af behandling,
• underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling,
• ret til dataportabilitet (dog ikke for offentlige myndigheder) og
• ret til indsigelse mod en behandling.
4.2. Hvis en part modtager en anmodning fra en registreret, skal parten uden ugrundet ophold, og senest 7 dage efter modtagelsen, underrette den anden part om henvendelsen samt fremsende en kopi af anmodningen.
4.3. Dataansvarlig 2 er den primære ansvarlige for håndtering af anmodninger fra de registrerede i henhold til punkt 4.1. Dataansvarlig 2 er således ansvarlig for, at anmodninger håndteres i overensstemmelse med databeskyttelsesforordningens regler og Datatilsynets vejledninger herom.
4.4. Såfremt Dataansvarlig 1 modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af Dataansvarlig 2’s ansvar, jf. ovenstående, oversendes denne til besvarelse hos Dataansvarlig 2 snarest muligt.
4.5. Såfremt Dataansvarlig 2 modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af Dataansvarlig 1’ss ansvar, jf. ovenstående, oversendes denne til besvarelse hos Dataansvarlig 1 snarest muligt.
4.6. Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.
4.7. Dataansvarlig 1 skal loyalt bistå Dataansvarlig 2 i det omfang, at dette er relevant og nødvendigt for, at Dataansvarlig 2 kan efterleve forpligtelserne over for de registrerede.
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen
5.1. Dataansvarlig 2 er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at Dataansvarlig 2 udarbejder procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt eller opfyldelse af oplysningspligten.
5.2. Dataansvarlig 2’s foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.
5.3. Dataansvarlig 2 er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.
5.4. Dataansvarlig 2 er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Dataansvarlig 2, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Dataansvarlig 2 skal derfor foretage (og kunne dokumentere) en risikovurdering, og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.
6. Anvendelse af databehandlere og underdatabehandlere
6.1. Dataansvarlig 2 er berettiget til at anvende databehandlere og/eller eventuelle underdatabehandlere i tilknytning til den fælles behandling.
6.2. Ved eventuel anvendelse af databehandlere og/ eller underdatabehandlere er Dataansvarlig 2 ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28.
6.3. Dataansvarlig 2 er herefter bl.a. forpligtet til:
• alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske på en sådan måde, at
behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
• at sikre, at der foreligger en gyldig databehandleraftale mellem [Dataansvarlig 1/Dataansvarlig 2/ parten] og databehandleren, og
• at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
6.4. Dataansvarlig 1 skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere og evt. underdatabehandlere hos Dataansvarlig 2.
6.5. Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, skal Dataansvarlig 2 efter anmodning herom gøres bekendt med indholdet at aftalerne mellem Dataansvarlig 2 og databehandleren/underdatabehandleren.
7. Fortegnelse
7.1. Begge parter er ansvarlige for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dataansvarlig 2 udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for og fremsender hurtigst muligt fortegnelsen til Dataansvarlig 1 med henblik på Dataansvarlig 1’s bemærkninger og godkendelse.
7.2. Dataansvarlig 1 udarbejder – på baggrund af indholdet i Dataansvarlig 2’s fortegnelse – egen fortegnelse over de af aftalen omhandlede behandlingsaktiviteter.
8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
8.1. Dataansvarlig 2 er den primære ansvarlige for den praktiske håndtering af brud på persondatasikkerheden, herunder genopretning af tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
8.2. Dataansvarlig 1 skal straks underrette Dataansvarlig 2, såfremt Dataansvarlig 1 bliver bekendt med et sikkerhedsbrud, som omfatter personoplysninger, der behandles i henhold til denne aftale og skal loyalt bistå Dataansvarlig 2 i det omfang, at dette er relevant og nødvendigt for håndtering af sikkerhedsbruddet.
8.3. Dataansvarlig 2 er den primære ansvarlige for indberetning af sikkerhedsbrud til Datatilsynet efter reglerne i databeskyttelsesforordningens artikel 33, og Dataansvarlig 2 skal foretage en vurdering af, om det er nødvendigt at foretage en indberetning. Dataansvarlig 1 skal loyalt bistå Dataansvarlig 2 i det omfang, dette er relevant og nødvendigt for indberetningen. Dataansvarlig 2 skal indhente Dataansvarlig 1’s godkendelse af indberetningen, inden den foretages. Dog anerkendes det, at dette i visse tilfælde ikke er muligt, hvis tidsfristen for indberetning i databeskyttelsesforordningens artikel 33, stk. 1, skal overholdes. I sådanne tilfælde vil efterfølgende underretning af Dataansvarlig 1 undtagelsesvist være tilstrækkeligt.
9. Underretning om brud på persondatasikkerheden til den registrerede
9.1. Dataansvarlig 2 er den primære ansvarlige for underretning af de registrerede efter reglerne i databeskyttelsesforordningens artikel 34, og Dataansvarlig 2 skal foretage en vurdering af, om det er nødvendigt at foretage en underretning. Dataansvarlig 1 skal loyalt bistå Dataansvarlig 2 i det omfang, at dette er relevant og nødvendigt for underretningen. Dataansvarlig 2 skal til enhver tid indhente Dataansvarlig 1’s godkendelse inden underretning foretages. Dataansvarlig 2 skal dog, såfremt indhentelse af Dataansvarlig 1’s godkendelse vil føre til en forsinkelse, der bevirker en forøgelse af risikoen for de registrerede, sikre at de registrerede underrettes hurtigst muligt, og at Dataansvarlig 1 herefter informeres om den foretagne underretning.
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
10.1. Dataansvarlig 2 er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Dataansvarlig 2, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
10.2. Såfremt der udarbejdes en sådan konsekvensanalyse, er Dataansvarlig 2 forpligtet til at involvere Dataansvarlig 1 i udarbejdelsen. Dataansvarlig 1 skal bistå Dataansvarlig 2 i det omfang, dette er relevant og nødvendigt for udarbejdelsen.
10.3. Dataansvarlig 2 er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt.
11. Overførsel af personoplysninger til tredjelande eller internationale organisationer
11.1. Ingen af parterne kan uden den anden parts samtykke træffe afgørelse om, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.
11.2. Den Part, der i praksis iværksætter overførslen, er tilsvarende ansvarlig for at sikre, at overførslen er lovlig, og at tilstrækkelige beskyttelsesforanstaltninger foreligger, jf. databeskyttelsesforordningens kapitel V, inden overførslen iværksættes.
12. Klager
12.1. Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke parten efter denne aftale er ansvarlig.
12.2. Hvis én af parterne modtager en klage, som rettelig bør behandles af den anden part, oversendes klagen til denne dataansvarlig snarest muligt.
12.3. Hvis én af parterne modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, oversendes denne del til besvarelse hos parten snarest muligt.
12.4. Den registrerede skal, i forbindelse med partens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale.
13. Orientering af den anden part
13.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles behandling og denne aftale.
14. Regulering af andre forhold
14.1. Alle vederlag mellem Parterne er reguleret i Rammeaftalen, hvortil denne aftale udgør et bilag.
14.2. Et tilsyn efter Rammeaftalens punkt 7 om Dataansvarlig 1’s tilsynsbeføjelser kan omfatte tilsyn med lovligheden af Dataansvarlig 2’s databehandling, der finder sted inden for rammerne af det fælles dataansvar, som er beskrevet i nærværende aftale.
14.3. Parterne er enige om, at det på et senere tidspunkt kan blive nødvendigt at justere indholdet af nærværende aftale, eksempelvis i tilfælde af ændringer i lovgivningen, ny retspraksis mv. Parterne forpligter sig således til loyalt at forhandle, såfremt en Part har et begrundet ønske om at få et vilkår ændret.
15. Ikrafttræden og ophør
15.1. Denne aftale træder i kraft ved begge parters underskrift heraf.
15.2. Aftalen er gældende, så længe de omhandlede oplysninger behandles, eller indtil aftalen afløses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.
15.3. Underskrift
På vegne af Dataansvarlig 1 På vegne af Dataansvarlig 2
Navn: Navn:
Stilling: Stilling:
Dato: Dato: