Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 [Navn] CVR [CVR- nummer] [Adresse] [Postnummer og by] [Land] og Dataansvarlig 2 [Navn] CVR [CVR- nummer] [Adresse] [Postnummer og by] Tilsammen benævnt ”de Dataansvarlige”

Aftale vedrørende fælles dataansvar









Mellem



Dataansvarlig 1

[Navn]

CVR [CVR-nummer]

[Adresse]

[Postnummer og by]

[Land]



og



Dataansvarlig 2

[Navn]

CVR [CVR-nummer]

[Adresse]

[Postnummer og by]





Tilsammen benævnt ”de Dataansvarlige”













  1. Fælles dataansvar



    1. Denne aftale fastsætter ansvarsfordelingen mellem de Dataansvarlige i forbindelse med:



Behandlingen af patienter i fodklinikken, hvor de Dataansvarlige servicerer patienterne og vikarierer for hinanden.



    1. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.



Såfremt der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.



Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.



Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.

Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor samtlige de Dataansvarlige.



    1. Der er mellem de Dataansvarlige enighed om, at der i forbindelse med reservation af behandlingstider til patienterne, journalisering af patienternes behandling, kontakt med patienternes pårørende eller patienternes værge samt kontakt med andet sundhedspersonale, eksempelvis fysioterapeuter, læger, sygeplejersker, ortopædiskomagere m.fl., foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på:



Da de Dataansvarlige ofte besvarer henvendelser for hinanden, benytter samme systemer og i væsentlig grad samarbejder om at servicere patienterne, er et fælles dataansvar nærliggende.



Særligt det faktum at de Dataansvarlige deler patienter og vikarierer for hinanden, men fortsat fungerer som separate selvstændige virksomheder, giver formodningen om et fælles dataansvar. Denne deling af patienter og personoplysninger om patienterne bevirker netop, at de Dataansvarlige fælles behandler personoplysningerne, men alle har ret til at bruge oplysningerne til egne formål (egne virksomheder).



Da de Dataansvarlige i fællesskab behandler personoplysningerne, og i en større grad har en sammenblanding af patienter og patienternes personoplysninger, har Da de Dataansvarlige vurderet, at der er tale om et fælles dataansvar.



    1. Denne aftale er udformet med henblik på, at de Dataansvarlige kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I aftalen fastlægges de Dataansvarlige respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.





  1. Overordnet ansvarsfordeling



    1. De Dataansvarlige deler det overordnede ansvar for overholdelsen af persondataforordningen og databeskyttelsesloven. Der er således ikke en fordeling af ansvaret mellem parterne.



  1. Principper og behandlingshjemmel



    1. De Dataansvarlige bærer i lige omfang ansvaret for at der foreligger et gyldigt hjemmelsgrundlag for behandlingen af persondataene i klinikken.



    1. De Dataansvarlige er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale.





  1. De registreredes rettigheder



    1. De Dataansvarlige er ansvarlige for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:



  • oplysningspligt ved indsamling af personoplysninger hos den registrerede,

  • oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,

  • den registreredes indsigtsret,

  • ret til berigtigelse,

  • ret til sletning (retten til at blive glemt),

  • ret til begrænsning af behandling,

  • underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling,

  • ret til dataportabilitet (dog ikke for offentlige myndigheder) og

  • ret til indsigelse mod en behandling.



    1. Såfremt en af de Dataansvarlige modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af en af de andre Dataansvarliges ansvar, jf. ovenstående, oversendes denne til besvarelse hos den respektive Dataansvarlige snarest muligt.



    1. De Dataansvarlige er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.



  1. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen



    1. De Dataansvarlige er hver især ansvarlige for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at begge parter udarbejder procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt eller opfyldelse af oplysningspligten.



    1. De Dataansvarliges foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.



    1. De Dataansvarlige er ansvarlige for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.



    1. De Dataansvarlige er ansvarlige for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Begge parter, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.



De Dataansvarlige skal derfor foretage (og kunne dokumentere) en risikovurdering, og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.



  1. Anvendelse af databehandlere og underdatabehandlere



    1. De Dataansvarlige er berettiget til at anvende databehandlere og/eller eventuelle underdatabehandlere i tilknytning til den fælles behandling.



    1. Ved eventuel anvendelse af databehandlere og/ eller underdatabehandlere er de Dataansvarlige ansvarlige for at efterleve kravene i databeskyttelsesforordningens artikel 28. De Dataansvarlige er herefter bl.a. forpligtet til:



  • alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,


  • at sikre, at der foreligger en gyldig databehandleraftale parten og databehandleren, og


  • at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.



    1. De Dataansvarlige skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere og evt. underdatabehandlere hos en anden dataansvarlig.



    1. Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, skal de Dataansvarlige efter anmodning herom gøres bekendt med indholdet at aftalerne mellem de Dataansvarlige og databehandleren/underdatabehandleren.


  1. Fortegnelse



    1. De Dataansvarlige er ansvarlige for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at de Dataansvarlige udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.



    1. De Dataansvarlige orienterer hinanden om indholdet af ovennævnte fortegnelse.



    1. De Dataansvarlige udarbejder hver især – på baggrund af indholdet i hinandens fortegnelse - egen fortegnelse over den af aftalen omhandlede behandlingsaktivitet.



  1. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden



    1. De Dataansvarlige er ansvarlige for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden.



  1. Underretning om brud på persondatasikkerheden til den registrerede



    1. De Dataansvarlige er ansvarlige for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.



  1. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring



    1. De Dataansvarlige er ansvarlige for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at de Dataansvarlige, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.



    1. De Dataansvarlige er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt.



  1. Overførsel af personoplysninger til tredjelande eller internationale organisationer



    1. De Dataansvarlige kan træffe afgørelse om, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.



    1. De Dataansvarlige er ansvarlige for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.


  1. Klager



    1. De Dataansvarlige er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke den dataansvarlige efter denne aftale er ansvarlig.

    1. Hvis én af de Dataansvarlige modtager en klage, som rettelig bør behandles af den anden dataansvarlig, oversendes klagen til denne dataansvarlig snarest muligt.



    1. Hvis én af de Dataansvarlige modtager en klage, hvor en del af klagen rettelig bør behandles af en anden dataansvarlig, oversendes denne del til besvarelse hos den respektive dataansvarlige snarest muligt.



    1. Den registrerede skal, i forbindelse med partens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale.





  1. Orientering af den anden part



    1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles behandling og denne aftale.



  1. Ikrafttræden og ophør



    1. Denne aftale træder i kraft ved begge parters underskrift heraf.



    1. Aftalen er gældende, så længe de omhandlede oplysninger behandles, eller indtil aftalen afløses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.



    1. Underskrift



På vegne af [Dataansvarlig 1] På vegne af [Dataansvarlig 2]

_____________________________ _____________________________

Navn: Navn: ________________________

Stilling: Stilling:_______________________

Dato: ________________________ Dato: ________________________



Document Metadata

Filed: April 3rd, 2018