DATABEHANDLERAFTALE
Tønder Kommune
BILAG 10
Databehandleraftale konsulenter (som arbejder i Kommunens IT-systemer)
DATABEHANDLERAFTALE
Mellem
Tønder Kommune Xxxxxxx Xxxxx 0
6270 Tønder
CVR. nr.: 29189781
(herefter ”Kommunen”) og
[Indsæt navn, adresse og CVR] (herefter ”Konsulenten”)
er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Leverandørens behandling af personoplysninger på vegne af Kommunen:
Er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Konsulentens behandling af personoplysninger på vegne af Kommunen:
1. Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Konsulenten foretager behandling af personoplysninger på vegne af Kommunen i Kommunens IT-systemer.
2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
3. Konsulenten behandler i medfør af aftale med Kommunen (herefter ”Hovedaftalen”) personoplysninger for Kommunen, hvor Konsulentens behandlinger og formålet med behandlingerne er beskrevet. Hovedaftale vedrørende undervisning og kompetenceudviklende forløb på asylområdet til Tønder Kommune gældende fra 01.01.2022.
4. Databehandleraftalen og "hovedaftalen" er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog — uden at opsige "hovedaftalen" — erstattes af en anden gyldig databehandleraftale.
5. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i "hovedaftalen".
6. Denne databehandleraftale frigør ikke Konsulenten for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt Konsulenten som databehandler.
2. Kommunens rettigheder og forpligtelser
1. Kommunen er dataansvarlig for de personoplysninger, som Kommunen instruerer Konsulenten om at behandle, herunder at behandlingen er nødvendig og legitim i forhold til Kommunens opgavevaretagelse.
2. Kommunen har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.2 samt Lov nr. 502 af 23/05/2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven).
3. Konsulenten handler efter instruks
1. Konsulenten må kun behandle personoplysninger efter dokumenteret instruks fra Kommunen, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Konsulenten er underlagt som databehandler; i så fald underretter Konsulenten Kommunen om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan
underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Konsulenten underretter omgående Kommunen, hvis en instruks efter Konsulentens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4. Fortrolighed og tavshedspligt
1. Konsulenten og dennes personale skal iagttage ubetinget tavshed med hensyn til oplysninger vedrørende Kommunens eller andres forhold, som de får kendskab til i forbindelse med opfyldelse af Aftalen.
2. Konsulenten sikrer, at kun de personer, der aktuelt er autoriseret hertil hos Konsulenten, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
3. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Konsulentens forpligtelser overfor den dataansvarlige.
4. Konsulenten sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
5. Konsulenten skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
5. Behandlingssikkerhed
Konsulenten må iht. instruks i denne aftales bilag kun arbejde i Kommunens systemer og skal overholde Kommunens retningslinjer for brugen af systemerne.
6. Organisatoriske sikkerhedsforanstaltninger
1. Konsulenten skal, jf. denne aftales bilag, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
2. Konsulenten har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Konsulentens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed.
3. Konsulenten er forpligtet til straks og uden ugrundet ophold at underrette Kommunen om ethvert brud på persondatasikkerheden samt ved
a. enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kommunen er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning,
b. anden manglende overholdelse af konsulentens forpligtelser som databehandler, samt eventuelle underdatabehandleres forpligtelser
4. Konsulenten må ikke hverken offentligt eller til tredjeparter kommunikere om brud på persondatasikkerheden, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Konsulenten har en retlig forpligtelse til sådan kommunikation.
8. Misligholdelse og tvistigheder
Misligholdelse og tvistigheder er reguleret i Hovedaftalen.
9. Erstatning og forsikring
Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.
10. Ikrafttræden og varighed
1. Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen.
For Kommunen For Konsulenten
Navn og titel: Navn og titel:
Dato: Dato:
Underskrift: Underskrift:
Bilag:
Bilag 1 – Sikkerhed Bilag 2 – Instruks
Bilag 1 - Sikkerhed Oplysninger om behandlingen
Formålet med Konsulentes behandling af personoplysninger som databehandler på vegne af den Kommunen er:
Formålet er at leve op til de krav, der er beskrevet i Kommunens kontrakt med Udlændingestyrelsen i forhold til registrering af asylansøgeres fremmøde til undervisning, som berettiger asylansøgere til tillægsydelser.
Dertil kommer en indberetningspligt, hvis der er hændelsr eller episoder af uhensigtsmæssig eller kriminel karakter.
Konsulentens behandling af personoplysninger som databehandler på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen):
Konsulentbistand til registrering af fremmøde og fravær til undervisning i systemet LetAsyl.
Indberetning af hændelser af uhensigtsmæssig eller krimnel karakter i Letasyl.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
- Almindelige personoplysninger
- Følsomme personoplysninger, herunder
o Racemæssig eller etnisk baggrund
o Politisk overbevisning
o Religiøs overbevisning
o Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
- Oplysninger om enkeltpersoners rent private forhold
o Asylansøgeres ID-nummer
Behandlingen omfatter følgende kategorier af registrerede:
Konsulentens behandling af personoplysninger som databehandler på vegne af kommunen kan påbegyndes efter denne aftales ikrafttræden.
Behandlingen har følgende varighed:
Indtil hovedaftalen ophører 31/12 2022.
Beskrivelse af behandlingen:
Konsulenten skal i Letasyl indberette:
• Fremmøde og fravær, samt eventuelle begrundelser for manglende fremmøde
• Indberetninger omkring kriminalitet, trusler, seksuelle krænkelser, vold, hærværk, chikane, mistrivsel
• Holdskifte
• Sprogniveau
• Notater vedr. kursusbeviser
Bilag 2 - Instruks
Instruks vedrørende behandling af personoplysninger
Behandlingens genstand/instruks
Konsulentens behandling af personoplysninger som databehandler på vegne af kommunen sker ved, at Konsulenten udfører følgende:
Instruks for brug af LetAsyl:
Konsulenten tilgår LetAsyl ved brug af to-faktor login og får nødvendige adgangsrettigheder til den opgave der skal udføres.
Konsulenten må behandle Kommunes oplysninger vedrørende asylansøgere i det omfang det er nødvendigt for at kunne registrere fremmøde og fravær til undervisning, samt indberette hændelser af uhensigtsmæssig, social eller kriminel karakter
Behandlingssikkerhed
Konsulenten må kun arbejde i Kommunens systemer og ikke i egne systemer.
Konsulenten skal derfor gennemgå og bekræfte, at overholde Kommunens informationssikkerhedspolitik samt have gennemgået kommunens e-learning i informationssikkerhed inden Konsulenten tilgår systemet eller systemerne Kommunen har givet adgang til.
Konsulenten skal sikre, at kun relevante medarbejdere har adgang til de behandlede Personoplysninger. Konsulenten skal efter den Kommunens anmodning på ethvert tidspunkt kunne afgive en erklæring om hvilke personer, som har haft adgang til Personoplysningerne på vegne af Konsulenten.
Konsulenten skal sikre, at enhver person, der udfører arbejde for Konsulenten og får adgang til Personoplysningerne, kun behandler sådanne oplysninger efter Kommunens instruks. Konsulenten skal sikre, at enhver person, der udfører arbejde for Konsulenten og får adgang til Personoplysningerne har oparbejdet tilstrækkeligt kendskab til korrekt håndtering af personoplysninger, og at de pågældende medarbejdere er bekendt med de for databehandleraftalen gældende sikkerhedskrav.
Alle konsulentens medarbejdere der skal have adgang til systemet skal bruge
2-faktor login ved adgang til systemet. Adgang må kun gives til medarbejdere der for at udføre deres opgave har brug for adgang til systemet.
Konsulenten er forpligtiget til at informere Kommunen ved ansættelse eller opsigelse af medarbejdere, der skal have eller har adgang til systemet. Det er kommunen der giver brugerrettigheder til konsulentens medarbejdere. Der gives kun adgang til den nødvendige data for at konsulentens medarbejdere kan udføre sin opgave.
Der vil hver 6. måned blive ført kontrol med adgangsrettigheder, hvor konsulenten skal oplyse, hvilke medarbejdere der har adgang til systemet. Der føres en tilfældig log på udvalgte medarbejderes brug af systemet. Konsulenten kan på anmodning få de relevante logs udleveret fra Kommunen.
Lokalitet for behandling
Behandling af de i aftalen omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end de følgende:
o Xxxxxxxx 0, 0000 Xxxxx
o Hjemmearbejdsplads der lever op til de operationelle sikkerhedskrav
Operationel sikkerhed
Konsulenten skal sikre;
at det nødvendige og tilstrækkelige sikkerhedsniveau vedligeholdes og opretholdes, samt at eventuelle ændringer i Konsulentens sikkerhedsforanstaltninger og relevante personoplysningerne logges og dokumenteres,
at Konsulentens it-systemer og netværk er tilstrækkeligt sikret mod hacking og anden uautoriseret adgang,
at dennes interne operationelle sikkerhedsprocedurer og -manualer følges og er tilgængelige for kommunen.
Fysisk sikkerhed
Konsulenten skal sikre sine fysiske lokaliteter mod uautoriseret adgang.
Konsulenten skal have interne sikkerhedsprocedurer der ved fjernelse, afhændelse eller genbrug af hardware sikrer, at Personoplysninger ikke kompromitteres.
Samarbejde med myndigheder
Databehandleren samarbejder efter anmodning med Datatilsynet og eventuelle øvrige tilsynsmyndigheder i forbindelse med udførelsen af sådanne tilsynsmyndigheders opgaver. Databehandleren er herunder berettiget til at give Datatilsynet adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage Datatilsynets opgaver.
Efter Databehandlerens valg træffer enten den Dataansvarlige eller Databehandleren de nødvendige foranstaltninger til at sikre overholdelse af en afgørelse fra
Datatilsynet. Eventuelle ændringer i forhold til sikkerhedsniveau gennemføres som en ændring i henhold til denne Xxxxxx. Den Dataansvarlige underretter Datatilsynet om de foranstaltninger, der er truffet for at overholde afgørelsen.
Meddeler Datatilsynet Databehandleren påbud, skal Databehandleren efterkomme sådant påbud i overensstemmelse med den nærmere angivne måde og inden for den angivne frist.
Dokumenthistorik Godkendelse
SBSYS sag nummer 00.00.00-P27-1-20 | ||||
Versions- Nummer | Dato for version | Godkendt af | Godkendt dato | Xxxxxx |
2 | 20.3.2020 | Ingen rettelser så godkendelse ikke nødvendig | ||
1 | December 2019 | Xxxxxx Xxxxxxx | December 2019 | Xxxxxx Xxxxxxx |
Seneste relevante ændringer i omvendt rækkefølge (se fuld historik i SBSYS).
Versions- Nummer | Dato | Navn | Ændring |
2 | 20.03.2020 | Xxxxxxxxx Xxxxxxxxxxx | Ingen rettelser i databehandleraftalen – versionsnummer samt dokumenthistorik oprettet |
1 | December 2019 | Xxxxxxxxx Xxxxxxxxxxx | Skabelon for databehandleraftale konsulenter udfærdiget og lagt på TønderPortalen samt i SBSYS |