Studenter Databehandleraftale I forbindelse med et Forskningsprojekt Med virkning fra [INDSÆT DATO] (herefter ’den Effektive Dato’) er der indgået neden følgende aftale mellem: Aalborg Universitet (herefter benævnt ’den Dataansvarlige’) CVR. Nr....
Studenter Databehandleraftale I
forbindelse med et Forskningsprojekt
Med virkning fra [INDSÆT DATO] (herefter ’den Effektive Dato’) er der indgået neden følgende aftale mellem:
Aalborg Universitet (herefter benævnt ’den Dataansvarlige’)
CVR. Nr. 29102384
V/Institut for…
Xxxxxxx Xxxxxx Vej 7k
9220 Aalborg
Danmark
og
Den studerendes navn (herefter benævnt ’Databehandleren’)
Adresse
Postnummer- sted
Land
(I det følgende også samlet benævnt ’Parterne’ og hver for sig ’Part’)
Definitioner
’Databehandleraftale(n)’ skal betyde denne databehandleraftale med tilhørende eventuelle bilag.
’Databeskyttelsesforordningen’ skal betyde Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (med senere ændringer).
’Databeskyttelsesloven’ skal betyde lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger.
’Databeskyttelsesreglerne’ skal betyde Databeskyttelsesforordningen, Databeskyttelsesloven og alle bekendtgørelser, der er udstedt i medfør af Databeskyttelsesforordningen og Databeskyttelsesloven, retspraksis samt Datatilsynets afgørelser.
Aftalens formål
Databehandleraftalen vedrører Parternes forpligtelser efter Databeskyttelsesreglerne i forbindelse med gennemførelsen af forskningsprojektet ’[Indsæt projekttitel]’ (herefter ’Projektet’).
I forbindelse med Projektet skal Databehandleren på vegne af den Dataansvarlige bl.a. [indsæt beskrivelse af de(n) opgave(r) som Databehandleren skal løse]
Den dataansvarliges forpligtelser
Den Dataansvarlige har pligt til at instruere Databehandleren i hvordan personoplysninger skal håndteres. Instruksen fremgår nedenfor. Eventuelle ændringer i instruksen skal være skriftligt aftalt forinden.
Såfremt Databehandleren skal behandle fortrolige eller følsomme personoplysninger jf. instruksen, og Databehandleren har behov for teknisk udstyr, som f.eks. computer, til løsning af databehandlingsopgave, skal den Dataansvarlige stille dette til rådighed for Databehandleren.
Den Dataansvarlige har pligt til at orientere Databehandleren om hvordan personoplysninger skal håndteres, herunder om personoplysninger skal slettes eller tilbageleveres, når Databehandleren er færdig med at udføre den aftalte opgave. Dette er nærmere beskrevet i Databehandleraftalens pkt. 10.
Hvis det er teknisk muligt, har den Dataansvarlige pligt til at beskytte personoplysninger ved at sætte password på dokumenter og/eller filer, der indeholder personoplysninger, inden at dokumenterne og/eller filen overlades til Databehandleren. Den Dataansvarlige skal sørge for, at Databehandleren modtager henholdsvis password og dokumenter/filer separat fra hinanden.
Den Dataansvarliges instruks til Databehandleren:
Dette skema skal udfyldes af den projektansvarlige AAU forsker – så konkret som muligt og i lægmandssprog.
Til hvilket formål skal data behandles?
|
Skal udfyldes ved aftaleindgåelse |
Hvilken type(r) behandling(er) skal Databehandleren foretage
(Indsamling, transskribering, mv.)
|
Skal udfyldes ved aftaleindgåelse |
Hvor mange personer skal Databehandleren behandle oplysninger om? (Det er tilstrækkeligt med et ”op til” eller ”ca. antal”) |
Skal udfyldes ved aftaleindgåelse |
Hvilken type data skal behandles? (navn, alder, køn, nationalitet, helbredsoplysninger, væsentlige sociale problemer mv.) |
Skal udfyldes ved aftaleindgåelse |
Hvilken type data er der tale om?
(navn, adresse, mail, alder, selvoffentliggjorte data mv.)
(cpr., karakterer, væsentlige sociale problemer, mv.)
(Helbredsoplysninger, race, politisk overbevisning mv.) |
Sæt kryds ved aftaleindgåelse ☐ Almindelige personoplysninger ☐ Fortrolige personoplysninger ☐ Følsomme personoplysninger |
Hvilke kategorier af registrerede, skal behandles? (voksne eller børn 0-17 år. Specificer om de registrerede har særlige forhold, som f.eks. fysisk, psykisk eller kognitiv forstyrrelse, sproglige vanskeligheder, misbrug mv.) |
Skal udfyldes ved aftaleindgåelse |
Angiv tidsperiode for Databehandlerens behandling af personoplysninger samt slutdato. (Start og slut dato) |
Skal udfyldes ved aftaleindgåelse |
Angiv om Databehandleren skal slette eller tilbageleverer data efter at databehandlingsopgaven er afsluttet. |
Anbefales at udfylde ved aftaleindgåelse, alternativt skal dette meddeles til Databehandleren senest 4 uger før databehandlingens ophør. Se afsnit 10. |
Databehandlerens forpligtelser
Databehandleren handler alene på vegne af og efter skriftlig instruks fra den Dataansvarlige i forbindelse med gennemførelsen af de aftalte opgaver i forhold til Projektet. Det er således alene den Dataansvarlige, der afgør til hvilket formål, der må foretages behandling af personoplysninger.
Databehandleren forpligter sig til at overholde Databeskyttelsesreglerne.
Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at der er iværksat passende tekniske og organisatoriske sikkerhedsforanstaltninger. Herved bl.a. oplysninger om hvor personoplysningerne befinder sig, samt fysisk adgang til disse, såfremt dette er påkrævet af den Dataansvarlige.
Databehandleren skal sikre, at det kun er vedkommende selv og den Dataansvarlige som har adgang til personoplysningerne.
Databehandleren må ikke uden instruks fra den Dataansvarlige videregive oplysninger, som man kommer i besiddelse af ved udførelsen af opgaven som Databehandler. Databehandleren må ej heller bruge eller behandle oplysninger fra databehandleropgaven til egne formål eller til andre formål end dem, som den Dataansvarlige har fastsat. Såfremt Databehandleren i modstrid med denne aftale behandler oplysninger til egne formål eller andre formål end de, som den Dataansvarlige har fastsat, kræver det et selvstændigt retsligt grundlag og Databehandleren vil få selvstændig status som Dataansvarlig for den konkrete behandling.
Databehandleren skal sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningens art. 32, således at der sikres at personoplysningerne ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Databeskyttelsesreglerne. Databehandleren har som minimum pligt til at overholde nedenstående sikkerhedsforanstaltninger:
Såfremt der er udleveret udstyr til brug for databehandlingen, skal Databehandleren benytte dette udstyr til at foretage den aftalte databehandlingsopgave.
Såfremt Databehandleren til løsning af databehandlingsopgaven benytter eget udstyr, f.eks. computer mv., skal dette udstyr være password beskyttet.
Hvis Databehandleren opretter dokumenter og/eller filer, har Databehandleren, hvis det er teknisk muligt, pligt til at beskytte personoplysninger ved at sætte password på dokumenterne og/eller filerne. Databehandleren skal sørge for, at den Dataansvarlige modtager henholdsvis password og dokumenter/filer separat fra hinanden. Hvis Databehandleren modtager passwordbeskyttet dokumenter og/eller filer fra den Dataansvarlige, skal denne beskyttelse bevares.
Såfremt der i forbindelse med databehandlingsopgaven er behov for, at sende personoplysninger pr. mail, skal dette ske ved, at Databehandleren benytter sin AAU e-mail konto og sender til den Dataansvarliges AAU e-mail konto. Databehandleren må ikke videresende personoplysningerne til en andre e-mail adresser, og har derfor også pligt til at sikre, at vedkommendes AAU e-mail konto ikke er opsat således, at der sker automatisk videre sendelse til anden e-mail adresse.
I forbindelse med udførelse af databehandlingsopgaven må Databehandleren hverken benytte offentlige Wi-Fi netværk (f.eks. biblioteker, tog) eller internetforbindelser, der ikke er beskyttet af password.
Datalagringsmedier (f.eks. USB nøgler) og prints skal opbevares på forsvarlig vis, og hvis teknisk muligt beskyttes af passwords, således disse ikke er tilgængelige for uvedkommende.
Tavshedspligt og fortrolighed
Databehandleren vil i forbindelse med behandlingen af personoplysninger være omfattet af de regler om tavshedspligt, som gælder for ansatte i den offentlige forvaltning. Der henvises til forvaltningslovens § 27 og straffelovens §§ 152-152 f.
Databehandleren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Databehandleraftalen.
Databehandlerens forpligtelser om tavshedspligt og fortrolighed gælder også efter aftalens ophør.
Underdatabehandlere
Databehandleren må ikke overlade behandlingen af personoplysningerne til andre uden den Dataansvarliges forudgående skriftlige tilladelse.
Behandling i udlandet
Databehandleren må ikke uden forudgående skriftligt samtykke fra den Dataansvarlige behandle personoplysningerne uden for Danmarks grænser.
Inspektion, Tilsyn og kontrol
I tilfælde af at den Dataansvarlige, herunder en ekstern konsulent/repræsentant og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion af de ovennævnte foranstaltninger, forpligter Databehandleren sig til – med et rimeligt varsel – at stille sig til rådighed for en sådan inspektion.
Ved alvorlige brud på datasikkerheden eller lignende alvorlige utilsigtede hændelser skal Databehandleren, efter anmodning fra den Dataansvarlige, uden unødig forsinkelse udarbejde en skriftlig redegørelse.
Underretningspligt
Databehandleren forpligter sig til straks at orientere den Dataansvarlige om enhver afvigelse fra kravene i databehandleraftalen, f.eks. ved:
enhver fravigelse fra givne instrukser
enhver mistanke om brud på fortroligheden
enhver mistanke om misbrug, fortabelse og forringelse af data
enhver hændelig eller uautoriseret videregivelse af eller adgang til personoplysningerne behandlet efter denne Databehandleraftale
Meddelelsen efter pkt. 9.1 skal rettes til kontaktpersonen, jf. pkt. 11.
Håndtering af personoplysninger efter databehandleraftalens ophør
Databehandleren forpligter sig til at sikre, at personoplysningerne tilbageleveres eller slettes, når databehandlingen i henhold til Databehandleraftalens instruks i afsnit 3 skal ophøre. Dette skal ske efter nærmere aftale med den Dataansvarliges kontaktperson, jf. pkt. 11.
Kontaktpersoner
Følgende personer hos Parterne er kontaktpersoner.
Den Dataansvarlige: Udfyld felterne med den ansvarlige AAU forskers oplysninger
Navn:
Tlf.:
E-mail:
Databehandleren: Udfyld felterne med den studerendes oplysninger
Navn:
Tlf.:
E-mail:
Ikrafttræden og varighed
Databehandleraftalen træder i kraft på datoen for begge Parters underskrivelse heraf.
Databehandleren er berettiget til ved skriftlig meddelelse til den Dataansvarlige at opsige Databehandleraftalen med en måneds skriftligt varsel, dog betinget af at personoplysninger tilbageleveres eller slettes forinden.
Underskrifter
Databehandleren
Sted, dato:
Navn, Studerende
Den Dataansvarlige
Sted, dato:
Navn, Projektleder
Navn, Institutleder
Xxxx Xxxxxxxxxxx, Kontraktchef
Side 1 af 7
Studenter Databehandleraftale i forbindelse med et forskningsprojekt - 2019