Samarbejds- og fortrolighedsaftale Dato: (Udfyldes med håndskrift) Obs: Aftalen udleveres sammen med password. Herefter stemples den af værkstedet. Dato, og CVR-nr håndskrives og aftalen underskrives, hvorefter aftalen afleveres til konsulenten eller indsendes til Teknologisk Institut. De vigtigste/praktiske emner i aftalen er markeret med fed skrift. Mellem Værkstedets stempel: CVR-nr.: (i det følgende kaldet "værkstedet") og Teknologisk Institut Automobilteknik CVR-nr. 56976116 Gregersensvej 2630 Taastrup (i det følgende Teknologisk Institut ) er der dags dato indgået aftale ( Aftalen ) om Databehandlerens (Teknologisk Instituts) behandling af personoplysninger på vegne af den Dataansvarlige (værkstedet). 1. Aftalens formål 1.1 Værkstedet har tilmeldt sig Teknologisk Instituts web baserede egenkontrol, hvorfor denne samarbejdsaftale skal indgås. 1.2 De oplysninger, som registreres i web servicen, bruges af Teknologisk Institut til udarbejdelse af statistikker over fejl i reparationer i forhold til forskellige bilmærker. Teknologisk Institut bruger også oplysningerne til brug for forberedelse af egne kontrolbesøg på værkstedet. 1.3 Værkstedet har adgang til oplysninger vedrørende værkstedets egne medarbejdere og til de statistikker, som Teknologisk Institut udarbejder. Værkstedet kan anvende disse oplysninger til brug for kvalitetssikring og egne administrative formål. Teknologisk Institut Samarbejds- og fortrolighedsaftale 2006-12-13 1
1.4 Værkstedet skal registrere stikprøvekontroller af ansatte mekanikers/medarbejders arbejde, hvorfor værkstedet herved overlader det til Teknologisk Institut at behandle de i pkt. 2.1 angivne personoplysninger på værkstedets vegne. 1.5 Teknologisk Institut må alene behandle de fra værkstedet modtagne personoplysninger i overensstemmelse med værkstedets instruktioner. Teknologisk Institut må ikke behandle personoplysningerne til andre formål eller på anden måde end dem, der er fastsat i Aftalen. Teknologisk Institut har ret til at bruge oplysninger i forbindelse med Teknologisk Instituts egen kontrol af værkstedet og til statistiske formål. Værkstedet er forpligtet til enhver tid at overholde gældende databeskyttelseslovgivning. 1.6 Udover person og virksomhedsoplysninger ønsker Teknologisk Institut af konkurrencehensyn at forebygge at viden om web baseret egenkontrol spredes udenfor værkstedet 2. De behandlede oplysninger 2.1 De personoplysninger, som skal behandles, vedrører udelukkende ikke-følsomme oplysninger i form af medarbejders navn, fødselsdato, resultat af stikprøve samt kundetilfredshed. 2.2 Teknologisk Institut må derfor ikke behandle de følsomme personoplysninger, som er defineret i persondatalovens 7, 8 eller 11, stk. 2, hvilket blandt andet er oplysninger vedrørende etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, helbredsmæssige forhold, seksuelle forhold, oplysninger om strafbare forhold, væsentlige sociale problemer, andre rent private forhold eller personnumre, jf. pkt. 3.3. 3. Teknologisk Instituts og værkstedets pligter 3.1 Persondataloven stiller særlige krav om, at medarbejderne skal informeres om, at der behandles oplysninger om dem, jf. persondatalovens 28 og 29. Teknologisk Institut har som en service for værkstedet udarbejdet en skabelon i bilag 1 til medarbejderinformation, som opfylder persondatalovens krav. Informationen skal af værkstedet udleveres til de medarbejdergrupper, som der registreres oplysninger om i web servicen. Persondataloven giver medarbejderen indsigelsesret. Teknologisk Institut fraråder derfor at web baseret egenkontrol registreres i systemet, hvis der opstår uenighed mellem medarbejderen og arbejdsgiver om registreringen. 3.2 Teknologisk Institut skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de i pkt. 2.1 nævnte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger eller de i medfør af loven udstedte bekendtgørelser. Teknologisk Institut er således bl.a. forpligtet til at indføre login- og passwordprocedurer samt opsætte og vedligeholde en firewall. 3.3 Teknologisk Instituts web service er ikke krypteret. Der må derfor ikke i henhold til persondataloven registreres nogen følsomme oplysninger. Følsomme oplysninger er oplysninger vedrørende blandt andet etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, helbredsmæssige forhold, seksuelle forhold, oplysninger om strafbare forhold, væsentlige sociale problemer, andre rent private forhold eller personnumre. Teknologisk Institut Samarbejds- og fortrolighedsaftale 2006-12-13 2
3.4 Værkstedet skal i samme omfang også træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de i pkt. 2.1 nævnte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger eller de i medfør af loven udstedte bekendtgørelser. Værkstedet skal i den forbindelse blandt andet sikre, at adgangskoder til web servicen opbevares på en betryggende måde og ikke bliver misbrugt. Værkstedet kan i systemet se, hvilke medarbejdere, der har adgang til systemet. Når en medarbejder ved fratrædelse eller som følge ændrede arbejdsopgaver ikke længere skal bruge systemet, bør værkstedet i egen interesse få medarbejderens password/adgang lukket i systemet eller ved henvendelse til Teknologisk Institut Som en ekstra sikkerhed vil systemet automatisk inaktivere password/adgang, der ikke har været brugt i 6 måneder. Genaktivering kan foretages af værkstedet. Værkstedet må endvidere ikke registrere følsomme oplysninger som nævnt i denne aftales pkt. 2.2, idet web servicen ikke sikkerhedsmæssigt er beregnet til behandling af disse typer af oplysninger. 3.5 Værkstedet skal som minimum foretage 1 stikprøvekontrol pr mekaniker hvert halve år, for at være tilsluttet web baseret egenkontrol. Hyppigere kontrol kan udføres efter værkstedets eget ønske/behov eller krav fra bilimportør/bilmærket. Resultaterne fra stikprøven registreres på Teknologisk instituts web service. Registreringen skal ske i henhold til de retningslinjer som oplyses på hjemmesiden www.teknologisk.dk/egenkontrol 3.6 Værkstedet forpligter sig til, at oplysningerne i web servicen kun bliver brugt til værkstedets egen kvalitetskontrol og administrative formål. Det er således ikke tilladt uden et samtykke fra en medarbejder at udlevere oplysninger om personen fra web servicen til tredjemand. Værkstedet forpligter sig til at sikre, at de personer der får viden om web baseret egenkontrol behandler denne viden med fortrolighed og ikke spreder denne viden udenfor værkstedet. Ligeledes skal markedsføring med omtale af web baseret egenkontrol eller Teknologisk Institut på forhånd være godkendt af Teknologisk Institut Hvis værkstedet ønsker kontrollen udført af en person/leverandør, der ikke er ansat på værkstedet, skal der forud for dennes kontrol indgås en særlig samarbejds- og fortroligheds aftale mellem personen/leverandøren og Teknologisk Institut 3.7 Fremsætter en registreret person overfor Teknologisk Institut anmodning om indsigt i de personoplysninger, som Værkstedet har registret, er Teknologisk Institut forpligtet til at videresende en sådan anmodning til værkstedet. Teknologisk Institut må alene efter forudgående skriftlig aftale med værkstedet udlevere information om eventuelle registrerede personoplysninger til en registreret person. 3.8 Teknologisk Institut sletter automatisk person og værkstedsoplysninger i web servicen 3 år efter registrering. 3.9 Teknologisk Institut har ret til at lade web servicen drive af en underleverandør, når underleverandøren er underlagt samme sikkerheds- og fortrolighedskrav som Teknologisk Institut. Teknologisk Institut Samarbejds- og fortrolighedsaftale 2006-12-13 3
4. Ikrafttræden og ophør 4.1 Aftalen træder i kraft på datoen for den sidste parts underskrivelse af aftalen. 4.2 Aftalen kan af begge parter opsiges med 6 måneders skriftlig varsel til udgangen af en kalendermåned. 4.3 Gør en part sig skyldig i væsentlig misligholdelse af aftalen, er den anden part berettiget til skriftligt at hæve aftalen med øjeblikkelig virkning. Overtrædelse af reglerne i lov om behandling af personoplysninger samt grov eller gentagen overtrædelse af den Værkstedets instruktioner udgør væsentlig misligholdelse. 4.4 Ved opsigelse samt ophævelse af aftalen er Teknologisk Institut forpligtet til straks til værkstedet at tilbagelevere alt materiale, elektronisk såvel som i fysisk form, samt slette eller tilintetgøre egne kopier af modtaget materiale. 5. Lovvalg og værneting 5.1 Enhver tvist mellem parterne skal afgøres efter dansk ret ved Sø- og Handelsretten i København. Sted, dato Sted, dato Teknologisk Institut [Databehandleren] Værkstedet [Den Dataansvarlige] Teknologisk Institut Samarbejds- og fortrolighedsaftale 2006-12-13 4
Bilag 1 Skabelon til meddelelse om behandling af personoplysninger i forbindelse med web baseret egenkontrol Teksten til denne skabelon kan hentes elektronisk på www.teknologisk.dk/egenkontrol Indledning I henhold til Persondatalovens 29, stk. 1, gøres du hermed opmærksom på, at værkstedet behandler oplysninger om dig. Baggrund og formål Som et led i værkstedets kvalitetssikring af det arbejde, som firmaets mekanikere/medarbejdere udfører, udtages løbende stikprøvekontrol af eventuelle fejl på tilfældige biler samt undersøgelser af kundetilfredshed og kundereklamationer De behandlede oplysninger I forbindelse med disse stikprøvekontroller kan følgende oplysninger om dig blive behandlet: navn, fødselsdato, resultat af stikprøve, herunder antal fejl samt eventuelle resultater fra kundetilfredshedsundersøgelser og kundereklamationer Behandling og adgang Ovennævnte oplysninger indsamles af værkstedet. Oplysningerne registreres i en web service, som bliver stillet til rådighed af Teknologisk Institut, som behandler oplysningerne på værkstedets vegne. Kun værkstedets organisationsansvarlige, værkstedets chef og kontrolansvarlige samt Teknologisk Institut har adgang til oplysningerne. Oplysningerne bruges dels af værkstedet til brug for kvalitetssikring af det arbejde som udføres i firmaet og af Teknologisk Institut i forbindelse med kontrol af værkstedet samt til en landsdækkende statistik.. Statistikken er neutraliseret og renset for person- og værkstedsoplysninger. Sletning Personoplysningerne slettes automatisk 3 år efter, de er blevet registreret i den web service, som Teknologisk Institut stiller til rådighed. Rettigheder Værkstedet skal gøre dig opmærksom på, at du ifølge lov om behandling af personoplysninger har ret til at få indsigt i, hvilke personoplysninger værkstedet behandler om dig. Hvis du ønsker oplysninger om, hvilke stikprøveresultater værkstedet har om dit arbejde kan disse printes ud ved henvendelse til den kontrolansvarlige eller værkstedschefen Kontakt Har du spørgsmål til ovenstående kan du kontakte værkstedschefen for mere information. Med venlig hilsen (Værkstedets navn) (adresse) (postnummer og by) (e-mail-adresse) Teknologisk Institut Samarbejds- og fortrolighedsaftale 2006-12-13 5
(telefonnummer) Teknologisk Institut Samarbejds- og fortrolighedsaftale 2006-12-13 6