Aftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar
Mellem
Dataansvarlig 1
Navn på Lokalforening CVR - Nummer Adresse
Postnummer og By
og
Dataansvarlig 2
Xxxxxxxxxxxx Xxxxx- og Ungdomsforbund CVR 28536364
Xxxxxxxxx 00
7200 Grindsted
1. Fælles dataansvar
1.1. Denne aftale fastsætter ansvarsfordelingen mellem Dataansvarlig 1 og Dataansvarlig 2 i for- bindelse med:
• Kontingentopkrævning
• Udsendelse af nyheder
1.2. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Såfremt der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsig- tig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af medlemmers rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataan- svarlige er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold medlemmerne. Det væsentligste ind- hold af ordningen skal ligeledes gøres tilgængeligt for medlemmerne.
Medlemmet kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af da- tabeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at til- synsmyndigheden kan udøve sine beføjelser overfor både Dataansvarlig 1 og Dataansvarlig 2.
1.3. Der er mellem Dataansvarlig 1 og Dataansvarlig 2 enighed om, at der i forbindelse med kon- tingentopkrævning og udsendelse af nyheder foreligger et fælles dataansvar. Ved vurderin- gen heraf er der bl.a. lagt vægt på benyttelse af fælles database
1.4. Denne aftale er udformet med henblik på, at Dataansvarlig 1 og Dataansvarlig 2 kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I aftalen fastlægges Dataansvarlig 1’s og Dataansvarlig 2’s respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.
2. Overordnet ansvarsfordeling
2.1. Dataansvarlig 1 har ansvar for:
• Oprettelse og opdatering af persondata i fælles database
2.2. Dataansvarlig 2 har ansvar for:
• Kontingentopkrævning
• Udsendelse af nyheder
3. Principper og behandlingshjemmel
3.1. Dataansvarlig 2 bærer ansvaret for, at der foreligger et gyldigt behandlingsgrundlag og for at kunne dokumentere dette, fx over for tilsynsmyndigheden.
3.2. Dataansvarlig 1 og Dataansvarlig 2 er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågæl- dendes ansvarsområder ifølge denne aftale.
4. De registreredes rettigheder
4.1. Dataansvarlig 1 og Dataansvarlig 2 er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:
• oplysningspligt ved indsamling af personoplysninger hos den registrerede,
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,
• den registreredes indsigtsret,
• ret til berigtigelse,
• ret til sletning (retten til at blive glemt),
• ret til begrænsning af behandling,
• underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling,
• ret til dataportabilitet (dog ikke for offentlige myndigheder) og
• ret til indsigelse mod en behandling.
4.2. Såfremt Dataansvarlig 1 modtager en anmodning eller henvendelse fra en registreret vedrø- rende de forhold, der er omfattet af Dataansvarlig 2’s ansvar, jf. ovenstående, oversendes denne til besvarelse hos Dataansvarlig 2 snarest muligt.
4.3. Såfremt Dataansvarlig 2 modtager en anmodning eller henvendelse fra en registreret vedrø- rende de forhold, der er omfattet af Dataansvarlig 1’s ansvar, jf. ovenstående, oversendes denne til besvarelse hos Dataansvarlig 1 snarest muligt.
4.4. Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen
5.1. Dataansvarlig 2 er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fy- siske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og orga- nisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødven- digt revideres og ajourføres. (databeskyttelsesforordningens artikel 24). Dette kan eksem- pelvis indebære, at Dataansvarlig 2 udarbejder procedurer for håndtering af sikkerhedsbri- ster, anmodninger om indsigt eller opfyldelse af oplysningspligten.
5.2. Dataansvarlig 2’s foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktivite- terne, omfatte implementeringen af passende databeskyttelsespolitikker.
5.3. Dataansvarlig 2 er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.
5.4. Dataansvarlig 2 er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Dataansvarlig 2, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Dataansvarlig 2 skal derfor foretage (og kunne dokumentere) en risikovurdering, og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.
6. Anvendelse af databehandlere og underdatabehandlere
6.1. Dataansvarlig 2 er berettiget til at anvende databehandlere og/eller eventuelle underdatabe- handlere i tilknytning til den fælles behandling.
6.2. Ved eventuel anvendelse af databehandlere og/eller eventuelle underdatabehandlere er Da- taansvarlig 2 ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Dataansvarlig 2 er bl.a. forpligtet til:
• alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gen- nemfører de passende tekniske og organisatoriske på en sådan måde, at behandling op- fylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
• at sikre, at der foreligger en gyldig databehandleraftale mellem Dataansvarlig 2 og data- behandleren, og
• at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
6.3. Dataansvarlig 1 skal efter anmodning herom gøres bekendt med, om oplysningerne behand- les af databehandlere og evt. underdatabehandlere hos Dataansvarlig 2.
6.4. Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, skal Dataan- svarlig 1efter anmodning herom gøres bekendt med indholdet at aftalerne mellem Dataan- svarlig 2 databehandleren/underdatabehandleren.
7. Fortegnelse
7.1. Dataansvarlig 2 er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Dataansvarlig 2 udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.
7.2. Dataansvarlig 2 orienterer Dataansvarlig 1 om indholdet af ovennævnte fortegnelse.
7.3. Dataansvarlig 1 udarbejder – på baggrund af indholdet i Dataansvarlig 2’s fortegnelse - egen fortegnelse over den af aftalen omhandlede behandlingsaktivitet.
8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
8.1. Dataansvarlig 1 og Dataansvarlig 2 er ansvarlig for efterlevelsen af databeskyttelsesforord- ningens artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden.
9. Underretning om brud på persondatasikkerheden til den registrerede
9.1. Dataansvarlig 1 og Dataansvarlig 2 er ansvarlig for iagttagelsen af databeskyttelsesforord- ningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den regi- strerede.
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
10.1. Dataansvarlig 1 og Dataansvarlig 2 er ansvarlig for iagttagelsen af kravet i databeskyttelses- forordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebæ- rer, at Dataansvarlig 1 og Dataansvarlig 2, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for be- handlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
10.2. Dataansvarlig 1 og Dataansvarlig 2 er ligeledes forpligtet til at iagttage kravet i databeskyt- telsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt.
11. Overførsel af personoplysninger til tredjelande eller internationale organisationer
11.1. Dataansvarlig 1 og Dataansvarlig 2 kan i forening træffe afgørelse om, at der kan ske over- førsel af personoplysninger til tredjelande eller internationale organisationer.
11.2. Dataansvarlig 1 og Dataansvarlig 2 er ansvarlig for iagttagelsen af kravene i databeskyttel- sesforordningens kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.
12. Klager
12.1. Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke parten efter denne aftale er ansvarlig.
12.2. Hvis én af parterne modtager en klage, som rettelig bør behandles af den anden part, over- sendes klagen til denne dataansvarlig snarest muligt.
12.3. Hvis én af parterne modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, oversendes denne del til besvarelse hos parten snarest muligt.
12.4. Den registrerede skal, i forbindelse med partens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale.
13. Orientering af den anden part
13.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles be- handling og denne aftale.
14. Ikrafttræden og ophør
14.1. Denne aftale træder i kraft ved begge parters underskrift heraf.
14.2. Aftalen er gældende, så længe de omhandlede oplysninger behandles, eller indtil aftalen af- løses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.
14.3. Underskrift:
På vegne af Dataansvarlig 2
På vegne af Dataansvarlig 1
Dato: Dato: 8. maj 2018