AFTALE VEDRØRENDE FÆLLES DATAANSVAR
AFTALE VEDRØRENDE FÆLLES DATAANSVAR
Indgået mellem følgende parter:
Dataansvarlig 1
Navn CVR nr. Adresse
Dataansvarlig 2
Navn CVR nr. Adresse
Dataansvarlig 3
Navn CVR nr. Adresse
Dataansvarlig 4
Navn CVR nr. Adresse
Dataansvarlig 5
Navn CVR nr. Adresse
Dataansvarlig 5
Navn CVR nr. Adresse
Måned/år
1. Fælles dataansvar
1.1. Denne aftale fastsætter ansvarsfordelingen mellem de data- ansvarlige i forbindelse med:
Beskriv den behandlingsaktivitet (klassificering af data jf. artikel 6 + 9), som parterne er fælles data- ansvarlige for, herunder metoden for projektet – altså hvordan man udfører forskningsprojektet:
Der henvises til det konkrete forsk- ningsprojekt, som parterne er fælles dataansvarlige for, og hvad forsknings- projektet går ud på.
Evt. henvisning til kontrakt/aftale, der er indgået mellem parterne, hvor der er beskrevet, hvilke behandlingsaktiviteter der foretages.
Art. 13 handler om oplysningspligt til de registrerede (personer), ved indsam- ling af personoplysninger.
Art. 14 handler om oplysningspligt til de registrerede (personer), hvor ind- samling af personoplysninger er hentet hos andre end personen selv.
Der skal aftales mellem de dataansvarli- ge, hvem der har den opgave.
1.2. Efter databeskyttelsesforordningens artikel 25 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Oplysningerne om, hvad der gælder ef- ter artikel 13 og 14, skal være tilgænge- lige for de registrerede, dvs. personer, der er indsamlet personoplysninger om.
Såfremt der foreligger et fælles dataansvar, skal de fælles data- ansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyt- telsesforordningen, navnlig hvad angår udøvelse af den registrere- des rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem. De fælles dataansvarlige behøver dog ikke fastlægge deres respektive ansvar, hvis dette allerede er fast- lagt og fremgår af EU-retten eller medlemsstaternes nationale ret, som de er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 25, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.
Den registrerede kan dog altid kontakte alle dataansvarlige og udøve sine rettigheder, uanset hvilken fordeling af ansvar de data- ansvarlige har fastlagt.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hin- drer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjel- ser overfor alle dataansvarlige.
Inspiration til udfyldelse af punk- tet kan findes i projektbeskrivelse,
dataflowbeskrivelser, arbejdsgruppens flowdiagram eller i den fortegnelse, der muligvis er udarbejdet for databehand- lingen.
Det beskrives her, hvorfor databehand- lingen finder sted, samt hvordan og med hvilke hjælpemidler det skal ske.
Vær opmærksom på, at der kan være databehandlere der skal udføre selve behandlingen eller måske kun er en del af den samlede databehandling. Så skal der indgås en databehandleraftale med databehandleren.
Det kan eksempelvis være en databe- handler, som står for transmission af oplysninger mellem forskellige parter, men som ikke selv opbevarer personop- lysninger. Formålet med databehandlin- gen vil i dette tilfælde kunne beskrives som ”understøttelse af kommunikation mellem parterne”.
Se også punkt 6.
1.3. Der er mellem de dataansvarlige enighed om, at der i forbindelse med behandlingsaktiviteten foreligger et fælles dataansvar.
Angiv behandlingsaktiviteten:
Ved vurderingen heraf er der bl.a. lagt vægt på:
Beskriv, hvad der har været afgørende for vurderingen af, at parterne er fælles dataansvarlige. Formålet er senere at kunne dokumentere parternes overvejelser, hvis der bliver tvivl.
Formålet med behandling af personoplysninger er besluttet af:
Beskrivelse af hvordan personoplysninger skal behandles
(hjælpemidler):
Overordnet ansvar for hver enkelt del af de personoplysninger, der er fastlagt i behandlingsaktiviteter under punkt 1.
Beskriv hvem der foretager hvilke behandlingsaktiviteter, her er nogle eksempler:
- Indsamling.
- Registrering.
- Organisering.
- Systematisering.
- Opbevaring.
- Tilpasning eller ændring.
- Genfinding.
- Søgning.
- Brug.
- Videregivelse ved transmission.
- Formidling eller enhver anden form for overladelse.
- Sammenstilling eller samkøring.
- Begrænsning.
- Sletning eller tilintetgørelse.
1.4. Denne aftale er udformet med henblik på, at de dataansvarlige kan efterleve kravene til fælles dataansvar i databeskyttelses- forordningens artikel 25. I aftalen fastlægges de dataansvarliges respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af
den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.
2. Overordnet ansvarsfordeling
2.1. Beskriv Dataansvarlig 1’s overordnede ansvar:
2.2. Beskriv Dataansvarlig 2’s overordnede ansvar:
2.3. Beskriv Dataansvarlig 3’s overordnede ansvar:
2.4. Beskriv Dataansvarlig 4’s overordnede ansvar:
2.5. Beskriv Dataansvarlig 5’s overordnede ansvar:
3. Principper og behandlingshjemmel
Gyldigt behandlingsrundlag er fx:
- Samtykke
- Opfyldelse af kontrakt
- Retlig forpligtelse
- Vitale interesser
- Hensyn til udførelse af opgave i samfundets interesser
- Legitime interesser
3.1. Beskriv, hvem der bærer ansvaret for, at der foreligger et gyldigt behandlingsgrundlag og for at kunne dokumentere dette, fx over for tilsynsmyndigheden:
3.2. Hver databehandler er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale.
4. De registreredes rettigheder
4.1. Parterne er ansvarlige for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelses- forordningen:
• oplysningspligt ved indsamling af personoplysninger hos den registrerede
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede
• den registreredes indsigtsret
• ret til berigtigelse
• ret til sletning (retten til at blive glemt)
• ret til begrænsning af behandling
• underretningspligt i forbindelse med berigtigelse eller sletning
af personoplysninger eller begrænsning af behandling
• ret til dataportabilitet (dog ikke for offentlige myndigheder)
• ret til indsigelse mod en behandling.
Eksempel: Ved klager eller andre henvendelser fra de registrerede om deres rettigheder reguleres ansvaret for besvarelse af henvendelsen ud fra, hvor patienten er rekrutteret fra. Er patienten tilknyttet i X, er Datasvarlig 1’s ansvar at følge op på henvendelsen og ligeledes hvis patienten er fra Y er det Dataansvarlig 2’s ansvar at følge op på henvendelse.
4.2. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar i forbindelse med iagttagelsen af de registreredes rettigheder – især hvis ansvaret er delt op mellem parterne:
4.3. Såfremt en Dataansvarlig modtager en anmodning eller henven- delse fra en registreret vedrørende de forhold, der er omfattet af en anden dataansvarligs ansvar, jf. ovenstående, oversendes denne til besvarelse hos den rette dataansvarlige snarest muligt.
4.4. Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at alle parter kan efterleve forplig- telserne over for de registrerede.
Hvis der kan identificeres konkrete situationer, skrives det ind her. Ellers kan punktet udgå.
4.5. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar for at bistå hinanden, fx hvornår dette kan være relevant:
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen
Sikkerhedsniveauet skal afspejle karak- teren og mængden af personoplysnin- ger, der indgår i behandlingen.
I afsnittet angives dels, hvilke typer af personoplysninger, der behandles, fx om der er tale om almindelige eller følsomme oplysninger og der skal
også gives et bud på, hvor omfattende databehandlingen er. Det kan angives som antal af personer, der er omfattet eller fx angive, at det er alle personer i regionen/kommunen, der er omfattet.
Relevant for sikkerhedsniveauet er det også at vide, hvem der deltager i databehandlingen, fx om forskellige
parter skal samarbejde og dele person- oplysninger.
5.1. Dataansvarlig 1/Dataansvarlig 2/Dataansvarlig 3 /Dataansvarlig 4/Dataansvarlig 5 /Parterne:
er ansvarlig(e) for, under hensyntagen til den pågældende be- handlings karakter, omfang, sammenhæng og formål samt risi- ciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekni- ske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nød- vendigt revideres og ajourføres (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at parterne udarbej- der procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt eller opfyldelse af oplysningspligten.
Databeskyttelsespolitikken forklarer, hvilke personoplysninger den dataan- svarlige indsamler om registrerede; hvorfor de indsamles; hvordan de indsamles, samt hvordan oplysningerne behandles.
5.2. Parternes foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.
Den dataansvarlige for den enkelte da- tabehandling skal overveje og beskrive, hvordan databeskyttelse efterleves med konkrete foranstaltninger i design af
IT-systemer, såsom deres tekniske indretning og brugergrænseflade, samt ved indretningen af den dataansvarli- ges organisation fx oplæring af medar- bejdere, der behandler data.
5.3. Dataansvarlig 1/Dataansvarlig 2/Dataansvarlig 3 /Dataansvarlig 4/Dataansvarlig 5 /Parterne:
er ansvarlig(e) for iagttagelse af reglen om databeskyttelse gen- nem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.
Risikovurdering skal ske ud fra en vurdering af konsekvens for registre- ret, trussel og sårbarhed. Ud fra dette skabes et samlet risikobillede.
Se evt. Datatilsynets vejledning: Vejledende tekst om risikovurdering (xxxxxxxxxxxx.xx)
5.4. Dataansvarlig 1/Dataansvarlig 2/Dataansvarlig 3 /Dataansvarlig 4/Dataansvarlig 5 /Parterne:
er ansvarlig(e) for at iagttage kravet i databeskyttelsesforordnin- gens artikel 32 om behandlingssikkerhed.
Dette indebærer, at parterne, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågæl- dende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører pas- sende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Parterne skal derfor foretage (og kunne dokumentere) en risiko- vurdering og herefter gennemføre foranstaltninger for at begræn- se de identificerede risici.
Her beskrives hvilke krav der er i
IT-systemet der sikrer dataminimering (fx pseudonomisering), beskytter mod ulovlig behandling, hændeligt tab, beskadigelse.
Hvis hver part har ansvar for forskellige systemer, skrives for hvert system hvilke krav der er stillet.
Hver part skriver endvidere hvilke orga- nisatoriske forholdsregler der er foreta- get fx hvilke medarbejdere /afdelinger der har adgang til personoplysningerne og de systemer der behandler person- oplysningerne, samt hvilken viden de har om beskyttelse af data (awareness træning), arkivskabe/ aflåste døre med logning af adgang mv.
5.5. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar i forbindelse med iagttagelsen af databeskyttelsesforordningens artikel 24, 25 og 32 – især hvis ansvaret er delt op mellem parterne:
5. Anvendelse af databehandlere og underdatabehandlere
5.1. Parterne er berettiget /ikke berettiget
til at anvende databehandlere og/eller eventuelle underdatabe- handlere i tilknytning til den fælles behandling.
5.2. Ved eventuel anvendelse af databehandlere og/eller underda- tabehandlere er parterne ansvarlige for at efterleve kravene i databeskyttelsesforordningens artikel 28. Parterne er herefter bl.a. forpligtet til:
• alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behand- ling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
• at sikre, at der foreligger en gyldig databehandleraftale mel- lem den dataansvarlige part/parterne og databehandleren, og
• at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
I fortegnelsen skrives de typer af personoplysninger, som indgår i databehandlingen. Det kan være hen- sigtsmæssigt at opdele oplysningerne i 3 kategorier:
1: Almindelige personoplysninger: Navn, adresse, mail-adresse, IP-adresse, billede, pårørende mv., sociale forhold, økonomiske forhold (Listen er ikke udtømmende)
2: Almindelige, fortrolige oplysninger: CPR-nummer, strafbare forhold (Listen er udtømmende)
3: Følsomme personoplysninger: Race og/eller etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometri- ske data, helbredsoplysninger, seksuelle forhold eller orientering (Listen er udtømmende).
Ved angivelse af typer af personoplys- ninger bør man være så præcis som mulig, da det giver en fornemmelse af omfanget af databehandlingen. Fx vil det for helbredsoplysninger være
relevant at specificere, om der fx er tale om medicin, diagnoser, behandlings- aftaler e.l.
5.3. Parterne skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere og evt. underdatabe- handlere. Det er den pågældende dataansvarlige, som har ansvar for at informere de andre dataansvarlige.
5.4. Hvis oplysningerne behandles af databehandlere og evt. under- databehandlere, skal de øvrige dataansvarlige efter anmodning herom gøres bekendt med indholdet af aftalerne mellem den dataansvarlige og databehandleren/underdatabehandleren.
7. Fortegnelse
7.1. Parterne er ansvarlige for at iagttage kravet i databeskyttelsesfor- ordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at hver enkelt part udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.
7.2. Parterne orienterer de øvrige parter om indholdet af ovennævnte fortegnelse.
7.3. På baggrund af indholdet i fortegnelsen udarbejdes egne forteg- nelser over den af aftalen omhandlede behandlingsaktivitet.
8. Anmeldelse af brud på persondatasikkerheden til tilsyns- myndigheden
8.1. Parterne er ansvarlige for efterlevelsen af databeskyttelsesforord- ningens artikel 33 om anmeldelse af brud på persondatasikkerhe- den til tilsynsmyndigheden.
8.2. Beskriv mere detaljeret reguleringen af parternes ansvar for at anmelde brud på persondatasikkerhe- den til tilsynsmyndigheden:
8.3. Ved brud på persondatasikkerheden, skal den af parterne, som er udpeget som anmelder, uden unødig forsinkelse skriftligt orien- teres på nedenstående adresse, således at denne part kan indbe- rette bruddet til Datatilsynet og om nødvendigt underrette de registrerede. Underretningen skal ske til:
Navn:
Email:
Telefonnummer:
9. Underretning om brud på persondatasikkerheden til den registrerede
9.1. Parterne er ansvarlige for iagttagelsen af databeskyttelsesforord- ningens artikel 34 vedrørende underretning om brud på person- datasikkerheden til den registrerede.
9.2. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar for at underrette om brud på persondatasikkerheden til de registrerede:
Beskriv hvem der har ansvar for hvad, i forbindelse med, at der konstateres et brud på persondatasikkerheden.
Der skal tages stilling til, om det er den samme, der indberetter brud, som underretter den registrerede.
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
Læs mere om konsekvensanalyse her:
Vejledning om konsekvensanalyse (xxxxxxxxxxxx.xx)
10.1. Parterne er ansvarlige for iagttagelsen af kravet i databeskyttel- sesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at parterne skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
10.2. Parterne er ligeledes forpligtet til at iagttage kravet i databeskyt- telsesforordningens artikel 35 om forudgående høring af tilsyns- myndigheden, når dette er aktuelt.
10.3. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar for at udarbejde en konsekvens- analyse eller for at kunne dokumentere, at der ikke er behov for dette:
11. Overførsel af personoplysninger til tredjelande eller internationale organisationer
11.1. Parterne kan træffe afgørelse om, at der kan ske overførsel af per- sonoplysninger til tredjelande eller internationale organisationer.
11.2. Parterne er ansvarlige for iagttagelsen af kravene i databeskyttel- sesforordningens kapitel V, såfremt der sker overførsel af person- oplysninger til tredjelande eller internationale organisationer.
11.3. Beskriv eventuelt mere detaljeret reguleringen af parternes ansvar i forbindelse med overførsel af personoplysninger til tredjelande eller internationale organisationer:
Få mere viden i Datatilsynets vejledning Overførsel til tredjelande
11.4. Anfør overførselsgrundlag efter databeskyttelsesforordningens kapitel V:
• Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (artikel 45)
• EU-standardkontrakten (artikel 45)
• Bindende virksomhedsregler (artikel 47)
• Overførsel eller videregivelse uden hjemmel i EU-retten (artikel 48)
• Særlige forhold (Artikel 49). Angiv hvilke:
12. Klager
12.1. Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke parten efter denne aftale er ansvarlig.
12.2. Hvis én af parterne modtager en klage, som rettelig bør behand- les af en anden part, oversendes klagen til denne dataansvarlige snarest muligt.
12.3. Hvis én af parterne modtager en klage, hvor en del af klagen rettelig bør behandles af en anden part, oversendes denne del til besvarelse hos parten snarest muligt.
12.4. Den registrerede skal, i forbindelse med partens oversendelse af en klage eller en del heraf til en anden part, oplyses om det væsentligste indhold af denne aftale.
13. Orientering af andre parter
13.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles behandling og denne aftale.
14. Regulering af andre forhold
14.1. Beskriv en eventuel regulering af andre forhold:
Parterne kan aftale andre bestemmel- ser om tjenesten vedrørende behand- ling af personoplysninger, herunder fx om erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod bestemmelserne eller forringer den registreredes grund- læggende rettigheder og frihedsrettig- heder, som følger af databeskyttelses- forordningen.
14.2. Beskriv en eventuel regulering af andre forhold:
15. Ikrafttræden og ophør
15.1. Denne aftale træder i kraft ved parternes underskrift heraf.
15.2. Aftalen er gældende, så længe de omhandlede oplysninger be- handles, eller indtil aftalen afløses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.
15.3. Underskrift
På vegne af Dataansvarlig 1 På vegne af Dataansvarlig 2
Navn: Navn:
Stilling: Stilling:
Dato: Dato:
På vegne af Dataansvarlig 3 På vegne af Dataansvarlig 4
Navn: Navn:
Stilling: Stilling:
Dato: Dato:
På vegne af Dataansvarlig 5 På vegne af Dataansvarlig 5
Navn: Navn:
Stilling: Stilling:
Dato: Dato: