Databehandleraftale

Databehandleraftale

Denne databehandleraftale finder anvendelse på alle certificerede brugeres anvendelse af Brøgger Er- hvervspsykologers analyseværktøj JBTA®. Anvendelse af analyseværktøjet er betinget af, at den certifi- cerede bruger som dataansvarlig eller på den dataansvarliges vegne erklærer sig bekendt med og ac- cepterer indholdet af databehandleraftalen.

I databehandleraftalen kaldes den, på hvis vegne analysen foretages for ”Dataansvarlig”.

Brøgger Erhvervspsykologer v/ Xxxx Xxxxxxx, Xxxxx Xxxxxx Vej 38 K, 1. sal, 8230 Åbyhøj, CVR-nr. 26417074 kaldes i aftalen enten ”Databehandleren” eller ”BRØGGER”

Samlet benævnes Dataansvarlig og Databehandleren ”Parterne” og hver for sig benævnes de ”Part”.

BRØGGER Erhvervspsykologer Xxxxx Xxxxxx Vej 38 K 1.sal 8230 Åbyhøj Telefon: 00000000 - xxx.xxxxxxxx.xxx

INDHOLD

1. DEFINITIONER 3

2. FORMÅL OG BAGGRUND 4

3. DATAANSVARLIGES BEHANDLING AF PERSONDATA OG ØVRIGE FORPLIGTELSER 5

4. INSTRUKTION 5

5. DATABEHANDLERS BEHANDLING AF PERSONDATA 6

6. DATABEHANDLERS BRUG AF UNDERDATABEHANDLERE 7

7. DATABEHANDLERS ØVRIGE FORPLIGTELSER 7

8. SIKKERHEDSFORANSTALTNINGER 8

9. TAVSHEDSPLIGT OG FORTROLIGHED 9

10. OPHØR OG VARIGHED 9

11. VÆSENTLIG MISLIGHOLDELSE 10

12. IKRAFTTRÆDEN OG OPHØR MV 10

13. LOVVALG OG TVISTER 10

1. DEFINITIONER

1. 1. Ved ”Dataansvarlig” forstås, jfr. Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af

27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person- oplysninger mv. (”Persondataforordningen”) art. 4, nr. 7, en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af person- oplysninger.

1. 2. I nærværende aftale anses som dataansvarlig både i tilfælde, hvor Dataansvarlig i eget regi gennemfører personlighedsanalyser og i tilfælde, hvor Dataansvarlig udfører opgaver for kunder/hvervgivere, som har dataansvar i henhold til Persondataforordningen, og hvor BRØGGERS opgave i begge tilfælde består i analyse, bearbejdning og opbevaring af data om testpersoner og andre Personoplysninger.

1. 3. Ved ”Databehandler” forstås en fysisk eller juridisk person, en offentlig myndighed, en insti- tution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne, jfr. Persondataforordningens art. 4, nr. 8.

1. 4. I nærværende aftale anses BRØGGER udelukkende som Databehandler uden dataansvar, idet Databehandler i alle tilfælde arbejder under instruks fra Dataansvarlig.

1. 5. Ved "Behandling" forstås enhver aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formid- ling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse, jfr. Persondataforordningens art. 4, nr. 2. Opbevaring af Person- data er således en Behandling i Persondataforordningens forstand.

1. 6. Ved ”Personoplysninger” forstås enhver form for information om en identificeret eller identi- ficerbar fysisk person (”den registrerede”); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet, jfr. Persondataforordningens art. 4, nr. 1.

1. 7. Data, der udveksles i forbindelse med Dataansvarliges brug af Databehandlers testsystemer, og som klassificeres som Personoplysninger, benævnes også som ”Persondata”. Persondata omfatter ikke data, der ikke er personhenførbare, herunder anonymiserede data.

1. 8. Ved ”Følsomme Persondata” forstås personoplysninger om race eller etnisk oprindelse, poli- tisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt ge- netiske data, biometriske data, der har til formål entydigt at identificere en fysisk person,

helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, jfr. Persondataforordningens art. 9.

1. 9. Nærværende aftale omfatter Persondata, der relaterer sig til resultater fra det psykologiske analyseværktøj JBTA® (Jung Baseret Type Analyse®).

1. 10. Persondata omfatter:

(a) Personoplysninger, som Dataansvarlig er dataansvarlig for,

(b) Personoplysninger, som Dataansvarlig håndterer som databehandler på vegne af sine hvervgivere eller sine kunder.

1. 11. Persondata omfatter persondata om følgende typer af registrerede:

(a) Ansatte hos hvervgiveren eller kunden, der som del af et internt udviklingsforløb ud- fylder analyseskema til brug for JBTA® analysen.

(b) Jobsøgende til stillinger hos hvervgiveren eller kunden, der i forbindelse med jobinter- view, udfylder analyseskema til brug for JBTA® analysen.

(c) Ansatte hos, eller jobsøgere til stillinger hos den dataansvarlige virksomheds hvervgi- vere eller kunder, der udfylder analyseskema til brug for JBTA® analysen.

1. 12. Persondata omfatter følgende kategorier:

(a) Navn

(b) Køn

(c) Xxxxx/fødselsår

(d) Uddannelse

(e) Erhverv

1. 13. Udtryk som ”herunder” eller lignende udtryk, skal forstås som ”herunder, men ikke begrænset til”.

1. 14. Ord i ental inkluderer flertal, og omvendt.

2. FORMÅL OG BAGGRUND

2. 1. Parterne har indgået en aftale, jfr. nærmere pkt. 2.3., hvorefter Databehandler stiller person- test og persontestsystem til rådighed for Dataansvarlig med henblik på at foretage person- lighedsanalyses af en eller flere Testpersoner.

2. 2. Testpersonerne kan være ansatte i eller på anden måde tilknyttet Dataansvarligs virksomhed eller personer, som Dataansvarlig som selvstændig certificeret analysebruger har påtaget sig at udføre personlighedsanalyse på. Testpersonerne har ikke relation til Databehandler, og det er Dataansvarlig, der forestår og har ansvaret for indsamling, levering og bearbejdning af alle oplysninger om Testpersonerne til brug for personlighedsanalysen.

2. 3. Den indgåede aftale, der i det følgende omtales som ”Brugsaftalen”, er kommet i stand ved, at BRØGGER har accepteret en anmodning fra den certificerede bruger af analyseværktøjet JBTA® eller af tilsvarende, af BRØGGER godkendte analyseværktøjer, om oprettelse af en on- linekonto, der giver adgang til at købe, anvende og opbevare analyser hos BRØGGER.

2. 4. Nærværende aftale vedrører Databehandlers behandling af data i forbindelse med Dataan- svarliges brug af Databehandlers tjenester og har til formål at sikre beskyttelsen af Person- data, som Databehandler behandler på vegne af Dataansvarlig, således at reglerne i Person- dataforordningen overholdes.

2. 5. Databehandler vil få adgang til eller modtage visse personoplysninger, som Databehandler behandler på vegne af Dataansvarlig, og Databehandler udfører alene denne opgave efter instruks fra Dataansvarlig.

2. 6. Denne databehandleraftale regulerer Databehandlers ansvar som databehandler samt Par- ternes fælles forpligtelser efter Persondataforordningen.

3. DATAANSVARLIGES BEHANDLING AF PERSONDATA OG ØVRIGE FORPLIGTELSER

3. 1. Dataansvarlig forpligter sig som dataansvarlig til at behandle personoplysninger i overens- stemmelse med Persondataforordningen.

3. 2. Dataansvarlig forpligter sig i den forbindelse til at opfylde oplysningspligten over for den registrerede testperson i henhold til Persondataforordningens art. 13 og art. 14 og til at meddele de registrerede testpersoner samtlige andre oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår testpersonerne.

3. 3. Dataansvarlig skal desuden give testpersonerne meddelelse i henhold til persondataforord- ningens art. 15-22 og 34 om behandling i en kortfattet, gennemsigtig og lettilgængelig form og i et klart og enkelt sprog, herunder oplysning om testpersonernes indsigtsret (art. 15), ret til berigtigelse (art. 16), ret til sletning (art. 17) og ret til indsigelse (art. 21).

3. 4. Dataansvarlig forpligter sig endvidere til at efterleve de etiske retningslinjer, der udstikkes af Databehandler i forhold til anvendelse og opbevaring af genererede personprofiler, som Databehandler skal opbevare forsvarligt, og som automatisk vil blive slettet efter 6 måne- der.

4. INSTRUKTION

4. 1. Databehandler skal udføre følgende opgaver og behandling af Persondata på vegne af Data- ansvarlig:

4.1.1. Levering af personlighedsanalyser og onlineanalysesystem.

4.1.2. Opbevaring af analyseresultater.

4. 2. Dataansvarlig har oplyst, at behandling af Persondata sker til opfyldelse af følgende formål:

4. 2. 1. Udviklings-, rekrutterings – og evalueringsopgaver

4. 3. Databehandler varetager databehandlingsopgaver for Dataansvarlig vedrørende levering af personlighedsanalyser og onlineanalysesystem i egen virksomhed eller i forbindelse med le- vering af ydelser til Dataansvarligs kundevirksomheder til ovennævnte formål.

4. 4. Det konkrete analysesystem, der anvendes, er JBTA®.

4. 5. Det pågældende analysesystem anvendes af certificerede brugere hos Dataansvarlig, typisk HR-medarbejdere eller konsulenter.

4. 6. Certificerede brugere er personer der har gennemgået og bestået BRØGGERS certificerings- forløb indenfor det pågældende analyseredskab eller personer, der godtgør, at de er uddan- net i brugen af andre godkendte analyseredskaber som JTI eller MBTI..

4. 7. Certificerede brugere får, som følge af deres certificering i det pågældende analyseværktøj, adgang til en onlineplatform. Denne onlineplatform giver den certificerede bruger adgang til at maile analyselink til personer, der, efter samtykke, skal udfylde den pågældende person- lighedsanalyse.

4. 8. Den certificerede bruger kan, efter at personen har udfyldt personlighedsanalysen, hente en analyseprofil i onlinesystemet.

4. 9. Den certificerede bruger har egen konto i onlinesystemet, som vedkommende selv admini- strerer. Databehandler leverer, efter Dataansvarliges ønske og behov, support og assistance til den certificerede bruger.

4. 10. De af Databehandlers ansatte, der i administrativt øjemed og supportøjemed har adgang til de oplysninger den certificerede bruger registrerer i onlinesystemet, skal være i besiddelse af de nødvendige kompetencer i håndtering af Følsomme Persondata i forbindelse med psy- kologisk testning.

4. 11. I forhold til testpersoner, der har meddelt samtykke til, at deres testresultat kan anvendes i statistikøjemed, er Databehandler berettiget til at anonymisere og gøre Persondata ikke-per- sonhenførbare med henblik på statistisk brug. Anonymisering af data vil i givet fald ske efter 6 måneder, og behandling af sådanne data er ikke omfattet af denne databehandleraftale.

5. DATABEHANDLERS BEHANDLING AF PERSONDATA

5.1. Databehandler er etableret i Danmark.

5.2. Databehandler må udelukkende behandle Persondata på vegne af Dataansvarlig samt i over- ensstemmelse med den i pkt. 4 beskrevne instruktion og aftalte formål, herunder for at kunne udføre den aftalte service i henhold til Brugsaftalen, jfr. pkt. 2.3, og denne databehandleraf- tale.

5.3. Offentlige kontrolmyndigheder og andre myndigheder skal i henhold til den til enhver tid gældende lovgivning eller Dataansvarligs anvisninger inden for Databehandlers normale kon- tortid have adgang til uanmeldt at efterse, undersøge, kontrollere samt revidere data, data- medier og informationsbehandlende enheder hos Databehandler.

5.4. Dataansvarlig har, for egen regning, en gang årligt ret til at lade intern eller ekstern revision, eller anden uafhængig ekspert dokumentere at Databehandler lever op til aftalens bestem- melser. Samme rettigheder som i pkt. 5.3 gælder herfor, dog forudsat at der afgives et varsel på minimum 7 arbejdsdage til Databehandler.

6. DATABEHANDLERS BRUG AF UNDERDATABEHANDLERE

6.1. Behandling af personoplysninger må ikke overlades til anden ekstern databehandler end IT Relation A/S, CVR-nr. 27001092, Xxxxxx Xxxxx 0 X, 0., 0000 Xxxxxxx, herunder hverken un- derleverandører eller andre serviceudbydere uden samtykke fra Dataansvarlig eller i forhold til, hvad der er aftalt i denne databehandleraftale.

6.2. Når Databehandler benytter en underleverandør til behandling/opbevaring af data, forpligter Databehandler sig til at indgå en aftale med underleverandøren, der som minimum forpligter underleverandøren til at overholde de fastsatte bestemmelser i denne databehandleraftale. I tilfælde af at underleverandøren ikke formår at leve op til vilkårene i denne databehandler- aftale, er Databehandler berettiget til inden for 7 arbejdsdage at udbedre forholdet.

6.3. Databehandler indestår for, at der ved indgåelsen af nærværende Databehandleraftale fore- ligger en aftale med IT Relation A/S, der lever op til de i pkt. 6.2 beskrevne vilkår.

7. DATABEHANDLERS ØVRIGE FORPLIGTELSER

7.1. For sin behandling af personoplysninger om testpersonerne, skal Databehandler sikre pro- cedurer, der bidrager til Dataansvarligs opfyldelse af sine forpligtelser i henhold til Person- dataforordningen. Databehandler skal således være i stand til at sikre beskyttelse af de regi- strerede testpersoners rettigheder, ligesom Databehandler skal bistå Dataansvarlig med op- fyldelse af dennes forpligtelser til at besvare anmodninger om udøvelse af de registrerede testpersoners rettigheder.

7.2. Forpligtelsen i pkt. 7.1 gælder også Databehandlers eventuelle underleverandører, og skal tillige fremgå af den mellem Databehandlers og dennes underleverandører mv. indgåede af- taler.

7.3. Databehandler skal føre en fortegnelse over alle kategorier af behandlingsaktiviteter, der fo- retages på Dataansvarligs vegne, idet fortegnelsen skal indeholde:

(a) navn på og kontaktoplysninger for databehandleren,

(b) de kategorier af behandling, der foretages på vegne af Dataansvarlig,

(c) en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltnin- ger, der anvendes til at sikre et passende sikkerhedsniveau for behandling og op- bevaring af personoplysninger.

7.4. Databehandler forpligter sig til ikke at udlevere persondata til tredjepart, medmindre tredje- part er skriftligt udpeget og fornødent identificeret af Dataansvarlig.

7.5. Dataansvarlig skal afholde eventuelle omkostninger til Databehandler og/eller underleveran- dører i forbindelse med denne bistand, herunder honorar for medgået tid.

7.6. Databehandler skal underrette Dataansvarlig, hvis Databehandler af væsentlige grunde ikke er i stand til at sikre en korrekt behandling af Persondata i overensstemmelse med denne databehandleraftale, og Databehandler ikke inden for 7 arbejdsdage har været i stand til at genoprette korrekt behandling af Persondata.

7.7. Databehandler skal uden unødigt ophold informere Dataansvarlig om:

(a) Enhver retlig bindende anmodning om videregivelse af Persondata, samt

(b) Enhver anmodning, der modtages direkte fra de personer, Persondata vedrører. Data- behandler skal ikke uden konkret aftale med Dataansvarlig besvare anmodningen.

7.8. Databehandler har pligt til efter anmodning at samarbejde med Datatilsynet i forbindelse med tilsynets udførelse af sine opgaver.

8. SIKKERHEDSFORANSTALTNINGER

8.1 Databehandler skal træffe de nødvendige tekniske og organisatoriske foranstaltninger fore- lagt denne som databehandler. Disse sikkerhedsforanstaltninger skal sikre mod, at Person- data:

8.1.1. hændeligt eller ulovligt tilintetgøres, fortabes eller på anden vis forringes,

8.1.2. kommer til uvedkommendes kendskab eller misbruges eller i øvrigt behandles i strid med gældende regler, hvoraf følger, at Databehandler til stadighed er forpligtet til at opretholde en rimelig og opdateret beskyttelse af Databehandlers systemer, herunder af driftsmiljøet, hvor disse kan påvirke Databehandlers levering af ydelser, mod ulovlig elektronisk eller fysisk indtrængen, hærværk, tyveri, hacking, edb-virus, ”denial of ser- vice” (DDoS) angreb og andre lignende sikkerhedsmæssige brug, samt mod risiko for brand, storm, vandskade og andre forhold, der kan bringe Databehandlers opfyldelse

af Aftalen i fare eller ødelægge eller give uvedkommende adgang til Dataansvarligs it- systemer, og behandles i strid med gældende regler.

8.2 Al databehandling foregår over en krypteret sikker forbindelse med SSL certifikat. Persondata slettes ved en automatiseret proces efter 6 måneder, medmindre testpersonen har meddelt sit samtykke til, at analyseresultatet anvendes i anonymiseret form til statistik bearbejdning. De benyttede systemer lever op til den til enhver tid alment anerkendte branchestandard.

8.3 Databehandler skal uden unødigt forsinkelse og inden 48 timer efter at have opnået kend- skab hertil underrette Dataansvarlig om ethvert brud på persondatasikkerheden. Databe- handler skal i så fald gennemføre en undersøgelse af hændelsens årsag, forløb og konse- kvens, og informere Dataansvarlig om undersøgelsens konklusioner.

9. TAVSHEDSPLIGT OG FORTROLIGHED

9.1. Databehandler er forpligtet til at iagttage fortrolighed om alle oplysninger vedrørende Data- ansvarligs virksomhed samt Persondata, som Databehandler har fået kendskab til som led i opfyldelsen af henholdsvis Brugsaftalen samt denne databehandleraftale.

9.2. Databehandler forpligter sig til at pålægge egne medarbejdere, der har adgang til Persondata på analysesystemet og analysebehandling, og underleverandører, der får adgang til Person- data, samme tavshedspligt og underskrive en fortrolighedserklæring.

9.3. Tavshedspligten ophører ikke ved Brugsaftalens ophør, ved ophøret af nærværende aftale eller ved medarbejderes ansættelsesophør.

10. OPHØR OG VARIGHED

10.1. Denne databehandleraftale er gældende, indtil Brugsaftalen, jfr. pkt. 2.3, opsiges af en af Parterne og udløber i overensstemmelse med Brugsaftalen.

10.2. En sikkerhedshændelse, hvor Persondata er blevet kompromitteret i alvorlig grad, kan med- føre, at Brugsaftalen opsiges, hvis der på baggrund af en sikkerhedshændelse af alvorlig ka- rakter og efter påkrav ikke er implementeret tilstrækkelige sikkerhedsforanstaltninger til at imødegå lignende hændelser.

10.3. I tilfælde af ophør af Brugsaftalen og/ eller denne databehandleraftale, uanset det juridiske grundlag herfor, er Dataansvarlig forpligtet til forinden at sikre sig kopi, transmission eller anden overførsel af Persondata til egen opbevaring eller opbevaring hos anden databehand- ler. Databehandler skal loyalt bistå hertil og efter anmodning ændre, overføre eller slette Persondata, som Databehandler behandler for Dataansvarlig.

10.4. Efter ophør af Brugsaftalen vil Databehandler gøre Persondata fuldstændig uidentificerbar eller slette Persondata, medmindre andet følger af ufravigelig lovgivning.

11. VÆSENTLIG MISLIGHOLDELSE

11.1. XXXXXXX er berettiget til at ophæve Brugsaftalen og forhindre certificerede brugere i at logge sig på analyseværktøjet, såfremt den certificerede bruger tilsidesætter de etiske retningslin- jer, der gælder for brugen af JBTA®, eller i øvrigt gør sig skyldig i væsentlig misligholdelse af Brugsaftalen eller nærværende databehandleraftale.

11.2. Ved Databehandlers væsentlige misligholdelse af denne databehandleraftale og forudsat, at det pågældende forhold ikke umiddelbart kan udbedres inden for 7 arbejdsdage, er Dataan- svarlig berettiget til at ophæve alle tilhørende aftaler om databehandling uden varsel.

11.3. Dataansvarligs væsentlige misligholdelse af Brugsaftalen giver Databehandler ret til fortsat at behandle Persondata i henhold til denne databehandleraftale, herunder betinge den fulde og ubegrænsede efterlevelse af Dataansvarligs instrukser af Dataansvarligs betaling af ude- stående fakturaer mv. Databehandler er dog ikke berettiget til at udøve tilbageholdsret i per- sonoplysninger for uopfyldte økonomiske krav, herunder betaling af udestående fakturaer.

12. IKRAFTTRÆDEN OG OPHØR MV.

12.1. Denne databehandleraftale træder i kraft samtidig med Brugsaftalen og gælder, indtil Data- behandler ophører med at levere ydelser til Dataansvarlig i henhold til Brugsaftalen.

12.2. Ændringer i denne databehandleraftale skal tiltrædes og bekræftes elektronisk af parterne for at være gyldige. Dette gælder dog ikke ændringer, der følger af ændringer i lovgivningen mv

13. LOVVALG OG TVISTER

13.1. Denne databehandleraftale er underlagt dansk ret og skal fortolkes i overensstemmelse med dansk ret. Der skal dog ses bort fra dansk rets internationale privatretlige regler, i det omfang disse regler er fravigelige.

13.2. Enhver tvist i forbindelse med denne databehandleraftale skal afgøres i overensstemmelse med dansk ret og med Retten i Aarhus eller Vestre Landsret som værneting.