Databehandleraftale
Databehandleraftale
Aftale om databehandling mellem Centre for Undervisningsmidler (CFU Danmark), i det følgende benævnt ”Databehandleren”, og de institutioner, som anvender CFU’s tjeneste- ydelser, i det følgende benævnt ”Den Dataansvarlige”.
1 Databehandleraftalens omfang og formål
Nærværende Databehandleraftale vedrører Databehandlerens behandling af personoplys- ninger i forbindelse med de ydelser, som Databehandleren varetager i kraft af Databehand- lerens lovbestemte forpligtelse hertil i lov om centre for undervisningsmidler, jf. lovbe- kendtgørelse nr. 879 af 08/08/2011, og som Den Dataansvarlige gør brug af.
Disse ydelser omfatter, men er ikke begrænset til:
• Udlån af læremidler til inspiration og information for undervisere
• Udlån af læremidler til brug i undervisning
• Formidling af viden om læremidler
• Faglig, didaktisk vejledning med pædagogiske fagkonsulenter
• Fagfaglige og pædagogiske kurser og temadage.
• At yde bistand til lærere ved fremstilling af undervisningsmidler til eget brug.
• At yde pædagogisk og teknisk rådgivning og vejledning til undervisningsinstitutionernes brug af elektronisk net.
Databehandleraftalens formål er at sikre overholdelse af den til enhver tid gældende per- sondatalovgivning i Danmark, herunder sikre passende beskyttelse af privatlivets fred.
Databehandleraftalen vedrører specifikt Databehandlerens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen).
2 Personoplysninger omfattet af databehandleraftalen og formål
Databehandleraftalen omfatter følgende typer af personoplysninger:
• Stamoplysninger via UNI-Login services WS17-lille og WS22 i form af brugernavn, passwords, institutionsoplysninger, brugertype og gruppetilknytning
• Udlån af analoge og digitale materialer og lignende bestillinger (fx bestillinger af biografbilletter) i Databehandlerens udlånstjenester. Disse oplysninger behandles kun i det omfang, at den Dataansvarlige gør brug af Databehandlerens udlånstjenester.
• Data, som brugerne selv indtaster i Databehandlerens løsninger, fx egne noter, pro- jekt- og forløbsbeskrivelser, opgaver, feedback til elever, m.v. Disse oplysninger be- handles kun i det omfang, at den Dataansvarlige gør brug af disse løsninger, og kun i det omfang, at brugerne selv indtaster data.
• I forbindelse med visse af Databehandlerens løsninger indtaster brugerne endvi- dere yderligere e-mail samt telefonnummer, men det vil fremgå i den konkrete løs- ning. Disse oplysninger behandles kun i det omfang, at den Dataansvarlige gør brug af disse løsninger, og kun i det omfang, at brugerne selv indtaster data.
Der behandles oplysninger om de personer, som benytter Databehandlerens digitale ydel- ser.
Formålet med behandlingen af personoplysninger er overordnet set, at Databehandleren kan udbyde og administrere de ydelser, som er nævnt under afsnit 1, og som følger af lov om centre for undervisningsmidler, jf. lovbekendtgørelse nr. 879 af 08/08/2011.
Personoplysninger bruges kun til at levere de ovennævnte ydelser til Den Dataansvarlige, herunder formål i forbindelse med levering af sådanne ydelser. Databehandleren bruger ikke personoplysninger eller udleder oplysninger derfra til reklamemæssige eller lignende kommercielle formål uden at indhente samtykke fra de registrerede.
3 Behandling af personoplysninger
Databehandleren foretager følgende behandlinger af personoplysninger:
• Indsamling
• Registrering
• Opbevaring
• Læsning
• Ændring
• Søgning
• Videregivelse i forbindelse med fakturering
• Sletning
Databehandleren skal føre en fortegnelse over alle kategorier af behandlinger, der foreta- ges. Fortegnelsen skal indeholde følgende:
• Navn på og kontaktoplysninger for databehandleren, eventuelle underleverandører, samt eventuel databeskyttelsesrådgiver (DPO).
• Kategorierne af de behandlinger, databehandleren eller eventuelle underleverandører foretager for Den Dataansvarlige.
• Eventuelle overførsler af personoplysninger til et tredjeland eller en international orga- nisation, herunder angivelse af dette tredjeland eller denne internationale organisation, samt angivelse af hjemmelen for overførslen til tredjelandet eller den internationale or- ganisation.
• En generel beskrivelse af databehandlerens tekniske og organisatoriske sikkerhedsfor- anstaltninger, som skal sikre beskyttelsen af personoplysningerne, der behandles.
Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Databehandleren skal efter an- modning fra Den Dataansvarlige til enhver tid stille fortegnelsen til rådighed for Den Data- ansvarlige eller Datatilsynet.
Databehandleren er endvidere forpligtet til at oplyse med præcise adresseangivelser, hvor Den Dataansvarliges personoplysninger opbevares, såfremt Den Dataansvarlige fremsætter anmodning herom.
3.1 Juridisk ramme for behandlingen
Databehandleren skal behandle personoplysningerne i overensstemmelse med den til en- hver tid gældende lovgivning eller anden regulering om personoplysninger eller bestem- melser fastsat i henhold til lov eller anden regulering.
Såfremt Databehandleren skønner, at en instruktion fra Den Dataansvarlige er i strid med førnævnte lovgivning, skal Databehandleren omgående orientere Den Dataansvarlige her- om.
Databehandleren skal som del af databehandleraftalen assistere Den Dataansvarlige med at overholde de forpligtelser, der påhviler Den Dataansvarlige efter den til enhver tid gæl- dende persondatalovgivning, hvor databehandlerens assistance er forudsat og/eller nød- vendig for, at den Dataansvarlige kan overholde disse forpligtelser. Dette indbefatter, men er ikke begrænset til, Databeskyttelsesforordningens artikel 32-36 fra og med den 25. maj 2018.
Databehandleren må ikke behandle personoplysningerne til andre formål end de i afsnit 2 angivne, med mindre databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i en EU-medlemsstat. I givet fald skal databehandleren underrette Den Dataansvarlige om denne juridiske forpligtelse, forinden behandlingen påbegyndes. Dette gælder dog ikke, så- fremt pågældende lovgivning på baggrund af væsentlige offentlige interesser forbyder en sådan underretning.
4 Håndtering af henvendelser fra og orienteringer til myndigheder og de registrerede
Databehandleren skal deltage i eventuelle drøftelser med Datatilsynet og indarbejde even- tuelle anbefalinger og/eller påbud mv. fra tilsynet vedrørende behandling af personoplys- ninger.
Databehandleren skal straks orientere Den Dataansvarlige, såfremt Datatilsynet retter hen- vendelse til databehandleren vedrørende behandling af personoplysninger omfattet af Da- tabehandleraftalen.
Databehandleren forpligter sig endvidere til uden unødigt ophold at orientere Den Dataan- svarlige om enhver anmodning om videregivelse af personoplysninger omfattet af Databe- handleraftalen fra en myndighed, medmindre orienteringen af Den Dataansvarlige er ek- splicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning.
Databehandleren skal straks assistere Den Dataansvarlige med håndtering af enhver hen- vendelse fra en registreret person, som der behandles oplysninger om, herunder anmod- ning om indsigt, berigtigelse, blokering eller sletning, hvis de relevante personoplysninger behandles af databehandleren.
Databehandleren skal på opfordring fra Den Dataansvarlige hjælpe med at opfylde Den Da- taansvarliges forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra de registrerede om indsigt i egne oplysninger, udlevering af de registrere- des oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af de regi- streredes oplysninger, samt Den Dataansvarliges forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforord- ningens kap. III samt artikel 34.
5 Informationssikkerhed og databeskyttelse
Databehandleren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelig- hed og ressourcer til at implementere passende tekniske og organisatoriske sikkerhedsfor- anstaltninger sådan, at Databehandlerens behandling af personoplysninger opfylder krave- ne i Databeskyttelsesforordningen og sikrer beskyttelse af den registrere- des rettigheder.
Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforan- staltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende lovgivning.
Databehandleren skal fra 25. maj 2018 iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
Databehandleren skal én gang årligt gennemgå sine interne sikkerhedsforskrifter og ret- ningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.
5.1 Adgang til personoplysninger
Databehandleren har begrænset adgangen til personoplysninger i de systemer, som un- derstøtter Databehandlerens ydelser som nævnt i Afsnit 1, til kun de relevante medarbej- dere og denne adgangsbegrænsning er endvidere dokumenteret for hvert system. Data- behandleren kontrollerer sine medarbejderes adgange til systemerne som minimum halv- årligt.
Alle handlinger i Databehandlerens systemer, hvori der indgår personoplysninger, logges og systemerne kan tilgås af alle kunder og medarbejdere via internet via UNI-login. Alle da- ta transmitteres via https-protekollen.
5.2 Kontrol med informationssikkerhed og databeskyttelse
Databehandleren skal på Den Dataansvarliges anmodning give Den Dataansvarlige tilstræk- kelige informationer til, at denne kan påse, at Databehandleren overholder de krav, der følger af denne Databehandleraftale.
Den Dataansvarlige, en repræsentant for Den Dataansvarlige eller dennes revision
(såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Databe- handleren med henblik på at konstatere, at Databehandleren overholder de krav, der føl- ger af denne Databehandleraftale.
5.3 Informationssikkerhedsbrud og brud på persondatasikkerheden
I tilfælde af informationssikkerhedsbrud og brud på persondatasikkerheden, skal databe- handleren straks orientere Den Dataansvarlige herom. Databehandleren skal herefter uden unødigt ophold, dog senest 24 timer efter informationssikkerhedsbruddet, rapportere til Den Dataansvarlige.
Rapporteringen skal som minimum indeholde:
• En beskrivelse af sikkerhedsbruddet, herunder, hvis det er muligt, det estimerede antal berørte personer
• En beskrivelse af planlagte og iværksatte foranstaltninger til at håndtere sikkerhedsbru- det
• Et kontaktpunkt, hvor yderligere oplysninger kan indhentes.
Databehandleren er forpligtet til at føre en fortegnelse over informationssikkerhedsbrud og brud på persondatasikkerheden. Samt forpligtiget til ikke at kommunikere om sikker- hedsbrud, hverken offentligt eller til tredjeparter, medmindre der er en retlig forpligtelse herfor.
6 Aftaler med en anden databehandler
I tilfælde af brug af andre databehandlere, fx underleverandører, skal Databehandleren udarbejde en skriftlig underdatabehandleraftale med den anden databehandler (herefter underdatabehandleren).
Underdatabehandleraftalen skal pålægge underdatabehandleren de samme databeskyttel- sesforpligtelser, som Databehandleren er pålagt efter denne Databehandleraftale, herun- der, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ek- spertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og or- ganisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kra- vene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
Når Databehandleren overlader behandlingen af personoplysninger, som Den Dataansvar- lige er dataansvarlig for, til underdatabehandlere, har Databehandleren over for Den Data- ansvarlige ansvar for underdatabehandlernes overholdelse af disse forpligtelser.
Den Dataansvarlige kan til enhver tid forlange dokumentation fra Databehandleren for ek- sistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Da- tabehandleren anvender i forbindelse med opfyldelse af de formål, som er angivet i afsnit 2, samt dokumentation for underdatabehandleres efterlevelse af underdatabehandlerafta- lerne.
Databehandleren anvender pr. marts 2018 følgende underdatabehandlere:
- For den didaktiske tjeneste SøgSmart: Dream Design ApS (placeret i Holland)
- For udlånsadministrationssystemet Dantek: Systematic A/S (placeret i Danmark)
For øvrige tjenester, som Databehandleren stiller til rådighed, anvendes ikke underdatabe- handlere.
Databehandleren opdaterer løbende denne liste. Den Dataansvarlige kan til enhver tid for- lange en opdateret liste over underdatabehandlere fra Databehandleren.
Eventuel kommunikation via den Dataansvarlige og Databehandlerens underdatabehandle- re skal ske via Databehandleren.
7 Overførsel af oplysninger
Databehandleren overfører ikke personoplysninger til lande uden for det Europæiske Øko- nomiske Samarbejdsområde.
8 Tavshedspligt
Databehandleren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af de formål som nævnt under af- snit 2.
Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden må- de varetager behandling af Den Dataansvarliges personoplysninger, om Databehandlerens forpligtelser, herunder at personoplysninger skal behandles fortroligt.
Databehandleren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Databehandleraftalen, herunder ansatte, tredjeparter (fx en reparatør) og underdatabe- handlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavsheds- pligt. Tavshedspligten er også gældende efter kontraktens ophævelse.
9 Sletning af data og varighed af databehandleraftalen
Databehandleraftalen gælder så længe, som databehandleren behandler Den Dataansvarli- ges oplysninger.
Den Dataansvarlige træffer beslutning om, hvorvidt der skal ske sletning eller tilbageleve- ring af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt. I det tilfælde, hvor personoplysningerne tilbageleveres til Den Dataansvarlige, skal Databehand- leren ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle underda- tabehandlere ligeledes efterlever Den Dataansvarliges beslutning.
Databehandleren skal fremsende dokumentation for, at den påkrævede sletning er foreta- get.
10 Tiltrædelse
Ovenstående tiltrædes hermed med virkning fra Databehandleraftalens underskrift:
, den (Sted) (Dato) På vegne af (underskrivers navn) (Institutionsnavn) For Den Dataansvarlige | København, den 14. maj 2020 Xxxxx Xxxxx på vegne af formandskabet for CFU Danmark For Databehandleren |