DATABESKYTTELSE, når begge parter er dataansvarlige

"Databeskyttelseslove" betyder EU's generelle databeskyttelsesforordning 2016/679 (i det følgende betegnet som "GDPR") og alle gældende databeskyttelseslove.

Parterne anerkender, at hver part inden for rammerne af samarbejdsaftalen fungerer som en dataansvarlig (hvor "dataansvarlig" betyder den juridiske person, der bestemmer formålet med og metoden til behandlingen af personoplysninger) for de personoplysninger, denne part behandler (hvor "behandling" eller "behandler" betyder enhver handling eller sæt af handlinger, der udføres på personoplysninger eller et sæt af personoplysninger, såsom at indsamle, registrere, organisere, strukturere, tilpasse eller ændre, hente, rådgive om, bruge, videregive ved afsendelse, udbrede eller på anden måde gøre tilgængelige, justere eller kombinere, begrænse, slette eller tilintetgøre) med henblik på denne parts respektive formål. Parterne vil derfor ikke blive anset for at være fælles dataansvarlige og/eller databehandlere (som angivet i GDPR) i henhold til samarbejdsaftalen.

Parterne ønsker at fastlægge vilkårene, i henhold til hvilke hver enkelt part som dataansvarlig vil behandle personoplysninger til dennes egne formål og sende eller videregive personoplysninger til den anden part med henblik på den anden parts opfyldelse af dennes forpligtelser i henhold til samarbejdsaftalen.

I denne sammenhæng sikrer hver part, at sådanne personoplysninger behandles og sendes i overensstemmelse med gældende databeskyttelseslove.

Hver part accepterer at sende den anden part personoplysninger, (i) der er relevante og tilstrækkelige, for så vidt angår formålet med samarbejdsaftalen, samt at disse data er forståelige og ajourførte. Hver part skal informere den anden part, hvis personoplysningerne er ufuldstændige, unøjagtige eller ikke ajourførte og træffe alle passende foranstaltninger for at ajourføre dem, hvilket skal ske (ii) i overensstemmelse med de regler, der gælder for overførsel af personoplysninger.

I henhold til art. 13 og 14 i GDPR garanterer begge parter, at de giver de registrerede alle de oplysninger, som de anmoder om, vedrørende behandlingen af personoplysninger.

I henhold til art. 15, 16, 17, 18 og 21 i GDPR anerkender begge parter, at de registrerede har ret til at få indsigt i, berigtige, slette, begrænse eller gøre indsigelse mod brugen af deres personoplysninger. Hvor det skønnes nødvendigt, påtager begge parter sig at give den anden meddelelse om enhver anmodning, en part måtte modtage fra en registreret, der udøver sin i det ovenfor beskrevne rettighed, og hvor en sådan anmodning udtrykkeligt henviser til den anden part.

I henhold til art. 30 i GDPR påtager begge parter sig at føre optegnelser over behandlingsaktiviteter i henhold til deres ansvarsområde.

I henhold til art. 5 (1e) i GDPR påtager begge parter sig ikke at opbevare personoplysninger i nogen form, der gør det muligt at identificere den registrerede, i længere tid end hvad der er nødvendigt i forhold til de formål, til hvilke dataene blev indsamlet, eller med henblik på hvilke de yderligere behandles.

I henhold til art. 32 i GDPR skal begge parter implementere og vedligeholde relevante miljømæssige, sikkerheds- og anlægsmæssige procedurer, procedurer for datasikkerhed og sikkerhedskopiering og andre administrative, tekniske og fysiske foranstaltninger for at beskytte sikkerheden, fortroligheden og integriteten af personoplysninger og for at forhindre misbrug og forkert videregivelse af disse. Disse foranstaltninger skal udformes til at:

  • beskytte mod tilintetgørelse, tab, uautoriseret adgang til eller ændring af personoplysninger og andre følsomme data, der oplyses eller videregives
  • informere hvert parts medarbejdere, der har godkendelse til at tilgå personoplysninger, om deres forpligtelse til at sørge for sikkerheden af disse.

Begge parter stiller nødvendig information, samarbejde og hjælp til rådighed, når der med rimelighed anmodes om dette af den anden part i relation til personoplysninger, og hvor disse er i deres besiddelse eller under deres kontrol, og hvor det udelukkende er med det formål at overholde gældende databeskyttelseslovgivning (medmindre sådanne oplysninger er klassificeret som fortrolige af den videregivende part, eller en sådan part på anden vis juridisk set er forhindret i at gøre det).

Begge parter stiller rimelig og nødvendig hjælp til rådighed for den anden part i forbindelse med enhver undersøgelse af en kompetent datatilsynsmyndighed i relation til de personoplysninger, der behandles i relation til samarbejdsaftalen.

Ved udløb af samarbejdsaftalen skal begge parter opbevare personoplysningerne i deres respektive databaser og vil forblive ansvarlige for enhver handling i relation til de personoplysninger, der behandles i dennes systemer. 

Til trods for enhver anden bestemmelse i denne samarbejdsaftale vil ingen af parterne udelukke eller begrænse deres ansvar i henhold til samarbejdsaftalen i forbindelse med overtrædelse af gældende databeskyttelseslove. Hvis en registreret indbringer en klage direkte mod en part på grund af skader, der er lidt i relation til den andens parts overtrædelse af databeskyttelseslove med hensyn til behandlingen af personoplysninger, vil denne part i fuldt omfang skadesløsholde den anden for alle omkostninger, opkrævninger, skader, udgifter eller tab, der opstår som følge af et sådant krav."

Begge parter accepterer hver især at anvende rimelige organisationsmæssige, fysiske, tekniske og administrative sikkerhedsforanstaltninger for personoplysninger, der er i den enkelte parts besiddelse eller under dennes kontrol, for at beskytte disse personoplysninger mod uautoriseret behandling, der kunne udgøre en misligholdelse af denne samarbejdsaftale eller gældende databeskyttelseslovgivning, og generelt overholde bedste praksis med hensyn til systemsikkerhed.