DLA Piper Denmark Advokatpartnerselskab Rådhuspladsen 4
DLA Piper Denmark Advokatpartnerselskab Rådhuspladsen 4
1550 København V
Tlf. x00 00 00 00 00
Fax x00 00 00 00 00
CVR 00 00 00 00
xxxxxxx@xxxxxxxx.xxx xxx.xxxxxxxx.xxx
BILAG D
AFTALE OM FÆLLES DATAANSV AR
Mellem
Garantifonden |
og |
Administrationsselskabet |
er der indgået følgende aftale om fælles dataansvar (herefter “Dataansvarsaf- tale”):
1. Definitioner
Medmindre andet er angivet i denne Dataansvarsaftale, finder definitionerne i Rammeaftalen og i databeskyttelsesordningens artikel 4 anvendelse på begreber i denne aftale.
Alle henvisninger til lovbestemmelser skal anses for også at omfatte alle efterføl- gende videreførte bestemmelser eller ændringsbestemmelser.
2. Baggrund og formål
Denne Dataansvarsaftale udgør et bilag til Rammeaftalen, som er indgået mellem Parterne. Rammeaftalen indeholder en nærmere beskrivelse af Garantifonden og Administrationsselskabet, samt de funktioner og opgaver, som hver Part vareta- ger i henhold til Rammeaftalen.
Som led i varetagelse af de funktioner og opgaver, der er beskrevet i Rammeaf- talen, vil både Garantifonden og Administrationsselskabet bidrage til at fastlægge formålet med hjælpemidlerne til behandling af personoplysninger. Parterne er så- ledes fælles dataansvarlige, jf. databeskyttelsesforordningens artikel 26, stk. 1. Dataansvarsaftalens punkt 3 giver desuden en overordnet beskrivelse af Parternes roller i relation til behandling af personoplysninger.
UDKAST af 7. september 2020 X.xx. 347135-SHE
DLA Piper Denmark Advokatpartnerselskab (CVR- nummer 00 00 00 00) er en del af det globale advokatfirma DLA Xxxxx, der opererer via flere særskilte juridiske enheder. Vores kontorer i Danmark ligger på Xxxxxxxxxxxxx 0, 0000 Xxxxxxxxx V, og DOKK1, Hack Kampmanns Xxxxx 0, Xxxxxx 0, 0000 Xxxxxx C.
På xxx.xxxxxxxx.xxx findes en liste over kontorer og firmaoplysninger
Hovedtelefonnummer i Danmark:
x00 00 00 00 00
Ifølge databeskyttelsesforordningens artikel 26 skal fælles dataansvarlige ved hjælp af en ordning mellem dem på en gennemsigtig måde fastlægge deres re- spektive ansvar for overholdelse af forpligtelserne i databeskyttelsesforordnin- gen. Ordningen skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede.
Parterne har derfor vedtaget denne Dataansvarsaftale, som fastlægger deres re- spektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelses- forordningen, i forhold til de behandlingsaktiviteter, der fortages i forbindelse varetagelsen af de opgaver og funktioner, der er beskrevet i Rammeaftalen.
I tilfælde hvor behandlingsaktiviteter ikke vedrører varetagelse af opgaverne be- skrevet i Rammeaftalen, vil Parterne være selvstændigt dataansvarlige. Denne behandling er ikke omfattet af Dataansvarsaftalen, og hver Part indestår selv for lovligheden denne behandling, herunder den videre behandling af personoplys- ninger, der er indsamlet og behandlet som led i varetagelse af opgaverne beskre- vet i Rammeaftalen.
Det væsentligste indhold af Dataansvarsaftalen vil blive gjort tilgængeligt for de registrerede hvis personoplysninger behandles i henhold til Dataansvarsaftalen.
3. Overordnet fordelingen af ansvaret
Garantifonden er som ordregivende myndighed overordnet ansvarlig for behand- lingen af personoplysninger, der finder sted i forbindelse med Ydelserne beskre- vet i Rammeaftalen. Garantifonden er i henhold til Xxx om Garantifonden for- pligtet til at dække en række nærmere bestemte erstatningskrav, og Garantifonden er som led heri overordnet ansvarlig for at vurdere, om betingelserne herfor er opfyldt. Gennem Rammeaftalen er Garantifonden desuden med til at fastsætte rammerne for den behandling af personoplysninger, der foretages af Administra- tionsselskabet under levering af Ydelserne.
Administrationsselskabet vil som udgangspunkt forestå den praktiske behandling af personoplysninger under Rammeaftalen, eftersom behandlingen af personop- lysninger finder sted som led i Administrationsselskabets levering af Ydelserne. Hvor Garantifonden fastlægger rammerne for behandlingen af personoplysnin- ger, er Administrationsselskabet ansvarlig for at tilrettelægge behandlingen på detailniveau. Administrationsselskabet er desuden den Part, der varetager kon- takten til de registrerede, hvorved de registrerede oftest vil have en forventning om, at Administrationsselskabet er ansvarlig for behandling af deres oplysninger.
Administrationsselskabet er ikke underlagt Garantifondens instruks. Administra- tionsselskabet er fri til, inden for rammerne af Rammeaftalen og den lovgivning, som Administrationsselskabet selv er underlagt, at tilrettelægge den behandling af personoplysninger, der er nødvendig for levering af Ydelserne.
Parternes fordeling af ansvar kan overordnet illustreres således:
Garantifonden er ansvarlig | Administrations- selskabet er an- svarlig | |
X | X | |
X | X | |
X | ||
X | X | |
X | ||
X | ||
X | ||
Implementering af sikkerhedsforan- staltninger og standarder (pkt. 11) | X | |
(X) | X | |
Håndtering af sikkerhedsbrud, herunder underretning (pkt. 13) | (X) | X |
X | X | |
(X) | X | |
(X) | X |
(X) = supporterende rolle
4. Retsgrundlag for behandling
Parterne er hver især ansvarlige for, at der foreligger et gyldigt behandlingsgrund- lag for behandlinger, som foretages i henhold til denne Dataansvarsaftale.
Garantifondens retsgrundlag for at iværksætte og være overordnet ansvarlig for behandlingen findes i Lov om Garantifonden, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c) og artikel 9, stk. 2, litra f) for så vidt angår følsomme oplysninger mv.
Administrationsselskabets retsgrundlag for behandling er databeskyttelsesforord- ningens artikel 6, stk. 1, litra c) og f) og artikel 9, stk. 2, litra f) for så vidt angår følsomme oplysninger mv.
5. Deling af personoplysninger
Administrationsselskabet er ansvarlig for sikring af lovligheden af deling af de personoplysninger, der behandles som led i levering af Ydelserne.
Administrationsselskabet er således berettiget til at dele personoplysninger, der behandles i henhold til denne Dataansvarsaftale med andre dataansvarlige inden for rammerne af reglerne i databeskyttelsesforordningen.
Hvis Garantifonden anmoder herom, er Administrationsselskabet forpligtet til at stille personoplysninger, der behandles som led i afvikling af Xxxxxxxxxxxx, til rådighed for tredjeparter udpeget af Garantifonden. Garantifonden er ansvarlig for sikring af lovligheden i en sådan videregivelse. Administrationsselskabet er ikke berettiget til at udøve tilbageholdsret i sådanne oplysninger.
6. Oplysningspligt og transparens
Som beskrevet under punkt 2 og 3 ovenfor, er Administrationsselskabet ansvarlig for levering af Ydelserne. Garantifonden har således som udgangspunkt ingen direkte kontakt med de registrerede. For så vidt gælder personoplysninger, der behandles som led i levering af Ydelserne, er det derfor Administrationsselska- bet, der er ansvarlig for begge parters overholdelse af:
a) oplysningspligten over for de registrerede beskrevet i databeskyttelses- lovens artikel 12, stk. 1, 13 og 14,
b) princippet om transparens i databeskyttelsesforordningens artikel 5, stk. 1, litra a), og
c) kravet om, at det væsentligste indhold af denne aftale gøres tilgængelig for de registrerede, jf. databeskyttelsesforordningens artikel 26, stk. 2.
7. Princippet om formålsbegrænsning
Parterne er selvstændigt ansvarlige for overholdelse af princippet om formålsbe- grænsning beskrevet i databeskyttelsesforordningens artikel 5, stk. 1, litra b).
En Part må således benytte personoplysninger, der behandles som led i afvikling af Rammeaftalen, til andre formål i det omfang, dette kan ske inden under iagtta- gelse af reglerne i databeskyttelsesforordningen. Der henvises i den forbindelse navnlig til:
a) at parten skal have et lovligt grundlag for den pågældende behandling,
b) at betingelserne i databeskyttelseslovens artikel 6, stk. 4, skal være op- fyldt,
c) at oplysningspligten i databeskyttelseslovens artikel 13, stk. 3 og 14, stk. 4, skal opfyldes.
8. Dataminimering
Da Administrationsselskabet er ansvarlig for Ydelserne i henhold til Rammeaf- talen, og således forestår den praktiske behandling af personoplysningerne, er Administrationsselskabet ansvarlig for overholdelse af princippet om datamini- mering i databeskyttelsesforordningens artikel 5, stk. 1, litra c). Administrations- selskabet skal sikre, at personoplysninger, der behandles som led i levering af Ydelserne, er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
9. Rigtighed
Da Administrationsselskabet er ansvarlig for Ydelserne i henhold til Rammeaf- talen, og således forestår den praktiske behandling af personoplysningerne, er Administrationsselskabet ansvarlig for overholdelse af princippet om rigtighed i databeskyttelsesforordningens artikel 5, stk. 1, litra d). Administrationsselskabet skal sikre, at personoplysninger, der behandles som led i levering af Ydelserne, er korrekte og om nødvendigt ajourførte.
Administrationsselskabet skal desuden tage ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.
10. Opbevaringsbegrænsning
Da Administrationsselskabet er ansvarlig for Ydelserne i henhold til Rammeaf- talen, og således forestår den praktiske behandling af personoplysningerne, er Administrationsselskabet ansvarlig for overholdelse af princippet om opbeva- ringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e). Admi- nistrationsselskabet skal sikre, at personoplysninger opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behand- les.
Administrationsselskabet er dermed berettiget til at fastsætte passende opbeva- ringsperioder for de personoplysninger, der behandles som led i levering af Ydel- serne. Opbevaringsperioderne fastsættes i overensstemmelse med de regler og standarder, som Administrationsselskabet er underlagt.
Administrationsselskabet er desuden ansvarlig for den praktiske implementering af de opbevaringsperioder, der er fastsat, jf. ovenstående, og skal derved sikre, at de pågældende personoplysninger behørigt slettes eller anonymiseres, når opbe- varingsperioden udløber.
11. Sikkerhedsforanstaltninger
Administrationsselskabet er ansvarlig for overholdelse af databeskyttelsesforord- ningens artikel 5, stk. 1, litra f) og artikel 32 for personoplysninger, der behandles som led i levering af Xxxxxxxxx.
Administrationsselskabet skal således sikre, at de pågældende personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Sikkerhedsforanstaltningerne fastsættes under hensyntagen til det aktuelle tekni- ske niveau, implementeringsomkostningerne og den pågældende behandlings ka- rakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlig- hed og alvor for fysiske personers rettigheder og frihedsrettigheder.
12. De registreredes rettigheder
Hvis en Part modtager en anmodning fra en registreret, skal Parten uden ugrundet ophold, og senest 7 dage efter modtagelsen, underrette den anden Part om hen- vendelsen samt fremsende en kopi af anmodningen.
Administrationsselskabet er den primære ansvarlige for håndtering af anmodnin- ger fra de registrerede i henhold til databeskyttelsesforordningens artikel 15-22. Administrationsselskabet er således ansvarlig for, at anmodninger håndteres i overensstemmelse med databeskyttelsesforordningens regler og Datatilsynets vejledninger herom.
Garantifonden skal loyalt bistå Administrationsselskabet i det omfang, at dette er relevant og nødvendigt for, at Administrationsselskabet kan efterleve forpligtel- serne over for de registrerede.
Hvis en Part har videregivet personoplysninger efter denne Dataansvarsaftales punkt 5, er denne Part selvstændigt ansvarlig for underretning af modtageren i forbindelse med den registreredes ret til berigtigelse, begrænsning eller sletning af personoplysninger, jf. databeskyttelsesforordningens artikel 19.
Parterne har udpeget Administrationsselskabet som kontaktpunkt for de registre- rede for så vidt angår behandling af personoplysninger som led i levering af Ydel- serne. Administrationsselskabet kan af de registrerede kontaktes via:
[kontaktinformation på Administrationsselskabet indsættes]
Uanset ovenstående kan den registrerede til enhver tid udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for hver af Par- terne.
13. Sikkerhedsbrud
Administrationsselskabet er den primære ansvarlige for den praktiske håndtering af sikkerhedsbrud, herunder genopretning af tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
Administrationsselskabet skal straks underrette Garantifonden, såfremt et sikker- hedsbrud hos Administrationsselskabet omfatter personoplysninger, der behand-
les i henhold til denne Dataansvarsaftale. Garantifonden skal loyalt bistå Admi- nistrationsselskabet i det omfang, at dette er relevant og nødvendigt for håndte- ring af sikkerhedsbruddet.
Administrationsselskabet er den primære ansvarlige for indberetning af sikker- hedsbrud til Datatilsynet efter reglerne i databeskyttelsesforordningens artikel 33, og Administrationsselskabet skal foretage en vurdering af, om det er nødvendigt at foretage en indberetning. Garantifonden skal loyalt bistå Administrationssel- skabet i det omfang, dette er relevant og nødvendigt for indberetningen. Admini- strationsselskabet skal indhente Garantifondens godkendelse af indberetningen, inden den foretages. Dog anerkendes det, at dette i visse tilfælde ikke er muligt, hvis tidsfristen for indberetning i databeskyttelsesforordningens artikel 33, stk. 1, skal overholdes. I sådanne tilfælde vil underretning af Garantifonden undtagel- sesvist være tilstrækkeligt.
Administrationsselskabet er den primære ansvarlige for underretning af de regi- strerede efter reglerne i databeskyttelsesforordningens artikel 34, og Administra- tionsselskabet skal foretage en vurdering af, om det er nødvendigt at foretage en underretning. Garantifonden skal loyalt bistå Administrationsselskabet i det om- fang, at dette er relevant og nødvendigt for underretningen. Administrationssel- skabet skal til enhver tid indhente Garantifondens godkendelse inden underret- ning foretages – dog under hensyntagen til, at tidsfristen for underretning i data- beskyttelsesforordningens artikel 34, stk. 1, skal overholdes.
14. Datafortegnelse
Administrationsselskabet udarbejder en for Parterne fælles datafortegnelse efter databeskyttelsesforordningens artikel 30 for de behandlingsaktiviteter, der fore- tages som led i afvikling af Rammeaftalen. Fortegnelsen fremsendes hurtigst mu- ligt efter Rammeaftalens ikrafttræden til Garantifonden med henblik på Garanti- fondens bemærkninger og godkendelse.
15. Konsekvensanalyser
Administrationsselskabet er den primære ansvarlige for udarbejdelse af konse- kvensanalyser for de behandlingsaktiviteter, der foretages som led i levering af Ydelserne. Såfremt der udarbejdes en sådan konsekvensanalyse, er Administra- tionsselskabet forpligtet til at involvere Garantifonden i udarbejdelsen. Garanti- fonden skal bistå Administrationsselskabet i det omfang, dette er relevant og nød- vendigt for udarbejdelsen.
16. Databehandlere
Administrationsselskabet er berettiget til at antage databehandlere til at forestå behandling af personoplysninger, der sker som led i levering af Ydelserne.
Hvis Administrationsselskabet agter at antage databehandlere, jf. ovenfor, skal Administrationsselskabet forud for antagelsen sikre, at databehandleren overhol- der reglerne fastsat i databeskyttelsesforordningen, navnlig artikel 28 og 32. Ad- ministrationsselskabet skal desuden sikre, at forholdet mellem Administrations- selskabet og databehandleren behørigt reguleres ved indgåelse af en databehand- leraftale.
Hvis Administrationsselskabet agter at antage en databehandler, jf. ovenfor, skal Administrationsselskabet underrette Garantifonden herom senest 14 dage inden antagelsen.
Hvis Administrationsselskabet har antaget en databehandler, er Administrations- selskabet ansvarlig for at kontrollere databehandlerens overholdelse af den ind- gåede databehandleraftale og reglerne fastsat i databeskyttelsesforordningen i overensstemmelse med Datatilsynets vejledninger herom.
17. Øvrige forhold vedrørende databehandling
Personoplysninger, der behandles i henhold til denne Dataansvarsaftale, kan overføres til lande, der ikke er medlem af EU/EØS (tredjelande). Den Part, der er ansvarlig for overførslen, jf. afsnit 5 eller 16 ovenfor, er tilsvarende ansvarlig for at sikre, at overførslen er lovlig, og at tilstrækkelige beskyttelsesforanstaltninger foreligger, jf. databeskyttelsesforordningens kapitel V, inden overførslen iværk- sættes.
18. Øvrige bestemmelser
Parternes eventuelle ydelser i denne Dataansvarsaftale vederlægges ikke. Alle vederlag mellem Parterne er reguleret i Rammeaftalen.
Et tilsyn efter Rammeaftalens punkt 7 om Garantifondens tilsynsbeføjelser kan omfatte tilsyn med lovligheden af Administrationsselskabets databehandling, der finder sted inden for rammerne af det fælles dataansvar, som er beskrevet i nær- værende Dataansvarsaftale.
Parterne er enige om, at det på et senere tidspunkt kan blive nødvendigt at justere indholdet af nærværende Dataansvarsaftale, eksempelvis i tilfældet af ændringer i lovgivningen, ny retspraksis mv. Parterne forpligter sig således til loyalt at for- handle, såfremt en Part har et begrundet ønske om at få et vilkår ændret.