Databehandleraftale til Kortlægning af hjemløshed, 2019
Databehandleraftale til Kortlægning af hjemløshed, 2019
Læsevejledning til Databehandleraftalen
Databehandleraftalen, der skal udfyldes, er en skabelon der tager udgangspunkt i Datatilsynets standard. Databehandleraftalen skal kun udfyldes, hvis enheden/tilbuddet (eller de enheder/tilbud der er omfattet af en central enheds databehandleraftale) benytter metode 2 ved udfyldelse af kortlægningens personskema, dvs. at mindst én borger medvirker til at udfylde personskemaet, jf. beskrivelsen i vejledningen til kortlægningen, ”Vejledning Kortlægning af hjemløshed 2019”.
VIVE har tilpasset databehandleraftalen til konteksten for kortlægningen. Databehandleraftalens afsnit 1-15 er for størstedelens vedkommende standardtekst. De specifikke instrukser fra VIVE til enheden, der indgår databehandleraftalen fremgår af Databehandleraftalens bilag A-D.
Størstedelen af instrukserne er som udgangspunkt tilsvarende til den opgavebeskrivelse der frem- går af vejledningen som enheden/tilbuddet, der medvirker i kortlægningen, har fået tilsendt. Enhe- den, der indgår databehandleraftalen skal dog være opmærksomme på, at der er flere og ufravige- lige forpligtelser, hvis I indgår i kortlægningen som Databehandler. Det er derfor vigtigt, at I har læst og forstået de instrukser, der fremgår af Databehandleraftalens bilag A-D.
Enheden skal opbevare et eksemplar af Databehandleraftalen og den bekræftelsesmail, der efter- følgende vil blive fremsendt som dokumentation på godkendelsen.
Indholdsfortegnelse
1 Baggrund for databehandleraftalen 2
2 Den dataansvarliges forpligtelser og rettigheder 3
3 Databehandleren handler efter instruks 3
6 Anvendelse af underdatabehandlere 5
7 Overførsel af oplysninger til tredjelande eller internationale organisationer 6
8 Bistand til den dataansvarlige 6
9 Underretning om brud på persondatasikkerheden 6
10 Sletning og tilbagelevering af oplysninger 7
12 Parternes aftaler om andre forhold 7
14 Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren 8
Bilag A Oplysninger om behandlingen 10
Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere 11
B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere 11
Bilag C Instruks vedrørende behandling af personoplysninger 11
C.1 Behandlingens genstand/ instruks 11
C.3 Opbevaringsperiode/sletterutine 12
C.4 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren 12
C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande 12
C.6 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle underdatabehandlere 12
Bilag D Parternes regulering af andre forhold 12
1 Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databe- handleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysi- ske personer i forbindelse med behandling af personoplysninger og om fri udveksling af så- danne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
3. Databehandleres behandling af personoplysninger sker med henblik på udføre de opga- ver, der er beskrevet i vejledningen ”Vejledning_Kortlægning af hjemløshed i Danmark
2019”, som er fremsendt til databehandler i forbindelse med udarbejdelse af denne data- behandleraftale.
4. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandler- aftalen.
5. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herun- der om behandlingens formål og karakter, typen af personoplysninger, kategorierne af re- gistrerede og varighed af behandlingen.
6. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databe- handleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventu- elle underdatabehandlere, som den dataansvarlige har godkendt.
7. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling da- tabehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
8. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter data- beskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.
2 Den dataansvarliges forpligtelser og rettigheder
1. VIVE – Det Nationale Forsknings- og Analysecenter for Velfærd er dataansvarlig for kort- lægning af hjemløshed 2019.
2. Den dataansvarlige har over for omverdenen (herunder den registrerede) som udgangs- punkt ansvaret for, at behandlingen af personoplysninger sker inden for rammerne af da- tabeskyttelsesforordningen og databeskyttelsesloven.
3. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutnin- ger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
4. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behand- ling, som databehandleren instrueres i at foretage.
3 Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes natio-
nale ret, som databehandleren er underlagt; i så fald underretter databehandleren den da- taansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret for- byder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databe- handlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbe- stemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4 Fortrolighed
1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplys- ningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til person- oplysningerne for at kunne opfylde databehandlerens forpligtelser over for den dataan- svarlige.
3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysnin- ger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de rele- vante medarbejdere er underlagt ovennævnte tavshedspligt.
5 Behandlingssikkerhed
1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
6 Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforord- ningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabe- handler).
2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabe- handler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvar- lige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre da- tabehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod så- danne ændringer.
6. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underda- tabehandler, sørger databehandleren for at pålægge underdatabehandleren de samme da- tabeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandle- ren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandler- aftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databe- handleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.
7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den da- taansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulig- hed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underda- tabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den da- taansvarlige.
8. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den data- ansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, f.eks. så den dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.
9. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver da- tabehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabe- handlerens forpligtelser.
7 Overførsel af oplysninger til tredjelande eller internationale organisatio- ner
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt in- tern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som da- tabehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
8 Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med op- fyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarli- ges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynsta- gen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
9 Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
10 Sletning og tilbagelevering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvar- lige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
2. I Databehandleraftalens Bilag C vil de specifikke instrukser vedrørende tilbagelevering og sletning være beskrevet.
11 Tilsyn og revision
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den da- taansvarlige.
2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af denne aftales Bilag C.
3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
12 Parternes aftaler om andre forhold
2. En eventuel regulering af andre forhold mellem parterne vil fremgå af denne aftales Bilag D.
13 Ikrafttræden og ophør
1. Denne aftale træder i kraft ved Databehandlerens elektroniske underskrift heraf.
2. Aftalen er gældende, så længe behandlingen består. Databehandleraftalen vil forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
3. Underskrift for VIVE Navn: Xxxxx Xxxxxx
Xxxx: 21. januar 2019
Stilling: Direktør (konstitueret) Underskrift:
14 Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databe- handleren
1. Dataansvarlig kan kontaktes via nedenstående kontaktpersoner:
2. Databehandlerens kontaktinformation fremgår af de oplysninger, der indtastes ved god- kendelse af databehandleraftalen
3. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontakt- personen/kontaktpunkter
Projektleder for undersøgelsen:
Navn: | Xxxx Xxxxxxxxxxx |
Stilling: | Seniorforsker |
Telefon- nummer: | 00000000 |
Email: |
Vedrørende databehandleraftalen:
Navn: | Xxxxx Xxxxxx Xxxxxxxx |
Stilling: | Informationsspecialist |
Telefon- nummer: | 00000000 |
Email: |
Databeskyttelsesrådgiver (DPO) for VIVE og Danmarks Statistik:
Navn: | Xxxxxxxxx Xxxxxxxxx |
Stilling: | Seniorrådgiver |
Telefon- nummer: | 00000000 |
Email: |
Bilag A Oplysninger om behandlingen
Formålet med og karakteren af databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:
Undersøgelsen ’Hjemløshed i Danmark 2019. National kortlægning’, har til formål at afdække om- fanget og karakteren af hjemløshed i Danmark. Databehandleren bedes indsamle oplysninger om borgere, som databehandleren har kontakt med eller kendskab til er i en hjemløshedssituation i uge 6, 2019. Databehandleren bedes udfylde et personskema (spørgeskema) for hver enkelt borger i hjemløshed, og bedes indsende disse oplysninger i enten elektronisk form eller papirform til VIVE, som er dataansvarlig. Ved udfyldelsen af personskemaet kan databehandleren inddrage borgeren i besvarelsen af personskemaet ved at der foretages et interview med borgeren eller ved at borge- ren selv udfylder hele eller dele af personskemaets oplysninger. Databehandleraftalen vedrører de tilfælde, hvor borgeren inddrages i/medvirker til at besvare personskemaet. Databehandleren kan også udfylde personskemaerne uden medvirken af borgeren, på baggrund af øvrigt kendskab til borgeren, hvorved der er tale om en videregivelse af data i disse tilfælde.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
Der indsamles oplysninger om CPR-nummer, navn eller initialer, hjemløshedssituation, omsorg og samværsret med børn, børn der opholder sig sammen med borgeren, borgerens nationalitet, om borgeren har dansk baggrund, indvandrer/efterkommer baggrund eller ikke har fast ophold, for- sørgelsesgrundlag, varighed af hjemløshed, fysisk og psykisk helbred, misbrugsproblemer, om bor- geren har været udsendt af forsvaret, årsager til hjemløsheden og om borgeren modtager øvrige indsatser.
Særlige kategorier af personoplysning omfatter om borgeren har indvandrerbaggrund eller er ef- terkommer, samt om borgeren ikke har fast ophold i Danmark. Der indsamles oplysninger om fysisk og psykisk helbred, samt om misbrugsproblemer. Der indsamles oplysninger om borgeren modta- ger specifikke behandlingsindsatser, herunder psykiatrisk behandling og misbrugsbehandling.
Behandlingen omfatter følgende kategorier af registrerede:
De registrerede borgere, er dem der befinder sig i en hjemløshedssituation i uge 6, 2019, og som databehandleren har kontakt med eller kendskab til.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbe- gyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
Behandlingen varer indtil databehandleren har afsendt de indsamlede personoplysninger til den dataansvarlige, og efterfølgende har slettet de oplysninger der er indsamlet på vegne af den data- ansvarlige (se Bilag C.3). Vilkårene i databehandleraftalen er gældende så længe databehandleren ligger inde med personoplysninger der er indsamlet vegne af den dataansvarlige.
Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere
B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere Databehandleren må ikke gøre brug af underdatabehandlere. Det er kun personer som beskrevet i Databehandleraftalens afsnit 5 (Fortrolighed) der må udføre de opgaver der er beskrevet i Databe- handleraftalens Bilag C.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1 Behandlingens genstand/ instruks
VIVE – Det Nationale Forsknings- og Analysecenter for Velfærd gennemfører i uge 6 (4.-10. februar 2019) i samarbejde med Danmark Statistik en kortlægning af hjemløshed i Danmark. Kortlægningen gennemføres for Børne- og Socialministeriet. Kortlægningen foretages for at kunne følge udviklin- gen i antallet af hjemløse borgere og derved give et bedre grundlag for udviklingen af indsatsen for hjemløse borgere.
Kortlægningen indebærer behandling af personoplysninger, og er derfor omfattet af databeskyttel- seslovgivningen. VIVE er Dataansvarlig for kortlægningen af hjemløshed.
Borgerne skal informeres om undersøgelsen
Nedenstående information kan gives mundtligt eller skriftligt.
Når Xxxxx enhed interviewer en borger/borgeren medvirker til at udfylde personskemaet, skal Jeres enheds personale informere dem om følgende:
VIVE – Det Nationale Forsknings-og analysecenter for velfærd er dataansvarlig for undersøgelsen. Undersøgelsens formål er udelukkende videnskabeligt, og dine personoplysninger vil aldrig blive an- vendt til andre formål. VIVE vil behandle dine personoplysninger fortroligt, og det vil ikke være mu- ligt at identificere dig som enkeltperson i formidlingen af undersøgelsen. Efter undersøgelsen vil VIVE arkivere alle besvarelser til fremtidig forskningsanvendelse efter gældende lovgivning herom.
På grund af undersøgelsens videnskabelige formål, kan du ikke få indsigt i behandlingen af dine personoplysninger, eller få dem slettet. Det ændrer ikke på, at dine oplysninger altid vil blive be- handlet fortroligt og formidlet, uden at du kan genkendes. Du kan altid kontakte VIVE, hvis du har spørgsmål til undersøgelsen eller til dine rettigheder. Det er frivilligt, om du vil deltage i undersøgel- sen eller ej – men vi håber du vil være med til at øge vores viden om hjemløshed.
Hvis borgeren udtrykker ønske om at kontakte VIVE, kan personen oplyses om følgende kontaktin- formation:
Vedrørende undersøgelsen generelt: Seniorforsker Xxxx Xxxxxxxxxxx, tlf.: 0000 0000, xxx@xxxx.xx
Muligheder for indberetning
Mulighederne for indberetning er beskrevet i kortlægningens vejledning.
C.2 Behandlingssikkerhed
Efter endt indsamling er enheden er forpligtet til at opbevare personskemaerne på en måde, at de er sikret og utilgængelige for ikke-autoriserede personer, jf. afsnit 6. Personskemaerne kunne fx opbevares i aflukket skab, hvortil kun autoriseret personale havde adgang.
C.3 Opbevaringsperiode/sletterutine
Enheden skal hurtigst muligt efter endt indsamling sende VIVE udfyldte personskemaer, jf. anvis- ningerne i vejledningen og ovenstående instruks i afsnit C.1. Eventuelle kopier (elektroniske såvel som på papir) skal destrueres/slettes i forbindelse med, at VIVE fører tilsyn, jf. afsnit C.4.
C.4 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren
VIVE vil føre skriftligt tilsyn med enheden. Tilsynet skal blandt andet sørge for at udfyldte person- skemaer eller kopier af disse slettes. VIVE tiltænker, at tilsynet vil udføres cirka en måned efter afslutningen af dataindsamlingen, og enheden skal efterfølgende bekræfte, at eventuelle kopier er slettet.
C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande Databehandleren har ikke tilladelse til at overføre personoplysninger til tredjelande eller tredjepart, som ikke er specifikt nævnt i det fremsendte.
C.6 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle under- databehandlere
Databehandleren må ikke anvende underdatabehandlere til at udføre opgaverne beskrevet i denne databehandleraftale.
Bilag D Parternes regulering af andre forhold
Der er ingen behov for regulering af andre forhold parterne imellem.