Databehandleraftale til Kortlægning af hjemløshed, 2022
Databehandleraftale til Kortlægning af hjemløshed, 2022
Læsevejledning til Databehandleraftalen
Databehandleraftalen, der skal udfyldes, er en skabelon der tager udgangspunkt i Datatilsynets standard. Databehandleraftalen skal kun udfyldes, hvis enheden/tilbuddet (eller de enheder/tilbud der er omfattet af en central enheds databehandleraftale) benytter metode 2 ved udfyldelse af kortlægningens personskema, dvs. at mindst én borger medvirker til at udfylde personskemaet, jf. beskrivelsen af kortlægningen i dokumentet, ”Beskrivelse af Kortlægning af hjemløshed 2022”.
VIVE har tilpasset databehandleraftalen til konteksten for kortlægningen. Databehandleraftalens afsnit 1-15 er for størstedelens vedkommende standardtekst. De specifikke instrukser fra VIVE til enheden, der indgår databehandleraftalen fremgår af Databehandleraftalens bilag A-D.
Størstedelen af instrukserne er som udgangspunkt tilsvarende til den beskrivelse der fremgår af beskrivelsen af kortlægningen. Enheden, der indgår databehandleraftalen skal dog være opmærksomme på, at der er flere og ufravigelige forpligtelser, hvis I indgår i kortlægningen som Databehandler. Det er derfor vigtigt, at I har læst og forstået de instrukser, der fremgår af Databehandleraftalens bilag A-D.
Enheden skal opbevare et eksemplar af Databehandleraftalen og den bekræftelsesmail, der efterfølgende vil blive fremsendt som dokumentation på godkendelsen.
Indholdsfortegnelse
1 Baggrund for databehandleraftalen 2
2 Den dataansvarliges forpligtelser og rettigheder 3
3 Databehandleren handler efter instruks 4
6 Anvendelse af underdatabehandlere 5
7 Overførsel af oplysninger til tredjelande eller internationale organisationer 6
8 Bistand til den dataansvarlige 6
9 Underretning om brud på persondatasikkerheden 7
10 Sletning og tilbagelevering af oplysninger 7
12 Parternes aftaler om andre forhold 7
14 Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren 9
Bilag A Oplysninger om behandlingen 11
Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere 12
B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere 12
Bilag C Instruks vedrørende behandling af personoplysninger 12
C.1 Behandlingens genstand/ instruks 12
C.3 Opbevaringsperiode/sletterutine 13
C.4 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren 13
C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande 13
C.6 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle underdatabehandlere 13
Bilag D Parternes regulering af andre forhold 13
Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
Databehandleres behandling af personoplysninger sker med henblik på udføre de opgaver, der er beskrevet i dokumentet ”Beskrivelse af Kortlægning af hjemløshed i Danmark 2022”, som kan downloades fra VIVEs hjemmeside på xxx.xxxx.xx/xx/xxxx0000-xxxxxxxxxxxxxx
3. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
4. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
5. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.
6. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling databehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
7. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.
Den dataansvarliges forpligtelser og rettigheder
1. VIVE – Det Nationale Forsknings- og Analysecenter for Velfærd er dataansvarlig for kortlægning af hjemløshed 2022.
2. Den dataansvarlige har over for omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
3. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
4. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.
Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser over for den dataansvarlige.
3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
4. Den dataansvarliges nærmere betingelser for databehandlerens brug af eventuelle underdatabehandlere fremgår af denne aftales Bilag B.
6. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.
7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
8. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, f.eks. så den dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.
9. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
Overførsel af oplysninger til tredjelande eller internationale organisationer
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
Sletning og tilbagelevering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
2. I Databehandleraftalens Bilag C vil de specifikke instrukser vedrørende tilbagelevering og sletning være beskrevet.
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af denne aftales Bilag C.
3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
Parternes aftaler om andre forhold
1. En eventuel (særlig) regulering af konsekvenserne af parternes misligholdelse af databehandleraftalen vil fremgå af denne aftales Bilag D.
2. En eventuel regulering af andre forhold mellem parterne vil fremgå af denne aftales Bilag D.
1. Denne aftale træder i kraft ved Databehandlerens elektroniske underskrift heraf.
2. Aftalen er gældende, så længe behandlingen består. Databehandleraftalen vil forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
3. Underskrift for VIVE
Navn: Xxxxx Xxxxxx Xxxx: 10. november 2021 Stilling: Vicedirektør Underskrift:
Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren
1. Dataansvarlig kan kontaktes via nedenstående kontaktpersoner:
2. Databehandlerens kontaktinformation fremgår af de oplysninger, der indtastes ved godkendelse af databehandleraftalen
3. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersonen/kontaktpunkter
Projefitleder for undersøgelsen:
Navn: | Xxxx Xxxxxxxxxxx |
Stilling: | Seniorforsker |
Telefonnummer: | 00000000 |
Email: |
Vedrørende databehandleraftalen:
Databesfiyttelsesrådgiver (DPO) for VIVE og Danmarfis Statistifi:
Navn: | Xxxxxxxxx Xxxxxxxxx |
Xxxxxxxx: | Seniorrådgiver |
Telefonnummer: | 00000000 |
Email: |
Bilag A Oplysninger om behandlingen
Formålet med og fiarafiteren af databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:
Undersøgelsen ’Hjemløshed i Danmark 2022. National kortlægning’, har til formål at afdække omfanget og karakteren af hjemløshed i Danmark. Databehandleren bedes indsamle oplysninger om borgere, som databehandleren har kontakt med eller kendskab til er i en hjemløshedssituation i uge 6, 2022. Databehandleren bedes udfylde et personskema (spørgeskema) for hver enkelt borger i hjemløshed, og bedes indsende disse oplysninger i enten elektronisk form eller papirform til VIVE, som er dataansvarlig. Ved udfyldelsen af personskemaet kan databehandleren inddrage borgeren i besvarelsen af personskemaet ved at der foretages et interview med borgeren eller ved at borgeren selv udfylder hele eller dele af personskemaets oplysninger. Databehandleraftalen vedrører de tilfælde, hvor borgeren inddrages i/medvirker til at besvare personskemaet. Databehandleren kan også udfylde personskemaerne uden medvirken af borgeren, på baggrund af øvrigt kendskab til borgeren, hvorved der er tale om en videregivelse af data i disse tilfælde.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
Der indsamles oplysninger om CPR-nummer, initialer, hjemløshedssituation, omsorg og samværsret med børn, børn der opholder sig sammen med borgeren, borgerens nationalitet, om borgeren har dansk baggrund, indvandrer/efterkommer baggrund eller ikke har fast ophold, forsørgelsesgrundlag, varighed af hjemløshed, fysisk og psykisk helbred, misbrugsproblemer, om borgeren har været udsendt af forsvaret, årsager til hjemløsheden og om borgeren modtager øvrige indsatser.
Særlige kategorier af personoplysning omfatter om borgeren har indvandrerbaggrund eller er efterkommer, samt om borgeren ikke har fast ophold i Danmark. Der indsamles oplysninger om fysisk og psykisk helbred, samt om misbrugsproblemer. Der indsamles oplysninger om borgeren modtager specifikke behandlingsindsatser, herunder psykiatrisk behandling og misbrugsbehandling.
Behandlingen omfatter følgende fiategorier af registrerede:
De registrerede borgere, er dem der befinder sig i en hjemløshedssituation i uge 6, 2022, og som databehandleren har kontakt med eller kendskab til.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige fian påbegyndes efter denne aftales ifirafttræden. Behandlingen har følgende varighed:
Behandlingen varer indtil databehandleren har afsendt de indsamlede personoplysninger til den dataansvarlige, og efterfølgende har slettet de oplysninger der er indsamlet på vegne af den dataansvarlige (se Bilag C.3). Vilkårene i databehandleraftalen er gældende så længe databehandleren ligger inde med personoplysninger der er indsamlet vegne af den dataansvarlige.
Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere
B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere
Databehandleren må ikke gøre brug af underdatabehandlere. Det er kun personer som beskrevet i Databehandleraftalens afsnit 5 (Fortrolighed) der må udføre de opgaver der er beskrevet i Databehandleraftalens Bilag C.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1 Behandlingens genstand/ instruks
VIVE – Det Nationale Forsknings- og Analysecenter for Velfærd gennemfører i uge 6 (8.-14. februar 2022) en kortlægning af hjemløshed i Danmark Kortlægningen gennemføres i samarbejde med Danmark Statistik og Social- og Ældreministeriet. Kortlægningen foretages for at kunne følge udviklingen i antallet af hjemløse borgere og derved give et bedre grundlag for udviklingen af indsatsen for hjemløse borgere.
Kortlægningen indebærer behandling af personoplysninger, og er derfor omfattet af databeskyttelseslovgivningen. VIVE er Dataansvarlig for kortlægningen af hjemløshed.
Borgerne sfial informeres om undersøgelsen
Borgeren sfial informeres om undersøgelsen og om borgerens rettigheder i forbindelse med dataindsamlingen. Informationsmaterialet består af en fiort mundtlig introdufition, samt et sfiriftligt oplysningsbrev.
Medarbejderne skal mundligt informere borgerne om følgende skrevet med kursiv:
VIVE – Det Nationale Forsknings-og Analysecenter for Velfærd er dataansvarlig for undersøgelsen. Undersøgelsens formål er udelukkende videnskabeligt og statistisk, og dine personoplysninger vil aldrig blive anvendt til andre formål. VIVE vil behandle dine personoplysninger fortroligt, og det vil ikke være muligt at identificere dig som enkeltperson i formidlingen af undersøgelsen.
Du kan altid kontakte VIVE ved brug af kontaktinformationen i oplysningsbrevet, hvis du har spørgsmål til undersøgelsen eller til dine databeskyttelsesrettigheder. Det er frivilligt, om du vil deltage i undersøgelsen eller ej – men vi håber du vil være med til at øge vores viden om hjemløshed.
Oplysningsbrevet skal udleveres skriftligt til borgeren. Det skriftlige oplysningsbrev kan downloades/printes fra samme hjemmeside, som databehandleraftalen godkendes på: xxx.xxxx.xx/xx/xxxx0000-xxxxxxxxxxxxxx
Oplysningsbrevet indeholder central information om undersøgelsens databeskyttelsesretlige vilkår mv.
Muligheder for indberetning
Mulighederne for indberetning fremgår af beskrivelsen af kortlægningen jf. databehandleraftalens pkt. 1.3.
Efter endt indsamling er enheden er forpligtet til at opbevare personskemaerne på en måde, at de er sikret og utilgængelige for ikke-autoriserede personer, jf. afsnit 6. Personskemaerne kan fx opbevares i aflukket skab, hvortil kun autoriseret personale havde adgang.
C.3 Opbevaringsperiode/sletterutine
Enheden skal hurtigst muligt efter endt indsamling sende VIVE udfyldte personskemaer, jf. ovenstående instruks i afsnit C.1. Eventuelle kopier (elektroniske såvel som på papir) skal destrueres/slettes i forbindelse med, at VIVE fører tilsyn, jf. afsnit C.4.
C.4 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren
VIVE vil føre skriftligt tilsyn med enheden. Tilsynet skal blandt andet sørge for at udfyldte personskemaer eller kopier af disse slettes. VIVE tiltænker, at tilsynet vil udføres cirka en måned efter afslutningen af dataindsamlingen, og enheden skal efterfølgende bekræfte, at eventuelle kopier er slettet.
C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande
Databehandleren har ikke tilladelse til at overføre personoplysninger til tredjelande eller tredjepart, som ikke er specifikt nævnt i det fremsendte.
C.6 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle underdatabehandlere
Databehandleren må ikke anvende underdatabehandlere til at udføre opgaverne beskrevet i denne databehandleraftale.
Bilag D Parternes regulering af andre forhold
Der er ingen behov for regulering af andre forhold parterne imellem.