DATABEHANDLERAFTALE BILAG 1 TIL HOVEDAFTALEN ”Kontrakten”
DATABEHANDLERAFTALE
BILAG 1 TIL HOVEDAFTALEN ”Kontrakten”
Denne databehandleraftale (”Databehandleraftale(-n)” eller ”Instruksen”) er indgået i forbindelse med parternes indgåelse af eksisterende hovedaftale (”Kontrakten”) mellem Konsulentfirmaet (”Konsulent- firmaet”) og EKKOfonden (”EKKOfonden”). Databehandleraftalen udgør grundlaget for, hvordan Kon- sulentfirmaet må arbejde med persondata i forbindelse med levering af ydelser i og for EKKOfonden på vegne af EKKOfonden. EKKOfonden og Konsulentfirmaet kaldes tilsammen ”Parterne” og hver for sig en ”Part”.
I det følgende gives en kort definition af de generelle termer, der anvendes i forbindelse med Person- dataforordningen:
- Dataansvarlig:
Den dataansvarlige er en virksomhed eller en offentlig myndighed, der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Det er altså den dataansvarlige, som i sidste ende har ansvaret for, at den registreredes oplysninger bliver be- handlet i overensstemmelse med persondataforordningen.
EKKOfonden er dataansvarlig i denne Databehandleraftale.
- Databehandler:
En databehandler kendetegnes ved kun at behandle personoplysninger på vegne af en data- ansvarlig. Databehandleren behandler således aldrig personoplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataan- svarlige.
Konsulentfirmaet er databehandler, der leverer ydelser til EKKOfonden på vegne af og efter instruks fra EKKOfonden.
- Tekniske og organisatoriske sikkerhedsforanstaltninger:
Databehandleren skal træffe de tekniske og organisatoriske sikkerhedsforanstaltninger, her- under sådanne yderligere foranstaltninger, som måtte være nødvendige, mod at de anførte personoplysninger hændeligt eller ulovligt tilintitetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges, eller i øvrigt behandles i strid med per- sondatalovgivningen.
Eksempler herpå kan være:
• Brug af password, der begrænser brugeres adgang i forhold til relevante arbejdsopga- ver
• Teknisk beskyttelse mod uautoriseret adgang, herunder firewalls ved eksterne kom- munikationslinjer
• Sikkerhedsforanstaltninger mod virus
• Regelmæssige backup-procedurer
• Sikkerhed om persondata på fysiske medier (sikkerhed om tilgængelighed af ringbind, USB, dvd m.v.)
1. BAGGRUND OG FORMÅL
1.1 Parterne har aftalt levering af en række ydelser fra Konsulentfirmaet til EKKOfonden, som er nærmere beskrevet i Kontrakten.
1.2 I den forbindelse behandler Konsulentfirmaet personoplysninger på vegne af EKKOfonden, hvorfor denne Databehandleraftale indgåes.
1.3 Databehandleraftalen har til formål at sikre, at Parterne overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:
• Databeskyttelsesloven (nr. 502 af 23/5 2018), og
• persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
27. april 2016), når denne får virkning pr. 25. maj 2018, samt nationale forskrifter fastsat efter persondataforordningen.
2. OPLYSNINGER OM BEHANDLINGEN/INSTRUKS
2.1 Konsulentfirmaet må alene behandle personoplysninger til de formål, som er nødvendige for at levere ydelser på vegne af EKKOfonden, og ikke til egne formål eller andre formål end de formål, der er aftalt med EKKOfonden i denne Databehandleraftale.
2.2 EKKOfonden instruerer derfor Konsulentfirmaet til alene at foretage behandling af personop- lysninger på EKKOfondens vegne efter vilkårene fastsat i denne Databehandleraftale samt instruksen i bilag 1.
2.3 Som Databehandler skal Konsulentfirmaet til hver en tid anvende de systemer, som EKKO- fonden stiller til rådighed for leverancen. Alle systemer er beskyttet med et unikt og personligt password, som er tildelt ene og alene til Konsulentfirmaets indehaver. Systemadgangene dækker over følgende platforme:
a) Planner 4 you: Anvendes til registreringer af ydelsesaktiviteter og dokumentation i leve- rancen (såsom opstart, pause, mødebooking, noter, delrapporter og afslutningsrapport samt dokumenthåndtering).
3. ÆNDRINGER OG VARIGHED
3.1 Instruksen i denne Databehandleraftale kan til enhver tid ændres eller konkretiseres nærmere af EKKOfonden.
3.2 Databehandleraftalen gælder, indtil Kontraktenn om levering af ydelserne ophører.
3.3 Uanset Databehandleraftalens ophør skal aftalens punkt 12 vedrørende fortrolighed fortsat have virkning efter Databehandleraftalens ophør.
4. KONSULENTFIRMAETS FORPLIGTELSER
4.1 Tekniske og organisatoriske foranstaltninger
Konsulentfirmaet garanterer over for EKKOfonden, at Konsulentfirmaet gør brug af de til en- hver tid passende tekniske og organisatoriske foranstaltninger, EKKOfonden eller Konsulent- firmaet har stillet op på en sådan måde, at Konsulentfirmaets behandling af personoplysninger på vegne af EKKOfonden opfylder kravene i den til enhver tid gældende persondataretlige
regulering. Se bilag 2 for de specifikke tekniske og organisatoriske sikkerhedskrav EKKOfon- den har stillet op.
Konsulentfirmaet skal på EKKOfondens anmodning redegøre for og dokumentere, at Konsu- lentfirmaet opfylder kravene i persondatalovgivningen og forpligtelserne i medfør af denne Databehandleraftale, herunder at de til enhver tid nødvendige tekniske og organisatoriske sik- kerhedsforanstaltninger er truffet. Herudover skal Konsulentfirmaet på EKKOfondens anmod- ning give EKKOfonden tilstrækkelige oplysninger til, at EKKOfonden kan påse, at Konsulent- firmaet har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
4.2 Sikkerhedsbrud
4.2.1 Konsulentfirmaet er forpligtet til at underrette EKKOfonden hurtigst muligt og senest 12 timer efter, at Konsulentfirmaet er blevet bekendt med driftsforstyrrelser, mistanke om brud på per- sondatalovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af per- sonoplysningerne. Underretningen skal ske via mail til: xxxxxxxxxxxxxx@XXXXxxxxxx.xx.
Efter EKKOFONDENs anmodning skal Konsulentfirmaet bistå EKKOfonden i forhold til afkla- ring af sikkerhedsbruddet, herunder i forbindelse med eventuel anmeldelse til den kompetente tilsynsmyndighed og/eller registrerede personer.
4.2.2 Der skal oprettes en registrering af sikkerhedsbruddet i EKKOfondens hertil egnede registre- ringssystem, der kan tilgås via EKKOfondens intranet.
4.3 Bistand
4.3.1 Hvis Konsulentfirmaet eller en anden databehandler, som har modtaget oplysninger, modta- ger en anmodning om adgang til registrerede personoplysninger fra en registreret, eller en registreret gør indsigelse mod behandlingen af hans/hendes personoplysninger, skal Konsu- lentfirmaet sende sådan anmodning og/eller indsigelse til EKKOfonden med henblik på EK- KOfondens videre behandling, medmindre Konsulentfirmaet er berettiget til at håndtere en sådan forespørgsel selv. Konsulentfirmaet skal efter anmodning fra EKKOfonden bistå Kon- sulentfirmaet i relation til besvarelse af anmodningen og/eller indsigelsen fra den registrerede. Se nærmere under punkt 4.3.2.
4.3.2 Konsulentfirmaet skal i fornødent og rimeligt omfang hjælpe med EKKOfondens opfyldelse af EKKOfondens forpligtelser som dataansvarlig. Herved skal Konsulentfirmaet bidrage med:
a) Besvarelser til registrerede ved udøvelse af disses rettigheder.
b) Nødvendige situationer, herunder eventuelle udarbejdelser af konsekvensanalyser.
c) Sikkerhedsbrud.
d) Forudgående høringer fra tilsynsmyndighederne.
4.3.3 Konsulentfirmaet skal dermed også fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Konsulentfirmaet er den nærmeste hertil.
5. EKKOFONDENS FORPLIGTELSER
5.1 EKKOfonden har følgende forpligtelser:
a) At sikre sig at personoplysningerne, som EKKOfonden giver Konsulentfirmaet adgang til på vegne af EKKOfonden, er ajourførte.
b) At sikre sig at instruksen og behandlingen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering.
c) At instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og ydel- serne beskrevet heri og i Kontraktenn.
6. OVERFØRSEL TIL TREDJELANDE, INTERNATIONALE ORGRANISATIONER OG UN- DERDATABEHANDLERE
6.1 Konsulentfirmaet er ikke berettiget til at videregive eller overlade personoplysninger til andre databehandlere (underdatabehandlere) eller tredjeparter herunder foretage overførsel af per- sonoplysninger til tredjelande, uden forudgående skriftlig instruks eller generel fuldmagt fra EKKOfonden, medmindre en sådan videregivelse eller overladelse er fastsat i lovgivningen.
6.2 Påtænker Konsulentfirmaet at anvende underdatabehandlere, skal denne databehandleraf- tale opdateres med et bilag 3 hvor underdatabehandlerne oplistes med instruks om deres behandlingshjemmel.
6.3 Konsulentfirmaet skal, inden overførsel af personoplysninger til en underdatabehandler, indgå en skriftlig databehandleraftale med underdatabehandleren, hvor denne forpligter sig til over for Konsulentfirmaet at være bundet på "back-to-back"-vilkår i forhold til bestemmelserne i denne databehandleraftale.
6.4 Derudover henvises til Kontrakten angående udførelse af leverancer.
7. DATABEHANDLING UDEN FOR INSTRUKSEN
7.1 Ved behandling af personoplysninger uden for Instruksen skal Konsulentfirmaet underrette EKKOfonden om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.
7.2 Underretning skal ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.
8. MISLIGHOLDELSE
8.1 Konsulentfirmaet skal skadesløsholde EKKOfonden for alle krav, omkostninger (herunder ri- melige advokatomkostninger), tab, ansvar, bøder, udgifter og skadeserstatning, som EKKO- fonden måtte lide, som følge af Konsulentfirmaets misligholdelse af denne Databehandleraf- tale, herunder overtrædelse af den til enhver tid gældende persondatalovgivning.
9. FORCE MAJEURE
9.1 Konsulentfirmaet kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ilds- våde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af al- mindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer.
9.2 Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure- situationen varer.
10. FORTROLIGHED
10.1 I tilfælde af at Kontrakten om levering af ydelserne ikke tager stilling hertil, skal bestemmel- serne i punkt 10.2-10.4 finde anvendelse på denne Databehandleraftale.
10.2 Information vedrørende indholdet af denne Databehandleraftale, de underliggende ydelser, samt alle former for information, der er angivet som fortroligt eller klart må opfattes som for- troligt, skal behandles fortroligt. Data, herunder persondata, udgør altid fortrolige informatio- ner.
10.3 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentligt tilgæn- gelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som alle- rede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse, eller information, som selvstændigt er udviklet af den modtagende Part.
10.4 Konsulentfirmaet skal sikre, at de medarbejdere, der er involveret i at behandle personoplys- ningerne, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt.
11. OPHØR
11.1 Opsigelse og ophævelse
11.1.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmel- serne om opsigelse og ophævelse i Kontrakten om levering af ydelserne.
11.1.2 Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til
- samtidig opsigelse eller ophævelse af dele af Kontrakten om levering af ydelserne, der ved- rører behandling af personoplysninger i medfør af Databehandleraftalen.
11.2 Virkning af ophør
11.3 Konsulentfirmaets bemyndigelse til at behandle personoplysninger på vegne af EKKOfonden bortfalder ved Databehandleraftalens ophør, uanset årsag.
11.4 Konsulentfirmaet må fortsat behandle personoplysningerne i op til tre måneder efter Databe- handleraftalens ophør, i det omfang dette er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger, og dette sker efter EKKOfondens specifikke instruks. I samme periode er Konsulentfirmaet berettiget til at lade personoplysningerne indgå i Konsulentfirmaets sædvan- lige backupprocedure. Konsulentfirmaets behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
11.5 I det omfang EKKOfonden ikke allerede er i besiddelse af personoplysningerne, skal Konsu- lentfirmaet og dennes Underdatabehandlere tilbagelevere alle personoplysninger, som Kon- sulentfirmaet har behandlet under denne Databehandleraftale, til EKKOfonden ved Databe- handleraftalens ophør. Konsulentfirmaet er herefter forpligtet til at slette alle personoplysnin- ger fra EKKOfonden, medmindre der skal ske tilbagelevering til EKKOfonden. EKKOfonden kan til enhver tid anmode om fornøden dokumentation for, at sletning eller tilbagelevering af samtlige personoplysninger er sket.
12. TVISTLØSNING
12.1 I tilfælde af, at Kontrakten om levering af ydelserne ikke tager stilling til tvistløsning, skal be- stemmelserne i dette punkt 122 finde anvendelse på denne Databehandleraftale.
12.2 Opstår der uoverensstemmelser i forbindelse med Databehandleraftalen eller dens gennem- førelse, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten i mindelighed.
12.3 Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Retten i Hjørring er valgt som vær- neting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.
13. UNDERSKRIFTER
Aftalen skal foreligge skriftligt, herunder elektronisk, hos EKKOfonden og Konsulentfirmaet. Parternes un- derskrift følger nedenstående.
For EKKOfonden For Konsulentfirmaet
Dato Dato
BILAG 1
INSTRUKS TIL LEVERANCE AF YDELSE
1 Konsulentfirmaets behandling af personoplysninger på vegne af EKKOfonden sker ved, at Konsulentfirmaet udfører følgende:
a) Behandling i forbindelse med leverance af outplacement ydelser
Behandling | Formål og hjemmel |
Følgende oplysninger stilles til rådighed af EKKOfonden i EKKOfondens sags- behandlngssystem ved leverancens opstart, for at Konsulentfirmaet kan kontakte personer på vegne af EKKOfonden med henblik på at drøfte den leverance, som tilbydes, og som EKKOfonden har udvalgt Konsulentfirmaet til at levere: Den registreredes fulde navn, telefon- nummer, evt. e-mailadresse, postadresse. Samt oplysninger fra den visiterende kom- mune, såsom (men ikke begrænset til) ud- redning, funktionsevne, helbreds-oplys- ninger, sociale problemer. | Igangsætning af leverance i henhold til Kon- trakten. Oplysningerne vil være tilgængelige for Konsulentfirmaet i EKKOfondenss sagsbe- handlingssystem ”Planner 4 Ypu”, og Konsulentfirmaet vil af EKKOfonden blive adviseret om, at der ligger en opgave i systemet via e-mail, telefonopringning eller sms. |
Indsamling af den registreredes kontaktoplysninger, herunder navn, e- mailadresse, telefonnummer og post- adresse. | Konsulentfirmaet kan på vegne af EKKOfon- den indsamle evt. manglende kontaktoplysninger, eller informere EKKOfonden om eventuel ajourføring af oplysninger modtaget af den registrerede. Derudover behandler Konsulentfirmaet disse oplysninger på vegne af EKKOfonden med henblik på at kommunikere med den registrerede i forbindelse med leverancen. |
Indsamling af oplysninger som den registrerede deler med Konsulentfirmaet (skriftligt eller mundtligt), og som har relevans for leverancen af ydelserne. Disse oplysninger kan omfatte, men er ikke begrænset til, holdninger, kompetencer, helbred, sociale problemer, ønskede kompetencer, værdier m.m. | Konsulentfirmaet må behandle disse oplysninger på vegne af EKKOfonden for at kunne levere ydelserne dvs. kunne analysere faktorer vedrørende den registreredes situa- tion, og for at levere ydelser til forbedring heraf i henhold til Kontrakten. Konsulentfirmaet skal behandle disse oplysninger med udgangspunkt i EKKOfon- dens værktøjer, som er tilgængelig i |
EKKOfondens sagsbehandlingssystem Plan- ner 4 You, således at leverancen kun omfatter relevante forhold og at dataminimering dermed sikres. Der henvises i denne forbindelse til den træning i sagsbehandlingssystemet, som Konsulentfirmaet har gennemført ved EKKO- fonden. EKKOfonden stiller systemerne Planner 4 You og online-intranet til rådighed som til hver en tid skal anvendes i leverancen for derved at sikre, at EKKOfonden kan overvåge leverancen med henblik på kvalitetssikring og sikkerhedskontrol af data. | |
Løbende registreringer af indsamlede op- lysninger i henhold til offentlighedslovens samt forvaltningslovens regler om journa- liserings- og notat pligt | Registreringen finder sted som en del af leve- rancen i henhold til Kontrakten, og foretages til en hver tid i EKKOfondens sagsbehandlingsy- stem ”Planner 4 You”. |
I forbindelse med leverancen udfyldes af Konsulentfirmaet en delrapport på bag- grund af de indsamlede oplysninger. | Registreringen finder sted som en del af leve- rancen i henhold til Kontrakten, og foretages til en hver tid i EKKOfondens sagsbehandlingsy- stem ”Planner 4 You”. |
Ved ydelsens afslutning, skal Konsulent- firmaet på vegne af EKKOfonden udfylde en afslutningsrapport i EKKOfondens sy- steme, hvori oplysninger om effekten af ydelsen fremgår samt eventuelle anbefa- linger i forhold til det videre forløb. | Konsulentfirmaet skal på vegne af EKKOfon- den sikre, at der ved leverancens afslutning fremsendes dokumentation for everancens ef- fekt for, at EKKOfonden kan demonstrere værdi for kunderne, som betaler for ydelserne. Registreringen finder sted som en del af leve- rancen i henhold til Kontrakten, og foretages til en hver tid i EKKOfondens sagsbehandlingsy- stem ”Planner 4 You”. |
2 Behandlingen omfatter følgende kategorier af registrerede:
a) Fysiske personer, som via deres handlekommune er visiteret til en social indsats i hen- hold til servicelovens bestemmelser i EKKOfondens regi.
3 Typer af personoplysninger
Typer af perosnoplysninger der behandles i sammenhæng med levering af ydelsen:
a) Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 6, fra 25. maj 2018, jf. persondataforordningens artikel 6):
- Navn
- Adresse
- Telefonnummer
- E-mailadresse
- Social anamnese (sociale problemstillinger, adfærd ect. )
b) Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 7, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 9):
- Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
*EKKOfonden skal gøre opmærksom på, at der ved modtagelsen af sagsakter og indsamling af information utilsigtet vil kunne indgå følsomme personoplysninger, som den registrerede har oplyst i materialet. Der kan eksempelvis være tale om politiske overbevisninger, sexualitet, re- ligiøs overbevisning, etnicitet. Såfremt dette er tilfældet, og de følsomme personoplysninger ikke har relevans for målet med leverancen er Konsulentfirmaet forpligtet til, på vegne af EKKOfon- den, til hver en tid at overholde de grundlæggende databeskyttelsesprincipper og foretage de nødvendige sikkerhedsmæssige foranstaltninger for beskyttelse af følsomme personoplysnin- ger. F.eks. ved straks sletning når muligt og versionsminimering.
4 Varighed
I de tilfælde, hvor Konsulentfirmaet er nødt til at gøre brug af egne enheder (såsom computer, tablet, og telefon), forpligter Konsulentfirmaet sig til overholde de grundlæggende databestyt- telsesprincipper herunder opsætte fornødne tekniske og organisatoriske sikkerhedsmæssige foranstaltninger, jf. afsnit 4.1. og bilag 2 i denne databehandleraftale, således at alle mails, tekstbeskeder, vedhæftede dokumenter, notater m.m., der fremsendes mellem Konsulentfir- maet og den registrerede, slettes ved leverances ophør, eller senest 6 måneder herefter.
BILAG 2
SPECIFIKKE TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV
1 Der stilles følgende specifikke krav til Konsulentfirmaets fysiske sikkerhed:
a) At Konsulentfirmaet behandler fysisk materiale i overensstemmelse med de grundlæg- gende databeskyttelsesprincipper og tilintetgør fysisk materiale forsvarligt, når det ikke længere er relevant at behandle, og dette følger af EKKOfondens instruks.
b) At Konsulentfirmaet har fysisk sikkerhed i form af sikker opbevaring til fysisk og elektro- nisk materiale.
c) At Konsulentfirmaet har og benytter brugeradgang til computer, telefon og tablet og/eller andre medier, samt på andre måder sikrer, at uautoriserede personer ikke kan få adgang til personoplysninger.
2 Der stilles følgende specifikke krav til Konsulentfirmaets tekniske sikkerhed:
a) At Konsulentfirmaet udelukkende benytter EKKOfondens systemer, som er til rådighed, og ikke lagrer personoplysninger lokalt på computer, telefon og tablet og/eller andre me- dier og eksterne cloudløsninger.
b) I de tilfælde hvor Konsulentfirmaet på vegne af EKKOfonden foretager en indsamling af data via et hvilket som helst medie, herunder, men ikke begrænset til, kommentarer, kor- respondance, e-mails, telefonsamtaler og tekstbeskeder, forpligter Konsulentfirmaet sig til at benytte de fornødne foranstaltninger for til enhver tid at holde personoplysninger sikkert. Eksempelvis gennem opdaterede styresystemer, virus-/malwareprogrammer, og brugeradgang.
c) Når konsulentfirmaet transmittere personoplysninger, sker dette via en sikker krypteret formidlingskanal (sikker post eller digital post) alternativt foretages fysisk forsendelse via post el. kurierservice.