Databehandleraftale
Databehandleraftale
Mellem
Dansk Oplysnings Forbund Xx Xxxxxxxxx 0, 0
4000 Roskilde
CVR Nr. 54 68 63 15
(Databehandler) Og
DOF’s medlemsforening (Dataansvarlig)
Vedrørende behandlingen af personoplysninger i IT-løsninger.
INDHOLD
3. Tekniske og organisatoriske sikkerhedsforanstaltninger 5
5. Databehandlerens interne procedurer 6
6. Revision og oplysningspligt 6
8. Håndtering af data efter aftalens ophør 7
Bilag 1: Den Dataansvarliges instruktioner til Databehandleren 10
1.2 Formål med behandlingen 10
1.2.1 Formål med den Dataansvarliges behandling af deltagernes persondata 10
1.2.2 Formål med den Dataansvarliges behandling af HR-data 10
1.2.3 Formål med Databehandlerens behandling af persondata 10
1.3 Kategorier af datasubjekter 11
1.4. Kategorier af personoplysninger 11
1.6 Fysisk placering af behandlingen 11
1.7 Andre underdatabehandlere 11
Bilag 2: Tekniske og organisatoriske sikkerhedskrav 12
2.1 Databehandlerens fysiske sikkerhed 12
2.2 Databehandlerens tekniske sikkerhed 12
2.3 Databehandleren organisatoriske sikkerhed 12
1. Baggrund og formål
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Formål med denne aftale er bl.a. at sikre, at Databehandleren overholder gældende regler om datasikkerhed, Persondatalov og EU Persondataforordningen (GDPR).
3. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
4. Databehandleren stiller IT-Løsninger, specificeret i Bilag 1
(”Systembeskrivelse”), til rådighed for den Dataansvarlige til behandling af oplysninger vedr. Dataansvarliges aktiviteter, deltagere, undervisere og personale.
5. Som leverandør af IT-Løsninger, foretager Databehandleren behandling af personoplysninger på vegne af den Dataansvarlige.
6. Den Dataansvarlige er alene ansvarlig for egen behandling af personoplysningerne ved brug af IT-Løsninger, herunder overholdelse af den gældende lovgivning, opfyldelse af afmeldingspligten, uddannelse og vejledning til egne medarbejdere osv.
7. Dataansvarlig har behandlingshjemmel for behandling af personoplysninger og har eneansvar for nøjagtigheden, integriteten, indholdet, pålideligheden og lovligheden af de personoplysninger, der er fremlagt til Databehandleren.
8. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
2. Instruks
1. Databehandleren handler alene efter instruks fra den Dataansvarlige, og det er den Dataansvarlige, der afgør, til hvilke formål der må foretages behandling af personoplysninger.
2. Instruksen er vedlagt aftalen som Bilag 1.
3. Databehandleren må kun behandle personoplysninger til de formål, som er nødvendige for at opfylde aftalen med den Dataansvarlige, og er til enhver tid forpligtet til at overholde de gældende lovgivningsmæssige krav og regler vedr. behandlingen af personoplysninger.
4. Databehandleren må ikke behandle personoplysninger til andre eller egne formål, og må ikke videregive personoplysningerne til tredje part uden
forudgående aftale med den Dataansvarlige.
3. Tekniske og organisatoriske sikkerhedsforanstaltninger
1. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
2. Databehandleren har udarbejdet IT-sikkerhedspolitikker og er forpligtet til bl.a. at undervise egne medarbejdere i korrekt håndtering af personoplysninger. Databehandleren skal sikre, at alle Databehandlerens medarbejdere er underlagt tavshedspligt. Underdatabehandlere skal ligeledes være underlagt fuld tavshedspligt.
3. Databehandleren forpligter sig til over for uvedkommende at hemmeligholde alle personoplysninger, som Databehandleren får kendskab til som led i opfyldelsen af aftalen med den Dataansvarlige.
4. Databehandleren bemyndiges hermed selv at definere yderligere tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe den nødvendige datasikkerhed.
5. For yderligere information henvises til Bilag 2.
4. Underdatabehandler
1. Databehandleren kan gøre brug af underdatabehandlere i det omfang dette er defineret i denne aftales instruks i Bilag 1 eller særskilt aftale med den Dataansvarlige
2. Det er Databehandlerens ansvar at indgå databehandleraftaler med underdatabehandlere og sørge for, at disse aftaler og underdatabehandlere efterlever denne aftale og evt. yderligere krav fra den Dataansvarlige vedr. behandlingen af personoplysninger.
3. Databehandleren vil underrette den Dataansvarlige om ændringer vedrørende tilføjelser og udskiftninger af Underdatabehandlere, og Databehandleren vil give den Dataansvarlige mulighed for at opponere mod disse ændringer. I tilfælde af indsigelse har Databehandleren ret til at opsige
aftaler vedr. brugen af IT-Løsninger med øjeblikkelig virkning og uden ansvar.
4. Databehandleren kan overføre persondata til lande, hvor Underdatabehandlere opererer. Databehandleren sikrer et tilstrækkeligt niveau af beskyttelse i forhold til behandling af persondata i overensstemmelse med EU GDPR (herunder brug af EU Standardkontrakter eller tilsvarende juridisk hjemmel godkendt af tilsynsmyndigheder). Dataansvarlig er bekendt med, at overførsel kan forekomme, og autoriserer, at behandling af Persondata i andre lande kan ske.
5. Underdatabehandlere, som Databehandleren anvender fremgår af Bilag 1. Ved underskrift af nærværende aftale, accepterer den Dataansvarlige Databehandlerens brug af Underdatabehandlere på ovennævnte vilkår.
5. Databehandlerens interne procedurer
1. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.
2. Databehandleren skal sikre, at det kun er autoriserede betroede personer med saglig formål, der har adgang til personoplysningerne, og at disse enten har underskrevet fortrolighedserklæring eller er underlagt lovbestemt tavshedspligt.
3. Det er Databehandlerens opgave at sikre, at databehandlingen sker i sikre rammer, herunder i det omgang Databehandler gør brug af hjemmearbejdspladser eller andre lokaliteter ud over Databehandlers kontor.
4. Det er også Databehandlers opgave at sikre, at involverede medarbejdere uddannes i korrekt håndering af personoplysninger.
6. Revision og oplysningspligt
1. Databehandleren skal til enhver tid bistå den Dataansvarlige i at opfylde lovbestemte forpligtelser over for de registrerede. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige
oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
2. I tilfælde af, at Tilsynsmyndigheden ønsker at foretage en fysisk inspektion af ovennævnte foranstaltninger, er Databehandleren forpligtet til – med en rimeligt varsel – at stille de nødvendige ressourcer til rådighed.
3. Den Dataansvarlige kan med forudgående aftale med Databehandleren indhente en årlig revisionserklæring fra en tredje part, som får adgang til Databehandleren og underdatabehandlere. Revision og inspektion kan kun ske efter forudgående varsel på minimum 4 uger. Den Dataansvarlige afholder selv alle omkostninger hertil, herunder omkostninger der påføres Databehandleren jf. forbrug af tid og ressourcer.
7. Underretningspligt
1. Databehandleren er forpligtet til at underrette den Dataansvarlige skriftligt ved kendskab til enhver afvigelse i forhold til opfyldelse af denne Aftale, herunder ved afvigelse fra instrukser fra den Dataansvarlige.
2. Databehandleren er forpligtet til straks at underrette den Dataansvarlige i tilfælde af brud på fortrolighedsforpligtelser, misbrug, fortabelse eller forringelse af data.
3. Ved brud på persondatasikkerheden skal Databehandleren ved at underrette den Dataansvarlige gøre det muligt for den Dataansvarlige at overholde kravene i EU GDPR artikel 33 og 34 og anden gældende lovgivning.
8. Håndtering af data efter aftalens ophør
1. Det påhviler den Dataansvarlige at oplyse Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre, ligesom det påhviler den Dataansvarlige at informere Databehandleren om, hvad der skal ske med personoplysningerne ved aftalens ophør.
2. Ved ophør af tjenesterne vedrørende behandling, herunder ved aftalens ophør, forpligtes Databehandleren til at slette alle personoplysninger tilhørende den Dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af
personoplysningerne. Sletning må dog ikke ske før Databehandleren har oplyst den Dataansvarlige om den påtænkte fremgangsmåde for sletning.
3. Den Dataansvarlige har fuld rådighed over personoplysningerne og har ret til at få disse udleveret på begæring, herunder ved aftalens ophør. Udlevering af data skal ske på et varigt medium og Databehandleren honoreres for håndtering baseret på timepris for medgået tid.
9. Aftalens gyldighed
1. Aftalen indgås ved begge parters accept og er gældende, så længe den Dataansvarlige anvender af aftalen omfattede IT-Løsninger.
2. Begge parter kan kræve ændringer i aftalen, såfremt ændringerne er nødvendige for at efterleve lovgivningen.
10. Tvister
Aftalen er underlagt gældende lov og værneting, medmindre andet er påkrævet i gældende databeskyttelseslovgivning.
12. Diverse
1. Parterne accepterer, at nærværende aftale erstatter tidligere indgået og/eller eksisterende Databehandleraftaler.
2. I tilfælde af lovændringer, sikkerhedsændringer eller andre praktiske omstændigheder kan der foretages tilpasning af denne aftale. Ved tilpasning af aftalen vil der blive givet skriftlig meddelelse til den anden part. Justeringen vil blive betragtet som accepteret af parten, medmindre den anden part har fremsat lovlige skriftlige indvendinger inden for to uger fra datoen for meddelelsen. Relevante bilag vil blive justeret i overensstemmelse hermed.
13. Accept
I kraft af sin medlemskab af DOF, har den Dataansvarlige gratis adgang til IT- Løsninger beskrevet i Bilag 1.
Ibrugtagning af disse IT-Løsninger betyder automatisk accept af denne Databehandleraftale.
Bilag 1: Den Dataansvarliges instruktioner til Databehandleren
Dette bilag er en integreret del af aftalen og udgør den Dataansvarliges instruks til Databehandleren i forbindelse med anvendelsen af IT-Løsninger, der benyttes af den Dataansvarlige til at opbevare og arbejde med personoplysninger vedrørende den Dataansvarliges kursister og medarbejdere.
1.1 Systembeskrivelse
IT-Løsninger består af:
1. DOFPro: Benyttes til kursusadministration.
2. UnderviserNet: Benyttes som underviserens indgang til kursusadministration.
3. DOF-Løn: Benyttes til lønadministration.
4. Epos Løn: Benyttes til lønadministration.
1.2 Formål med behandlingen
Databehandleren stiller IT-Løsninger til rådighed for den Dataansvarlige. IT- Løsninger benyttes til at opbevare en række kursus-, deltager- og HR-data samt til at lette administrative processer for den Dataansvarlige.
Databehandleren leverer softwareløsninger, herunder support og hosting, til brug for den Dataansvarlige. Som led i leverancen heraf, vil Databehandleren få adgang til personoplysninger vedrørende den Dataansvarliges deltagere og ansatte.
1.2.1 Formål med den Dataansvarliges behandling af deltagernes persondata
• Kunde- og deltagerhåndterning, herunder tilmeldinger og betalinger.
• Planlægning, gennemførsel og kursusopfølgning.
• Medlemsadministration.
• Opfyldelse af lovkrav vedr. tilskud.
• Bogføringsloven vedr. opbevaring af oplysninger.
1.2.2 Formål med den Dataansvarliges behandling af HR-data
• Arbejdsretlige forpligtelser.
• Opfyldelse af lovkrav, herunder skattelovgivning.
• Udbetaling af løn, refusioner, diæter osv.
1.2.3 Formål med Databehandlerens behandling af persondata
• Drift
• Support og fejlfinding
1.3 Kategorier af datasubjekter
1. Kursusdeltagere
2. HR (undervisere og personale)
1.4. Kategorier af personoplysninger
• For deltagere: Navn, adresse, CPR, fødselsdato, kommune, e-mail, telefon, kursusdeltagelse, betalingsinformationer.
• For HR: Navn, adresse, CPR, ansættelses og opsigelsesdato, lønoplysninger, telefon, e-mail, CV, kompetencer, ansættelsestype.
1.5 Hosting
1. DOFPro, UnderviserNet og DOF-Løn hostes af DanDomain, Xxxxxxxxxx 0, 0000 Xxxxxxx, XX.
2. Epos Løn hostes af Azets Insight A/S, Lyskær 3 CD, 2730 Herlev, DK.
1.6 Fysisk placering af behandlingen
Support sker på Databehandlers adresse samt godkendte hjemmearbejdspladser.
1.7 Andre underdatabehandlere
1. DOFPro og UnderviserNet udvikling og level 3 support: DoCAS Systems A/X, Xxxxxxxxxxxx 0,0, 0000 Ebeltoft, DK.
2. Epos Løn udvikling, drift og level 3 support: Azets Insight A/S, Lyskær 3 CD, 2730 Herlev, DK.
Bilag 2: Tekniske og organisatoriske sikkerhedskrav
2.1 Databehandlerens fysiske sikkerhed
1. Adgang til databehandlers bygning og kontorer er aflåst uden for arbejdstiden.
2. Besøgende skal følges med en Databehandlers medarbejder.
3. Fysisk materiale opbevares aflåst.
2.2 Databehandlerens tekniske sikkerhed
1. Databehandler opdaterer virusdefinitioner dagligt.
2. Lokal firewall på PC’er og servere er aktiveret.
3. Databehandlerens lokale netværk er beskyttet af en firewall som opdateres dagligt.
4. Databehandlerens medarbejdere har ekstern adgang til netværk via krypterede forbindelser.
5. Udveksling af persondata fra hjemmesider til hostningscentre sker via krypterede forbindelser.
6. Servere og netværk hos hostningsvirksomheder er beskyttede med hardware og software firewalls og overvåges 24/7. Ved fejl udsendes SMS og mail til Databehandleren.
7. Backup af data foretages hver nat til lokal storage hos underdatabehandleren. Derudover kopieres data via en krypteret forbindelse til eksternt datacenter, således at data findes to steder.
2.3 Databehandleren organisatoriske sikkerhed
1. Det er kun betroede personer med saglig formål, som har adgang til personoplysninger.
2. Databehandlerens medarbejdere er underlagt tavshedspligt og undervist i korrekt behandling og beskyttelse af personoplysninger.
3. Databehandleren fører en fortegnelse over egne databehandlingsaktiviteter, som er underlagt Datatilsynets kontrol.
4. Ved destruering eller reparation af IT udstyr, sørges der for, at oplysninger ikke kan komme til uvedkommendes kendskab.
2.4 Relevante hjemmesider
Databehandlerens Persondatapolitik kan læses/hentes på hjemmesiden: xxx.xxxxxxxxxxxxxx.xx