AFTALE VEDRØRENDE FÆLLES DATAANSVAR
AFTALE VEDRØRENDE FÆLLES DATAANSVAR
Indgået mellem følgende parter:
Dataansvarlig 1
Navn CVR nr. Adresse
Dataansvarlig 2
Navn CVR nr. Adresse
Dataansvarlig 3
Navn CVR nr. Adresse
Dataansvarlig 4
Navn CVR nr. Adresse
Dataansvarlig 5
Navn CVR nr. Adresse
Dataansvarlig 5
Navn CVR nr. Adresse
Måned/år
1. Fælles dataansvar
1.1. Denne aftale fastsætter ansvarsfordelingen mellem de data- ansvarlige i forbindelse med:
Beskriv den behandlingsaktivitet (klassificering af data jf. artikel 6 + 9), som parterne er fælles data- ansvarlige for, herunder metoden for projektet – altså hvordan man udfører forskningsprojektet:
1.2. Efter databeskyttelsesforordningens artikel 25 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Såfremt der foreligger et fælles dataansvar, skal de fælles data- ansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyt- telsesforordningen, navnlig hvad angår udøvelse af den registrere- des rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem. De fælles dataansvarlige behøver dog ikke fastlægge deres respektive ansvar, hvis dette allerede er fast- lagt og fremgår af EU-retten eller medlemsstaternes nationale ret, som de er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 25, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.
Den registrerede kan dog altid kontakte alle dataansvarlige og udøve sine rettigheder, uanset hvilken fordeling af ansvar de data- ansvarlige har fastlagt.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hin- drer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjel- ser overfor alle dataansvarlige.
1.3. Der er mellem de dataansvarlige enighed om, at der i forbindelse med behandlingsaktiviteten foreligger et fælles dataansvar.
Angiv behandlingsaktiviteten:
Ved vurderingen heraf er der bl.a. lagt vægt på:
Beskriv, hvad der har været afgørende for vurderingen af, at parterne er fælles dataansvarlige. Formålet er senere at kunne dokumentere parternes overvejelser, hvis der bliver tvivl.
Formålet med behandling af personoplysninger er besluttet af:
Beskrivelse af hvordan personoplysninger skal behandles
(hjælpemidler):
1.4. Denne aftale er udformet med henblik på, at de dataansvarlige kan efterleve kravene til fælles dataansvar i databeskyttelses- forordningens artikel 25. I aftalen fastlægges de dataansvarliges respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af
den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.
2. Overordnet ansvarsfordeling
2.1. Beskriv Dataansvarlig 1’s overordnede ansvar:
2.2. Beskriv Dataansvarlig 2’s overordnede ansvar:
2.3. Beskriv Dataansvarlig 3’s overordnede ansvar:
2.4. Beskriv Dataansvarlig 4’s overordnede ansvar:
2.5. Beskriv Dataansvarlig 5’s overordnede ansvar:
3. Principper og behandlingshjemmel
3.1. Beskriv, hvem der bærer ansvaret for, at der foreligger et gyldigt behandlingsgrundlag og for at kunne dokumentere dette, fx over for tilsynsmyndigheden:
3.2. Hver databehandler er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale.
4. De registreredes rettigheder
4.1. Parterne er ansvarlige for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelses- forordningen:
• oplysningspligt ved indsamling af personoplysninger hos den registrerede
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede
• den registreredes indsigtsret
• ret til berigtigelse
• ret til sletning (retten til at blive glemt)
• ret til begrænsning af behandling
• underretningspligt i forbindelse med berigtigelse eller sletning
af personoplysninger eller begrænsning af behandling
• ret til dataportabilitet (dog ikke for offentlige myndigheder)
• ret til indsigelse mod en behandling.
4.2. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar i forbindelse med iagttagelsen af de registreredes rettigheder – især hvis ansvaret er delt op mellem parterne:
4.3. Såfremt en Dataansvarlig modtager en anmodning eller henven- delse fra en registreret vedrørende de forhold, der er omfattet af en anden dataansvarligs ansvar, jf. ovenstående, oversendes denne til besvarelse hos den rette dataansvarlige snarest muligt.
4.4. Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at alle parter kan efterleve forplig- telserne over for de registrerede.
4.5. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar for at bistå hinanden, fx hvornår dette kan være relevant:
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen
5.1. Dataansvarlig 1/Dataansvarlig 2/Dataansvarlig 3 /Dataansvarlig 4/Dataansvarlig 5 /Parterne:
er ansvarlig(e) for, under hensyntagen til den pågældende be- handlings karakter, omfang, sammenhæng og formål samt risi- ciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekni- ske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nød- vendigt revideres og ajourføres (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at parterne udarbej- der procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt eller opfyldelse af oplysningspligten.
5.2. Parternes foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.
5.3. Dataansvarlig 1/Dataansvarlig 2/Dataansvarlig 3 /Dataansvarlig 4/Dataansvarlig 5 /Parterne:
er ansvarlig(e) for iagttagelse af reglen om databeskyttelse gen- nem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.
5.4. Dataansvarlig 1/Dataansvarlig 2/Dataansvarlig 3 /Dataansvarlig 4/Dataansvarlig 5 /Parterne:
er ansvarlig(e) for at iagttage kravet i databeskyttelsesforordnin- gens artikel 32 om behandlingssikkerhed.
Dette indebærer, at parterne, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågæl- dende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører pas- sende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Parterne skal derfor foretage (og kunne dokumentere) en risiko- vurdering og herefter gennemføre foranstaltninger for at begræn- se de identificerede risici.
5.5. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar i forbindelse med iagttagelsen af databeskyttelsesforordningens artikel 24, 25 og 32 – især hvis ansvaret er delt op mellem parterne:
5. Anvendelse af databehandlere og underdatabehandlere
5.1. Parterne er berettiget /ikke berettiget
til at anvende databehandlere og/eller eventuelle underdatabe- handlere i tilknytning til den fælles behandling.
5.2. Ved eventuel anvendelse af databehandlere og/eller underda- tabehandlere er parterne ansvarlige for at efterleve kravene i databeskyttelsesforordningens artikel 28. Parterne er herefter bl.a. forpligtet til:
• alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behand- ling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
• at sikre, at der foreligger en gyldig databehandleraftale mel- lem den dataansvarlige part/parterne og databehandleren, og
• at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
5.3. Parterne skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere og evt. underdatabe- handlere. Det er den pågældende dataansvarlige, som har ansvar for at informere de andre dataansvarlige.
5.4. Hvis oplysningerne behandles af databehandlere og evt. under- databehandlere, skal de øvrige dataansvarlige efter anmodning herom gøres bekendt med indholdet af aftalerne mellem den dataansvarlige og databehandleren/underdatabehandleren.
7. Fortegnelse
7.1. Parterne er ansvarlige for at iagttage kravet i databeskyttelsesfor- ordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at hver enkelt part udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.
7.2. Parterne orienterer de øvrige parter om indholdet af ovennævnte fortegnelse.
7.3. På baggrund af indholdet i fortegnelsen udarbejdes egne forteg- nelser over den af aftalen omhandlede behandlingsaktivitet.
8. Anmeldelse af brud på persondatasikkerheden til tilsyns- myndigheden
8.1. Parterne er ansvarlige for efterlevelsen af databeskyttelsesforord- ningens artikel 33 om anmeldelse af brud på persondatasikkerhe- den til tilsynsmyndigheden.
8.2. Beskriv mere detaljeret reguleringen af parternes ansvar for at anmelde brud på persondatasikkerhe- den til tilsynsmyndigheden:
8.3. Ved brud på persondatasikkerheden, skal den af parterne, som er udpeget som anmelder, uden unødig forsinkelse skriftligt orien- teres på nedenstående adresse, således at denne part kan indbe- rette bruddet til Datatilsynet og om nødvendigt underrette de registrerede. Underretningen skal ske til:
Navn:
Email:
Telefonnummer:
9. Underretning om brud på persondatasikkerheden til den registrerede
9.1. Parterne er ansvarlige for iagttagelsen af databeskyttelsesforord- ningens artikel 34 vedrørende underretning om brud på person- datasikkerheden til den registrerede.
9.2. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar for at underrette om brud på persondatasikkerheden til de registrerede:
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
10.1. Parterne er ansvarlige for iagttagelsen af kravet i databeskyttel- sesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at parterne skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
10.2. Parterne er ligeledes forpligtet til at iagttage kravet i databeskyt- telsesforordningens artikel 35 om forudgående høring af tilsyns- myndigheden, når dette er aktuelt.
10.3. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar for at udarbejde en konsekvens- analyse eller for at kunne dokumentere, at der ikke er behov for dette:
11. Overførsel af personoplysninger til tredjelande eller internationale organisationer
11.1. Parterne kan træffe afgørelse om, at der kan ske overførsel af per- sonoplysninger til tredjelande eller internationale organisationer.
11.2. Parterne er ansvarlige for iagttagelsen af kravene i databeskyttel- sesforordningens kapitel V, såfremt der sker overførsel af person- oplysninger til tredjelande eller internationale organisationer.
11.3. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar i forbindelse med overførsel af personoplysninger til tredjelande eller internationale organisationer:
11.4. Anfør overførselsgrundlag efter databeskyttelsesforordningens kapitel V:
• Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (artikel 45)
• EU-standardkontrakten (artikel 45)
• Bindende virksomhedsregler (artikel 47)
• Overførsel eller videregivelse uden hjemmel i EU-retten (artikel 48)
• Særlige forhold (Artikel 49). Angiv hvilke:
12. Klager
12.1. Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke parten efter denne aftale er ansvarlig.
12.2. Hvis én af parterne modtager en klage, som rettelig bør behand- les af en anden part, oversendes klagen til denne dataansvarlige snarest muligt.
12.3. Hvis én af parterne modtager en klage, hvor en del af klagen rettelig bør behandles af en anden part, oversendes denne del til besvarelse hos parten snarest muligt.
12.4. Den registrerede skal, i forbindelse med partens oversendelse af en klage eller en del heraf til en anden part, oplyses om det væsentligste indhold af denne aftale.
13. Orientering af andre parter
13.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles behandling og denne aftale.
14. Regulering af andre forhold
14.1. Beskriv en eventuel regulering af andre forhold:
14.2. Beskriv en eventuel regulering af andre forhold:
15. Ikrafttræden og ophør
15.1. Denne aftale træder i kraft ved parternes underskrift heraf.
15.2. Aftalen er gældende, så længe de omhandlede oplysninger be- handles, eller indtil aftalen afløses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.
15.3. Underskrift
På vegne af Dataansvarlig 1 På vegne af Dataansvarlig 2
Navn: Navn:
Stilling: Stilling:
Dato: Dato:
På vegne af Dataansvarlig 3 På vegne af Dataansvarlig 4
Navn: Navn:
Stilling: Stilling:
Dato: Dato:
På vegne af Dataansvarlig 5 På vegne af Dataansvarlig 5
Navn: Navn:
Stilling: Stilling:
Dato: Dato: