AFTALE OM FÆLLES DATAANSVAR
AFTALE OM FÆLLES DATAANSVAR
Version 1.1, februar 2024
mellem
Brunata A/S
Xxxxxxxxxxxxx 00
2730 Herlev Danmark
CVR-nr. 22166514
(herefter benævnt ”Dataansvarlig 1”)
og
Brunatas kunde
(herefter benævnt ”Dataansvarlig 2”)
(hver for sig benævnt ”Part” og i fællesskab benævnt ”Parterne”)
1. Fælles dataansvar
1.1 Denne aftale om fælles dataansvar (herefter benævnt ”Aftalen”) fastsætter ansvarsfor- delingen mellem Parterne i forbindelse med indsamling og behandling af forbrugs- og eventuelt andre energi- og/eller bygningsdata i henhold til særskilt aftale indgået mel- lem Parterne (herefter benævnt ”Hovedaftalen”).
Behandling sker med henblik på udarbejdelse af forbrugsregnskaber og eventuelt yder- ligere opgørelser over udviklingen i energi- og bygningsdata som fastlagt i Hovedaftalen.
1.2 Efter databeskyttelsesforordningens (herefter benævnt ”GDPR”) artikel 26 foreligger fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Såfremt der foreligger fælles dataansvar, skal de fælles dataansvarlige på en gennem- sigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i hen- hold til GDPR, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i GDPR artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de data- ansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.
Ordningen skal efter GDPR artikel 26, stk. 2, på behørig vis afspejle de fælles dataan- svarliges respektive roller og forhold til den registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for den registrerede.
Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i med- før af GDPR med hensyn til og over for den enkelte dataansvarlige.
Den ”interne” ansvarsfordeling i Aftalen hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser over for Parterne.
1.3 Der er mellem Parterne enighed om, at der i forbindelse med behandling af data, jf. pkt. 1.1, foreligger fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på, at Parterne i fællesskab medvirker til fastlæggelsen af formålene med og hjælpemidlerne til behandling.
Der henvises i den forbindelse til notat om Dataansvarlig 1’s rolle i et databeskyttelses- retligt perspektiv, der er tilgængelig på Dataansvarlig 1’s hjemmeside.
1.4 Aftalen er udformet med henblik på, at Parterne kan efterleve kravene til fælles dataan- svar i medfør af GDPR artikel 26. Aftalen fastlægger Parternes respektive ansvar for over- holdelse af forpligtelserne i henhold til GDPR, navnlig hvad angår udøvelse af den regi- streredes rettigheder og forpligtelsen til at fremlægge oplysninger som omhandlet i GDPR artikel 13 og 14.
2. Overordnet ansvarsfordeling
2.1 Dataansvarlig 2 er ansvarlig for fremlæggelse af oplysninger i henhold til GDPR art. 13 og 14.
2.2 Dataansvarlig 1 er ansvarlig for sikring af den registreredes rettigheder i henhold til GDPR art. 15-22.
3. Principper og behandlingshjemmel
3.1 Dataansvarlig 2 er ansvarlig for, at der foreligger et gyldigt behandlingsgrundlag, jf. GDPR art. 6, stk. 1. Dette vil typisk være i form af en kontrakt om leje med den regi- strerede eller foreningsvedtægter, som den registrerede som medlem er underlagt.
3.2 Parterne er hver især ansvarlige for at overholde principperne for behandling af person- oplysninger, i det omfang at reglerne finder anvendelse på den pågældende parts an- svarsområder ifølge denne aftale.
4. De registreredes rettigheder
4.1 Parterne er ansvarlig for sikringen af den registreredes rettigheder gennem iagttagelse af nedenstående regler i GDPR:
• oplysningspligt ved indsamling af personoplysninger hos den registrerede,
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,
• den registreredes indsigtsret,
• ret til berigtigelse,
• ret til sletning (retten til at blive glemt),
• ret til begrænsning af behandling,
• underretningspligt i forbindelse med berigtigelse eller sletning af personoplysnin- ger eller begrænsning af behandling,
• ret til dataportabilitet (dog ikke for offentlige myndigheder) og
• ret til indsigelse mod en behandling.
4.2 Såfremt Dataansvarlig 1 modtager en anmodning eller henvendelse fra den registre- rede vedrørende forhold, der er omfattet af Dataansvarlig 2’s ansvar, jf. pkt. 2.1, oversendes denne til besvarelse hos Dataansvarlig 2 snarest muligt.
4.3 Såfremt Dataansvarlig 2 modtager en anmodning eller henvendelse fra den registre- rede vedrørende forhold, der er omfattet af Dataansvarlig 1’s ansvar, jf. pkt. 2.2, oversendes denne til besvarelse hos Dataansvarlig 1 snarest muligt.
4.4 Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nød- vendigt for, at Parterne kan efterleve forpligtelserne over for den registrerede.
5. Behandlingssikkerhed og dokumentation for overholdelse af GDPR
5.1 Parterne er ansvarlige for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekni- ske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise,
at behandlingen er i overensstemmelse med GDPR. Foranstaltningerne skal om nødven- digt revideres og ajourføres. Dette kan eksempelvis indebære, at Parterne udarbejder procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt eller opfyldelse af oplysningspligten.
5.2 Parternes foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktivite- terne, omfatte implementeringen af passende databeskyttelsespolitikker.
5.3 Parterne er ansvarlige for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, jf. GDPR artikel 25.
5.4 Parterne er ansvarlig for at iagttage kravet i GDPR artikel 32 om behandlingssikkerhed. Dette indebærer, at Parterne, under hensyntagen til det aktuelle tekniske niveau, im- plementeringsomkostningerne og den pågældende behandlings karakter, omfang, sam- menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske per- soners rettigheder og frihedsrettigheder gennemfører passende tekniske og organisato- riske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Parterne skal derfor foretage (og kunne dokumentere) en risikovurdering, og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.
6. Anvendelse af databehandlere og underdatabehandlere
6.1 Parterne er berettiget til at anvende databehandlere og/eller eventuelle underdatabe- handlere i tilknytning til nærværende aftale.
6.2 Ved eventuel anvendelse af databehandlere og/eller underdatabehandlere er Parterne ansvarlige for at efterleve kravene i GDPR artikel 28.
7. Fortegnelser over behandlingsaktiviteter
7.1 Parterne er ansvarlige for at iagttage kravet i GDPR artikel 30 om fortegnelser over behandlingsaktiviteter.
8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
8.1 Parterne er ansvarlige for efterlevelsen af GDPR artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden.
8.2 Ved brud på persondatasikkerheden underretter den Part, der er ansvarlig for bruddet tilsynsmyndigheden herom.
8.3 Ved brud på persondatasikkerheden orienterer den Part, der er ansvarlig for bruddet, den anden Part herom, snarest muligt efter konstateringen af databruddet.
9. Underretning om brud på persondatasikkerheden til den registrerede
9.1 Parterne er ansvarlig for efterlevelse af GDPR artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.
9.2 Ved brud på persondatasikkerheden underretter den Part, der er ansvarlig for bruddet den registrerede herom.
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
10.1 Parterne er ansvarlig for efterlevelse af kravet i GDPR artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Parterne, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for behandlingen foretager en analyse af de påtænkte behand- lingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
10.2 Parterne er ligeledes forpligtet til at iagttage kravet i GDPR artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt.
11. Overførsel af personoplysninger til tredjelande eller internationale organisationer
11.1 Parterne kan træffe afgørelse om, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.
11.2 Parterne er ansvarlige for iagttagelsen af kravene i GDPR kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.
12. Klager
12.1 Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra de registre- rede, hvis klagerne omhandler overtrædelse af bestemmelser i GDPR, for hvilke Parten efter Aftalen er ansvarlig.
12.2 Hvis én af Parterne modtager en klage, som rettelig bør behandles af den anden Part, oversendes klagen til denne Part snarest muligt.
12.3 Hvis én af Parterne modtager en klage, hvor en del af klagen rettelig bør behandles af den anden Part, oversendes denne del til besvarelse hos denne Part snarest muligt.
12.4 Den registrerede skal, i forbindelse med Partens oversendelse af en klage eller en del heraf til den anden Part, oplyses om det væsentligste indhold af Aftalen.
13. Orientering af den anden part
13.1 Parterne orienterer hinanden om væsentlige forhold, der har betydning for det fælles dataansvar og Aftalen.
14. Ikrafttræden og ophør
14.1 Aftalen træder i kraft ved Parternes indgåelse af Hovedaftalen.
14.2 Aftalen er gældende, så længe Hovedaftalen løber og de omhandlede personoplysninger behandles, eller indtil Aftalen afløses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandling.
14.3 Aftalen underskrives ikke, men indgår som en integreret del af Hovedaftalen på samme måde som Dataansvarlig 1’s salgs- og leveringsbetingelser. Ligesom salgs- og leverings- betingelserne fremsendes Aftalen til Dataansvarlig 2 i forbindelse med indgåelse af Ho- vedaftalen, hvorved Dataansvarlig 2 ved sin accept af Hovedaftalen tiltræder Aftalen. Aftalen er tilgængelig på Dataansvarlig 1’s hjemmeside.