AFTALE OM DELEGATION AF OPGAVER VEDRØRENDE DATABEHANDLER- AFTALER

er der indgået denne aftale om Kommunens delegation af opgaver med tilsyn med over- holdelse af Kommunens databehandleraftaler og med forhandlinger om databehandler- aftaler til Foreningen (herefter sammen med bilagene kaldet "Aftalen"). Aftalen erstatter tidligere aftale af [dato] mellem Kommunen og Foreningen om tilsyn med overholdelse af Kommunens databehandleraftaler.

1. AFTALENS BAGGRUND OG FORMÅL

1.1 En række kommuner er gået sammen om at etablere Foreningen, der skal danne rammen om et fælleskommunalt samarbejde om forhandling af samt tilsyn med overholdelse af databehandleraftaler.

1.2 Samarbejdet i regi af Foreningen har til formål at sikre en ensartet praksis for tilsynet med databehandleraftaler, styrke kompetencerne på området og at sikre en bedre forhandlingsposition for medlemskommunerne ved indgåelse af nye databehandleraftaler.

1.3 Aftalen regulerer forholdet mellem Parterne i forbindelse med Foreningens va- retagelse af opgaver for Kommunen.

2. DEFINITIONER VEDRØRENDE GDPR

2.1 Den dataansvarlige kommune er den offentlige myndighed, der alene eller sam- men med andre afgør, til hvilke formål og med hvilke hjælpemidler der må fo- retages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne

fastsættes i EU-retten eller medlemsstaternes nationale ret, jf. også artikel 4, nr. 7, i GDPR.

2.2 En databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den data- ansvarlige Kommunes vegne, jf. også artikel 4, nr. 8, i GDPR.

2.3 En underdatabehandler er en fysisk eller juridisk person, en offentlig myndig- hed, en institution eller et andet organ, som en databehandler har indgået et aftaleforhold med og som behandler personoplysninger på den dataansvarlige Kommunes vegne efter Kommunes godkendelse, jf. herved artikel 28, stk. 4, i GDPR.

2.4 Med brud på persondatasikkerheden forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. også artikel 4, nr. 12 i GDPR.

2.5 Med Foreningens tilsyn forstås det tilsyn, som skal udføres med en databehand- ler, jf. artikel 28 i GDPR. Retningslinjer for Foreningens tilsyn er vedlagt som bi- lag 2.5.

2.6 Med den dataansvarlige kommunes tilsyn forstås det tilsyn, som skal føres med Foreningens overholdelse af Aftalen, jf. de forvaltningsretlige regler om delega- tion og tilsyn.

2.7 Med Foreningens forhandlinger af databehandleraftaler forstås den forhandling eller genforhandling af databehandleraftalernes juridiske og kommercielle for- hold, som Foreningen foretager på vegne af Kommunen ud fra Foreningens for- handlingsoplæg og eventuelt input fra Kommunen, og som udgangspunkt på basis af en for medlemskommunerne fælles standarddatabehandleraftale.

3. FORENINGENS FORPLIGTELSER

3.1 Forpligtelser efter GDPR

3.1.1 Foreningens varetagelse af opgaver for Kommunen skal ske i overensstemmelse med de til enhver tid gældende krav efter GDPR, databeskyttelsesloven og an- den eventuel anvendelig lovgivning om databeskyttelse. Foreningen er dataan- svarlig for så vidt angår de personoplysninger, Foreningen behandler til egne formål som led i Foreningens udførelse af opgaver i henhold til Aftalen. Forenin- gen er derimod ikke dataansvarlig i relation til de databehandleraftaler, Forenin- gen forhandler eller fører tilsyn med på vegne af Kommunen.

3.1.2 Foreningen vedligeholder og stiller en standarddatabehandleraftale, som er ud- arbejdet i fællesskab med medlemskommunerne, til rådighed for Kommunen. Standarddatabehandleraftalen udarbejdes i overensstemmelse med artikel 28,

stk. 3, i GDPR, og følger strukturen i Datatilsynets standardbestemmelser. Stan- darddatabehandleraftalen tilpasses ift. den konkrete behandling, herunder risi- kovurdering, jf. bilag 2.5.

3.2 Forhandling af databehandleraftaler

3.2.1 Foreningen fører på vegne af Kommunen forhandlinger om databehandlerafta- ler, når det efter Foreningens konkrete vurdering findes hensigtsmæssigt. For- eningen træffer beslutning om hensigtsmæssighed ud fra nærmere af Forenin- gen fastsatte retningslinjer. Hvis Kommunen, efter at have anmodet Foreningen herom, konkret ikke ønsker, at Foreningen varetager forhandlingen af en data- behandleraftale, meddeler Kommunen Foreningen dette hurtigst muligt, dog senest 5 arbejdsdage efter Foreningen har meddelt, at Foreningen igangsætter forhandlingen.

3.2.2 Den formelle beslutningskompetence til at indgå en af Foreningen forhandlet databehandleraftale ligger fortsat hos Kommunen, der dog som absolut ud- gangspunkt forventes at tiltræde de af Foreningen forhandlede databehandler- aftaler.

3.2.3 Foreningen sender i den indledende fase af forhandlingen et forhandlingsoplæg til Kommunens kontaktperson og giver dermed Kommunen mulighed for at give input til forhandlingen.

3.2.4 Ved sine forhandlinger anvender Foreningen så vidt muligt standarddatabe- handleraftalen, jf. punkt 3.1.2. Foreningen kan som led i sine forhandlinger til- passe standarddatabehandleraftalen den konkrete behandling, herunder risiko- vurderingen, jf. bilag 2.5, eller anvende en leverandørs standardtekst, mv.

3.2.5 Når Foreningen har forhandlet en databehandleraftale, sender Foreningen denne til Kommunens kontaktperson med anmodning om, at Kommunen tiltræ- der databehandleraftalen. Hvis den forhandlede databehandleraftale fraviger forhandlingsoplægget eller Kommunens input, jf. punkt 3.2.3, gør Foreningen samtidig Kommunen opmærksom herpå ledsaget af en forklaring af omfanget af og årsagen til fravigelsen.

3.3 Tilsyn

3.3.1 Foreningen fører på vegne af Kommunen relevante og tilstrækkelige tilsyn med, at databehandleraftaler, som Kommunen har indgået med leverandører og øv- rige samarbejdspartnere, overholdes af databehandlerne.

3.3.2 Foreningen er bemyndiget til at indhente det for tilsynet relevante materiale direkte hos databehandleren på vegne af Kommunen. Foreningen kan anvende

bilag 3.3.2 som legitimation over for databehandlerne vedrørende Foreningens adgang til at indhente oplysninger på vegne af Kommunen.

3.3.3 Foreningen kan både føre fysiske og skriftlige tilsyn med databehandlerne. For- eningen vælger den tilsynsform, der er bedst egnet til at føre tilsyn med den pågældende databehandlers overholdelse af databehandleraftalen. Beslutnin- gen om tilsynsformen foretages på baggrund af risikovurderingen og eventuelt konsekvensanalyse. Valget af tilsynsform godkendes af Kommunen.

3.3.4 Hyppigheden af tilsyn med databehandleren vurderes på baggrund af risikovur- deringen og en eventuel konsekvensanalyse. Dette godkendes af Kommunen.

3.3.5 Foreningens tilsyn efter 3.3.1 skal leve op til kravene i GDPR, særligt artikel 28 og 32, samt være i overensstemmelse med Datatilsynets til enhver tid gældende vejledning og anbefalinger om tilsyn med databehandlere samt eventuelle un- derdatabehandlere.

3.3.6 En oversigt over databehandlere samt databehandleraftaler omfattet af For- eningens tilsynsforpligtelse fremgår af Aftalens bilag 3.3.6. Bilaget skal løbende revideres. Foreningen fører kun tilsyn med databehandleraftaler, som mindst 20 medlemskommuner indgår aftale med Foreningen om at bistå med. Besty- relsen kan træffe beslutning om at nedsætte minimumstallet, hvorimod det kræver tilladelse fra generalforsamlingen, hvis minimumstallet skal øges fra 20.

3.4 Forpligtelser efter de forvaltningsretlige regler mv.

3.4.1 Foreningens varetagelse af opgaver for Kommunen skal ske i overensstemmelse med den til enhver tid gældende lovgivning, herunder de offentligretlige regler, som gælder for Kommunen.

3.4.2 Foreningen skal bistå Kommunen med at kunne opfylde kravene, der følger af de forvaltningsretlige regler om delegation. Det gælder bl.a. kravene til tilsyn, styring og kontrol.

3.4.3 Foreningen skal som led i forpligtelserne efter punkt 3.4.1 og 3.4.2 løbende gøre relevant materiale relateret til Foreningens tilsyn og forhandling tilgængeligt for Kommunen.

3.4.4 Hvis Kommunen har en saglig grund til at modtage oplysninger ud over de i pkt. 3.4.3, anførte, anmoder Kommunen Foreningen herom. Foreningen giver loyalt Kommunen de adspurgte oplysninger.

3.4.5 Foreningen forpligter sig til at varetage opgaverne for Kommunen på et højt fagligt højt niveau og på en økonomisk hensigtsmæssig måde.

3.4.6 En oversigt over arbejdsdelingen (opgaver, roller og ansvar) mellem Foreningen og Kommunen er vedlagt som bilag 3.4.6.

4. KOMMUNENS FORPLIGTELSER

4.1 Kommunen forpligter sig til at samarbejde med Foreningen med henblik på at realisere Aftalens formål.

4.2 Kommunen skal udlevere alle nødvendige oplysninger fra de databehandleraf- taler, som Kommunen har indgået, og som Foreningen skal føre tilsyn med, til Foreningen, så Foreningen kan føre et relevant tilsyn med databehandlernes overholdelse af databehandleraftalerne.

4.3 Det er en betingelse for Aftalen, at Kommunen i hele Aftalens løbetid har ind- gået tilslutnings- og samarbejdsaftale med Kommunernes It-Overbliksystem (KITOS) eller med en anden af Foreningen godkendt leverandør af it-systemer. Kommunen afholder selv udgifterne til dette.

4.4 Kommunen afholder selv udgifter til revisionserklæringer.

4.5 Kommunen stiller en kontaktperson til rådighed for Foreningen. Kommunen skal sikre, at kontaktpersonen har bemyndigelse til at forpligte Kommunen over for Foreningen, eventuelt efter opnåelse af mandat.

4.6 Kommunes kontaktperson meddeler Foreningen, når Kommunen konkret ikke ønsker, at Foreningen forestår forhandlingen af en databehandleraftale, jf. punkt 3.2.1.

4.7 Kommunens kontaktperson meddeler Foreningen, om Kommunen har input til forhandlingsoplægget, jf. punkt 3.2.3.

4.8 Kommunens kontaktperson meddeler Foreningen, hvorvidt Kommunen tiltræ- der en forhandlet databehandleraftale.

4.9 Kommunen skal sikre, at Foreningen varetager de delegerede opgaver i over- ensstemmelse med Aftalen. Tilsynet føres på baggrund af punkt 3.4.1-3.4.6.

4.10 Kommunen skal løbende påse, at Aftalen er tilstrækkelig til, at Foreningen kan varetage opgaven med at føre tilsyn med databehandlernes overholdelse af da- tabehandleraftaler og forhandle databehandleraftaler på vegne af Kommunen.

4.11 Hvis Kommunen ved indgåelse af nye databehandleraftaler ikke ønsker, at For- eningen forestår forhandlingen, skal Kommunen så vidt muligt anvende stan- darddatabehandleraftalen, som Foreningen stiller til rådighed, jf. punkt 3.1.2

5. UNDERDATABEHANDLERE

5.1 Foreningens og Kommunens tilsynsforpligtelser efter Aftalens punkt 3 og 4 gæl- der også i forhold til databehandlernes eventuelle underdatabehandlere.

6. BETALING

6.1 Kommunens betaling for Foreningens ydelser sker gennem betaling af et årligt kontingent fastsat af Foreningens generalforsamling, jf. Foreningens vedtægter.

7. ANSVAR

7.1 Kommunen er ansvarlig for Kommunens eventuelle overtrædelser af databe- skyttelsesforordningen (GDPR) eller databeskyttelsesloven, herunder bødean- svar, der påhviler Kommunen, og ansvar over for tredjemand, også selvom over- trædelsen er sket som følge af Foreningens udførelse af opgaver i henhold til Aftalen.

7.2 Kommunen har i øvrigt ansvaret for den delegerede opgave efter de almindelige forvaltningsretlige regler om delegation.

7.3 Kommunen kan rejse krav mod Foreningen efter dansk rets almindelige regler herom, dog ikke regreskrav for bøder, jf. straffelovens § 50, stk. 3.

7.4 Foreningens eventuelle overtrædelser af databeskyttelsesforordningen eller databeskyttelsesloven, når disse ikke sker i regi af Foreningens forpligtelser i medfør af denne Aftale, er Kommunen uvedkommende. I sådanne tilfælde vil Foreningen selv være ansvarlig over for tredjemand.

[Separat underskriftsside følger]

[Separat underskriftsside til Aftalen]

Den:

Sted:

For XX Kommune:

Den: XX (dato)

Sted: Viborg

For Det fælleskommunale Databe- handlersekretariat (DBS):

Navn: Titel:

Navn: Xxxxxx Xxxxxxxxx Xxxxxxx Titel: Sekretariatschef