Databehandleraftale

Denne aftale gælder for behandling af persondata ved anvendelse af dokNet.dk, der ejes og administreres af Daghøjskoleforeningen.

I forhold til dokNet.dk er Daghøjskoleforeningen databehandler, mens bruger/administrator af undersøgelser er dataansvarlig.

Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er, at den dataansvarlige kan anvende dokNet.dk til undersøgelser.

Behandling af personoplysninger efter denne aftale drejer sig om, at databehandleren stiller dokNet.dk til rådighed for den dataansvarlige og herigennem opbevarer personoplysninger om den dataansvarliges respondenter og administratorer på databehandlerens servere.

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
Oplysninger om administratorer omfatter

  • Navn, email, tilknyttet institution
Oplysninger om respondenter kan omfatte
  • Navn, email, mobilnr, fødselsdato, besvarelser af undersøgelser

Sikkerhed og tavshedspligt

Daghøjskoleforeningen er forpligtet til at overvåge vore systemer, der har relation til dokNet.dk og holde vores servere opdateret, samt holde dataansvarlig informeret, såfremt der skulle ske et muligt læk af persondata.

Kun relevante og autoriserede medarbejdere hos Daghøjskoleforeningen har adgang til persondata i dokNet.dk. Medarbejderne er underlagt generel tavshedspligt om persondata som de måtte have adgang til i forbindelse med dokNet.dk

Daghøjskoleforeningen er forpligtet til med jævne mellemrum at vurdere sikkerhedsniveauet ved anvendelse af dokNet.dk og iværksætte passende foranstaltninger i relation til vurderingen.

Foreningen er ansvarlig for at evt. underdatabehandlere håndterer persondata i overensstemmelse med denne aftale.

Det juridiske grundlag, som er gældende for aftalen, er nærmere beskrevet i vedlagte bilag.

Denne aftale træder i kraft ved begge parters godkendelse heraf.

Opsigelse af databehandleraftalen kan ske på mail med 3. måneders varsel til den første i en måned. Se nærmere om vilkår ved opsigelse i bilaget.

Aftalen er gældende, så længe behandlingen består. Uanset databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.

Aftalen er godkendt af Daghøjskoleforeningen.

Såfremt du går videre og anvender dokNet.dk godkender du aftalen som dataansvarlig.

 

 


Bilag: Det juridiske grundlag for databehandleraftalen

Indhold:
  • Den dataansvarliges forpligtelser og rettigheder
  • Fortrolighed
  • Behandlingssikkerhed
  • Anvendelse af underdatabehandlere mv.
  • Bistand til den dataansvarlige
  • Underretning om brud på persondatasikkerheden
  • Sletning og tilbagelevering af oplysninger
  • Tilsyn og revision

I dette bilag beskrives nærmere, det juridiske grundlag, der er gældende for aftalen. Bilaget bygger på Datatilsynets skabelon for databehandleraftaler.

Aftalen er indgået med henblik på parternes efterlevelse af Databeskyttelsesforordningen (artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF), som stiller specifikke krav til indholdet af en databehandleraftale.

Den dataansvarliges forpligtelser og rettigheder

  1. Den dataansvarlige har overfor omverdenen som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
  3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

Fortrolighed

  1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
  2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
  3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed.
  4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

Behandlingssikkerhed

Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32 og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til sandsynlighed og alvor af de risici for fysiske personers rettigheder, der er forbundet med databehandlingen.

Anvendelse af underdatabehandlere mv.

Databehandleren har ret til og gør brug af underdatabehandlere i forbindelse med dokNet.dk. På anmodning udleverer databehandleren uden unødig forsinkeopdateret liste over underdatabehandlere.

Databehandleren sørger for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale

Databehandleren overfører ikke persondata fra dokNet.dk til tredjelande eller internationale organisationer.

Bistand til den dataansvarlige

  1. Databehandleren stiller faciliteter til rådighed som understøtter den dataansvarliges opfyldelse af forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
  2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f. Dette indebærer, at databehandleren under hensynstagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
    • forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
    • forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Underretning om brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

Sletning og tilbagelevering af oplysninger

Ved ophør af anvendelse af dokNet.dk er databehandleren forpligtet til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

Tilsyn og revision

dokNet.dk indeholder faciliteter, der understøtter databehandlerens påvisning af overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale.