Aftale om en fælles DBR-funktion for Faxe Kommune og Stevns Kommune

Aftale om en fælles DBR-funktion for Faxe Kommune og Stevns Kommune

§ 1

Parterne

Stevns Kommune og Faxe Kommune har besluttet at oprette en fælles DPO-funktion (Data Protection Officer) til varetagelse af de opgaver og det ansvar, der følger af lovgivningen i forhold til den nye databeskyttelses EU-forordnings artikel 24. I det efterfølgende bruges den danske betegnelse, DBR (Data Beskyttelses Rådgiver).

§ 2

Samarbejdets formål

Samarbejdets formål er, at optimere de to kommuners datasikkerhedsniveau og sikre kommunernes muligheder for leve op til databeskyttelses lovgivningens bestemmelser og anbefalinger.

§ 3

Forudsætninger

Det er en forudsætning for samarbejdet, at begge kommuner er indstillet på at behandle og følge anbefalingerne fra den fælles DBR –funktion.

Den vedtagne lovgivning samt den udarbejdede vejledning om DBR-funktionen betragtes som en del af aftalegrundlaget for samarbejdet.

Lovgivningen og vejledningen er således lige så juridisk bindende for parterne, som nærværende aftale.

§ 4

Delegation af kompetencer

Den fælles DBR-funktion har ved indgåelse af denne kontrakt fået delegeret kompetencen til at løse alle lovbundne DBR-opgaver og varetage alt ansvar i relation hertil på den enkelte kommunens vegne.

§ 5

Opgaven / arbejdsgrundlag

Følgende opgaver skal løses af DBR-funktionen:

1. Skal udøve uvildig og uafhængig rådgivning til organisationen om databeskyttelse for at understøtte, at de dataansvarlige overholder reglerne i databeskyttelsesforordningen.

2. Skal overvåge organisationens generelle og specifikke overholdelse af de databeskyttelsesretlige regler.

3. Skal rådgive i bredt i organisationen i forbindelse med udarbejdelse af konsekvensanalyser med videre.

4. Skal involveres inden udbud af eller køb af nye IT-systemer.

5. Skal samarbejde med Datatilsynet på organisationens vegne.

6. Skal modtage underretning om, rådgive om og påtale i forbindelse med organisatoriske sikkerhedsbrister.

7. Skal vejlede kommunens borgere om deres rettigheder, herunder mødes med borgere i konkrete sager

Den fælles DBR-funktion skal med dette udgangspunkt inddrages i alt arbejde vedrørende IT-systemer, varetage informationskampagner og undervisning, supportere de to kommuners administrationer og organisationers medarbejdere samt bidrage til udarbejdelse af diverse politikker, procedurer, retningsliner, herunder en årsplan for sikkerhedsindsatsen.

De to kommunale organisationener er på deres side forpligtet til at inddrage DBR´en rettidigt og tilstrækkeligt i alle overvejelser og vurderinger vedr. overholdelse af kravene i databeskyttelseslovgivningen. Der er ingen krav til niveauet for inddragelse. DBR´en inddrages i videst mulige omfang ved alle indkøb af nye IT-systemer og ved udarbejdelse af politikker og procedurer samt sikring af compliance

DBR´en er en uafhængig institution i begge kommuner. Vedkommende må ikke blive instrueret af andre, om, hvordan opgaverne skal udføres. Dette særlige forhold er de samarbejdende kommuner enige om, er en væsentlig forudsætning for at DBR´en kan løse opgaven bedst muligt. De to kommuner anerkender således, at DBR´en er en beskyttet funktion og vedkommende kan ikke afskediges eller sanktioneres for at udføre sine opgaver.

DBR´en skal i begge kommuner referere og rapportere direkte til det øverste ledelsesniveau – dvs. Byrådet.

DBR´en har ikke instruktionsbeføjelser over for andre dele af de to kommuners organisationer, så i praksis er muligheden for at kunne rapportere direkte til øverste ledelsesniveau, byrådet DBR´ens interne virkemiddel over for konstaterede brud på sikkerhedsforordningen og den tilknyttede lovgivning.

DBR´en er en integreret del af kommunernes organisationer. DBR´en kan ikke have opgaver for de dataansvarlige i kommunerne, hvis disse opgaver relaterer sig til DBR´ens opgavefelt eller ansvarsområde.

Der skal i begge kommuner være udpeget én person, som er personligt ansvarlig for, at hvervet som DBR kan varetages i det daglige.

De to kommunale organisationer forpligter sig til at finde en ensartet balance mellem hvilke ting der i praksis løses som driftsopgaver og hvilke ting DBR´en løser i praksis f.eks. i forhold til undervisning og godkendelse af IT-kontrakter.

De to kommunale organisationer forpligter sig til at opbygge et team omkring DBR´en, som kan understøtte DBR´en. Teamet bør bestå af både juridiske og IT-tekniske kompetencer. Der kan opbygges et fælles team på tværs af de to kommuner eller et team i hver kommune. Såfremt der opbygges et fælles team, skal der være minimum en repræsentant fra hver kommunes IT-afdeling i teamet. Hvis en kommune har ansat en sikkerhedskoordinator, bør denne person deltage i teamet.

I tilfælde af akutte sikkerhedsbrister, der opstår samtidig i begge kommuner har DBR´en kompetencen til at vurdere hvilken sikkerhedsbrist, der kræver DBR´ens primære fokus og hvilken sikkerhedsbrist, hvor DBR`en kan bede sin stedfortræder i den anden kommune om at tage over.

DBR´en er forpligtet til at koordinere sin rådgivning af organisationerne med de medarbejder som arbejder med rådgivning og undervisning.

Hver kommune udpeger en stedfortræder for DBR´en. Den enkelte kommunes stedfortræder skal varetage DBR´ens opgaver i tilfælde af sygdom og ferie.

Såfremt stillingen som fælles DBR er ubesat i en periode, forpligter de to kommunale organisationer til at afsætte ressourcer til at deres respektive stedfortrædere koordinerer igangværende indsatser i de to organisationer.

§ 6

Tavshedspligt

Den fælles DBR er som alle andre kommunale ansatte omfattet af reglerne om tavshedspligt.

Den kommune, hvor den fælles DBR fysisk er placeret har ansvaret for, at reglerne om tavshedspligt er indskærpet og, at der forefindes et kontor med en arbejdsplads i begge kommuner.

§ 7

Ledelse og Personale

Den fælles DBR-funktion er organisatorisk og fysisk placeret i den kommune, der matcher bedst med den til stillingen ansatte DBR. Kommunen der vælges varetager lønadministrationen i forhold til DBR. Kommunen afholder den fulde udgift til DBRs løn, kursusdeltagelse og fornøden kørselsgodtgørelse ligesom ansættelseskommunen er ansvarlig for al lønforhandling med videre.

DBR´ens arbejdstid er fordelt ligeligt mellem de to kommuner.

DBR´en er således over en tre-måneder periode (som følger kalenderårets kvartaler) forpligtet til at arbejde i gennemsnit 18,5 time ugentligt for hver kommune. DBR kan i tilfælde af sikkerhedsbrister og hændelser, undervisningsforløb, mange borger henvendelser, behov for mange konsekvensanalyser mv. i en kortere periode lægger alle sine arbejdstimer hos den ene kommune.

Såfremt der opstår et behov herfor der strækker sig over længere tid end 5 uger, skal det aftales særskilt i hvert enkelt tilfælde med styregruppen. Der tænkes her særligt på hændelser, hvor der skal handles aktivt overfor datatilsynet inden for de i bestemmelserne anførte 72. timer.

§ 8

Fysiske rammer og kontorhold

De nødvendige faciliteter, der som minimum skal stilles til rådighed, er i begge de samarbejdende kommuner en fast arbejdsplads bestående af et hejse-/sænkeskrivebord, skuffesektion, kontorstol, lofts- og skrivebordslampe, telefon, IT-udstyr bestående af pc´er installeret med de nødvendige programmer, fladskærm, mus og tastatur. Medarbejderne bliver bevilliget mobiltelefon og hjemmearbejdsplads i det omfang det er i overensstemmelse med ansættelseskommunes praksis på området.

DBR´en skal have adgang til øvrigt kontormateriale som kuglepenne, blyanter, blokke mv. .

Begge kommuner sørger for oprettelse af systemadgang og servicering af IT-udstyret. Medarbejderne er forpligtet til at følge ansættelseskommunens IT-sikkerhedsregler.

§ 9

Økonomiske rammer

Ansættelseskommunen udarbejder forslag til budget for begge kommuner. Kommunalbestyrelserne skal godkende budgettet for egen kommune.

Udgifterne forbundet med at have DBR-funktionen fysisk placeret i de to kommuner dækkes af kommunerne selv. Udgifter til særlige software til opgavevaretagelsen dækkes af de to kommuner forholdsvis efter indbyggertal.

Den ansættende kommune er forpligtiget til at foretage løbende budgetopfølgning i overensstemmelse med eget budget- og regnskabsregulativ.

Regnskabsåret følger kalenderåret.

DBRén udarbejder en årsrapport for arbejdet i de to kommuner. Årsrapporten skal afleveres i en form, hvor målgruppen er den enkelte kommune. I praksis betyder dette, at DBR skal udarbejde to årsrapporter.

Årsrapporten skal udformes på en måde, hvor det tydeliggøres hvilke aktiviteter DBR har været involveret i. DBR er forpligtiget til at påpege problematiske sikkerhedsforhold i sin årsrapport. Regnskabet er en integreret del af årsrapporten. Kommunalbestyrelserne skal godkende årsrapporten for egen kommune.

Vedr. budget, regnskab og administration af omkostninger gælder i øvrigt følgende:

§ 10

Kontraktperiode

Denne aftale er gældende fra d. 1.januar 2019 og til aftalen opsiges af en af parterne.

§ 11

Opsigelse

Begge parter kan opsige aftalen skriftligt med 6 måneders varsel uden begrundelse til den 1. i en måned. Ved væsentlig misligholdelse kan aftalen opsiges straks uden varsel af den ikke-misligholdende part.

§ 12

Xxxxxxx / misligholdelse

Såfremt en af parterne ikke overholder sine forpligtigelser er der tale om en mangel. Manglende overholdelse af forpligtigelser betragtes som misligholdelse og kan medføre et erstatningsansvar og opsigelse af kontrakten.

Væsentlige mangler berettiger til at ophæve kontrakten uden varsel.

Ved væsentlige mangler forstås bla.:

- tilsidesættelse af sine forpligtigelser gentagne gange

- misbrug af indsamlede data

- brud på tavshedspligten

- ikke får adgang til relevante informationer til brug for løsning af opgaver

Kommunerne hæfter ikke for manglende opfyldelse af sine forpligtelser, som skyldes force majeure, herunder krig, optøjer, borgerlige uroligheder, regeringsindgreb eller indgreb af lokale myndigheder, strejke, blokade eller lockout, eksport- eller importforbud, naturkatastrofer eller dårlige vejrforhold, brand, mangel på arbejdskraft eller energiforsyning eller nogen årsag i øvrigt som ligger uden for kommunernes (afdelingernes/institutionernes) kontrol og som er egnet til at hindre kommunerne (afdelingernes/institutionernes) i opfyldelsen. Force Majeure klausulen er gældende hvad enten opfyldelseshindringerne rammer kommunerne (afdelingerne/institutionerne) eller kommunernes aftaleparter eller en af aftaleparten valgt underleverandør eller transportør.

Såfremt parten har haft mulighed for at forudse, at en af ovennævnte situationer kunne opstå og har haft mulighed for at sikre, at kommunen på trods af situationen har haft mulighed for at tage sine forholdsregler og således alligevel kunne opfylde sine forpligtelse hæfter parten alligevel for den manglende opfyldelse af sine forpligtelser.

§ 13

Ophør af samarbejdet

Ved ophør af samarbejdet har DBR ansvaret for at opgaverne bliver

overdraget til de afdelinger i Stevns Kommune og Faxe Kommune, som skal varetage opgaverne fremover.

§ 14

Brug af udarbejdet materiale og ophavsret

I det omfang Den fælles DBR udarbejder materiale til brug for generel vejledning, afholdelse af interne kurser, forebyggelse og risikostyring, tilhører det udarbejdede materiale begge kommuner.

Dette gælder uanset om materialet er udarbejdet i samarbejde med begge kommunernes medarbejder og/eller til brug for alle tre kommuners medarbejdere eller kun er udarbejdet i samarbejde med/til brug for en eller to af kommunernes medarbejdere.

Kommunerne kan således frit anvende det udarbejdede materiale også efter at den fælles DBR-funktion eventuelt er ophørt.

§ 15

Øvrige bestemmelser

De to kommuner nedsætter en styregruppe bestående af to ledelsespersoner, hvor der jf gældende regler skal ses bort fra personer i funktionen HR-Chef og IT-Chef.

De til nærværende kontrakt tilhørende bilag anses som en del af det samlede aftalegrundlag/kontraktmateriale og er således juridisk lige så bindende for parterne som selve kontrakten. Kontraktens bestemmelser gælder også for de vedhæftede bilag.

Begge parter bekræfter med deres underskrifter, at de samtidig har læst og accepteret indholdet af bilag 1 og 2.

Bilag:

1. Vejledning om DBR-funktionen

2. Stillingsbeskrivelsen

Stevns Kommune

Faxe Kommune