Aftale om fælles dataansvar


Aftale om fælles dataansvar


Mellem


Haveforening/Kreds:                         


Adresse:    


Postnr. og by:     


CVR:                                                                                                              


(herefter ”Foreningen/Kredsen”)


og


Kolonihaveforbundet Xxxxxxxxx 00X 0000 Xxxxxx

CVR. nr.:16154628

(herefter ”Kolonihaveforbundet”)


er der indgået nedenstående aftale om ansvarsfordelingen mellem Kolonihaveforbundet og foreningen i forbindelse med behandling af medlemsoplysninger i Kolonihaveforbundets IT- systemer.


Aftalen knytter sig til foreningens medlemskab af Kolonihaveforbundet og dermed opfyldelse af Kolonihaveforbundets vedtægter. Kolonihaveforbundet leverer forskellige it-løsninger til foreningen i medfør af forbundsvedtægten og vurderingsreglerne. Både haveforeningen og Kolonihaveforbundet behandler i den forbindelse personoplysninger, men med forskellige selvstændige formål. Det betyder, at haveforeningen og Kolonihaveforbundet har et delt data- ansvar. Denne aftale fastsætter ansvarsfordelingen mellem parterne.


Xxxxxxxxx 00X, 0. xx. ∙ DK-2730 Herlev ∙ Tlf. 00 00 00 00 ∙ xxx.xxxxxxxxxx.xx ∙ xxxx@xxxxxxxxxx.xx ∙ CVR 1615 4628

Medlem af Det europæiske kolonihaveforbund

1

Version 2.0. 2020


Der er mellem Kolonihaveforbundet og foreningen enighed om, at der i forbindelse med behandling af medlemsoplysninger i Foreningsportalen foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på at begge parter har et legitimt formål med at anvende oplysningerne, om end formålene er forskellige.

Denne aftale er udformet med henblik på, at Kolonihaveforbundet og foreningen kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I aftalen fastlægges Kolonihaveforbundets og foreningens respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.


1. Overordnet ansvarsfordeling


Kolonihaveforbundet har ansvar for IT-systemernes funktionalitet samt for anvendelse af data til egne formål, herunder ”genbrug” af data i andre IT-systemer, bl.a. vurderingssystemet og Dialognet.

Foreningen har ansvar for at taste oplysningerne ind i Foreningsportalen og sikre den løbende vedligeholdelse af oplysningerne.

2. Principper og behandlingshjemmel


Det er Kolonihaveforbundet der overordnet har ansvaret for, at der findes et gyldigt behandlingsgrundlag, og at dette kan dokumenteres overfor tilsynsmyndigheden.

Kolonihaveforbundet og foreningen er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale.

3. De registreredes rettigheder


Begge parter er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:

oplysningspligt ved indsamling af personoplysninger hos den registrerede,

oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,

den registreredes indsigtsret,

ret til berigtigelse,

ret til sletning (retten til at blive glemt),

ret til begrænsning af behandling,


underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling,

ret til dataportabilitet (dog ikke for offentlige myndigheder) og

ret til indsigelse mod en behandling.


Såfremt Kolonihaveforbundet modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af foreningens ansvar, jf. ovenstående, videresendes denne til besvarelse hos foreningen snarest muligt.

Såfremt foreningen modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af Kolonihaveforbundets ansvar, jf. ovenstående, videresendes denne til besvarelse hos Kolonihaveforbundet snarest muligt.

Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.

4. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen


Begge parter er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at begge parter udarbejder procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt eller opfyldelse af oplysningspligten.

Begge parters foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.

Kolonihaveforbundet er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.

Begge parter er ansvarlige for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at begge parter, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.


Kolonihaveforbundet har pligt til at instruere sine ansatte om Kolonihaveforbundets forpligtelser, herunder om tavshedspligt og fortrolighed.


5. Anvendelse af databehandlere og underdatabehandlere


Begge parter er berettiget til at anvende databehandlere og/eller eventuelle underdatabehandlere i tilknytning til den fælles behandling. Ved underdatabehandler forstås en underleverandør, til hvem databehandleren har overladt hele eller dele af den behandling, som databehandleren foretager for foreningen (typisk en leverandør af et IT-system, men kan også være kredsen, som skal løse en opgave foreningen).


Ved eventuel anvendelse af databehandlere og/eller underdatabehandlere er begge parter ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Begge parter er herefter bl.a. forpligtet til:

alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,

at sikre, at der foreligger en gyldig databehandleraftale mellem parten og databehandleren, og

at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.


Begge parter skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere og evt. underdatabehandlere hos den anden part.


Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, skal parterne efter anmodning herom gøres bekendt med indholdet af aftalerne mellem parterne og databehandleren/underdatabehandleren.

6. Fortegnelse


Begge parter er ansvarlige for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at begge parter udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.

Begge parter orienterer på anmodning hinanden om indholdet af ovennævnte fortegnelse.


7. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden


Begge parter er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden.


8. Underretning om brud på persondatasikkerheden til den registrerede


Begge parter er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede. Ingen af parterne må hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, bortset fra den underretning, der følger af lovgivningen.


9. Overførsel af personoplysninger til tredjelande eller internationale organisationer


Kolonihaveforbundet kan træffe afgørelse om, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.

Kolonihaveforbundet er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.

10. Klager


Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke parten efter denne aftale er ansvarlig.

Hvis én af parterne modtager en klage, som rettelig bør behandles af den anden part, videresendes klagen til denne dataansvarlig snarest muligt.


Hvis én af parterne modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, videresendes denne del til besvarelse hos parten snarest muligt.

Den registrerede skal, i forbindelse med partens videresendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale.

11. Orientering af den anden part


Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles behandling og denne aftale.

12. Ændringer i aftalen


Begge parter er med et varsel på 30 dage og uden at dette medfører krav om betaling berettiget til at foretage ændringer i aftalen, hvis ændringer i gældende persondataregler eller praksis giver anledning til dette.


13. Ikrafttræden og ophør


Denne aftale træder i kraft ved begge parters underskrift heraf. Aftalen er gældende, så længe de omhandlede oplysninger behandles, eller indtil aftalen afløses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen. Ved ophør af aftalen skal Kolonihaveforbundet på foreningens anmodning og efter dennes valg slette eller tilbagelevere de behandlede personoplysninger. Kolonihaveforbundet er herunder forpligtet til loyalt og hurtigst muligt at medvirke til, at databehandlingen overgår til en anden leverandør. Kolonihaveforbundet skal sikre, at eventuelle underdatabehandlere ligeledes efterlever foreningens beslutning. Kolonihaveforbundet og eventuel underdatabehandler skal i den forbindelse slette eventuelle kopier af de behandlede personoplysninger.


Underskrift


På vegne af Kolonihaveforbundet På vegne af Foreningen




Navn: Xxxxx Xxxxxx Stilling: Direktør

Navn:                        Stilling:           


Dato:   Dato:             

Document Metadata

Filed: April 1st, 2020