Databehandleraftale
Mellem
Den dataansvarlige: Langelands Husflidsforening, herefter ’foreningen’
CVR 26960592
Xxxxxxxxxxx 00 0000 Xxxxxxxxx
og
Databehandleren: Foras landsforbund, herefter ’Fora’ CVR 45788628
Gammel Kongevej 39G, 1610 Kbh.V
1 Indhold
2 Baggrund for databehandleraftalen 2
3 Den dataansvarliges forpligtelser og rettigheder 3
4 Fora handler efter instruks 3
7 Anvendelse af underdatabehandlere 4
9 Underretning om brud på persondatasikkerheden 6
10 Sletning og tilbagelevering af oplysninger 6
13 Kontaktpersoner/kontaktpunkter hos foreningen og Fora 7
Bilag A Oplysninger om behandlingen – AFTENSKOLE ADMINISTRATION 8
Bilag B Betingelser for Foras brug af underdatabehandlere og liste over godkendte 9
B.1 Betingelser for Foras brug af eventuelle underdatabehandlere 9
B.2 Godkendte underdatabehandlere 10
Bilag C Instruks vedrørende behandling af personoplysninger 10
C.1 Behandlingens genstand/ instruks 10
C.3 Opbevaringsperiode/sletterutine 11
C.4 Nærmere procedurer for foreningens tilsyn med den behandling, som foretages hos Fora 11
2 Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Fora som databehandler foretager behandling af personoplysninger på vegne af foreningen som dataansvarlig.
2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i EuropaParlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
3. Foras behandling af personoplysninger sker med henblik på opfyldelse af den service som følger af foreningens medlemsskab af Foras landsforbund.
4. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
5. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
6. Databehandleraftalens Bilag B indeholder foreningens betingelser for, at Fora kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som foreningen har godkendt.
7. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling Fora skal foretage på vegne af foreningen (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med Foras behandling af persondata og Foras eventuelle underdatabehandlere.
8. Databehandleraftalens Bilag D indeholder parternes eventuelle regulering af forhold, som ikke ellers fremgår af databehandleraftalen eller foreningens medlemskab af Fora.
9. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af både forening og Fora.
10. Denne databehandleraftale frigør ikke Fora som databehandler for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt Fora.
3 Den dataansvarliges forpligtelser og rettigheder
1. Foreningen har over for omverdenen (herunder de personer hvis oplysninger er registreret) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
2. Foreningen har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler Fora må foretage behandling.
1. Fora som databehandler må kun behandle personoplysninger efter dokumenteret instruks fra foreningen som dataansvarlig.
2. Fora skal omgående underrette foreningen, hvis en instruks opfattes at være i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
1. Fora sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af foreningen. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Foras forpligtelser over for foreningen.
3. Fora sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af foreningen, har forpligtet sig til fortrolighed eller er underlagt tavshedspligt.
4. Fora skal efter anmodning fra foreningen kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
1. Fora iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der skal gennemføres
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de aktuelle forhold og risici.
2. Ovenstående forpligtelse indebærer, at Fora skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
a. Pseudonymisering, anonymisering og/eller kryptering af personoplysninger
b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
3. Fora skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
7 Anvendelse af underdatabehandlere
1. Fora skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
2. Fora må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra foreningen.
3. I tilfælde af generel skriftlig godkendelse skal Fora underrette foreningen om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give foreningen mulighed for at gøre indsigelse mod sådanne ændringer.
4. Foreningens nærmere betingelser for Foras brug af eventuelle underdatabehandlere fremgår af denne aftales Bilag B.
5. Foreningens eventuelle godkendelse af specifikke underdatabehandlere er anført i denne aftales Bilag B.
6. Når Fora har foreningens godkendelse til at gøre brug af en underdatabehandler, sørger Fora for at pålægge underdatabehandleren databeskyttelsesforpligtelser som stiller de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen af forenings data opfylder kravene i databeskyttelsesforordningen.
Fora er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler samme forpligtelser, som Fora selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.
7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter foreningens anmodning herom - i kopi til foreningen, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem Fora og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til foreningen.
8. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, er Fora fuldt ansvarlig over for foreningen for opfyldelsen af underdatabehandlerens forpligtelser.
1. Fora bistår, under hensyntagen til behandlingens karakter, så vidt muligt foreningen ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af foreningens forpligtelse til at besvare anmodninger om udøvelsen af de registreredes (typisk kursister, deltagere og ansatte) rettigheder, som er fastlagt i databeskyttelsesforordningens kapitel 3.
Dette indebærer, at Fora så vidt muligt skal bistå foreningen i forbindelse med, at foreningen skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger
b. den registreredes indsigtsret
c. retten til berigtigelse
d. retten til sletning (»retten til at blive glemt«)
e. retten til begrænsning af behandling
f. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
g. retten til dataportabilitet
h. retten til indsigelse
i. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
2. Fora bistår foreningen med at sikre overholdelse af foreningens forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for Fora, jf. art 28, stk. 3, litra f.
Dette indebærer, at Fora under hensynstagen til behandlingens karakter skal bistå foreningen i forbindelse med, at foreningen skal sikre overholdelsen af:
a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at foreningen er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af foreningen for at begrænse risikoen
9 Underretning om brud på persondatasikkerheden
1. Fora underretter uden unødig forsinkelse foreningen efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Fora eller en eventuel underdatabehandler.
Foras underretning til foreningen skal om muligt ske den første almindelige arbejdsdag efter, at Fora er blevet bekendt med bruddet, sådan at foreningen har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
2. Fora skal under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne, bistå foreningen med at foretage anmeldelse af bruddet til Datatilsynet. Det kan betyde, at Fora bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af foreningens anmeldelse til tilsynsmyndigheden:
a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne (f.eks. kursist, ansat) og det omtrentlige antal berørte registrerede samt kategorierne (f.eks. kontaktoplysninger, tilmeldinger) og det omtrentlige antal berørte registreringer af personoplysninger
b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger
10 Sletning og tilbagelevering af oplysninger
1. Hvis foreningen ikke længere ønsker Fora som databehandler (f.eks. ved udmeldelse af landsforbundet) er Fora forpligtet til, efter foreningens valg, at slette eller tilbagelevere alle personoplysninger til foreningen, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
1. Fora stiller alle oplysninger, der er nødvendige for at påvise Xxxxx overholdelse af databeskyttelsesforordningen og denne aftale, til rådighed for foreningen og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af foreningen eller en anden revisor, som er bemyndiget af foreningen.
2. Den nærmere procedure for foreningens tilsyn med Fora fremgår af denne aftales Bilag C.
3. Foreningens tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem Fora. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
4. Fora er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til foreningens og Foras faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Foras fysiske faciliteter mod behørig legitimation.
1. Denne aftale træder i kraft ved begge parters accept af aftalen, f.eks. ved tilkendegivelse på mail eller underskrift af aftalen.
2. Aftalen kan af både foreningen og Fora kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
3. Aftalen er gældende, så længe behandlingen består. Uanset om foreningen melder sig ud af Fora og/eller databehandleraftalen bliver opsagt, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos Fora og eventuelle underdatabehandlere.
4. Underskrift
På vegne af foreningen På vegne af Fora
Navn: | Xxxx Xxxxxxx | Xxxx: | Xxxxxxxx Xxxxx Xxxxxxxxxxx |
Stilling: | Formand | Stilling: | Sekretariatsleder |
Dato: | 24 maj 2018 | Dato: | 25. maj 2018 |
13 Kontaktpersoner/kontaktpunkter hos foreningen og Fora
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/kontaktpunkter:
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersonen/kontaktpunktet.
Foreningen:
Telefon: | 00 00 00 00 |
Email: Fora: | |
Navn: | Xxxxxxxx Xxxxx Xxxxxxxxxxx |
Stilling: | Sekretariatsleder |
Telefon: | 00 00 00 00 |
Email: |
Navn: Langelands Husflidsforening Funktion i foreningen: Formand
Bilag A Oplysninger om behandlingen – AFTENSKOLE ADMINISTRATION
Formålet med Foras behandling af personoplysninger på vegne af foreningen er:
• at foreningen kan anvende administrationssystemet DOFO, som ejes og administreres af Fora, til at indsamle og behandle oplysninger om foreningens kursister, deltagere i folkeoplysende aktiviteter.
Foras behandling af personoplysninger på vegne af foreningen drejer sig primært om (karakteren af behandlingen):
• at Fora stiller administrationssystem til rådighed for foreningen, så administration af foreningens kurser og aktiviteter kan foretages elektronisk. Fora opbevarer data indsamlet i administrationssystemet på Foras server.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
• Navn, e-mailadresse, telefonnummer, adresse, cpr-nummer, betalingsoplysninger, medlemsnummer, type af medlemskab, fremmøde og tilmelding til konkrete aktiviteter.
Behandlingen omfatter følgende kategorier af registrerede:
• Personer, som er eller har været kursister, deltagere eller medlemmer af foreningen.
Foras behandling af personoplysninger på vegne af foreningen kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
• Behandlingen er ikke tidsbegrænset og varer indtil databehandleraftalen opsiges eller ophæves af enten foreningen eller Fora.
Bilag B Betingelser for Foras brug af underdatabehandlere og liste over godkendte underdatabehandlere
B.1 Betingelser for Foras brug af eventuelle underdatabehandlere
Fora har foreningens generelle godkendelse til at gøre brug af underdatabehandlere. Fora skal dog underrette foreningen om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere hurtigst muligt og derved give foreningen mulighed for at gøre indsigelse mod sådanne ændringer. Såfremt foreningen har indsigelser mod ændringerne, skal foreningen give
meddelelse herom til Fora hurtigst muligt efter modtagelsen af underretningen. Foreningen kan alene gøre indsigelse, såfremt foreningen har rimelige, konkrete årsager hertil.
B.2 Godkendte underdatabehandlere
Foreningen har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:
Navn | CVR-nr | Adresse | Beskrivelse af behandling |
DoCAS System | 32081339 | Xxxxxxxxxxxx 0, 0000 Ebeltoft | Udvikling og vedligehold af DOFO administrationsssytem |
Foreningen har ved databehandleraftalens ikrafttræden godkendt anvendelsen af ovennævnte underdatabehandler til netop den behandling, som er beskrevet ud for parten. Fora kan ikke – uden foreningens specifikke og skriftlige godkendelse – anvende den enkelte underdatabehandler til en
”anden” behandling and aftalt eller lade en anden underdatabehandler foretage den beskrevne behandling.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1 Behandlingens genstand/ instruks
Foras behandling af personoplysninger på vegne af foreningen sker ved, at Fora udfører følgende: Registrerer og behandler oplysninger om foreningens kursister, deltagere i folkeoplysende aktiviteter.
C.2 Behandlingssikkerhed Sikkerhedsniveauet skal afspejle:
At der er tale om behandling af personoplysninger, som afgives af kursister og deltagere i forbindelse med tilmelding til kurser og aktiviteter.
Fora er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.
Fora skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med foreningen (på baggrund af den risikovurdering foreningen har foretaget):
I forbindelse med registrering og behandling af følsomme personoplysninger, typisk erklæringer afgivet af kursister som er handicappede i forhold til et konkret emne eller i øvrigt, skal der udføres særlig omhu med korrekt behandling af disse data.
I forbindelse med Foras behandling af data skal det altid tilstræbes at behandlingen sker med den størst mulige sikkerhed i forhold til oplysningernes karakter.
C.3 Opbevaringsperiode/sletterutine
Personoplysningerne opbevares i fem år hvis der er tale om bogføringsbilag som skal opbevares for at kunne dokumentere økonomiske transaktioner.
C.4 Nærmere procedurer for foreningens tilsyn med den behandling, som foretages hos Fora
Fora skal hvert tage stilling til om der skal indhentes revisionserklæring fra en uafhængig tredjepart angående Foras overholdelse af denne databehandleraftale for Foras egen regning.
Foreningen kan kræve at der skal indhentes revisionserklæring fra en uafhængig tredjepart angående Foras overholdelse af denne databehandleraftale for foreningens egen regning.
Foreningen eller en repræsentant for foreningen har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos Fora, når der efter foreningens vurdering opstår et behov herfor.