Vilkår om fælles dataansvar
Vilkår for brug af Systemet
Disse vilkår (herefter ”Vilkårene”) gælder for alle leverandører eller underleverandører (herefter ”Leverandøren”) til Københavns Kommune, der bruger Systemet.
1 Definitioner og fortolkning
Ved ”Persondatalovgivningen” forstås den til enhver tid gældende persondatalovgivning i Danmark, for nuværende særligt Databeskyttelsesforordningen[1], databeskyttelsesloven[2] og andre nationale særregler, herunder men ikke begrænset til love, regler eller bindende vejledninger fra myndigheder, der finder anvendelse på behandlingen af Personoplysninger.
Ved ”Systemet” forstås Københavns Kommunes IT-system, der understøtter overblikket over leverandørkæder og medarbejdere i forhold til kommunens kontrakter, herunder med henblik på at styrke indsatsen med kontrol af navnlig arbejdsklausuler, jf. afsnit 2 nedenfor
Medmindre andet er angivet i Vilkårene, finder definitionerne i databeskyttelsesordningens artikel 4 tilsvarende anvendelse på begreber i disse Vilkår.
Alle henvisninger til lovbestemmelser skal anses for også at omfatte alle efterfølgende videreførte bestemmelser eller ændringsbestemmelser.
2 Baggrund og formål
Leverandøren er enten leverandør eller underleverandør til Københavns Kommune. Med henblik på at give Københavns Kommune et bedre overblik over leverandørkæder og medarbejdere i forhold til kommunens kontrakter, herunder med henblik på at styrke indsatsen med kontrol af navnlig arbejdsklausuler, registrerer Leverandøren en række personoplysninger i Systemet.
Denne registrering understøtter samtidig Leverandørens dokumentation af sin overholdelse af arbejdsklausuler, samt understøtter Leverandørens kontrol af egne underleverandører.
For at kunne bruge Systemet, skal Leverandøren acceptere disse Vilkår, der har til formål, på en gennemsigtig måde, at fastlægge parternes respektive ansvar for overholdelse af forpligtelserne i henhold til Persondatalovgivningen, i forbindelse med brug af Systemet.
Parterne er enige om, at der foreligger fælles dataansvar i forbindelse med behandling af de Personoplysninger, der sker som led i brug af Systemet.
Parterne er selvstændige dataansvarlige for behandlingsaktiviteter, når disse ikke vedrører brug af Systemet. Sådan behandling er ikke omfattet af Vilkårene, og hver Part indestår selv for lovligheden af en sådan (videre)behandling.
Det væsentligste indhold af disse Vilkår vil blive gjort tilgængeligt for de registrerede hvis Personoplysninger behandles i henhold til Vilkårene.
3 Parternes roller og forhold til de registrerede
Københavns Kommune har det overordnede ansvar for den behandling af personoplysninger, der finder sted i Systemet og er ansvarlig for den praktiske håndtering implementering af systemet. Københavns Kommune er således ansvarlig for, at behandlingen af personoplysninger i Systemet kan gennemføres på lovlig vis, under forudsætning af, at Leverandøren opfylder sine forpligtelser, som er fastsat i disse Vilkår.
Københavns Kommune har til formål med behandlingen i Systemet er at sikre overblik over leverandørkæder og medarbejdere i forhold til kommunens kontrakter, herunder med henblik på at styrke indsatsen med kontrol af navnlig arbejdsklausuler. Københavns Kommune står for implementering og drift af Systemet, og er således med til at fastsætte hjælpemidlerne til behandlingen.
Leverandøren er derimod kun involveret i den behandling af personoplysninger, der finder sted i Systemet, i begrænset omfang, men kan i et vist omfang påvirke denne behandling. Leverandøren har et vist indblik i denne behandling, og Leverandøren har den direkte relation til de registrerede.
Leverandørens formål med behandlingen i Systemet er at kunne dokumentere sin overholdelse af arbejdsklausuler, og at sikre overblik over egne underleverandører og medarbejdere. Leverandøren bidrager med de personoplysninger, der behandles i Systemet, hvorved Leverandøren bidrager til fastsættelse af hjælpemidlerne til behandlingen.
4 Overordnet fordelingen af ansvaret
På baggrund af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, kan Parternes fordeling af deres respektive ansvar for overholdelse af Persondatalovgivningen illustreres som i tabellen nedenfor. De oplistede forpligtelser er beskrevet nærmere under afsnit 5-17 nedenfor.
| Københavns Kommune er ansvarlig | Leverandøren er ansvarlig | |
|---|---|---|
Fastlæggelse af retsgrundlag for behandling (afsnit 5) | X | X |
| Deling af personoplysninger (afsnit 6) | X | |
Oplysningspligt og transparens (afsnit 7) | X | |
| Overholdelse af princippet om formålsbegrænsning (afsnit 8) | X | (X) |
| Overholdelse af princippet om dataminimering (afsnit 9) | X | |
| Overholdelse af princippet om rigtighed (afsnit 10) | X | |
Sletning af personoplysninger (afsnit 11) | X | |
| Implementering af sikkerhedsforanstaltninger og standarder (afsnit 12) | X | |
| Håndtering af de registreredes rettigheder (afsnit 13) | X | (X) |
Håndtering af sikkerhedsbrud, herunder underretning (afsnit 14) | X | (X) |
Udarbejdelse af fortegnelse (afsnit 15) | X | X |
Gennemførelse af konsekvensanalyser (afsnit 16) | X | (X) |
Databehandlere (afsnit 17) | X |
(X) = supporterende rolle
5 Retsgrundlag for behandling
Parterne er hver især ansvarlige for, at der foreligger et gyldigt behandlingsgrundlag for behandlinger som foretages i henhold til disse Vilkår.
Københavns Kommune har følgende retsgrundlag for den behandling af personoplysninger, der finder sted i Systemet: Databeskyttelsesforordningens artikel 6, stk. 1, litra e).
Leverandøren har følgende retsgrundlag for den behandling af personoplysninger, der finder sted i Systemet: Databeskyttelsesforordningens artikel 6, stk. 1, litra f).
6 Deling af personoplysninger
Det er Københavns Kommune der har kontrol over, hvorvidt de personoplysninger, der behandles i Systemet, deles med tredjeparter. Det er derfor Københavns Kommune der er ansvarlig for at sikre, at eventuel deling af disse personoplysninger sker lovligt.
7 Oplysningspligt og transparens
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Københavns Kommune ansvarlig for Parternes overholdelse af
oplysningspligten over for de registrerede, beskrevet i databeskyttelseslovens artikel 12, stk. 1, 13 og 14, og
princippet om transparens i databeskyttelsesforordningens artikel 5, stk. 1, litra a)
for så vidt gælder personoplysninger, der behandles i Systemet.
8 Princippet om formålsbegrænsning
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Københavns Kommune ansvarlig for overholdelse af princippet om formålsbegrænsning, beskrevet i databeskyttelsesforordningens artikel 5, stk. 1, litra b).
En part må alene anvende de personoplysninger, der behandles i Systemet, hvis Parten kan godtgøre
at Parten har et lovligt grundlag for den pågældende behandling,
at betingelserne i databeskyttelseslovens artikel 6, stk. 4 er opfyldt,
at oplysningspligten i databeskyttelseslovens artikel 13, stk. 3 og 14, stk. 4 vil blive opfyldt.
En Part kan dog til enhver tid behandle personoplysninger til andre formål, hvis Parten er retligt forpligtet hertil.
9 Dataminimering
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Leverandøren ansvarlig for overholdelse af princippet om dataminimering i databeskyttelsesforordningens artikel 5, stk. 1, litra c).
Leverandøren skal således sikre, at de personoplysninger der videregives til og løbende behandles i Systemet, er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
10 Rigtighed
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Leverandøren ansvarlig for overholdelse af princippet om rigtighed i databeskyttelsesforordningens artikel 5, stk. 1, litra d).
Leverandøren skal derved sikre, at personoplysninger der videregives til og løbende behandles i Systemet er korrekte og om nødvendigt ajourførte.
Leverandøren er derudover ansvarlig for at tage ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige, i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.
11 Opbevaringsbegrænsning
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Københavns Kommune ansvarlig for overholdelse af princippet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e), og skal derved sikre, at personoplysninger opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.
Københavns Kommune skal således fastsætte passende opbevaringsperioder for de personoplysninger der behandles i Systemet. Opbevaringsperioderne fastsættes i overensstemmelse med de gældende regler og standarder for opbevaring af personoplysninger.
Københavns Kommune er desuden ansvarlig for den praktiske implementering af de opbevaringsperioder der fastsat efter dette afsnit, og skal derved sikre, at de pågældende personoplysninger behørigt slettes eller anonymiseres, når opbevaringsperioden udløber.
12 Sikkerhedsforanstaltninger
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Københavns Kommune ansvarlig for overholdelse af databeskyttelsesforordningens artikel 5, stk. 1, litra f) og artikel 32 for så vidt gælder personoplysninger, der behandles i Systemet.
Københavns Kommune skal således sikre, at de personoplysninger, som behandles i Systemet, behandles på en måde, der sikrer tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, ved anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Sikkerhedsforanstaltningerne fastsættes under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
Medmindre Københavns Kommune, ved en selvstændigt udarbejdet risikovurdering, dokumenterer andet, betragtes risikoen for fysiske personers rettigheder og frihedsrettigheder for så vidt angår behandlinger under disse Vilkår som værende ”LAV”.
13 De registreredes rettigheder
Hvis en Part modtager en anmodning fra en registreret, skal Parten uden ugrundet ophold, og senest 7 dage efter modtagelsen, underrette den anden Part om henvendelsen samt fremsende en kopi af anmodningen.
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Københavns Kommune som udgangspunkt ansvarlig for håndtering anmodninger fra de registrerede i henhold til databeskyttelsesforordningens artikel 15-22. Københavns Kommune er således ansvarlig for, at sådanne anmodninger praktisk håndteres i overensstemmelse med databeskyttelseslovens regler og Datatilsynets vejledninger herom.
Leverandøren skal loyalt at bistå Københavns Kommune i det omfang, at dette er relevant og nødvendigt for, at Københavns Kommune kan efterleve forpligtelserne over for de registrerede.
Hvis en Part har videregivet personoplysninger efter disse Vilkårs afsnit 6, er denne Part selvstændigt ansvarlig for underretning af modtageren i forbindelse med den registreredes ret til berigtigelse, begrænsning eller sletning af personoplysninger i henhold til Databeskyttelsesforordningens artikel 19.
Parterne har udpeget Københavns Kommune som kontaktpunkt for de registrerede for så vidt angår behandling af personoplysninger i Systemet. Københavns Kommune kan af de registrerede kontaktes via:
Uanset ovenstående, kan den registrerede til enhver tid udøve sine rettigheder i medfør af Databeskyttelsesforordningen med hensyn til og over for hver Part.
14 Sikkerhedsbrud
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Københavns Kommune som udgangspunkt ansvarlig for den praktiske håndtering af sikkerhedsbrud, herunder genopretning tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. Leverandøren skal loyalt at bistå Københavns Kommune i det omfang, at dette er relevant og nødvendigt for håndtering af sikkerhedsbruddet.
Københavns Kommune er således ansvarlig for indberetning af sikkerhedsbrud til Datatilsynet efter reglerne i databeskyttelsesforordningens artikel 33, herunder vurdering af, om indberetning er nødvendigt. Leverandøren skal loyalt at bistå Københavns i det omfang, at dette er relevant og nødvendigt for indberetningen. Københavns Kommune skal bestræbe sig på at indhente bemærkninger fra Leverandøren, inden indberetning foretages – dog under hensyntagen til, at der kan være mange leverandører involveret, og at tidsfristen for indberetning i databeskyttelsesforordningens artikel 33, stk. 1 skal overholdes.
Derudover er Københavns Kommune ansvarlig for underretning af de registrerede efter reglerne i databeskyttelsesforordningens artikel 34, herunder vurdering af, om underretning er nødvendigt. Leverandøren skal loyalt bistå Københavns Kommune i det omfang, at dette er relevant og nødvendigt for underretningen. Københavns Kommune skal til enhver tid indhente bemærkninger fra Leverandøren, inden underretning foretages – dog under hensyntagen til, at der kan være mange leverandører involveret, og at tidsfristen for indberetning i databeskyttelsesforordningens artikel 34, stk. 1 skal overholdes.
15 Datafortegnelse
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Parterne hver for sig ansvarlige for, at udarbejde en datafortegnelse efter databeskyttelsesforordningens artikel 30 for de behandlingsaktiviteter, der foretages i Systemet.
16 Konsekvensanalyser
På grundlag af Parternes roller og forhold til de registrerede, jf. afsnit 3 ovenfor, er Københavns Kommune som udgangspunkt ansvarlig for udarbejdelse af konsekvensanalyser for de behandlingsaktiviteter, der foretages i Systemet, hvis dette er påkrævet efter databeskyttelsesforordningens artikel 35. Leverandøren skal bistå Københavns Kommune i det omfang, at dette er relevant og nødvendigt for udarbejdelse af konsekvensanalysen.
17 Databehandlere
Københavns Kommune er berettiget til at antage databehandlere til at forestå behandling af persondata, der sker i Systemet. Københavns Kommune har i den forbindelse antaget følgende databehandler: KMD A/S, Lautrupparken 40, 2750 Ballerup.
Hvis Københavns Kommune agter at antage en databehandler, skal Københavns Kommune forud for antagelsen sikre, at databehandleren overholder reglerne fastsat i databeskyttelsesforordningen, navnlig artikel 28 og 32. Københavns Kommune skal desuden sikre, at forholdet mellem Københavns Kommune og databehandleren behørigt reguleres ved indgåelse af en databehandleraftale.
Hvis Københavns Kommune agter at antage en (anden) databehandler, jf. ovenfor, skal Københavns Kommune underrette Leverandøren herom senest 14 dage inden antagelsen.
Hvis Københavns Kommune har antaget en databehandler efter dette afsnit 17, er Københavns Kommune ansvarlig for at kontrollere databehandlerens overholdelse af den indgåede databehandleraftale og reglerne fastsat i databeskyttelsesforordningen, i overensstemmelse med Datatilsynets vejledninger herom.
18 Overførsler af personoplysninger til tredjelande
Overførsler af personoplysninger til lande, der ikke er medlem af EU/EØS (tredjelande) kan alene ske, som led i deling af personoplysninger (afsnit 6 ovenfor) eller som led i brug af databehandlere (afsnit 17 ovenfor) – begge områder, som Københavns Kommune er ansvarlig for. Hvis en sådan overførsel finder sted, er Københavns Kommune således ansvarlig for at sikre, at betingelserne i databeskyttelsesforordningens kapitel V er opfyldt, herunder at en behørig Transfer Impact Assessment er gennemført, hvor dette er påkrævet.
19 Øvrige bestemmelser
Parternes eventuelle ydelser i disse Vilkår vederlægges ikke.
Parterne er enige om, at det på et senere tidspunkt kan blive nødvendigt at justere indholdet af nærværende Vilkår, eksempelvis i tilfældet af ændringer i lovgivningen, ny retspraksis, mv. Parterne er i den forbindelse enige om, at Københavns Kommune ensidigt kan opdatere disse vilkår ved at give Leverandøren et varsel på 30 dage forud for sådanne ændringer.
Disse Vilkår er underlagt og skal fortolkes i overensstemmelse med dansk ret med undtagelse af dansk rets internationale lovvalgsregler.
Enhver tvist som måtte opstå i forbindelse med disse Vilkår, skal afgøres ved Københavns Byret som rette værneting.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018.