DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
Mellem
Svendborg Kommune Ramsherred 5
5700 Svendborg
CVR: 29189730
Herefter ”Svendborg kommune”
og MINLANDSBY ApS
Nupark 51
7500 Holstebro
CVR: 39670925
Herefter ”Leverandøren”
er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Leverandørens
behandling af personoplysninger på vegne af Svendborg kommune:
1. Generelt
1.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen).
1.2 I Aftalen er indarbejdet de krav, som Databeskyttelsesforordningen stiller til databehandleraftaler.
1.3 Principperne og anbefalingerne i ISO27001 med senere ændringer vil på alle relevante områder finde anvendelse i det omfang andet ikke fremgår af Aftalen
1.4 Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.
2. Formål
2.1 Leverandøren behandler i medfør af aftale med Svendborg kommune (herefter ”Hovedaftalen”) personoplysninger for Svendborg kommune, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet.
3. Svendborg kommunes rettigheder og forpligtelser
3.1 Svendborg kommune er dataansvarlig for de personoplysninger, som Svendborg kommune instruerer Leverandøren om at behandle.
3.2 Kommunen har ansvaret for, at de personoplysninger, som Kommunen instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og legitim i forhold til Kommunens opgavevaretagelse.
3.3 Kommunen har de forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 samt Lov nr. 502 af 23/05/2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven).
4. Leverandørens forpligtelser
4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af kommunen. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1.
4.2 Leverandøren behandler alene de overladte personoplysninger efter dokumenteret instruks fra kommunen, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen.
4.3 Leverandøren skal føre fortegnelser over behandlingen af personoplysninger samt fortegnelser over alle brud på persondatasikkerheden.
4.4 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, jf. bilag 1 – Sikkerhed.
4.5 Leverandøren skal imod vederlag og på opfordring fra kommunen hjælpe med at opfylde kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt kommunens forpligtelser i forhold til underretning af den registrerede ved brud på persondatasikkerheden, i medfør af Databeskyttelsesforordningens kap. III samt artikel 34.
4.6 Leverandøren skal efter instruks fra den dataansvarlige hjælpe denne med at efterlever forpligtelser i henhold Databeskyttelsesforordningens artikel 32-36, jf. Databeskyttelses- forordningens artikel 28, stk. 3, litra f.
4.7 Leverandøren garanterer imod vederlag at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
4.8 Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor kommunens personoplysninger opbevares, jf. bilag 2.
5. Underleverandør (underdatabehandler)
5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af kommunen.
5.2 Leverandøren har en generel tilladelse til at anvende underdatabehandlere. Kunden giver ved sin accept af disse Databehandlervilkår sin generelle godkendelse til at Leverandøren må gøre brug af andre databehandlere (underdatabehandler). Information om anvendte underdatabehandlere, inklusive deres funktion, og i hvilket land underdatabehandleren er etableret, er tilgængelig på i bilag 2.
5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.
5.4 Kommunen kan imod vederlag til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen i henhold til hovedaftalen.
6. Instrukser
6.1 Leverandørens behandling af personoplysninger på vegne af kommunen sker udelukkende efter dokumenteret instruks, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Leverandøren er underlagt; i så fald underretter Leverandøren kommunen om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
6.2 Leverandøren giver omgående besked til Kommunen, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt. 1.1, eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
7. Tekniske og organisatoriske sikkerhedsforanstaltninger
7.1 Leverandøren skal, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.2 Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
7.3 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed
7.4 Leverandøren er forpligtet til uden unødig ophold at underrette kommunen om ethvert brud på persondatasikkerheden samt ved enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kommunen er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning.
8. Overførsler til andre lande
8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler fremgår af bilag 2, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Leverandøren er underlagt.
9. Tavshedspligt og fortrolighed
9.1 Leverandøren er - under og efter Hovedaftalens ophør – pålagt tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet.
9.2 Leverandøren skal sikre, at alle, der behandler personoplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
10. Kontroller og erklæringer
10. Leverandøren er forpligtet til uden ugrundet ophold at give kommunen de nødvendige oplysninger til at Leverandøren overholder de krav, der følger af denne Aftale.
10.1 Kommunen har imod vederlag adgang til at foretage inspektioner hos Leverandøren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale.
10.2 Leverandøren skal imod vederlag og efter anmodning fra kommunen fremsende en ledelseserklæring om overholdelse af denne Aftale.
10.3 I tilfælde af, at kommunen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Leverandøren sig efter rimelig varsel og imod vederlag at stille tid og ressourcer til rådighed herfor.
11. Ændringer i Aftalen
11.1 Kommunen kan til enhver tid, med et forudgående varsel på mindst 120 dage, foretage ændringer i Aftalen og instruksen. Ændringsprocessen og omkostningerne aftales skriftligt mellem kommunen og Leverandøren ved en sådanne ændring.
12. Sletning af data
12.1 Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.
12.2 Kommunen skal senest 90 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt personoplysningerne skal slettes eller tilbageleveres til kommunen. I begge tilfælde skal Leverandøren ligeledes slette eventuelle kopier, medmindre EU-retten
eller national ret foreskriver opbevaring af personoplysningerne. Leverandøren skal sikre, at eventuelle underdata-behandlere ligeledes efterlever kommunen meddelelse.
12.3 Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget.
13. Misligholdelse og tvistigheder
13.1 Misligholdelse og tvistigheder er reguleret i Hovedaftalen
14. Erstatning og forsikring
14.1 Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.
15. Ikrafttræden og varighed
15.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen.
16. Formkrav
16.1 Aftalen skal foreligge skriftligt, herunder elektronisk, hos kommunen og Leverandøren.
For kommunen For Leverandøren
Navn og titel: Navn og titel:
Dato: Dato:
Underskrift: Underskrift:
Bilag 1 – Sikkerhed
1. Indledning
Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre og overholde.
2. Sikkerhedskrav
Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. kommunens instruks, og som dermed opfylder Databeskyttelsesforordningens artikel 32.
Foranstaltningerne fastlægges ud fra overvejelser om:
1. Det aktuelle tekniske niveau
2. Implementeringsomkostningerne
3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen
4. Konsekvenserne for borgerne ved brud på persondatasikkerheden
5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for:
a) tilintetgørelse af oplysningerne
b) tab af oplysningerne
c) ændring af oplysningerne
d) uautoriseret videregivelse af oplysningerne
e) uautoriseret adgang til oplysningerne
Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere)
1. Lokation(er) for behandlingen [Her opregner Leverandøren, de steder, hvor kommunens personoplysninger opbevares/behandles.]
Leverandøren behandler data på følgende lokationer:
MINLANDSBY ApS: Nupark 51, 7500 Holstebro, Denmark. MINLANDSBY ApS - Kontor: Xxxxxxxxxxxxxx 00, 0000 Xxxxxx, Xxxxxxx. MINLANDSBY ApS, Xxxxxx Xxxxx alle 26, Søborg, Denmark.
Firebase Google, Server in West Europe, Frankfurt.
Mailchimp, 000 Xxxxx xx Xxxx Xxx XX Xxxxx 0000 Xxxxxxx, XX 00000 XXX
2. Underdatabehandlere [Her angiver Leverandøren navn, adresse, cvr-nummer
m.m. på underdatabehandlere
Navn | CVR-nr | Adresse | Beskrivelse af behandling |
MailChi mp, The Rocket Science Group, LLC, | 000 Xxxxx xx Xxxx Xxx XX Xxxxx 0000 Xxxxxxx, XX 00000 XXX | Opbevaring og udsendelse af supportmails og nyhedsbreve. Navn, email, forening, telefonnummer. | |
Firebase Google, Inc | 0000 Xxxxxxxxxxxx Xxxx Xxxxxxxx Xxxx XX 00000 Xxxxxx Xxxxxx | Firebase er en mobil- og webapplikationsudviklingsplatform med server i West Europe – Frankfurt som leverer serverplads til MINLANDSBY version 2. Behandlingen omfatter følgende kategorier af personoplysninger: Navn, fødselsår, køn, adresse, tlf. nummer og e-mail, browser, OS version, devicetype. | |
Bilag 3 – Instruks
Instruks
Kommunen instruerer hermed Leverandøren om at foretage behandling af personoplysningerne til brug for drift af løsning, jf. Hovedaftale.
Overlader Leverandøren behandling af kommunens oplysninger til underdatabehandlere, er Leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse, jf. Aftalens pkt 5.3.
1.1 Behandlingens formål
Behandling af kommunens forhold sker i henhold til formålet i Hovedaftalen. Leverandøren må ikke anvende oplysninger om kommunens forhold til andre formål. Oplysningerne må ikke behandles efter instruks fra andre end kommunen.
Generel beskrivelse af behandlingen
Generel beskrivelse af behandlingen.
1.Formål og hovedydelse
1.1.Formålet med behandlingen i medfør af denne databehandleraftale er at levere Hovedydelsen bestående af følgende: Hovedydelsen er at stille oplysningerne fra appen MINLANDSBY, samt omkringliggende funktioner, men ikke udelukket statistik, herunder til rådighed for kommunen.
2. Personoplysninger
2.1. Typer af personoplysninger, der kan behandles i sammenhæng med levering af hoved ydelsen er herunder delt op i a) den del brugerne selv afgiver og b) den tekniske del.
a) Brugerens almindelige personoplysninger afgives når brugerne opretter en profil i appen. De afgiver følgende personoplysninger: navn, fødselsår, køn, adresse, telefonnummer og email-id. I appen kan brugeren give adgang til kamera, kalender og lokalitet.
b) Tekniske indsamlede data er brugerens browser, OS version og devicetype.
2.2. Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen er:
a) Ansatte ved Svendborg kommune (brugere)
b) Borgere – herunder børn over 13 år (brugere)
2.3. Indsamling af almindelige personoplysninger foregår via.
a) Xxxxxxxxx oprettelse af en profil i appen.
b) Brugeres kontakt pr. email eller tlf i forbindelse med support.
c) Brugernes udfyldelse af webformular i forbindelse med opdateringer og nyheds/infomails.
2.4. Indhentning af personoplysninger foregår
- for at have mulighed for at verificere brugere, for at undgå fiktive profiler/robotter.
- med henblik på at udvikle tjenesten, foretage ændringer og opdateringer.
- med henblik på at kunne levere flere ydelser til kommunen f.eks. statistik.
2.5. Personoplysninger opbevares på googles firebase som er en mobil og webapplikationsudviklingsplatform. Personoplysningerne opbevares på en server i EU. I Europe west – Frankfurt.
2.6. De oplysninger som kommunen råder over vil på kommunens anmodning blive slettet. Dette er ansattes profiler og indsamlet statistisk data. I øvrigt kan brugerne også anmode om at få slettet alle deres personoplysninger. Det er brugeren der selv kan stille krav herom. Kommunen råder ikke over borgerens personoplysninger og kan derfor ikke anmode om af få dem slettet.
2.7. Den dataansvarlige har følgende forpligtelser.
2.7.1. Den dataansvarlige er ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til personoplysninger, som overlades til Databehandlers behandling. Den dataansvarlige er herunder navnlig ansvarlig for at:
- Den Dataansvarlige har fornøden hjemmel til at behandle og til at overlade det til Databehandleren at behandle de personoplysninger, der behandles i forbindelse med levering af Hovedydelserne.
2.7.2. Den Dataansvarlige orienterer skriftligt Databehandleren om eventuelt gennemførte konsekvensanalyser, der er relevante for de overladte behandlingsaktiviteter, og den Dataansvarlige giver samtidig Databehandleren fornøden indsigt i analysen med henblik på at Databehandleren kan opfylde sine forpligtelser under Databehandleraftalen.
2.7.3. Den Dataansvarlige orienterer i øvrigt Databehandleren om forhold af betydning for Databehandleren udførelse af sine forpligtelser under Databehandleraftalen, herunder blandt andet den Dataansvarliges løbende risikovurdering, i det omfang de er relevante for Databehandleren.
2.7.4. Den Dataansvarlige orienterer desuden Databehandleren, hvis den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Databehandlerens behandling, omfatter andet end Databeskyttelsesloven eller Europa- Parlamentets og Rådets forordning (EU) 2016/679.
2.7.5. Den Dataansvarlige bistår Databehandleren med at indgå aftaler med Underdatabehandlere, i det omfang det er nødvendigt, herunder for at sikre overførselsgrundlag til tredjelande
1.2 Typen af personoplysninger [Se kommentarer]
Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1.
Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6) X Almindelige personoplysninger:
Følsomme personoplysninger om (jf. Databeskyttelsesforordningens artikel 9): Race eller etnisk oprindelse
Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning
Fagforeningsmæssigt tilhørsforhold Genetiske data
Biometriske data
Helbredsoplysninger, herunder misbrug af medicin, narkotika, alkohol m.v. En fysisk persons seksuelle forhold eller seksuelle orientering
Personoplysninger om straffedomme og lovovertrædelser (jf. Databeskyttelses- forordningens artikel 10):
Straffedomme Lovovertrædelser
Oplysninger om cpr-nummer (jf. Databeskyttelseslovens § 11) CPR-numre
1.3 Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.):
A) Borgere