Bilag 11 - Databehandleraftale

Transkript

1 Bilag 11 - Databehandleraftale

2 [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt Denne vejledende tekst i skarpe parenteser bedes fjernet af tilbudsgiver før indsendelse af bilag.] Side 2/12

3 Databehandleraftale mellem Kunden (herefter benævnt dataansvarlig) og Leverandøren (herefter benævnt databehandler) Side 3/12

4 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Nærværende databehandleraftale indgår i Kontrakten vedrørende tilrådighedsstillelse af jobportal for Københavns Universitets studerende og alumner samt levering af tilknyttede rekrutteringsserviceydelser (herefter benævnt Kontrakten ) som Bilag 11, jf. Kontraktens punkt Formålet med behandlingen af personoplysninger i Løsningen er overordnet set, at Kunden stiller en jobportal til rådighed for studerende og alumner med henblik på søgning blandt faglige relevante opslag indenfor kategorier som projekt, praktik, studiejob og det første fuldtidsjob. Endvidere tilbydes virksomheder og organisationer rådgivning og ydelser med henblik på rekruttering af Kundens studerende og alumner. Leverandøren skal i henhold til Kontrakten stille en jobportal til rådighed for Kunden, herunder hoste, drive, supportere og vedligeholde Løsningen. Endvidere skal Leverandøren levere konsulentydelser og rekrutteringsserviceydelser. Leverandøren vil som databehandler i forbindelse hermed foretage behandling af personoplysninger på vegne af Kunden som dataansvarlig til opfyldelse af Kontraktens formål. Databehandleraftalen har således til formål at sikre overholdelse af den til enhver tid gældende persondatalovgivning i Danmark, jf. herved også Kontraktens punkt 17.2, herunder sikre tilvejebringelse af passende garantier med hensyn til beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med, at Leverandøren gives adgang til at behandle de i databehandleraftalen nævnte personoplysninger på Kundens vegne. Leverandøren skal endvidere fra den 25. maj 2018 og som en del af ovenstående bistå Kunden med at sikre overholdelse af forpligtelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse (persondataforordningen). Side 4/12

5 2. PERSONOPLYSNINGER OMFATTET AF DATABEHANDLERAFTALEN Databehandleraftalen omfatter følgende typer af personoplysninger: Personhenførbare data. Navneoplysninger Adresseoplysninger Kontaktoplysninger (telefon og ) Uddannelsesoplysninger CV Selvudfyldte personbeskrivelser Brugernavn Alder Køn Portræt(billede) Jobsøgningspræferencer 3. BEHANDLING AF PERSONOPLYSNINGER 3.1 Generelt Der vil ske flere forskellige former for behandling af personoplysninger i Løsningen, herunder indsamling, registrering, systematisering, opbevaring, ændring, søgning, brug, udstilling, profilering, sletning samt blokering eller tilintetgørelse. Kredsen af de registrerede personer, som personoplysningerne vedrører, udgør Brugerne. Ved afprøvning, jf. Kontraktens punkt 13, herunder i forbindelse med Kundespecifikke ændringer, jf. Kontraktens punkt 14, skal Leverandøren anvende egentlige testdata, dvs. oplysninger om fiktive personer, og ikke oplysninger om eksisterende personer, medmindre der forinden er foretaget en effektiv anonymisering af disse. Hvis det alligevel er nødven- Side 5/12

6 digt for Leverandøren at benytte rigtige personoplysninger i afprøvningsøjemed, skal kravene i nærværende aftale iagttages. Leverandøren handler alene efter dokumenteret instruks fra Kunden. Leverandøren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af Kundens instruks, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, jf. dog punkt 5. Leverandøren skal behandle personoplysningerne i overensstemmelse med den til enhver tid gældende lovgivning eller anden regulering om personoplysninger eller bestemmelser fastsat i henhold til lov eller anden regulering. Såfremt Leverandøren skønner, at en instruktion er i strid med førnævnte lovgivning, skal Leverandøren omgående orientere Kunden herom. Leverandøren må ikke behandle personoplysningerne til andre formål, med mindre Leverandøren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat. I givet fald skal Leverandøren underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes. Dette gælder dog ikke, såfremt pågældende lovgivning på baggrund af væsentlige offentlige interesser forbyder en sådan underretning. Leverandøren skal føre en fortegnelse over alle kategorier af behandlinger, der foretages på vegne af Kunden. Fortegnelsen skal indeholde følgende: Navn på og kontaktoplysninger for Leverandøren, eventuelle underleverandører, Kunden og en eventuel databeskyttelsesrådgiver. Kategorierne af de behandlinger, Leverandøren eller eventuelle underleverandører foretager for Kunden. Eventuelle overførsler af personoplysninger til et tredjeland eller en international organisation, når Kunden har givet instruks herom, herunder angivelse af dette tredjeland eller denne internationale organisation, samt angivelse af hjemmelen for overførslen til tredjelandet eller den internationale organisation. En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger. Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Leverandøren skal efter anmodning fra Kunden til enhver tid stille fortegnelsen til rådighed for Kunden og Datatilsynet. Leverandøren skal overholde kravene til databehandlere, og Kunden skal overholde kravene til dataansvarlige i overensstemmelse med den til enhver tid gældende lovgivning. Side 6/12

7 Såfremt behandlingen af personoplysninger hos Leverandøren sker helt eller delvist ved anvendelse af hjemmearbejdspladser, skal Leverandøren efter nærmere instruks fra Kunden fastsætte retningslinjer for medarbejdernes behandling af personoplysninger ved anvendelse af hjemmearbejdspladser. Leverandøren har endvidere pligt til at deltage i eventuelle drøftelser med Datatilsynet og indarbejde eventuelle anbefalinger og/eller påbud mv. fra tilsynet vedrørende behandling af personoplysninger efter Kontrakten. Leverandøren skal straks orientere Kunden, såfremt Datatilsynet retter henvendelse til Leverandøren vedrørende behandling af personoplysninger omfattet af Kontrakten. Leverandøren forpligter sig endvidere til straks at orientere Kunden om: Enhver anmodning om videregivelse af personoplysninger omfattet af aftalen fra en myndighed, medmindre orienteringen af Kunden er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning. Enhver ikke imødekommet anmodning om indsigt modtaget direkte fra den registrerede eller fra tredjemand, medmindre en sådan handlemåde er blevet godkendt. Parterne forpligter sig til i hele aftaleperioden at indhente og opretholde de registreringer og tilladelser, som Parten er forpligtet til at indhente og opretholde i overensstemmelse med den til enhver tid gældende lovgivning. Leverandøren skal sikre, at Leverandørens medarbejdere gøres bekendt med og instrueres i retningslinjerne fastsat i og i medfør af denne databehandleraftale, samt at retningslinjerne gennemgås mindst én gang årligt med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos Leverandøren. 3.2 Særlig forpligtelse til at bistå Kunden Leverandøren skal straks assistere Kunden med håndtering af enhver henvendelse fra en registreret, herunder anmodning om indsigt, berigtigelse, blokering eller sletning, hvis de relevante personoplysninger behandles af Leverandøren, samt på enhver hensigtsmæssig måde bistå Kunden med at sikre overholdelse af bestemmelserne om de registreredes rettigheder. Leverandøren skal herudover, på Kundens anmodning assistere Kunden med at overholde øvrige forpligtelser, der måtte påhvile Kunden efter den til enhver tid gældende persondatalovgivning, hvor Leverandørens assistance er forudsat, samt hvor Leverandørens assistance er nødvendig for, at Kunden kan overholde sine forpligtelser. Leverandøren skal som led Side 7/12

8 heri bistå Kunden med at sikre overholdelse af forpligtelserne i medfør af persondataforordningens artikel KRAV TIL SIKKERHED OG DATABESKYTTELSE 4.1 Krav til informationssikkerhed og databeskyttelse Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende lovgivning, herunder men ikke begrænset til persondataloven, sikkerhedsbekendtgørelsen samt persondataforordningen. Dette gælder også, hvis behandlingen af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser. Fastsættelsen af fornødne tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under iagttagelse af bl.a.: a) Kontraktens punkt 17, b) de i Bilag 3 fastsatte krav til sikkerhed samt i overensstemmelse med de til enhver tid gældende sikkerhedspolitikker, som Kunden gør Leverandøren bekendte med, c) den til enhver tid gældende konsekvensanalyse vedrørende databeskyttelse efter persondataforordningen artikel 35, hvor Leverandøren skal følge Kundens anvisninger, samt d) denne aftale. 4.2 Kontrol med informationssikkerhed og databeskyttelse Leverandøren skal på Kundens anmodning give Kunden tilstrækkelige informationer til, at denne kan påse, at Leverandøren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger. Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den EU-medlemsstat, hvor Leverandøren er etableret, derudover gælde for Leverandøren. Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren således overholde såvel sikkerhedskrav omfattet af gældende lovgivning i Danmark som sikkerhedskrav i Leverandørens hjemland. I forbindelse med opfølgning på databehandleraftalen, skal Leverandøren en gang årligt fremsende revisionserklæring baseret på en anerkendt standard vedrørende generelle it- Side 8/12

9 kontroller, samt overholdelse af persondatalovgivningen. Erklæringen skal afgives til udgangen af hvert år, således at erklæringen er Kunden i hænde senest den 31. december. Leverandøren skal acceptere, at Kunden kan foretage uanmeldt kontrol af, at Leverandøren samt eventuelle underleverandører overholder deres forpligtelser, herunder kontrol af og eventuel opfølgning på brugeradgange og rettigheder. En betroet part godkendt af Kunden og Leverandøren skal ligeledes kunne foretage denne kontrol. Leverandøren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til Kundens og Leverandørens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Leverandørens fysiske faciliteter mod behørig legitimation. 4.3 Informationssikkerhedsbrud og brud på persondatasikkerheden Leverandøren skal have dokumenterede og fungerende procedurer for håndtering af informationssikkerhedshændelser, informationssikkerhedsbrud samt mistanke om brud på persondatasikkerheden. Procedurerne skal sikre, at Kunden underrettes om sikkerhedshændelser og har mulighed for at foretage politimæssig efterforskning af sådanne, herunder have adgang til, hvem der har behandlet Kundens oplysninger og hvornår. I tilfælde af informationssikkerhedsbrud eller brud på persondatasikkerheden eller mistanke herom skal Leverandøren uden ugrundet ophold orientere Kunden herom skriftligt. Leverandøren skal herefter uden unødigt ophold, dog senest 24 timer efter informationssikkerhedsbruddet eller bruddet på persondatasikkerheden, rapportere til Kunden. Rapporteringen skal som minimum indeholde følgende: En beskrivelse af karakteren af informationssikkerhedsbruddet eller bruddet på persondatasikkerheden, herunder kategorierne og det omtrentlige antal berørte registrerede personer samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger en beskrivelse af de sandsynlige konsekvenser af informationssikkerhedsbruddet eller bruddet på persondatasikkerheden en beskrivelse af de foranstaltninger, som Leverandøren har truffet eller foreslår truffet for at håndtere informationssikkerhedsbruddet eller bruddet på persondatasikkerheden, herunder foranstaltninger for at begrænse dets mulige skadevirkninger Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse. Side 9/12

10 5. AFTALER MED EN ANDEN DATABEHANDLER Leverandøren må ikke indgå aftaler med en anden databehandler, f.eks. underleverandører, om behandling af personoplysninger omfattet af databehandleraftalen, medmindre Kunden forinden skriftligt har samtykket til aftaleindgåelsen. Kunden er berettiget til at stille rimelige vilkår for at give et sådant samtykke, herunder at Leverandøren eksempelvis skal afholde omkostningerne til udarbejdelse af databehandleraftaler og underdatabehandleraftaler. Leverandøren skal udarbejde en skriftlig underdatabehandleraftale med en anden databehandler, forinden den anden databehandler, påbegynder behandlingen af personoplysninger omfattet af denne aftale. Kunden skal modtage kopi af sådanne databehandleraftaler umiddelbart efter indgåelse heraf. Det er Leverandørens ansvar at sikre sig, at den anden databehandler lever op til de krav, som Kunden har stillet til sikker opbevaring og håndtering af data, herunder at underdatabehandleren træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, jf. punkt 4. I sin aftale med en anden databehandler skal Leverandøren sikre sig, at den anden databehandler som minimum accepterer de samme databeskyttelsesforpligtelser, som Leverandøren har påtaget sig ved denne databehandleraftale, for så vidt angår den behandling af Kundens personoplysninger, der varetages af den anden databehandler. Leverandøren indestår for lovligheden af en anden databehandlers behandling af personoplysninger. Hvis en anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver Leverandøren fuldt ansvarlig over for Kunden for opfyldelsen af denne anden databehandlers forpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en anden databehandler, er uden betydning for Leverandørens pligt til at efterleve databehandleraftalen. Ved ophør af en aftale med en anden databehandler om behandling af personoplysninger omfattet af databehandleraftalen, skal Leverandøren give Kunden meddelelse herom. 6. OVERFØRSEL AF OPLYSNINGER Såfremt Kunden har givet tilladelse til en overførsel af personoplysninger, påhviler det Leverandøren at sikre, at der foreligger det fornødne overførselsgrundlag, f.eks. brug af EU Kommissionens og/eller af EU Kommissionen godkendte standardbestemmelser om databeskyttelse. Overførselsgrundlaget skal forelægges Kunden forud for Kundens specifikke godkendelse af overførslen. Leverandøren afholder alle omkostninger forbundet med etablering af det fornødne overførselsgrundlag. Side 10/12

11 Såfremt Leverandøren anvender en anden databehandler, jf. punkt 5 ovenfor, der er etableret i et tredjeland, skal Leverandøren bistå Kunden med at føre kontrol med, at den anden databehandler overholder kravene til sikkerhed. 7. TAVSHEDSPLIGT Leverandøren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Kontrakten, herunder databehandleraftalen. Leverandøren og dennes medarbejdere skal iagttage ubetinget tavshed for så vidt angår de personoplysninger, som de får kendskab til i forbindelse med opfyldelse af Kontrakten. Leverandøren skal pålægge eventuelle underleverandører, deres medarbejdere og andre, der bistår Leverandøren i forbindelse med opfyldelse af Kontrakten, en tilsvarende forpligtelse. I øvrigt henvises til Kontraktens punkt 29 om tavshedspligt. 8. ÆNDRINGER I DATABEHANDLERAFTALEN Parterne kan til enhver tid ændre databehandleraftalen i henhold til Kontraktens punkt Ændringer i databehandleraftalen kan herunder bestå i: Ændringer som følge af gennemførte konsekvensanalyser i henhold til persondataforordningen art. 35, herunder ændringer med henblik på implementering af de nødvendige foranstaltninger for at begrænse de identificerede risici. Ændringer når Kunden i overensstemmelse med persondataforordningen, udpeger en databeskyttelsesrådgiver. Ændring som følge af ændret lovgivning med henblik på implementering af kravene i persondataforordningen. 9. VARIGHED OG OPHØR AF DATABEHANDLERAFTALEN Databehandleraftalen træder i kraft ved Parternes underskrift og er gældende frem til Kontraktens ophør, jf. Kontraktens punkt 31. I tilfælde af ophør af databehandleraftalen, uanset det juridiske grundlag herfor, skal Leverandøren yde de fornødne overgangsydelser til Kunden, jf. Kontraktens punkt 33. Side 11/12

12 De fornødne overgangsydelser omfatter bl.a., at Leverandøren skal handle efter instruks fra Kunden, herunder instruks om straks at tilbagelevere eller slette samtlige personoplysninger, uanset opbevaringsmedie. Leverandøren er forpligtet til loyalt og hurtigst muligt at medvirke til, at udførelse af ydelserne overgår til en anden databehandler eller tilbageføres til Kunden. Leverandøren skal straks efter anmodning fra Kunden ændre, overføre eller slette personoplysninger, som Leverandøren behandler for Kunden. 10. UNDERSKRIFT Ovenstående tiltrædes hermed med virkning fra databehandleraftalens underskrift. [sted], den [dato] København, den [dato] Underskrivers navn og titel (Blogbogstaver) Underskrivers navn og titel (Blogbogstaver) For Leverandøren For Kunden Side 12/12