Vilkår for adgang til og brug af DataHub – NETVIRKSOMHED 1/19
Vilkår for adgang til og brug af DataHub – NETVIRKSOMHED 1/19
Energinet DataHub A/S Tonne Xxxxxxxx 00
DK-7000 Fredericia
x00 00 00 00 00
xxxx@Xxxxxxxxx.xx CVR-nr. 39 31 50 41
VILKÅR FOR ADGANG TIL OG BRUG AF DATAHUB –
NETVIRKSOMHED
Energinet DataHub A/S Tonne Xxxxxxxx 00
7000 Fredericia
CVR-nr. 39 31 50 41
- herefter Energinet DataHub - der ejer og driver DataHub
og
[Selskabsnavn] [Adresse] [Postnr og by]
CVR-nr. [xx xx xx xx] GLN-nr. [xxxxxxxxxxxxx]
- herefter netvirksomheden -
der udøver virksomhed med bevilling til at drive elnet i Danmark.
Dato:
28. september 2021
Forfatter: HLJ/JDNI
Revisionsoversigt
Afsnit | Tekst | Version | Dato |
Alle | Opdateret layout samt tilretning af sprog og lovreferencer Tilretning i forbindelse med koncerndannelse i Energinet Tilføjelse af Databehandleraftale | 3.0 | Maj 2018 |
Alle | Små fejlrettelser, tilretning i forbindelse med koncerndannelse i Energinet Behandling af data hos 3-lande udgår, Ny CGI-underleverandør Sentia A/S | 3.1 | September 2019 |
Alle | Korrekturrettelser Tilretning af databehandleraftale | 4.0 | September 2021 |
Baggrund og formål
1.1 Energinet er i henhold til Bekendtgørelse af lov om elforsyning1 (herefter elforsyningsloven) § 28, stk. 2, nr. 7 ansvarlig for etablering og drift af en datahub til håndtering af måledata mv. og til vare- tagelse af nødvendige funktioner og kommunikation til brug for elleverandørernes fakturering, her- under formidling af information om elafgifter og nettariffer.
1.2 Som ansvarlig for drift af DataHub skal Energinet fastsætte ikke-diskriminerende og objektive vilkår for brugen heraf. Bestemmelserne i disse vilkår er således fastsat i henhold til elforsyningsloven § 28, stk. 2, nr. 12 og 13 og § 31, stk. 2.
1.3 Bestemmelserne i disse vilkår er fastsat med henblik på:
• at skabe bedst mulige betingelser for konkurrence på markeder for produktion og handel med elektricitet,
• at sikre krav til indrapportering og formidling af data og andre informationer af relevans for Da- taHub, og dermed sikre aktørerne på det danske elmarked et velfungerende elmarked.
Generelle vilkår
2.1 Ved underskrift af nærværende vilkår giver Energinet DataHub netvirksomheden adgang til at blive registreret som bruger af DataHub og til løbende brug af DataHub som anført i Energinets til enhver tid gældende markedsforskrifter og vilkår.
2.2 Netvirksomheden er forpligtet til at overholde de til enhver tid gældende markedsforskrifter og vil- kår. Markedsforskrifterne er tilgængelige på xxx.xxxxxxxxx.xx.
2.3 Når netvirksomheden er registreret som bruger af DataHub, får netvirksomheden adgang til Data- Hubs markedsportal via et antal brugeradgange, som er sikret med NemID. Netvirksomheden har pligt til at træffe fornødne foranstaltninger til at sikre, at adgangsoplysninger alene er tilgængelige for netvirksomheden, og at de ikke kommer uvedkommende til kendskab.
2.4 Hvis netvirksomheden gennemfører en transaktion i DataHub, er netvirksomheden bundet af trans- aktionen.
2.5 Energinet DataHub er forpligtet til at forestå drift af DataHub i overensstemmelse med gældende lovgivning herunder særligt lov om supplerende bestemmelser til forordning om beskyttelse af fysi- ske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)2 (herefter databeskyttelsesloven), databeskyttelsesforordnin- gen3 samt god databehandlingsskik. Energinet DataHub er forpligtet til at træffe de nødvendige og tilstrækkelige tekniske (herunder IT) og organisatoriske sikkerhedsforanstaltninger mod, at data i DataHub kommer uvedkommende til kendskab.
2.6 Som udgangspunkt er Energinet DataHub dataansvarlig for behandling af data i DataHub efter reg- lerne i databeskyttelsesloven og Databeskyttelsesforordningen.
2.7 Hvor Energinet DataHub er databehandler efter reglerne i databeskyttelsesloven og Databeskyttel- sesforordningen, fremgår af Bilag 1 med tilhørende bilag til disse Vilkår for adgang til og brug af Da- taHub - netvirksomhed.
1 LBK nr. 984 af 12/05/2021 med senere ændringer.
2 Lov nr. 502 af 23/05/2018.
3 Europa-parlamentets og rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med be- handling af personoplysninger og om fri udveksling af sådanne oplysninger mv.
Aktørstamdata og EDI kommunikation
3.1 I forbindelse med registreringen som bruger af DataHub skal netvirksomheden oprette og validere de stamdata, der skal være registreret om netvirksomheden. Xxxxxxx til disse stamdata er anført i Forskrift I: Stamdata.
3.2 Netvirksomheden er til stadighed forpligtet til løbende at vedligeholde sine stamdata i Energinet Da- taHubs aktørstamdataregister jf. Forskrift I: Stamdata.
3.3 Hvis netvirksomheden ønsker at benytte EDI kommunikation til at meddelelsesudveksle med Data- Hub, skal netvirksomhedens system testes og godkendes hertil som anført i Forskrift F1: EDI kom- munikation med DataHub i elmarkedet. I denne forskrift er der endvidere beskrevet krav til at fore- tage fornyet test og godkendelse ved efterfølgende væsentlige ændringer i netvirksomhedens sy- stem.
3.4 Såfremt netvirksomheden jf. afsnit 3.3 ønsker at benytte EDI kommunikation til at meddelelsesud- veksle med DataHub, men kun har gennemført en aktørtest i begrænset omfang, forpligter netvirk- somheden sig til udelukkende at benytte den funktionalitet som er testet og godkendt af Energinet DataHubs aktørtestsystem.
3.5 Hvis netvirksomheden ønsker at starte forretningsprocesser, hente måledata m.m. i DataHub uden brug af EDI, kan dette ske ved anvendelse af DataHubs markedsportal. Krav til netvirksomhedens håndtering af forretningsprocesser i DataHub, blandt andet vedrørende tidsfrister, er ens uanset hvilken type kommunikation, som netvirksomheden anvender.
3.6 Netvirksomheden er forpligtet til, til enhver tid at overholde de retningslinjer, Energinet har fastsat for brug af testmiljø knyttet til DataHub, herunder hvilke data, der må uploades til testmiljøet. Sær- ligt skal netvirksomheden påse, at gældende databeskyttelseslov og databeskyttelsesforordningen overholdes.
Krav til behandling af oplysninger
4.1 Netvirksomheden indestår over for Energinet DataHub for, at netvirksomhedens indhentelse og be- handling af oplysninger samt kommunikation med DataHub sker i overensstemmelse med gældende lovgivning og på et lovligt grundlag.
4.2 Netvirksomheden indestår for at have truffet de nødvendige og tilstrækkelige tekniske (herunder IT) og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger om data hændeligt eller ulovligt fortabes, forringes eller kommer uvedkommende til kendskab.
Pligt til at informere
5.1 Energinet DataHub og netvirksomheden skal begge bidrage til gennemførelsen af disse vilkår. Begge parter skal derfor stille den nødvendige information til drift af DataHub til rådighed for hinanden uden ugrundet ophold.
5.2 Hvis netvirksomhedens forhold ændres, skal netvirksomheden straks informere Energinet DataHub om ændringerne.
Energinet DataHubs adgang til og brug af oplysninger
6.1 Energinet DataHub har til driftsmæssige formål og til opfyldelse af Energinets og Energinets datter- selskabers opgaver i henhold til elforsyningsloven og anden lovgivning til enhver tid ret til nødvendig indsigt i de af netvirksomheden indmeldte oplysninger i DataHub, herunder oplysninger om netvirk- somhedens kunder, transaktioner, aktørstamdata m.v.
6.2 Energinet og Xxxxxxxxxx datterselskaber har ret til at anvende oplysninger i DataHub til varetagelse af de opgaver, der i henhold til lovgivningen er pålagt Energinet og Xxxxxxxxxx datterselskaber. Dette omfatter blandt andet:
• beregninger til brug for afregningsformål i elmarkedet, fx nettoafregning, saldoafregning, engrosafregning m.v.
• statistik og analyse af markedsaktørernes handlinger og bevægelser/udvikling inden for elmarkedet i øvrigt
• fejl retning ved fejltransaktioner i DataHub
• videreformidling af informationer fra DataHub efter gældende lov, offentlige pålæg m.v.
6.3 Energinet DataHub foretager logning af alle transaktioner i DataHub af tekniske og sikkerhedsmæs- sige hensyn og med henblik på drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af aktørernes overholdelse af markedsforskrifterne og nærværende vilkår. Til varetagelse af de anførte hensyn foretager Energinet DataHub kontrol af loggen samt individuel kontrol i øvrigt i forbindelse med fx driftsnedbrud eller mistanke om grov eller gentagende overtrædelse af markeds- forskrifterne eller nærværende vilkår.
Erstatningsansvar
7.1 Energinet DataHub og netvirksomheden er ansvarlige efter dansk rets almindelige regler om erstat- ningsansvar. Der kan dog ikke kræves erstatning for indirekte tab, herunder driftstab, avancetab, tab af data og/eller følgeskader, med mindre dette skyldes groft uagtsomme eller forsætlige forhold fra den ansvarlige part.
7.2 Energinet er ikke ansvarlig over for netvirksomheden for rigtigheden af de af aktørerne indmeldte data i DataHub. Energinet DataHub er således ikke ansvarlig for, at aktørerne fremsender ufuld- stændige eller fejlagtige data og undlader at rette disse inden for de til enhver tid gældende tidsfri- ster. Herunder at øvrige aktører måtte anvende sådanne data, som er indsendt af en anden aktør.
Ændringer i nærværende vilkår
8.1 Energinet DataHub har ret til at foretage ændringer i disse vilkår med seks måneders varsel, med- mindre der er tale om ændringer som anført i nedenstående afsnit 8.2-8.3. Før ændringer foreta- ges, skal Energinet DataHub give netvirksomheden anledning til at kommentere de ændringer, som foreslås foretaget.
8.2 Energinet DataHub har ret til i nødvendigt omfang at ændre IT-forudsætningerne for brug af Data- Hub, fx ændringer i funktionalitet, konfigurering m.v. med et rimeligt varsel. Såfremt ændringerne har væsentlig indflydelse på netvirksomhedens systemopsætning eller forretningsgange, skal Energi- net DataHub tilstræbe så vidt muligt at informere netvirksomheden om ændringerne med længst mulig og mindst seks måneders varsel. Hvis ændringerne skyldes hensyn til DataHubs fortsatte tek- niske eller sikkerhedsmæssige drift, vil dette varsel dog kunne være kortere.
8.3 Energinet DataHub har ret til med rimeligt varsel at foretage ændringer, som følge af ændringer i gældende lovgivning, som har betydning for Energinet DataHubs drift af DataHub. Energinet Data- Hub vil ved sådanne ændringer så vidt muligt konsultere netvirksomheden og forsøge så vidt muligt at varsle de pågældende ændringer, dog således, at ændringerne under alle omstændigheder kan træde i kraft fra tidspunktet for lovændringernes ikrafttræden.
Ophør
9.1 Nærværende vilkår kan af netvirksomheden bringes til ophør med et opsigelsesvarsel svarende til varigheden af den længste af netvirksomhedens gyldige aftaler om netbenyttelse i Danmark tillagt 30 dage, og således at opsigelsen altid skal ske til den første i en måned.
9.2 Energinet DataHub har ret til at bringe nærværende vilkår til ophør over for netvirksomheden i til- fælde af, at netvirksomheden groft eller gentagne gange tilsidesætter regler i Energinets markeds- forskrifter og vilkår, som kan sanktioneres af Energinet med helt eller delvis udelukkelse fra DataHub efter elforsyningsloven § 31, stk. 3.
9.3 Det er en betingelse for, at Energinet DataHub kan bringe vilkårene til ophør efter afsnit 9.2, at der samtidig sker bevillingsmæssig afklaring af netvirksomhedens misligholdelse, hvilket henhører under Energistyrelsens kompetence jf. elforsyningsloven § 31, stk. 3. Energinet DataHubs ophør af nærvæ- rende vilkår kræver således samtykke fra Energistyrelsen.
9.4 I tilfælde af væsentlig misligholdelse fremsender Energinet skriftlig meddelelse til netvirksomheden om, at Energinet indberetter tilsidesættelsen til Energistyrelsen til videre foranstaltninger, herunder bedømmelse af de eventuelle bevillingsmæssige konsekvenser ifølge elforsyningsloven § 54.
9.5 Hvis Energistyrelsen efter bevillingsmæssig afklaring giver samtykke til, at Energinet DataHub brin- ger nærværende vilkår til ophør, fremsender Energinet skriftlig meddelelse om, at netvirksomheden herefter helt eller delvist bliver udelukket fra anvendelse af DataHub. Meddelelsen skal være ved- lagt klagevejledning i henhold til elforsyningsloven § 31, stk. 4 og 5.
9.6 Ved Energinet DataHubs ophævelse af nærværende vilkår, er det nødvendigt at foretage ophør af netvirksomhedens kundeforhold for de målepunkter, som netvirksomheden er ansvarlig for.
9.7 Ved disse vilkårs ophør, ophører netvirksomhedens ret til adgang til og anvendelse af DataHub.
Overdragelse
10.1 Netvirksomheden kan hverken helt eller delvist overdrage sine rettigheder eller forpligtelser i hen- hold til nærværende vilkår uden Energinet DataHubs forudgående skriftlige samtykke.
Force majeure
11.1 Ingen af parterne skal i henhold til nærværende vilkår anses for ansvarlig over for den anden part, for så vidt angår forhold, der ligger udenfor partens kontrol, og som parten ikke burde have taget i betragtning og ej heller burde have undgået eller overvundet. Force majeure ved forsinkelse kan højest gøres gældende med det antal arbejdsdage, som force majeure situationen varer.
11.2 Parterne skal informere hinanden om force majeure begivenhedens indtræden samt afslutning uden ugrundet ophold.
Værneting og lovvalg
12.1 Energinets sanktioner kan af netvirksomheden indbringes for Forsyningstilsynet, Xxxxxxxxx 00, 0000 Xxxxxxxxxxxxx. Herudover kan Energinets afgørelse om at afregistrere netvirksomheden som bruger af DataHub forlanges indbragt for domstolene inden fire uger, efter beslutningen er meddelt netvirksomheden, jf. elforsyningsloven § 31, stk. 5.
12.2 Øvrige tvister, som måtte opstå i forbindelse med nærværende vilkår, og som Energinet og netvirk- somheden ikke ved fælles forhandling kan løse, skal først søges løst ved mediation mellem parterne. Mediationen skal ske i henhold til de til enhver tid gældende regler for mediation under Voldgiftsin- stituttet.
12.3 Kan tvisten ikke løses efter ovennævnte procedure, og har Energitilsynet eller Energistyrelsen ikke kompetence til at afgøre tvisten, afgøres tvisten efter Regler for behandling af sager ved Voldgiftsin- stituttet.
12.4 Udgør sagens genstand mindre end DKK 500.000, består voldgiftsretten kun af ét medlem udpeget af Voldgiftsnævnet.
12.5 Voldgiftsretten skal i sine kendelser tage stilling til fordeling af sagsomkostningerne, herunder om- kostninger til parternes advokater.
12.6 Voldgiftsafgørelsen er bindende og endelig for parterne.
Underskrifter
Energinet DataHub A/S Netvirksomheden
Dato: / 2021 Dato: / 2021
Xxxxxx Xxxxxx Xxxxx [Indsæt tydeligt navn og underskrift] Vice President & CEO
Bilag 1
Energinet DataHub A/S som databehandler efter aftale med netvirksomheden
Der er ved underskrift af dette dokument indgået en databehandleraftale mellem Dataansvarlig
[Selskabsnavn] [Adresse] [Postnr og by]
CVR-nr. [xx xx xx xx] GLN-nr. [xxxxxxxxxxxxx]
og Databehandler
Energinet DataHub A/S – herefter Energinet DataHub
Tonne Xxxxxxxx 00
7000 Fredericia
CVR-nr. 39 31 50 41
1 Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehand- leren foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parla- mentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforordningen), som stiller spe- cifikke krav til indholdet af en databehandleraftale.
3. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes
”hovedaftale”: Vilkår for adgang til og brug af DataHub – netvirksomhed.
4. Databehandleraftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ”hovedaftalen” – erstattes af en anden gyldig databehandleraftale.
5. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre
aftaler mellem parterne, herunder i ”hovedaftalen”.
6. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandlerafta- len.
7. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
8. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databehandle- ren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle under- databehandlere, som den dataansvarlige har godkendt.
9. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling databe- handleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikker- hedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med data- behandleren og eventuelle underdatabehandlere.
10. Databehandleraftalens Bilag D indeholder parternes eventuelle regulering af forhold, som ikke
ellers fremgår af databehandleraftalen eller parternes ”hovedaftale”.
11. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
12. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyt- telsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.
2 Den dataansvarliges forpligtelser og rettigheder
1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt an- svaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelses- forordningen og databeskyttelsesloven.
2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling. Den dataansvar- lige er, jf. ”hovedaftalen”, til enhver tid forpligtet til at overholde de af Energinet med hjemmel i elforsyningsloven udstedte forskrifter.
3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.
3 Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den da- taansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan under- retning af hensyn til vigtige samfundsmæssige interesser, jf. artikel 28, stk. 3, litra a.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehand- lerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4 Fortrolighed
1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplys- ningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lov- bestemt tavshedspligt.
4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
5 Behandlingssikkerhed
1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelses- forordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle ni- veau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sam- menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foran- staltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
a. Data på non produktions DataHub miljøer er anonymiseret.
b. Data er krypteret på både DataHub produktion og non produktion miljøerne.
c. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af be- handlingssystemer og – tjenester.
d. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
e. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den data- ansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sikkerhedsfor- anstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales Bilag D.
6 Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde bestemmelserne i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehand- lere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
4. Den dataansvarliges nærmere betingelser for databehandlerens brug af eventuelle underdata- behandlere fremgår af denne aftales Bilag B.
5. Den dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anført i denne aftales Bilag B.
6. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underdatabe- handler, sørger databehandleren for at pålægge underdatabehandleren de samme databeskyt- telsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kra- vene i databeskyttelsesforordningen.
Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale
– at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.
7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den dataan- svarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
8. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som be- gunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandle- ren, f.eks. så den dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.
9. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databe- handleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
7 Overførsel af oplysninger til tredjelande eller internationale organi- sationer
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den da- taansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anven- delse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er un- derlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. artikel 28, stk. 3, litra a.
2. Uden den dataansvarliges instruks eller godkendelse kan databehandleren – indenfor rammerne af databehandleraftalen - derfor bl.a. ikke:
a. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en internatio- nal organisation,
b. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,
c. lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er place- ret i et tredjeland.
3. Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af per- sonoplysninger til et tredjeland, vil fremgå af denne aftales Bilag C.
8 Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den data- ansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. den registreredes indsigtsret
d. retten til berigtigelse
e. retten til sletning (»retten til at blive glemt«)
f. retten til begrænsning af behandling
g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, her- under profilering.
2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges for- pligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behand- lingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. artikel 28, stk. 3, litra f.
Dette indebærer, at databehandleren under hensyntagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behand- lingen
b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Da- tatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataan- svarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers ret- tigheder og frihedsrettigheder
e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risi- koen.
9 Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efter- leve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
2. I overensstemmelse med denne aftales afsnit 8.2., litra b, skal databehandleren – under hensyn- tagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til tilsynsmyndigheden:
a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kate- gorierne og det omtrentlige antal berørte registrerede samt kategorierne og det om- trentlige antal berørte registreringer af personoplysninger.
b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden.
c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på per- sondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
10 Sletning og tilbagelevering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den data- ansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne, da oplysningerne kan have betydning for at elmarkedet kan fungere og afregningen gennemføres korrekt.
11 Tilsyn og revision
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens over- holdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den data- ansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en revisor, som er bemyndiget af den dataansvarlige.
2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af denne aftales Bilag C.
3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gen- nem databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
4. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lov- givning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod be- hørig legitimation.
12 Ikrafttræden og ophør
1. Denne aftale træder i kraft ved begge parters underskrift heraf.
2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssighe- der i aftalen giver anledning hertil.
3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i forbindelse med ændringer af denne aftale vil fremgå af parternes ”hovedaftale” eller af denne aftales Bilag D.
3. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel,
som fremgår af ”hovedaftalen”.
4. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller databe- handleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
13 Underskrift
På vegne af databehandleren: På vegne af den dataansvarlige:
Energinet DataHub A/S Netvirksomheden
Dato: / 2021 Dato: / 2021
Xxxxxx Xxxxxx Xxxxx [Indsæt tydeligt navn og underskrift] Vice President & CEO
Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databe- handleren
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/kontaktpunkter:
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktperso- nen/kontaktpunktet.
På vegne af databehandleren: På vegne af den dataansvarlige:
Navn: Energinet Navn:
Stilling:
Tlf. nr.: x00 00 00 00 00 Tlf. nr.:
Email: xxxxxxxxxx@xxxxxxxxx.xx Email:
Bilag A Oplysninger om behandlingen
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvar- lige er:
Den dataansvarlige kan gennem DataHub, som ejes og administreres af databehandleren, fremsende med- delelser med BRS eller i form af webforms Formålet med fremsendelse af sådanne meddelelser er kommu- nikation med en anden aktør. Databehandleren sørger for at sådanne meddelelser gemmes i DataHub.
Den dataansvarlige fremsender data til databehandleren, som databehandleren registrerer i DataHub på vegne af den dataansvarlig.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig om (karakteren af behandlingen):
• Databehandleren stiller DataHub til rådighed for den dataansvarlige til brug for fremsendelse af meddelelser ved anmeldelse af en BRS, hvor den dataansvarlige fremsender meddelelser til en anden aktør, og hvor data ikke bruges i DataHub til afregning, jf. nærmere i Bilag C.
• Databehandleren stiller DataHub til rådighed for den dataansvarlige til brug for fremsendelse af webforms, hvor den dataansvarlige fremsender meddelelser til en anden aktør, jf. nærmere i Bilag C.
• Databehandleren foretager rettelse af data i DataHub på den dataansvarliges foranledning og efter instruktion af den dataansvarlige, hvor den dataansvarlige ikke selv kan tilrette data ved brug af en BRS som foreskrevet i forskrifter udsted af Energinet, jf. nærmere i Bilag C.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
• Oplysninger om kunder registreret på målepunkter i det netområde, hvor den dataansvarlige har netbevilling, fx navn, adresse, tællerstand, forventet årsforbrug, information om forhold i forbin- delse med afbrydelse af elforsyningen, mv.
Behandlingen omfatter følgende kategorier af registrerede:
• Kunder registreret på målepunkter i det netområde, hvor den dataansvarlige har netbevilling.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbe- gyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
• Behandlingen er ikke tidsbegrænset og varer indtil aftalen opsiges eller ophæves af en af par- terne.
• Aftalen kan ikke opsiges, så længe ”hovedaftalen” er gældende og den dataansvarlige er bruger
af DataHub.
• Aftalen kan af databehandleren og den dataansvarlige kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
Bilag B Betingelser for databehandlerens brug af underdatabehand- lere og liste over godkendte underdatabehandlere
B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum 1 måned før anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 14 kalender- dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt den da- taansvarlige har rimelige, konkrete årsager hertil.”
B.2 Godkendte underdatabehandlere
Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende under- databehandlere:
Navn | CVR-nr | Land | Beskrivelse af behandling |
CGI Danmark A/S | DK-28980671 | Danmark | Koordinerer udførelse af arbejdsopga- ver, som Energinet DataHub stiller om ændringer og rettelse af fejl i DataHub. CGI Danmark A/S drifter og stiller Data- Hub til rådighed for Energinet DataHub. Herigennem overvåger CGI Danmark A/S den daglige performance af Data- Hub og har adgang til data registreret i DataHub. |
CGI Danmark A/S bruger følgende underdatabehandlere: | |||
CGI Holland | NL001620952B01 | Holland | CGI Danmark A/S’s underleverandører udfører ændringer og rettelse af fejl i DataHub efter ordrer fra CGI Danmark A/S. Herigennem overvåger selskaberne den daglige performance af DataHub og har adgang til data registreret i DataHub. |
CGI Norge | NO919562390 | Norge | |
CGI Sverige | SE556337219101 | Sverige | |
Sentia A/S | DK-10008123 | Danmark | Hosting af DataHub er outsourcet via CGI til Sentia A/S, som derved har ansva- ret for rapportering og driftsvedligehold. Data ligger på flere lokationer. |
Den dataansvarlige har ved databehandleraftalens ikrafttræden specifikt godkendt anvendelsen af oven- nævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten. Databehandleren kan ikke – uden den dataansvarliges specifikke og skriftlige godkendelse – anvende den enkelte underda- tabehandler til en ”anden” behandling end aftalt eller lade en anden underdatabehandler foretage den beskrevne behandling.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1 Behandlingens genstand/ instruks
Energinet skal i henhold til elforsyningslovens bestemmelser fastsætte, hvilken kommunikation, som skal ske via DataHub. Dette fastsættes i markedsforskrifterne, som til enhver tid er tilgængelige på www.ener- ginet.dk.Dette har betydning for den dataansvarliges instruks til databehandleren.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databe- handleren udfører følgende:
• formidler data i henhold til processer beskrevet i forskrifter udstedt af Energinet ved den data- ansvarliges anmeldelse af BRS-002/Leveranceophør, BRS039/Anmodning om serviceydelse hos netvirksomheden, BRS-044/Tvunget leverandørskift på målepunkt, når den dataansvarlige in- struerer databehandleren i at gøre brug af BRS-044 ved fusion af 2 af den dataansvarliges GLN- numre og BRS-046/Fremsendelse af kontaktadresse fra netvirksomhed
• formidler webforms/webformularer sendt fra den dataansvarlige gennem DataHub til en an- den bruger af DataHub
• foretager rettelse af data i DataHub på den dataansvarliges foranledning efter indsendte data (HTX).
C.2 Behandlingssikkerhed
Databehandleren skal have implementeret interne retningslinjer og sikkerhedsforanstaltninger for infor- mationssikkerhed baseret på ISO 27001 eller tilsvarende for at sikre fortrolighed, integritet og tilgængelig- hed samt for at sikre mod misbrug af den dataansvarliges persondata, og mod at data kommer uvedkom- mende i hænde.
C.3 Opbevaringsperiode/sletterutine
Databehandleren gennemfører korrektioner sidste gang 3 år efter driftsmåneden, jf. FORSKRIFT H3: AFREGNING AF ENGROSYDELSER OG AFGIFTSFORHOLD. Personoplysningerne opbevares i 5 år fra udgan- gen af det regnskabsår, hvor sidste korrektioner vedr. driftsmåneden er gennemført, hvorefter de slettes hos databehandleren, jf. Data i DataHub til brug for afregning af ydelserne mellem netvirksomheder og elleverandører er omfattet af bestemmelsen i bogføringslovens § 10, og skal derfor gemmes i 5 år fra ud- gangen af det regnskabsår, materialet vedrører. Derfor må data først slettes efter i alt 8 år efter driftsmå- neden.
Dog kan den dataansvarlige til enhver tid anmode databehandleren om at få personoplysningerne slettet eller tilbageleveret, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne, da oplysningerne kan have betydning for at elmarkedet kan fungere og afregningen gennemføres korrekt
.
C.4 Lokalitet for behandling
Behandling af de i aftalen omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end de følgende:
• Energinet DataHub A/S, lokation Danmark, CVR nr. 39 31 50 41
• CGI Danmark A/S, lokation Danmark CVR nr. DK-28980671
• CVR nr. NL001620952B01CGI Holland, lokation Holland CVR nr. NL001620952B01
• CGI Norge, lokation Norge, CVR nr NO919562390
• CGI Sverige, lokation Sverige, SE556337219101
• Sentia A/S, lokation Danmark, CVR nr. DK-10008123
C.5 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren
Databehandleren skal én gang årligt for egen regning indhente en revisionserklæring fra et godkendt revi- sionsselskab angående databehandlerens overholdelse af denne databehandleraftale med tilhørende bi- lag.
Revisionserklæringen vil efter udarbejdelse være tilgængelig på xxx.xxxxxxxxx.xx
Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos databehandleren, når der efter den dataansvarliges vurdering opstår et behov herfor. Henvendelse vedr. tilsyn skal foregå via databehandlerens supportportal, og det anbefales, at tilsyn udføres med baggrund i den årligt udarbejdede revisionserklæring.
C.6 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle underdatabehandlere
Databehandleren skal én gang årligt for egen regning indhente en revisionserklæring fra en godkendt revi- sor angående underdatabehandlerens overholdelse af denne databehandleraftale med tilhørende bilag.
Revisionserklæringen udleveres efter ønske via databehandlerens supportportal til den dataansvarlige
Databehandleren eller en repræsentant for databehandleren har herudover adgang til at føre tilsyn, her- under fysisk tilsyn, hos underdatabehandleren, når der efter databehandlerens (eller den dataansvarliges) vurdering opstår et behov herfor.
Dokumentation for de afholdte tilsyn udleveres efter ønske via databehandlerens supportportal til den da- taansvarlige.
Bilag D Parternes regulering af andre forhold
D.1 Anmodning fra en myndighed
Databehandleren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere den dataansvarlige om enhver anmodning fra en myndighed om videregivelse af personoplysninger om- fattet af databehandleraftalen, medmindre orientering af den dataansvarlige er forbudt i henhold til EU- retten eller lovgivningen i Danmark.