Databehandleraftale
Nordskovens Friskole
30/5/2018
Indholdsfortegnelse
1. Aftalens baggrund og formål 2
2. Kundens instruks til forsikringsmægleren 2
5. Kontroller og erklæringer 3
6. Brug af underdatabehandlere 4
7. Overførsel til tredjelande 4
8. Tavshedspligt og fortrolighed 4
9. Forsikringsmæglerens personoplysninger 5
11. Overdragelse, misligholdelse, ansvarsbegrænsning, lovvalg og værneting 6
Bilag 1 Type af personoplysninger 8
Bilag 2 Tekniske og organisatoriske sikkerhedsforanstaltninger 9
Bilag 3 Underdatabehandlere 11
Aftalens parter:
Xxxxxx Xxxxxx Xxxxxx I/S
Nordskovens Friskole CVR-nr.13180695 Xxxxxxxxxxxx 000
2850 Nærum
1. Aftalens baggrund og formål
1.1. Parterne har indgået aftale om Forsikringsmæglerens levering til Kunden af forsikringsmægler- serviceydelser (”Samarbejdsaftalen").
1.2. Som led i levering af Ydelserne vil Kunden overlade personoplysninger til Forsikringsmægleren, og/eller Forsikringsmægleren vil som led i levering af Ydelserne indsamle og behandle person- oplysninger på Kundens vegne (”Kundens Personoplysninger”). I denne relation er Forsikrings- mægleren databehandler jfr. pkt. 2. I Bilag 1 er indeholdt en nærmere beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med en beskrivelse af behandlingens karakter og formål.
1.3. Forsikringsmægleren vil – efter omstændighederne og afhængig af Samarbejdsaftalen – skulle yde personlig rådgivning og bistand til Kundens ansatte, herunder i forbindelse med rådgivning om samt etablering og vedligeholdelse af personlige forsikrings og/eller pensionsaftaler samt bistand ved skades og pensionsbegivenheder. I relation til denne rådgivning og bistand er For- sikringsmægleren efter omstændighederne dataansvarlig jfr. pkt. 9.
1.4. Med nærværende Aftale ønsker parterne at etablere deres respektive forpligtelser og rettighe- der i relation til behandlingen af Kundens Personoplysninger Jfr. Aftalens pkt. 2-8 og 10-12. I Aftalens pkt. 9 er reguleret den situation hvor Forsikrings-mægleren måtte optræde som data- ansvarlig i relation til oplysninger om Kundens ansatte ("Forsikringsmæglerens Personoplys- ninger").
1.5. Parterne er gensidigt forpligtede til i enhver behandling af personoplysninger at overholde den til enhver tid gældende persondatalovgivning i Danmark; for nuværende særligt Persondatalo- ven (lov nr. 421 af 31. maj 2000 med senere ændringer) indtil den ophæves, Sikkerhedsbe- kendtgørelsen (bekendtgørelse 528/2000 med senere ændringer) i det omfang, denne finder anvendelse efter sit indhold, og Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplys- ninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF samt lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt sådan anden lovgivning, der implementerer eller supplerer disse regler (”Databeskyttelseslovgivnin- gen”).
2. Kundens instruks til forsikringsmægleren
2.1. Forsikringsmægleren er databehandler for Kundens Personoplysninger, som Forsikrings-mæg- leren behandler for og på vegne af Kunden.
2.2. Forsikringsmægleren behandler alene Kundens Personoplysninger i det omfang det er nødven- digt for at levere Ydelserne i overensstemmelse med Samarbejdsaftalen og bilag 1 og i henhold til den til enhver tid dokumenterede instruks fra Kunden (”Instruksen”). Samarbejdsaftalen samt nærværende Aftale med bilag udgør Instruksen på underskriftstidspunktet.
2.3. Forsikringsmægleren skal underrette Xxxxxx, hvis Instruksen efter Forsikringsmæglerens vur- dering er i strid med Databeskyttelseslovgivningen.
2.4. Ændringer til og udvidelser af Instruksen, der ikke er forudsat i Samarbejdsaftalen, samt imple- menteringen heraf skal i rimelig tid forinden implementeringen drøftes mellem Parterne. Forsik- ringsmægleren er berettiget til vederlag for det tidsforbrug samt de øgede omkostninger ved leveringen af Ydelserne ændringen af Instruksen indebærer.
2.5. Forsikringsmægleren kan behandle Kundens Personoplysninger udenfor Instruksen i tilfælde, hvor det kræves i henhold til EU-retten eller national ret, som Forsikringsmægleren er underlagt. Ved behandling af Kundens Personoplysninger udenfor Instruksen skal Forsikringsmægleren underrette Xxxxxx herom, medmindre det vil være i strid med EU-retten eller den nationale ret.
2.6. Forsikringsmægleren er berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af Ydelserne eller forsvare sig mod retskrav, at bevare en kopi af Kundens Personop- lysninger. Kundens Personoplysninger må i så fald udelukkende behandles til de anførte formål.
3.1. Kunden er dataansvarlig for Kundens Personoplysninger.
3.2. Xxxxxx har ansvaret for at have hjemmel efter Databeskyttelseslovgivningen til den behandling af Kundens Personoplysninger, der sker i henhold til Instruksen. Kunden har herunder forplig- telsen til at sikre, at der i det omfang, det kræves af Databeskyttelseslovgivningen, foreligger fornødent samtykke fra de omhandlede personer.
3.3. Kunden har ansvaret for opfyldelse af personers rettigheder efter Databeskyttelseslovgivningen. Modtager Forsikringsmægleren anmodninger fra de omhandlede personer vedrørende Kun- dens Personoplysninger, skal Forsikringsmægleren uden ugrundet ophold underrette Kunden herom. Forsikringsmægleren skal, i fornødent omfang og så vidt muligt, bistå Kunden med op- fyldelse af Kundens forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning, sletning, indsigelse og dataporta- bilitet. Forsikringsmægleren er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
4.1. Forsikringsmægleren skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at forhindre Kundens Personoplysninger mod a) utilsigtet eller ulovlig destruk- tion, tab eller ændring, b) uautoriseret offentliggørelse, adgang eller misbrug, eller c) anden ulovlig behandling. Forsikringsmægleren garanterer at ville gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i Data- beskyttelseslovgivningen.
4.2. Forsikringsmægleren har på underskriftstidspunktet implementeret de i Bilag 2 beskrevne tek- niske og organisatoriske sikkerhedsforanstaltninger. Parterne er enige om, at disse foranstalt- ninger på underskriftstidspunktet opfylder garantien i pkt. 4.1.
4.3. Forsikringsmægleren skal uden unødig forsinkelse underrette Xxxxxx om ethvert brud på per- sondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, æn- dring, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger (”Sikkerheds- brud”). Underretningen skal indeholde en beskrivelse af i) karakteren af Sikkerhedsbruddet, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede samt kategori- erne og det omtrentlige antal berørte registreringer af personoplysninger; ii) de sandsynlige konsekvenser af Sikkerhedsbruddet; og iii) de foranstaltninger, der er truffet eller foreslået af Forsikringsmægleren med henblik på at afhjælpe Sikkerhedsbruddet, herunder, hvis det er re- levant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4.4. Forsikringsmægleren skal efter anmodning bistå Kunden med at sikre overholdelse af krav om anmeldelse af og underretning om Sikkerhedsbrud til den kompetente tilsynsmyndighed og/eller registrerede. I det omfang Sikkerhedsbruddet ikke kan tilregnes Forsikringsmægleren, er For- sikringsmægleren berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
4.5. Forsikringsmægleren skal i fornødent omfang og på Kundens anmodning bistå Kunden med gennemførelse af konsekvensanalyser og forudgående høring af tilsynsmyndigheden. Forsik- ringsmægleren er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
5.1. Forsikringsmægleren skal på Kundens anmodning stille de nødvendige oplysninger til rådighed for Kunden, så denne kan påse, at Forsikringsmægleren som databehandler for Kundens Per- sonoplysninger overholder; i) sine forpligtelser i henhold til Aftalen og; ii) bestemmelserne i den til enhver tid gældende Databeskyttelseslovgivning.
5.2. Forsikringsmægleren foranlediger uden særligt vederlag årlig udarbejdelse af en revisionser- klæring om Forsikringsmæglerens databehandling og databeskyttelses-foranstaltninger. Revi- onserklæringen udarbejdes i overensstemmelse med anerkendte branchestandarder på områ- det af en kompetent tredjepart. Revisionserklæring foreligger årligt hvert år pr. 1. februar. Revi- sionserklæringen udleveres til Kunden.]
5.3. Forsikringsmægleren skal give mulighed for og bidrage til, at Kunden, eller en revisor, som er bemyndiget af Kunden, har adgang til at foretage revisioner, herunder inspektioner hos Forsik- ringsmægleren, med henblik på at konstatere, at Forsikringsmægleren overholder de i punkt
5.1 anførte forpligtelser Forsikringsmægleren er berettiget til vederlag for tidsforbrug og omkost- ninger forbundet hermed, medmindre revisionen konkluderer, at Forsikringsmægleren væsent- ligt har misligholdt sine forpligtelser i Aftalen. I denne situation er Forsikringsmægleren ikke berettiget til at fakturere sin arbejdstid.
6. Brug af underdatabehandlere
6.1. Forsikringsmægleren har ved underskrivelsen af nærværende aftale oplyst at gøre brug af de i Bilag 3 anførte underdatabehandlere. Kunden har godkendt, at denne brug af underdatabe- handlere er omfattet af Instruksen.
6.2. Forsikringsmægleren underretter Kunden om eventuelle planlagte tilføjelser eller erstatninger af underdatabehandlere og giver Kunden mulighed for inden for rimelig frist at gøre indsigelse mod sådanne ændringer.
6.3. Hvis Forsikringsmægleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af Kunden, pålægges underdatabehandleren tilsva- rende databeskyttelsesforpligtelser som dem, der er fastsat i Aftalen, gennem en kontrakt eller et andet retligt dokument, hvorved der navnlig stilles de fornødne garantier for, at de vil gen- nemføre de passende og tekniske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelseslovgivningen.
6.4. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Forsik- ringsmægleren fuldt ansvarlig over for Kunden for opfyldelsen af underdatabehandlerens for- pligtelser.
7.1. Forsikringsmægleren må ikke forårsage eller tillade, at Kundens Personoplysninger overføres til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre en så- dan overførsel er forudsat i Instruksen, eller Kunden har givet sit forudgående skriftlige sam- tykke til en sådan overførsel.
7.2. I det omfang Kunden i overensstemmelse med punkt 7.1 har tilladt en overførsel af Kundens Personoplysninger, skal Forsikringsmægleren sikre sig, at der er et gyldigt overførselsgrundlag iht. Databeskyttelseslovgivningen.
8. Tavshedspligt og fortrolighed
8.1. Forsikringsmægleren skal behandle Kundens Personoplysninger fortroligt. Forsikringsmægle- ren skal sikre, at de personer, der er autoriseret til at behandle Kundens Personoplysninger, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
8.2. Forsikringsmægleren forpligter sig til at sikre, at adgangen til Kundens Personoplysninger be- grænses til de medarbejdere, for hvem det er nødvendigt at behandle Kundens Personoplys- ninger for at kunne opfylde Forsikringsmæglerens forpligtelser over for Kunden.
8.3. Forsikringsmæglerens forpligtelser i henhold til denne bestemmelse gælder uden tidsbegræns- ning, og uanset om Parternes samarbejde er ophørt.
9. Forsikringsmæglerens personoplysninger
9.1. Nærværende pkt. 9 finder anvendelse i de tilfælde hvor Forsikringsmægleren optræder som rådgiver i forhold til Xxxxxxx ansatte og dermed efter omstændighederne indtager rollen som dataansvarlig i forhold til visse af Kundens ansattes personoplysninger.
9.2. Forsikringsmægleren skal efter omstændighederne yde personlig rådgivning og bistand til Kun- dens ansatte i forbindelse med etablering og vedligeholdelse af den ansattes personlige forsik- rings og pensionsaftaler samt bistand ved skades og pensionsbegivenheder.
9.3. Til brug herfor vil Forsikringsmægleren indsamle personoplysninger om den ansatte fra den ansatte selv og i henhold til samtykke fra den ansatte tillige fra tredjeparter (såsom forsikrings- leverandører, læger mv.).
9.4. Den ansatte vil ligeledes give Forsikringsmægleren samtykke til at indhente oplysninger fra Kunden som arbejdsgiver for den ansatte, herunder at gøre brug af de personoplysninger om den ansatte, som Forsikringsmægleren har modtaget fra Kunden, og som er nødvendige for at Forsikringsmægleren kan rådgive og bistå Kundens ansatte.
9.5. Betinget af, at den ansatte har givet Forsikringsmægleren samtykke kan Forsikringsmægleren, som dataansvarlig, indsamle og behandle de personoplysninger om den ansatte som Xxxxxx har overladt til Forsikringsmægleren, og som er nødvendige for, at Forsikringsmægleren kan opfylde sin rådgivnings og bistandsforpligtelse over for Kundens ansatte.
9.6. Parterne er bevidste om, at Forsikringsmægleren derved kan indsamle og behandle personop- lysninger, som delvist måtte være identiske med en del af Kundens Personoplysninger. Parterne ønsker med denne aftale at klarlægge deres respektive ansvar efter Databeskyttelseslovgivnin- gen.
9.7. Forsikringsmægleren er dataansvarlig for Forsikringsmæglerens Personoplysninger.
9.8. Forsikringsmægleren har ansvaret for at have hjemmel efter Databeskyttelses-lovgivningen til behandlingen af Forsikringsmæglerens Personoplysninger i relation til rådgivning og bistand til Kundens ansatte.
9.9. Forsikringsmægleren har herunder forpligtelsen til at sikre, at der i det omfang, det kræves af Databeskyttelseslovgivningen, foreligger fornødent samtykke fra Kundens ansatte til Forsik- ringsmæglerens behandling af personoplysninger som dataansvarlig.
9.10. Forsikringsmægleren har i relation til Forsikringsmæglerens Personoplysninger ansvaret for op- fyldelse af personers rettigheder efter Databeskyttelseslovgivningen. Forsikringsmægleren har herunder forpligtelsen til at sikre, at Kundens ansatte har modtaget den information om Forsik- ringsmæglerens indsamling og behandling af personoplysninger som dataansvarlig som kræ- ves af Databeskyttelseslovgivningen.
9.11. Modtager Forsikringsmægleren en rettighedsbegæring fra en af Kundens ansatte, som relaterer sig til den behandling af personoplysninger som Forsikringsmægleren er dataansvarlig for, op- fylder Forsikringsmægleren begæringen som dataansvarlig. Er der tvivl om hvorvidt rettigheds- begæringen relaterer sig til den behandling Forsikringsmægleren foretager som dataansvarlig
eller den behandling Forsikrings-mægleren foretager som databehandler for Kunden beder For- sikringsmægleren, den pågældende der har indgivet rettighedsbegæringen, præcisere hvilken behandling begæringen vedrører, og orienterer uden unødigt ophold Kunden om rettighedsbe- gæringen.
9.12. Overdragelse af Forsikringsmæglerens Personoplysninger fra Forsikringsmægleren til Kunden kan kun ske i det omfang det har fornøden hjemmel i Databeskyttelses-lovgivningen.
10.1. Aftalen træder i kraft ved Parternes underskrift og er gældende frem til Samarbejdsaftalen op- hører.
10.2. Uanset punkt 10.1 gælder Aftalen, så længe Forsikringsmægleren er i besiddelse af nogen af Kundens Personoplysninger som databehandler.
10.3. I tilfælde af Samarbejdsaftalens ophør uanset årsag skal Forsikringsmægleren efter Kundens valg slette eller tilbagelevere alle Kundens Personoplysninger til Kunden, og slette eksisterende kopier, medmindre Databeskyttelseslovgivningen, EU-retten eller en EU medlemsstats natio- nale ret, foreskriver opbevaring af Kundens Personoplysninger. Uanset det foranstående er Forsikringsmægleren berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af Ydelserne eller forsvare sig mod retskrav, at gemme en kopi af Kundens Personop- lysninger. Kundens Personoplysninger må i så fald udelukkende behandles til de anførte formål. Intet heri skal forhindre Forsikringsmægleren i at beholde og opbevare Forsikrings-mæglerens Personoplysninger i overensstemmelse med Databeskyttelsesretten.
10.2. Forsikringsmægleren er ikke berettiget til at udøve tilbageholdsret i Kundens Personoplysninger for krav, herunder betaling af udestående fakturaer mm., som Forsikringsmægleren måtte have i forhold til Xxxxxx.
11. Overdragelse, misligholdelse, ansvarsbegrænsning, lovvalg og vær- neting
11.1. Samarbejdsaftalens bestemmelser om overdragelse, misligholdelse, lovvalg og værneting skal også gælde denne Aftale. Såfremt Samarbejdsaftalen ikke regulerer Parternes ansvarsforde- ling, skal dansk rets almindelige regler herfor finde anvendelse.
11.2. For så vidt angår Forsikringsmæglerens ansvar som følge af misligholdelse af denne Aftale, er Forsikringsmæglerens ansvar begrænset til DKK 60.000.000 pr. begivenhed og pr. kalen- derår.
12.1. Såfremt, der er modstrid mellem Samarbejdsaftalen og denne Aftales bestemmelser om be- handling af Personoplysninger, har nærværende Aftale forrang.
13.1. Aftalen underskrives i 2 originaleksemplarer, ét til hver af Parterne.
Underskrift
Dato:
(Kundenavn)
Dato: 30/5/2018
Xxx Xxxx Xxxxxxxx
Xxxx Xxxxxxxx Xxxxxxxxxx
Chief of Staff, Partner Koncernadvokat, Partner
Xxxxxx Xxxxxx Xxxxxx I/S Xxxxxx Xxxxxx Xxxxxx I/S
Bilag 1 Type af personoplysninger
Beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med behandlingens karakter og formål
Til brug for gennemførelse af forsikringsanalyse og vurdering af Kundens dækningsbehov samt til ef- terfølgende udfærdigelse af udbudsmateriale på grundlag af hvilket der kan indhentes tilbud fra forsik- ringsleverandører, i hvilken forbindelse personoplysninger kan videregives til forsikrings- og pensions- leverandører, samt efterfølgende løbende administration og rådgivning til Kunden modtager Forsik- ringsmægleren fra Kunden og – i henhold til fuldmagt fra Kunden – fra Kundens eksisterende forsik- rings- og pensionsleverandører - følgende typer af personoplysninger:
Kategorier af personer | • Kundens ansatte |
Kategorier af personoplysninger | Almindelige personoplysninger: • Navn • Adresse • Telefonnummer • Stilling • Ansættelses og fratrædelsesdato • Køn • Fødselsdato • Dækninger • Skadeshistorik Særlige kategorier af personoplysninger: • Helbredsoplysninger Andre oplysninger: • CPR-nummer |
Bilag 2 Tekniske og organisatoriske sikkerhedsforanstaltninger
Beskrivelse af Forsikringsmæglerens tekniske og organisatoriske sikkerhedsforanstaltninger
Forsikringsmægleren skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at forhindre Kundens Personoplysninger mod a) utilsigtet eller ulovlig destruktion, tab eller ændring, b) uautoriseret offentliggørelse, adgang eller misbrug, eller c) anden ulovlig behandling.
Sikkerhedsforanstaltninger fastsættes under hensyntagen til det aktuelle tekniske niveau, implemente- ringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene for de omfattede personers rettigheder og frihedsrettigheder
Forsikringsmægleren har på underskriftstidspunktet implementeret de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger. Parterne er enige om, at disse foranstaltninger på under- skriftstidspunktet opfylder garantien i pkt. 4.1.
Sikkerhedsforanstaltning | Beskrivelse |
Fysik sikkerhed | • Servere og andet udstyr hvorpå der behandles personop- lysninger befinder sig i aflåst rum • Serverrum er beskyttet mod brand og tyveri • Oplysninger på papir eller andet fysisk eller manuelt me- die opbevares aflåst når de ikke er i brug |
Systemsikkerhed | • Servere og kommunikationslinjer er beskyttet af mar- kedskonform firewall og virusbeskyttelse |
Organisatorisk sikkerhed | • Adgang til personoplysninger er begrænset til ansatte og andre, der har et sagligt behov for adgang til oplysnin- gerne • Adgang til oplysninger er passwordbeskyttet • Ansatte og andre der skal have adgang til oplysningerne modtager et unikt og personligt password • Password må ikke overdrages eller overlades til andre • Der er etableret procedurer for ajourføring og deaktive- ring af tildelte passwords såvel periodisk som ved fratræ- delser og andre rolleskift • Alle ansatte er pålagt tavshedspligt • Ansatte der behandler persondata modtager instruktion og træning i beskyttelse af persondata • Der anvendes alene databehandlere, der kan garantere at have gennemført sikkerhedsforanstaltninger, der opfyl- der kravene i Databeskyttelseslovgivningen. Der indgås altid skriftlig aftale med databehandlere |
Data sikkerhed | • Personoplysningerne sikkerhedskopieres periodisk. • Sikkerhedskopien opbevares adskilt og forsvarligt. • Der foretages logning af adgang til data |
Underdatabehandlere der anvendes af Forsikringsmægleren
Forsikringsmægleren har ved underskrivelsen af nærværende aftale oplyst at gøre brug af de neden- for anførte underdatabehandlere. Kunden har godkendt, at denne brug af underdatabehandlere er om- fattet af Instruksen.
Navn og CVR nr. | Adresse | Persondatabehandling der forestås af underdata-be- handleren |
Falck Healthcare A/X | Xxxxxxxxxxxx 00 0000 Xxxxxxxxx SV | Willis Stifinder - tovholder og lægefaglig rådgivning af med- arbejdere ved længerevarende sygdom. Medarbejders kontaktdata sen- des fra Kunden til Forsikrings- mægleren, som herefter videre- giver disse data til Falck Healtcare A/S, som varetager kontakten til medarbejderen. Hjemmel for databehandling er medarbejderens skriftlige sam- tykke. |
Udskiftning af de anførte databehandlere samt udpegelse af nye databehandlere sker under iagtta- gelse af Aftalens pkt. 6.