Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Relaterede dokumenter
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Aftale vedrørende fælles dataansvar

Aftale vedrørende fælles dataansvar

Behandling af personoplysninger

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale (v.1.1)

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Bilag 1 Databehandler aftale (v.1.2)

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Standardvilkår. Databehandleraftale

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Persondatapolitik Vordingborg Gymnasium & HF

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

N. Zahles Skole Persondatapolitik

Databehandleraftale (Skabelon fra Datatilsynet)

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

1 Indhold. Side 2 af 15

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Persondatapolitik for Odense Katedralskole

Databehandleraftale. Mellem. Den dataansvarlige: (Virksomhedsnavn) (CPR) (Adresse) Databehandleren. Work Balance Institute ApS CVR:

DATABEHANDLERAFTALE. Omsorgsbemanding

GML-HR A/S CVR-nr.:

Databehandler aftale

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

Databehandleraftale. Mellem. Den dataansvarlige (kunden): Navn : Cvr : Adresse : Postnummer & by : Databehandleren (leverandøren):

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Databehandleraftale. Mellem. Den dataansvarlige: Helle Melgaard. Fiskerstræde Millinge. Denmark. Databehandleren. Bricksite ApS CVR

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Databehandleraftale. Gældende pr. 25. maj 2018

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

! Databehandleraftale

Databeskyttelsesdagen

Komiteen for Sundhedsoplysning CVR-nr.:

Introduktion til persondataforordning

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

Databehandleraftale CamVision A/S, CVR CamVision Finans ApS, CVR Smedeholm Herlev Danmark

Databehandleraftale. Mellem. Den dataansvarlige: Firma Navn CVR Adresse Postnummer og by Land . Databehandleren

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

DATABEHANDLERAFTALE. Saldi.dk ApS

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandleraftale. SMPLR ApS. 24. maj 2018 Version 1.0. Brandts Passage 15, Odense C

Plan og Handling CVR-nr.:

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. DoCAS Systems A/S CVR Jernbanegade 5, Ebeltoft

Lector ApS CVR-nr.:

Databehandler. Til denne aftale hører to bilag. Bilagene er en del af aftalegrundlaget i nærværende databehandleraftale.

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databehandleraftale. Mellem. Den dataansvarlige: Firmanavn. CVR xxxxxxxx. Adresse. Adresse. Danmark. Databehandleren

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Databehandleraftale. Mellem. Den dataansvarlige: Brugeren af Axolex systemet. Databehandleren. Axolex ApS CVR Strandesplanaden 110

Databehandleraftale e-studio.dk Side 1 af 6

Databehandleraftale. Mellem. Den dataansvarlige: Kunden (den juridiske enhed, der har indgået aftale om Lønadministration.

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren. Jydekrog ApS CVR

Databehandleraftale. Imellem: Dataansvarlig Terapi & Supervision Allehelgensgade Roskilde CVR: Kontaktperson:

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

Bilag B Databehandleraftale pr

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Databehandleraftale. Mellem. Den dataansvarlige: Navn: CVR: Adresse: Databehandleren. ExamCookie CVR Peder Skrams Gade 1, 1.tv.

DATABEHANDLERAFTALE MELLEM

Tønder Kommune BILAG 10

Bilag A Databehandleraftale pr

Generel Databehandleraftale for Vitec Datamanns kunder

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Rigsarkivets konference 2. november 2016

Transkript:

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen for It og Læring under henvisning til databeskyttelsesforordningens artikel 26 om fælles dataansvar. Styrelsen for It og Læring er ansvarlig for at levere en række administrative systemer på undervisningsområdet, som statslige institutioner, privat- og offentligt selvejende institutioner, private institutioner, kommuner og regioner er forpligtet til at benytte i henhold til: 4 og 5 i Almen eksamensbekendtgørelsen for XPRS 15, 20, 22 i AVU-loven for XPRS 18 a og 28 i Bekendtgørelse af lov om arbejdsmarkedsuddannelserne m.v. for Efteruddannelse.dk og Viskvalitet 14 og 19 f i Bekendtgørelse af lov om folkeskolen for PrøveAdministrationsSystemet 11 og 18 i Bekendtgørelse af lov om godtgørelse og tilskud til befordring ved deltagelse i erhvervsrettet voksenog efteruddannelse for Efteruddannelse.dk 15 i Bekendtgørelse om åben uddannelse og tilskud til arbejdsmarkedsuddannelser m.v. for Efteruddannelse.dk 29 i Bekendtgørelse om arbejdsmarkedsuddannelserne (AMU-bekendtgørelsen) for Viskvalitet 2 i Bekendtgørelse om folkeskolens prøver for Folkeskolens Prøver 45, 48 i Lov om de gymnasiale uddannelser for XPRS Vilkårene for anvendelse af systemerne er de samme for statslige institutioner, privat- og offentligt selvejende institutioner, private institutioner, kommuner og regioner, der efter aftaler vælger at benytte systemerne. Det drejer sig om følgende systemer: EfterUddannelse.dk Ordblindetesten PrøveAdministrationsSystemet (PAS) Folkeskolens Prøver (FP) Viskvalitet XPRS Oplysning om data i de enkelte administrative systemer fremgår af hjemmesiden for Styrelsen for IT og Læring (www.viden.stil.dk). 1.2. Efter databeskyttelsesforordningens artikel 26 er der tale om et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling af persondata. Dette er tilfældet for de anførte administrative systemer på undervisningsområdet, som leveres af Styrelsen for It og Læring i henhold til det under punkt 1.1. angivne hjemmelsgrundlag. 1.3. Når der er tale om et fælles dataansvar, skal de fælles dataansvarlige ifølge databeskyttelsesforordningens artikel 26, stk.1, på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til forordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i databeskyttelsesforordningens artikel 13 (oplysningspligt ved indsamling af personoplysninger hos den registrerede) og artikel 14 (oplysningspligt hvis personoplysninger ikke er indsamlet hos den registrerede) ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. Det er på denne baggrund, at Styrelsen for It og Læring ved retsregler i nærværende cirkulæreskrivelse angiver, hvordan dataansvaret er udmøntet i de systemer, som styrelsen stiller til rådighed for institutionerne. Cirkulæreskrivelsen er gældende for alle institutioner, som anvender de nævnte systemer. 1.4. De enkelte institutioner er som led i deres efterlevelse af databeskyttelsesforordningens regler forpligtet til at gøre sig bekendt med indholdet af cirkulæreskrivelsen og følge den i forbindelse med deres behandling af personoplysninger ved hjælp af disse systemer.

2. Anvendelsesområde 2.1. Herved fastsættes bestemmelser om ansvarsfordelingen mellem Styrelsen for It og Læring og de institutioner, der anvender de administrative systemer på undervisningsområdet, som stilles til rådighed af Styrelsen for It og Læring efter det under punkt 1.1. angivne hjemmelsgrundlag. Personoplysninger, som institutionerne behandler i disse systemer, bliver også behandlet, herunder indsamlet, til formål hos Styrelsen for It og Læring, fordi Styrelsen for It og Læring har behov for oplysningerne til en viderebehandling, som styrelsen foretager uden instruks fra institutionerne. Styrelsen for It og Læring indsamler institutionernes data fra en række systemer til fx administrative formål, tilsyn, kontrol og statistikformål, complianceanalyser og lignende. Denne viderebehandling sker til Styrelsen for It og Lærings egne formål og med Styrelsen for It og Læring som ene dataansvarlig, og viderebehandlingen af oplysningerne er derfor ikke omfattet af cirkulæreskrivelsen. 2.2. Det væsentligste indhold af den ordning, der fastsættes i denne cirkulæreskrivelse, skal gøres tilgængeligt for de personer, der registreres oplysninger om, jf. databeskyttelsesforordningens artikel 26, stk. 2. 2.3. Den registrerede kan, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige, jf. databeskyttelsesforordningens artikel 26, stk. 3. 2.4. Ved institutionernes anvendelse af de angivne systemer, som stilles til rådighed af Styrelsen for It og Læring, foreligger der et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på, at de behandlinger af personoplysninger, som finder sted i systemet, sker til begge parters formål og med fælles hjælpemidler (systemet). 3. Overordnet ansvarsfordeling 3.1. Som bruger af systemerne er den enkelte institution bl.a. ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen af de enkelte systemer, herunder korrekt indsamling og registrering af oplysninger. Den enkelte institution er også i vidt omfang ansvarlig for udøvelsen af den registreredes rettigheder. 3.2. Som ansvarlig myndighed for systemerne er Styrelsen for It og Læring bl.a. ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer. 4. Principper og behandlingshjemmel 4.1. Den enkelte institution er ansvarlig for, at der er en hjemmel til behandling af de personoplysninger, som institutionen registrerer og behandler i systemerne. 4.2. Den enkelte institution er også ansvarlig for at kunne dokumentere en gyldig behandlingshjemmel, eksempelvis hvis hjemlen er baseret på et samtykke fra den registrerede, jf. databeskyttelsesforordningens artikel 7 om betingelser for samtykke. 4.3. Den enkelte institution og Styrelsen for It og Læring er hver især ansvarlige for at overholde principperne for behandling af personoplysninger samt god databehandlingsskik, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder i henhold til cirkulæreskrivelsen. 5. Den registreredes rettigheder 5.1. Den enkelte institution er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen: Oplysningspligt ved indsamling af personoplysninger hos den registrerede, jf. artikel 13, Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14, Den registreredes indsigtsret, jf. artikel 15, Ret til berigtigelse, jf. artikel 16, Ret til sletning (retten til at blive glemt), jf. artikel 17, Ret til begrænsning af behandling, jf. artikel 18,

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 19. Ret til indsigelse mod en behandling, jf. artikel 21. 5.2. Den enkelte institution er ansvarlig for egne data og ansvarlig for behandlingen af anmodninger eller henvendelser fra de registrerede om de forhold, der er nævnt i punkt 5.1. 5.3. Hvis Styrelsen for It og Læring modtager en anmodning eller henvendelse fra en registreret person om forhold, der er nævnt i punkt 5.1., og som vedrører en anden institution, jf. punkt 5.2., sendes denne til besvarelse hos den relevante institution snarest muligt. 5.4. Styrelsen for It og Læring er ansvarlig for at bistå institutionerne i det omfang, at dette er relevant og nødvendigt for, at institutionerne kan efterleve deres forpligtelser over for de registrerede. 6. Dokumentation for overholdelse af Databeskyttelsesforordningen 6.1. Den enkelte institution er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres, jf. databeskyttelsesforordningens artikel 32. 6.2. Foranstaltningerne for Styrelsen for It og Læring skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker, jf. databeskyttelsesforordningens artikel 24, stk. 2. 6.3. Styrelsen for It og Læring er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25. 6.4. Den enkelte institution er ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at institutionens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1. Dette kan eksempelvis indebære udarbejdelse af procedurer for anmodninger om indsigt eller opfyldelse af oplysningspligten. 7. Anvendelse af databehandlere og underdatabehandlere 7.1. Styrelsen for It og Læring er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i tilknytning til de omhandlede systemer. 7.2. Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Styrelsen for It og Læring ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Styrelsen for It og Læring er herefter bl.a. forpligtet til: Alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder, At sikre, at der foreligger en gyldig databehandleraftale mellem Styrelsen for It og Læring og databehandleren, og At sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler. 7.3. Styrelsen for It og Læring skal på anmodning fra en institution oplyse om, hvorvidt oplysningerne behandles af databehandlere og evt. underdatabehandlere. 7.4. Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, kan Styrelsen for It og Læring efter anmodning fra institutionerne oplyse om indholdet af aftalerne. 8. Fortegnelse 8.1. Styrelsen for It og Læring er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Styrelsen for It og Læring fører fortegnelser over de behandlingsaktiviteter, som foretages i de pågældende systemer.

8.2. Styrelsen for It og Læring orienterer institutionerne om indholdet af ovennævnte fortegnelser. 8.3. Den enkelte institution skal eventuelt på baggrund af indholdet i fortegnelserne hos Styrelsen for It og Læring udarbejde egne fortegnelser over de af aftalen omhandlede behandlingsaktiviteter. 9. Behandlingssikkerhed 9.1. Styrelsen for It og Læring er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Styrelsen for It og Læring skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Dette skal ske under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Dette indebærer, at Styrelsen for It og Læring skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at begrænse de identificerede risici. 9.2. Den enkelte institution er forpligtet til at gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens anvendelse af systemerne, herunder f.eks. foranstaltninger i forbindelse med den fysiske sikkerhed. 10. Anmeldelse af brud på persondatasikkerheden til Datatilsynet 10.1. Styrelsen for It og Læring er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet. 10.2. Den enkelte institution er dog ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. 11. Underretning om brud på persondatasikkerheden til den registrerede 11.1. Styrelsen for It og Læring er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede. 11.2. Den enkelte institution er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 om underretning til den registrerede om brud på persondatasikkerheden, hvis et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. I et sådant tilfælde er Styrelsen for It og Læring forpligtet til at bistå institutionen med oplysninger, som er nødvendige for, at institutionen kan overholde sine forpligtelser over for den registrerede. 12. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring 12.1. Styrelsen for It og Læring er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Styrelsen for It og Læring forud for behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. 12.2. Styrelsen for It og Læring er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når kravet om høring finder anvendelse. 13. Overførsel af personoplysninger til tredjelande eller internationale organisationer 13.1. Styrelsen for It og Læring er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, hvis der sker overførsel af personoplysninger til tredjelande eller internationale organisationer. 13.2. Den enkelte institution er ansvarlig for iagttagelsen af kapitel V, hvis overførslen af personoplysninger til et tredjeland eller en international organisation sker i forbindelse med institutionens anvendelse af systemet/på institutionens foranledning. 14. Klager

14.1. Styrelsen for It og Læring er ansvarlig for behandling af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, hvor Styrelsen for It og Læring efter denne cirkulæreskrivelse er ansvarlig. 14.2. Den enkelte institution er ansvarlig for behandling af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, hvor institutionen efter denne cirkulæreskrivelse er ansvarlig. 14.3. Hvis en institution eller Styrelsen for It og Læring modtager en klage, som rettelig bør behandles af den anden part, sendes klagen til den dataansvarlige snarest muligt. 14.4. Hvis en institution eller Styrelsen for It og Læring modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, sendes denne del af klagen til besvarelse hos denne part snarest muligt. 14.5. Den registrerede skal, i forbindelse med en institutions eller Styrelsen for It og Lærings oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af nærværende cirkulæreskrivelse. 15. Orientering af den anden part Styrelsen for It og Læring og de enkelte institutioner orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne cirkulæreskrivelse. 16. Ikrafttræden Denne cirkulæreskrivelse træder i kraft den 25. maj 2018. Styrelsen for It og Læring den 24. maj 2018 Jakob Harder

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback