Aftale om databehandling

Bilag 17 Databehandleraftale

Vejledning:

Bilaget skal ikke udfyldes som en del af tilbudsafgivelsen. Bilaget udgør i det hele et mindstekrav.

Aftale om databehandling

mellem

Kunden og

Leverandøren

1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL

Nærværende Databehandleraftale indgår i Kontrakten som bilag 17.

Leverandøren vil i henhold til Kontrakten udvikle, supportere og videreudvikle en intranet-løsning til Kunden. Leverandøren vil som databehandler i forbindelse hermed foretage behandling af personop- lysninger på vegne af Kunden som dataansvarlig og til opfyldelse af Kontraktens formål.

Databehandleraftalen har således til formål at sikre overholdelse af den til enhver tid gældende person- datalovgivning i Danmark, jf. Kontraktens punkt 23, herunder sikre tilvejebringelse af passende garanti- er med hensyn til beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med, at databehandleren gives adgang til at behandle de i databehand- leraftalen nævnte personoplysninger på den dataansvarliges vegne.

2. PERSONOPLYSNINGER OMFATTET AF DATABEHANDLERAFTALEN

Databehandleraftalen omfatter personoplysninger, der registreres og opbevares i systemet jf. oversig- ten over stamdata i Appendiks A samt supplerende oplysninger, der måtte blive gjort tilgængelige ved integration til andre systemer som f.eks. kursussystem, HR-system, inventaroversigter, etc.

Registreringen omfatter således personoplysninger, der i henhold til persondataloven og persondata- forordningen udgør almindelige personoplysninger.

3. BEHANDLING AF PERSONOPLYSNINGER

Omfanget af de opgaver, som den dataansvarlige skal levere og understøtte, betyder, at der vil ske forskellige former for behandling af personoplysninger, herunder indsamling, registrering, opbevaring, videregivelse, samt sletning og/eller tilintetgørelse. Kredsen af de registrerede personer, som person- oplysningerne vedrører, udgør medlemmer af Folketinget, ansatte i Folketingets administration og par- tigrupper samt evt. pressefolk.

Databehandleren handler alene efter dokumenteret instruks fra den dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den dataansvarliges instruks.

Databehandleren skal behandle personoplysningerne i overensstemmelse med den til enhver tid gæl- dende lovgivning eller anden regulering om personoplysninger eller bestemmelser fastsat i henhold til lov eller anden regulering. Såfremt databehandleren skønner, at en instruktion er i strid med førnævnte lovgivning, skal databehandleren omgående orientere den dataansvarlige herom.

Databehandleren må ikke behandle personoplysningerne til andre formål, med mindre databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat. I givet fald skal databehandleren underrette den dataansvarlige om denne juridiske forpligtelse, forinden behandlingen påbegyndes. Det- te gælder dog ikke, såfremt pågældende lovgivning på baggrund af væsentlige offentlige interesser forbyder en sådan underretning.

Databehandleren skal føre en fortegnelse over alle kategorier af behandlinger, der foretages på vegne af den dataansvarlige. Fortegnelsen skal indeholde følgende:

o Navn på og kontaktoplysninger for databehandleren, eventuelle underleverandører, den dataan- svarlige, databeskyttelsesrådgiveren samt – hvis det er relevant – databehandlerens repræsentant.

o Kategorierne af de behandlinger, databehandleren eller eventuelle underleverandører foretager for den dataansvarlige

o En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Databehandleren skal efter anmodning fra den dataansvarlige til enhver tid stille fortegnelsen til rådighed for den dataansvarlige eller Datatilsynet.

Såfremt behandlingen af personoplysninger hos databehandleren sker helt eller delvist ved anvendelse af hjemmearbejdspladser, skal databehandleren fastsætte retningslinjer for medarbejdernes behandling af personoplysninger ved anvendelse af hjemmearbejdspladser.

Databehandleren skal overholde kravene til databehandlere, og den dataansvarlige skal overholde kra- vene til dataansvarlige i overensstemmelse med den til enhver tid gældende lovgivning.

Databehandleren skal deltage i eventuelle drøftelser med Datatilsynet og indarbejde eventuelle anbefa- linger og/eller påbud mv. fra tilsynet vedrørende behandling af personoplysninger. Databehandleren skal straks orientere den dataansvarlige, såfremt Datatilsynet retter henvendelse til databehandleren vedrørende behandling af personoplysninger omfattet af Kontrakten.

Databehandleren forpligter sig endvidere til straks at orientere den dataansvarlige om:

o Enhver anmodning om videregivelse af personoplysninger omfattet af aftalen fra en myndighed, medmindre orienteringen af den dataansvarlige er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning.

o Enhver anmodning om indsigt modtaget direkte fra den registrerede eller fra tredjemand, medmin- dre en sådan handlemåde er blevet godkendt.

Parterne forpligter sig til i hele aftaleperioden at indhente og opretholde de registreringer og tilladelser, som Parten er forpligtet til at indhente og opretholde i overensstemmelse med den til enhver tid gæl- dende lovgivning.

Databehandleren skal straks assistere den dataansvarlige med håndtering af enhver henvendelse fra en registreret, herunder anmodning om indsigt, berigtigelse, blokering eller sletning, hvis de relevante personoplysninger behandles af databehandleren. Databehandleren skal herudover, på den dataan- svarliges anmodning assistere den dataansvarlige med at overholde øvrige forpligtelser, der måtte på- hvile den dataansvarlige efter den til enhver tid gældende persondatalovgivning, hvor databehandle- rens assistance er forudsat, samt hvor databehandlerens assistance er nødvendig for, at den dataan- svarlige kan overholde sine forpligtelser. Databehandleren skal som led heri bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af persondataforordningens artikel 32-36.

4. INFORMATIONSSIKKERHED OG DATABESKYTTELSE

4.1 Krav til informationssikkerhed og databeskyttelse

Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende lovgivning, herunder men ikke begrænset til persondataloven, sikkerhedsbekendtgørelsen og persondataforordningen. Dette gælder også, hvis behandlingen af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser.

Fastsættelsen af fornødne tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under iagt- tagelse af bl.a.:

a. De i Kontrakten fastsatte krav,

b. de i Bilag 1-16 fastsatte krav, og

c. denne aftale om databehandling.

4.2 Kontrol med informationssikkerhed og databeskyttelse

Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige infor- mationer til, at denne kan påse og dokumentere, at databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

Hvis databehandleren, inden for rammerne af Kontrakten, er etableret i en anden EU-medlemsstat, skal de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den EU-medlemsstat, hvor databehandleren er etableret, derudover gælde for databehandleren. Hvis databehandleren er etableret i en anden EU-medlemsstat, skal databehandleren således overholde såvel sikkerhedskrav omfattet af gældende lovgivning i Danmark som sikkerhedskrav i databehandlerens hjemland.

Databehandleren (og enhver eventuel underleverandør) skal hvert år foranledige, at en uafhængig tred- jepart afgiver en erklæring til den dataansvarlige om overholdelse af kravene til sikkerhedsforanstalt- ninger i Kontrakten. Erklæringen skal afgives til udgangen af hvert år, således at erklæringen er Kun- den i hænde senest den 31. december.

Derudover har den dataansvarlige ret til audit i overensstemmelse med Kontraktens punkt 5.7 og 23.

Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

4.3 Brud på persondatasikkerheden

I tilfælde af brud på persondatasikkerheden, skal databehandleren straks orientere den dataansvarlige herom. Databehandleren skal herefter uden unødigt ophold, dog senest 24 timer efter sikkerhedsbrud- det, rapportere til den dataansvarlige, samt give den dataansvarlige de oplysninger om sikkerheds- bruddet, der er nødvendige for, at den dataansvarlige kan opfylde de forpligtelser, der i den forbindelse pålægges den dataansvarlige, herunder underretning til Datatilsynet.

5. AFTALER MED EN ANDEN DATABEHANDLER

Databehandleren må ikke indgå aftaler med en anden databehandler, f.eks. underleverandører, om behandling af personoplysninger omfattet af databehandleraftalen, medmindre den dataansvarlige for- inden skriftligt har samtykket til aftaleindgåelsen. Den dataansvarlige er berettiget til at stille vilkår for at give et sådant samtykke.

Databehandleren skal udarbejde en skriftlig underdatabehandleraftale med en anden databehandler. I sin aftale med en anden databehandler skal databehandleren sikre sig, at den anden databehandler som minimum accepterer de samme databeskyttelsesforpligtelser, som databehandleren har påtaget sig ved denne Databehandleraftale, for så vidt angår den behandling af den dataansvarliges personop- lysninger, der varetages af den anden databehandler. Databehandleren indestår for lovligheden af en anden databehandlers behandling af personoplysninger. Hvis en anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige for opfyldelsen af denne anden databehandlers forpligtelser. Det forhold, at den data- ansvarlige har meddelt samtykke til databehandlerens aftaleindgåelse med en anden databehandler er uden betydning for databehandlerens pligt til at efterleve Databehandleraftalen. Ved ophør af en aftale med en anden databehandler om behandling af personoplysninger omfattet af Databehandleraftalen, skal databehandleren give den dataansvarlige meddelelse herom.

Omkostninger forbundet med etablering af aftaleforholdet til en anden databehandler, herunder om- kostninger til udarbejdelse af databehandleraftaler, afholdes af databehandleren og er således den dataansvarlige uvedkommende.

6. OVERFØRSEL AF OPLYSNINGER

Databehandleren må ikke overføre eller tillade overførsel af personoplysninger til lande uden for det Europæiske Økonomiske Samarbejdsområde uden den dataansvarliges forudgående skriftlige godken-

delse. Såfremt der skal ske en sådan overførsel, påhviler det databehandleren at sikre det fornødne overførselsgrundlag, f.eks. brug af EU Kommissionens og/eller af EU Kommissionen godkendte stan- dardbestemmelser om databeskyttelse. Overførselsgrundlaget skal forelægges den dataansvarlige forud for den dataansvarliges specifikke godkendelse af overførslen. Databehandleren afholder om- kostninger forbundet med etablering af det fornødne overførselsgrundlag.

7. TAVSHEDSPLIGT

Databehandleren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anven- de personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Kontrakten, herunder databehandleraftalen.

Databehandleren skal sikre, at de medarbejdere og eventuelle andre databehandlere, der er autoriseret til at behandle de pågældende personoplysninger, er pålagt den i Kontraktens punkt 25 regulerede tavshedspligt.

8. ÆNDRINGER I DATABEHANDLERAFTALEN

Parterne kan til enhver tid ændre databehandleraftalen i henhold til Kontraktens punkt 6.

9. VARIGHED OG OPHØR AF DATABEHANDLERAFTALEN

Databehandleraftalen træder i kraft ved Parternes underskrift og er gældende frem til Kontraktens op- hør.

Databehandleren skal straks efter anmodning fra den dataansvarlige slette eller tilbagelevere alle per- sonoplysninger, som databehandleren behandler for den dataansvarlige.

10. UNDERSKRIFT

Ovenstående tiltrædes hermed med virkning fra Databehandleraftalens underskrift.

[sted], den [dato]
[underskrivers navn] For Leverandøren København, den [dato]
[underskrivers navn] For Kunden

APPENDIKS A – PERSON- OG OPLYSNINGSKATEGORIER

Databehandlingen vil omfatte følgende typer af personoplysninger:

- Personnavn

- Stillingsbetegnelse

- Organisatorisk tilhørsforhold

- Telefonnumre arbejde

- E-mail-adresse arbejde

- Brugernavn

- Ansvarsområder

- Kompetencer

- Privatadresse

- Telefonnumre privat

- Sommerhusadresse

- Evt. adresse i København

- Yderligere persondata af tilsvarende karakter kan forekomme i notefelt Databehandlingen omfatter således almindelige personoplysninger.