Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Relaterede dokumenter
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Aftale vedrørende fælles dataansvar

Aftale vedrørende fælles dataansvar

Behandling af personoplysninger

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Databehandleraftale (v.1.1)

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Standardvilkår. Databehandleraftale

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Databehandleraftale (Skabelon fra Datatilsynet)

Persondatapolitik Vordingborg Gymnasium & HF

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

1 Indhold. Side 2 af 15

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondata politik for GHP Gildhøj Privathospital

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Persondatapolitik for Tørring Gymnasium 2018

Databehandleraftale. Mellem. Den dataansvarlige: (Virksomhedsnavn) (CPR) (Adresse) Databehandleren. Work Balance Institute ApS CVR:

N. Zahles Skole Persondatapolitik

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik på Gentofte Studenterkursus

GML-HR A/S CVR-nr.:

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

DATABEHANDLERAFTALE. Omsorgsbemanding

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Databehandler aftale

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Databehandleraftale. Mellem. Den dataansvarlige (kunden): Navn : Cvr : Adresse : Postnummer & by : Databehandleren (leverandøren):

Persondatapolitik for Odense Katedralskole

! Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Databehandleraftale. Gældende pr. 25. maj 2018

Databehandleraftale e-studio.dk Side 1 af 6

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databeskyttelsesdagen

Komiteen for Sundhedsoplysning CVR-nr.:

Databehandleraftale. Mellem. Den dataansvarlige: Helle Melgaard. Fiskerstræde Millinge. Denmark. Databehandleren. Bricksite ApS CVR

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

Databehandleraftale CamVision A/S, CVR CamVision Finans ApS, CVR Smedeholm Herlev Danmark

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

DATABEHANDLERAFTALE. Saldi.dk ApS

Databehandleraftale. Mellem. Den dataansvarlige: Firma Navn CVR Adresse Postnummer og by Land . Databehandleren

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Databehandleraftale. SMPLR ApS. 24. maj 2018 Version 1.0. Brandts Passage 15, Odense C

Plan og Handling CVR-nr.:

Lector ApS CVR-nr.:

Introduktion til persondataforordning

D A T A B E H A N D L E R A F T A L E

Databehandleraftale. Mellem. Den dataansvarlige: Brugeren af Axolex systemet. Databehandleren. Axolex ApS CVR Strandesplanaden 110

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. DoCAS Systems A/S CVR Jernbanegade 5, Ebeltoft

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren. Jydekrog ApS CVR

Databehandleraftale INDHOLDSFORTEGNELSE

Databehandleraftale. Imellem: Dataansvarlig Terapi & Supervision Allehelgensgade Roskilde CVR: Kontaktperson:

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Databehandleraftale. Mellem. Den dataansvarlige: Firmanavn. CVR xxxxxxxx. Adresse. Adresse. Danmark. Databehandleren

Databehandleraftale. Mellem. Den dataansvarlige: Navn: CVR: Adresse: Databehandleren. ExamCookie CVR Peder Skrams Gade 1, 1.tv.

Databehandleraftale. Mellem. Den dataansvarlige: Kunden (den juridiske enhed, der har indgået aftale om Lønadministration.

DATABEHANDLERAFTALE MELLEM

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Databehandler. Til denne aftale hører to bilag. Bilagene er en del af aftalegrundlaget i nærværende databehandleraftale.

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

3 Omfattede typer af personoplysninger og kategorier af registrerede

Transkript:

CIS nr 9223 af 23/03/2018 (Gældende) Udskriftsdato: 14. maj 2019 Ministerium: Finansministeriet Journalnummer: Finansmin., Moderniseringsstyrelsen Senere ændringer til forskriften Ingen Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer Indledning Denne cirkulæreskrivelse er udarbejdet efter aftale mellem Moderniseringsstyrelsen og Datatilsynet under henvisning til databeskyttelsesforordningen og bekendtgørelse om statens regnskabsvæsen mv. (regnskabsbekendtgørelsen). Datatilsynet har på vegne af institutionerne ligeledes godkendt udformningen af cirkulæreskrivelsen. Moderniseringsstyrelsen er ansvarlig for at levere fællesoffentlige systemer på økonomi-, betalings-, HRog lønområdet, som en række statslige myndigheder og selvejende institutioner er forpligtet til at benytte i henhold til 2 og 11 i regnskabsbekendtgørelsen. Når selvejende institutioner efter aftale, jf. 12 i regnskabsbekendtgørelsen, benytter de af Moderniseringsstyrelsen leverede systemer, sker det derfor på samme vilkår, som gælder for de institutioner, der er forpligtet til at anvende systemerne. Oplysninger om, hvilke systemer Moderniseringsstyrelsen leverer, hvilke processer disse systemer understøtter, samt hvilke data der findes i systemerne, fremgår af Moderniseringsstyrelsens hjemmeside (www.modst.dk/systemer). Aftale om fælles dataansvar efter Databeskyttelsesforordningen Efter databeskyttelsesforordningens artikel 26 foreligger der fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling af persondata. Dette er tilfældet for de fællesoffentlige systemer på økonomi-, betalings-, HR- og lønområdet, som Moderniseringsstyrelsen leverer i henhold til regnskabsbekendtgørelsen. Foreligger der fælles dataansvar, skal de fælles dataansvarlige ifølge forordningen på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til forordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. Det er på denne baggrund, at Moderniseringsstyrelsen og Datatilsynet har indgået en aftale om fælles dataansvar for de systemer, der stilles til rådighed af Moderniseringsstyrelsen. Datatilsynet har herefter sanktioneret, at aftalen bliver ophøjet til retsregler i form af indeværende cirkulæreskrivelse. Aftalen er gældende for alle institutioner, som i henhold til 11, jf. 2 i bekendtgørelse om statens regnskabsvæsen mv. anvender de nævnte systemer, der stilles til rådighed af Moderniseringsstyrelsen. 1

De enkelte institutioner er som led i deres efterlevelse af databeskyttelsesforordningens regler derfor forpligtet til at gøre sig bekendt med indholdet af aftalen og følge den i forbindelse med deres behandling af personoplysninger ved hjælp af de nævnte systemer. 1. Aftale om fælles dataansvar for systemer på økonomi-, betalings-, HR- og lønområdet, som stilles til rådighed af Moderniseringsstyrelsen 1.1. I denne aftale fastsættes bestemmelser om ansvarsfordelingen mellem Moderniseringsstyrelsen og de institutioner, der anvender de systemer på økonomi-, betalings-, HR- og lønområdet, der stilles til rådighed af Moderniseringsstyrelsen efter bekendtgørelse om statens regnskabsvæsen mv. (regnskabsbekendtgørelsen). Personoplysninger, som institutionerne behandler i systemerne, bliver ligeledes behandlet, herunder indsamlet til Moderniseringsstyrelsens formål, fordi Moderniseringsstyrelsen har behov for oplysningerne til en viderebehandling, som Moderniseringsstyrelsen foretager uden instruks fra institutionerne. Moderniseringsstyrelsen indsamler institutionernes data fra en række systemer til statistikformål, complianceanalyser, lovbestemt afrapportering og lignende. Ovennævnte viderebehandling sker til Moderniseringsstyrelsens egne formål og med Moderniseringsstyrelsen som ene dataansvarlig. Moderniseringsstyrelsens viderebehandling af oplysningerne er derfor ikke omfattet af indeværende cirkulæreskrivelse. 1.2. Det væsentligste indhold af den ordning, der fastsættes i denne cirkulæreskrivelse, skal gøres tilgængeligt for de registrerede. Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige. 1.3. I forbindelse med institutionernes anvendelse af de af Moderniseringsstyrelsen administrerede systemer foreligger der et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på, at de behandlinger af personoplysninger, som finder sted i systemet, sker til begge parters formål og med fælles hjælpemidler (systemet). 2. Overordnet ansvarsfordeling 2.1. Som bruger af systemerne er den enkelte institution bl.a. ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen, herunder korrekt indsamling og registrering af oplysninger. Den enkelte institution er ligeledes i vidt omfang ansvarlig for udøvelsen af den registreredes rettigheder. 2.2. Som ansvarlig myndighed for systemerne er Moderniseringsstyrelsen bl.a. ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at 2

3. Principper og behandlingshjemmel sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer. 3.1. Den enkelte institution er ansvarlig for, at der foreligger en hjemmel til behandling af de personoplysninger, som institutionen registrerer og behandler i systemerne. 3.2. Den enkelte institution er ligeledes ansvarlig for at kunne dokumentere en gyldig behandlingshjemmel, eksempelvis såfremt hjemlen er baseret på et samtykke fra den registrerede. 3.3. Den enkelte institution og Moderniseringsstyrelsen er hver især ansvarlige for at overholde principperne for behandling af personoplysninger samt god databehandlingsskik, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale. 4. De registreredes rettigheder 4.1. Den enkelte institution er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen: oplysningspligt ved indsamling af personoplysninger hos den registrerede, oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede, den registreredes indsigtsret, ret til berigtigelse, ret til sletning (retten til at blive glemt), ret til begrænsning af behandling, underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, og ret til indsigelse mod en behandling. 4.2. Den enkelte institution er ansvarlig for egne data og ansvarlig for behandlingen af anmodninger eller henvendelser fra de registrerede vedrørende de forhold, der er nævnt i punkt 4.1. 4.3. Såfremt Moderniseringsstyrelsen modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er nævnt i punkt 4.1., og vedrørende en anden institution, jf. punkt 4.2., oversendes denne til besvarelse hos den relevante institution snarest muligt. 4.4. Moderniseringsstyrelsen er ansvarlig for at bistå institutionerne i det omfang, at dette er relevant og nødvendigt for, at institutionerne kan efterleve deres forpligtelser over for de registrerede. 5. Dokumentation for overholdelse af databeskyttelsesforordningen 3

5.1. Den enkelte institution er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. Dette kan eksempelvis indebære, at Moderniseringsstyrelsen udarbejder procedurer for håndtering af sikkerhedsbrister, jf. databeskyttelsesforordningens artikel 32. 5.2. Moderniseringsstyrelsens foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker. 5.3. Moderniseringsstyrelsen er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25. 5.4. Den enkelte institution er ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at institutionens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Dette kan eksempelvis indebære udarbejdelse af procedurer for anmodninger om indsigt eller opfyldelse af oplysningspligten (databeskyttelsesforordningens artikel 24). 6. Anvendelse af databehandlere og underdatabehandlere 6.1. Moderniseringsstyrelsen er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i tilknytning til de omhandlede systemer. 6.2. Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Moderniseringsstyrelsen ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Moderniseringsstyrelsen er herefter bl.a. forpligtet til alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder, at sikre, at der foreligger en gyldig databehandleraftale mellem Moderniseringsstyrelsen og databehandleren, og at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler. 6.3. Moderniseringsstyrelsen skal på anmodning fra en institution oplyse om, hvorvidt oplysningerne behandles af databehandlere og evt. underdatabehandlere. 4

6.4. Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, kan Moderniseringsstyrelsen efter anmodning fra institutionerne oplyse om indholdet at aftalerne. 7. Fortegnelse 7.1. Moderniseringsstyrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Moderniseringsstyrelsen fører fortegnelser over de behandlingsaktiviteter, som foretages i de pågældende systemer. 7.2. Moderniseringsstyrelsen orienterer institutionerne om indholdet af ovennævnte fortegnelser. 7.3. Den enkelte institution skal eventuelt på baggrund af indholdet i Moderniseringsstyrelsens fortegnelser udarbejde egne fortegnelser over de af aftalen omhandlede behandlingsaktiviteter. 8. Behandlingssikkerhed 8.1. Moderniseringsstyrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Moderniseringsstyrelsen skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Dette skal ske under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Dette indebærer, at Moderniseringsstyrelsen skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at begrænse de identificerede risici. 8.2. Den enkelte institution er forpligtet til at gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens anvendelse af systemerne, herunder f.eks. foranstaltninger i forbindelse med den fysiske sikkerhed. 9. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden 9.1. Moderniseringsstyrelsen er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. 9.2. Den enkelte institution er dog ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33, såfremt et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. 10. Underretning om brud på persondatasikkerheden til den registrerede 5

10.1. Moderniseringsstyrelsen er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede. 10.2. Den enkelte institution er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning til den registrerede om brud på persondatasikkerheden, såfremt et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. I et sådant tilfælde er Moderniseringsstyrelsen forpligtet til at bistå institutionen med oplysninger, som er nødvendige for, at institutionen kan overholde sine forpligtelser over for den registrerede. 11. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring 11.1. Moderniseringsstyrelsen er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Moderniseringsstyrelsen forud for behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. 11.2. Moderniseringsstyrelsen er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når kravet finder anvendelse. 12. Overførsel af personoplysninger til tredjelande eller internationale organisationer 13. Klager 12.1. Moderniseringsstyrelsen er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisationer. 12.2. Den enkelte institution er ansvarlig for iagttagelsen af kapitel V, såfremt overførslen af personoplysninger til et tredjeland eller en international organisation sker i forbindelse med institutionens anvendelse af systemet/på institutionens foranledning. 13.1. Moderniseringsstyrelsen er ansvarlig for behandling af eventuelle klager fra registrerede, såfremt klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke Moderniseringsstyrelsen efter denne aftale er ansvarlig. 13.2. Den enkelte institution er ansvarlig for behandling af eventuelle klager fra registrerede, såfremt klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke institutionen efter denne aftale er ansvarlig. 6

13.3. Såfremt en institution eller Moderniseringsstyrelsen modtager en klage, som rettelig bør behandles af den anden part, oversendes klagen til denne dataansvarlige snarest muligt. 13.4. Såfremt en institution eller Moderniseringsstyrelsen modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, oversendes denne del til besvarelse hos parten snarest muligt. 13.5. Den registrerede skal, i forbindelse med en institutions eller Moderniseringsstyrelsens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale. 14. Orientering af den anden part 14.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne aftale. 15. Ikrafttrædelse 15.1. Denne aftale træder i kraft den 25. maj 2018. Moderniseringsstyrelsen, den 23. marts 2018 P.M.V. E.B. Lasse Vrangbak Mortensen 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback