Bilag 17 Databehandleraftale
Vejledning: Bilaget skal ikke udfyldes sm en del af tilbudsafgivelsen. Bilaget udgør i det hele et mindstekrav. Side 2/9
Aftale m databehandling mellem Kunden g Leverandøren Side 3/9
1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Nærværende Databehandleraftale indgår i Kntrakten sm bilag 17. Leverandøren vil i henhld til Kntrakten udvikle, supprtere g videreudvikle en intranet-løsning til Kunden. Leverandøren vil sm databehandler i frbindelse hermed fretage behandling af persnplysninger på vegne af Kunden sm dataansvarlig g til pfyldelse af Kntraktens frmål. Databehandleraftalen har således til frmål at sikre verhldelse af den til enhver tid gældende persndatalvgivning i Danmark, jf. Kntraktens punkt 23, herunder sikre tilvejebringelse af passende garantier med hensyn til beskyttelse af privatlivets fred g fysiske persners grundlæggende rettigheder g frihedsrettigheder i frbindelse med, at databehandleren gives adgang til at behandle de i databehandleraftalen nævnte persnplysninger på den dataansvarliges vegne. 2. PERSONOPLYSNINGER OMFATTET AF DATABEHANDLERAFTALEN Databehandleraftalen mfatter persnplysninger, der registreres g pbevares i systemet jf. versigten ver stamdata i Appendiks A samt supplerende plysninger, der måtte blive gjrt tilgængelige ved integratin til andre systemer sm f.eks. kursussystem, HR-system, inventarversigter, etc. Registreringen mfatter således persnplysninger, der i henhld til persndatalven g persndatafrrdningen udgør almindelige persnplysninger. 3. BEHANDLING AF PERSONOPLYSNINGER Omfanget af de pgaver, sm den dataansvarlige skal levere g understøtte, betyder, at der vil ske frskellige frmer fr behandling af persnplysninger, herunder indsamling, registrering, pbevaring, videregivelse, samt sletning g/eller tilintetgørelse. Kredsen af de registrerede persner, sm persnplysningerne vedrører, udgør medlemmer af Flketinget, ansatte i Flketingets administratin g partigrupper samt evt. presseflk. Databehandleren handler alene efter dkumenteret instruks fra den dataansvarlige. Databehandleren skal sikre, at de verladte persnplysninger ikke benyttes til andre frmål eller behandles på anden måde, end hvad der fremgår af den dataansvarliges instruks. Databehandleren skal behandle persnplysningerne i verensstemmelse med den til enhver tid gældende lvgivning eller anden regulering m persnplysninger eller bestemmelser fastsat i henhld til lv eller anden regulering. Såfremt databehandleren skønner, at en instruktin er i strid med førnævnte lvgivning, skal databehandleren mgående rientere den dataansvarlige herm. Side 4/9
Databehandleren må ikke behandle persnplysningerne til andre frmål, med mindre databehandleren er frpligtet hertil efter EU-retten eller lvgivningen i en medlemsstat. I givet fald skal databehandleren underrette den dataansvarlige m denne juridiske frpligtelse, frinden behandlingen påbegyndes. Dette gælder dg ikke, såfremt pågældende lvgivning på baggrund af væsentlige ffentlige interesser frbyder en sådan underretning. Databehandleren skal føre en frtegnelse ver alle kategrier af behandlinger, der fretages på vegne af den dataansvarlige. Frtegnelsen skal indehlde følgende: Navn på g kntaktplysninger fr databehandleren, eventuelle underleverandører, den dataansvarlige, databeskyttelsesrådgiveren samt hvis det er relevant databehandlerens repræsentant. Kategrierne af de behandlinger, databehandleren eller eventuelle underleverandører fretager fr den dataansvarlige En generel beskrivelse af de tekniske g rganisatriske sikkerhedsfranstaltninger. Frtegnelsen skal freligge skriftligt, herunder elektrnisk. Databehandleren skal efter anmdning fra den dataansvarlige til enhver tid stille frtegnelsen til rådighed fr den dataansvarlige eller Datatilsynet. Såfremt behandlingen af persnplysninger hs databehandleren sker helt eller delvist ved anvendelse af hjemmearbejdspladser, skal databehandleren fastsætte retningslinjer fr medarbejdernes behandling af persnplysninger ved anvendelse af hjemmearbejdspladser. Databehandleren skal verhlde kravene til databehandlere, g den dataansvarlige skal verhlde kravene til dataansvarlige i verensstemmelse med den til enhver tid gældende lvgivning. Databehandleren skal deltage i eventuelle drøftelser med Datatilsynet g indarbejde eventuelle anbefalinger g/eller påbud mv. fra tilsynet vedrørende behandling af persnplysninger. Databehandleren skal straks rientere den dataansvarlige, såfremt Datatilsynet retter henvendelse til databehandleren vedrørende behandling af persnplysninger mfattet af Kntrakten. Databehandleren frpligter sig endvidere til straks at rientere den dataansvarlige m: Enhver anmdning m videregivelse af persnplysninger mfattet af aftalen fra en myndighed, medmindre rienteringen af den dataansvarlige er eksplicit frbudt ved lv, f.eks. i medfør af regler, der har til frmål at sikre frtrligheden af en retshåndhævende myndigheds efterfrskning. Enhver anmdning m indsigt mdtaget direkte fra den registrerede eller fra tredjemand, medmindre en sådan handlemåde er blevet gdkendt. Parterne frpligter sig til i hele aftaleperiden at indhente g prethlde de registreringer g tilladelser, sm Parten er frpligtet til at indhente g prethlde i verensstemmelse med den til enhver tid gældende lvgivning. Side 5/9
Databehandleren skal straks assistere den dataansvarlige med håndtering af enhver henvendelse fra en registreret, herunder anmdning m indsigt, berigtigelse, blkering eller sletning, hvis de relevante persnplysninger behandles af databehandleren. Databehandleren skal herudver, på den dataansvarliges anmdning assistere den dataansvarlige med at verhlde øvrige frpligtelser, der måtte påhvile den dataansvarlige efter den til enhver tid gældende persndatalvgivning, hvr databehandlerens assistance er frudsat, samt hvr databehandlerens assistance er nødvendig fr, at den dataansvarlige kan verhlde sine frpligtelser. Databehandleren skal sm led heri bistå den dataansvarlige med at sikre verhldelse af frpligtelserne i medfør af persndatafrrdningens artikel 32-36. 4. INFORMATIONSSIKKERHED OG DATABESKYTTELSE 4.1 Krav til infrmatinssikkerhed g databeskyttelse Databehandleren skal træffe de frnødne tekniske g rganisatriske sikkerhedsfranstaltninger md, at Persnplysningerne hændeligt eller ulvligt tilintetgøres, frtabes eller frringes, samt md at de kmmer til uvedkmmendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende lvgivning, herunder men ikke begrænset til persndatalven, sikkerhedsbekendtgørelsen g persndatafrrdningen. Dette gælder gså, hvis behandlingen af persnplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser. Fastsættelsen af frnødne tekniske g rganisatriske sikkerhedsfranstaltninger skal ske under iagttagelse af bl.a.: a. De i Kntrakten fastsatte krav, b. de i Bilag 1-16 fastsatte krav, g c. denne aftale m databehandling. 4.2 Kntrl med infrmatinssikkerhed g databeskyttelse Databehandleren skal på den dataansvarliges anmdning give den dataansvarlige tilstrækkelige infrmatiner til, at denne kan påse g dkumentere, at databehandleren har truffet de nødvendige tekniske g rganisatriske sikkerhedsfranstaltninger. Hvis databehandleren, inden fr rammerne af Kntrakten, er etableret i en anden EU-medlemsstat, skal de bestemmelser m sikkerhedsfranstaltninger, sm er fastsat i lvgivningen i den EU-medlemsstat, hvr databehandleren er etableret, derudver gælde fr databehandleren. Hvis databehandleren er etableret i en anden EU-medlemsstat, skal databehandleren således verhlde såvel sikkerhedskrav mfattet af gældende lvgivning i Danmark sm sikkerhedskrav i databehandlerens hjemland. Databehandleren (g enhver eventuel underleverandør) skal hvert år franledige, at en uafhængig tredjepart afgiver en erklæring til den dataansvarlige m verhldelse af kravene til sikkerhedsfranstaltninger i Kntrakten. Erklæringen skal afgives til udgangen af hvert år, således at erklæringen er Kunden i hænde senest den 31. december. Side 6/9
Derudver har den dataansvarlige ret til audit i verensstemmelse med Kntraktens punkt 5.7 g 23. Databehandleren er frpligtet til at give myndigheder, der efter den til enhver tid gældende lvgivning har adgang til den dataansvarliges g databehandlerens faciliteter, eller repræsentanter, der ptræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter md behørig legitimatin. 4.3 Brud på persndatasikkerheden I tilfælde af brud på persndatasikkerheden, skal databehandleren straks rientere den dataansvarlige herm. Databehandleren skal herefter uden unødigt phld, dg senest 24 timer efter sikkerhedsbruddet, rapprtere til den dataansvarlige, samt give den dataansvarlige de plysninger m sikkerhedsbruddet, der er nødvendige fr, at den dataansvarlige kan pfylde de frpligtelser, der i den frbindelse pålægges den dataansvarlige, herunder underretning til Datatilsynet. 5. AFTALER MED EN ANDEN DATABEHANDLER Databehandleren må ikke indgå aftaler med en anden databehandler, f.eks. underleverandører, m behandling af persnplysninger mfattet af databehandleraftalen, medmindre den dataansvarlige frinden skriftligt har samtykket til aftaleindgåelsen. Den dataansvarlige er berettiget til at stille vilkår fr at give et sådant samtykke. Databehandleren skal udarbejde en skriftlig underdatabehandleraftale med en anden databehandler. I sin aftale med en anden databehandler skal databehandleren sikre sig, at den anden databehandler sm minimum accepterer de samme databeskyttelsesfrpligtelser, sm databehandleren har påtaget sig ved denne Databehandleraftale, fr så vidt angår den behandling af den dataansvarliges persnplysninger, der varetages af den anden databehandler. Databehandleren indestår fr lvligheden af en anden databehandlers behandling af persnplysninger. Hvis en anden databehandler ikke pfylder sine databeskyttelsesfrpligtelser, frbliver den prindelige databehandler fuldt ansvarlig ver fr den dataansvarlige fr pfyldelsen af denne anden databehandlers frpligtelser. Det frhld, at den dataansvarlige har meddelt samtykke til databehandlerens aftaleindgåelse med en anden databehandler er uden betydning fr databehandlerens pligt til at efterleve Databehandleraftalen. Ved phør af en aftale med en anden databehandler m behandling af persnplysninger mfattet af Databehandleraftalen, skal databehandleren give den dataansvarlige meddelelse herm. Omkstninger frbundet med etablering af aftalefrhldet til en anden databehandler, herunder mkstninger til udarbejdelse af databehandleraftaler, afhldes af databehandleren g er således den dataansvarlige uvedkmmende. 6. OVERFØRSEL AF OPLYSNINGER Databehandleren må ikke verføre eller tillade verførsel af persnplysninger til lande uden fr det Eurpæiske Øknmiske Samarbejdsmråde uden den dataansvarliges frudgående skriftlige gdken- Side 7/9
delse. Såfremt der skal ske en sådan verførsel, påhviler det databehandleren at sikre det frnødne verførselsgrundlag, f.eks. brug af EU Kmmissinens g/eller af EU Kmmissinen gdkendte standardbestemmelser m databeskyttelse. Overførselsgrundlaget skal frelægges den dataansvarlige frud fr den dataansvarliges specifikke gdkendelse af verførslen. Databehandleren afhlder mkstninger frbundet med etablering af det frnødne verførselsgrundlag. 7. TAVSHEDSPLIGT Databehandleren skal hlde persnplysningerne frtrlige, g er således alene berettiget til at anvende persnplysningerne sm led i pfyldelsen af sine frpligtelser i henhld til Kntrakten, herunder databehandleraftalen. Databehandleren skal sikre, at de medarbejdere g eventuelle andre databehandlere, der er autriseret til at behandle de pågældende persnplysninger, er pålagt den i Kntraktens punkt 25 regulerede tavshedspligt. 8. ÆNDRINGER I DATABEHANDLERAFTALEN Parterne kan til enhver tid ændre databehandleraftalen i henhld til Kntraktens punkt 6. 9. VARIGHED OG OPHØR AF DATABEHANDLERAFTALEN Databehandleraftalen træder i kraft ved Parternes underskrift g er gældende frem til Kntraktens phør. Databehandleren skal straks efter anmdning fra den dataansvarlige slette eller tilbagelevere alle persnplysninger, sm databehandleren behandler fr den dataansvarlige. 10. UNDERSKRIFT Ovenstående tiltrædes hermed med virkning fra Databehandleraftalens underskrift. [sted], den [dat] [underskrivers navn] Fr Leverandøren København, den [dat] [underskrivers navn] Fr Kunden Side 8/9
APPENDIKS A PERSON- OG OPLYSNINGSKATEGORIER Databehandlingen vil mfatte følgende typer af persnplysninger: - Persnnavn - Stillingsbetegnelse - Organisatrisk tilhørsfrhld - Telefnnumre arbejde - E-mail-adresse arbejde - Brugernavn - Ansvarsmråder - Kmpetencer - Privatadresse - Telefnnumre privat - Smmerhusadresse - Evt. adresse i København - Yderligere persndata af tilsvarende karakter kan frekmme i ntefelt Databehandlingen mfatter således almindelige persnplysninger. Side 9/9