JobMatch Center – Databehandleraftale
Aftale mellem dataansvarlig og databehandler
Introduktion
Her følger en opsummerende introduktion til, hvad denne aftale indebærer. Opsummeringen erstatter ikke aftalen.
Databehandleraftalen er mellem dig som kunde og os i forhold til håndtering af personoplysninger i overensstemmelse med GDPR i vores online testsystem JobMatch Center.
Aftalen regulerer de rettigheder og forpligtelser begge parter har for at opfylde kravene i den gældende Databeskyttelsesforordning EU 2016/679 (GDPR).
Aftalen specificerer, hvilke personoplysninger der registreres og behandles i vores online testsystem JobMatch Center.
Du som kunde er ansvarlig for, at oplysninger, der registreres i JobMatch Centret, administreres i overensstemmelse med gældende retningslinjer. Dette indebærer blandt andet, at information kun må gemmes så længe, den er relevant, og at jeres testdeltagere har ret til at få information slettet.
Vi som leverandør er ansvarlige for den tekniske sikkerhed, såsom sikker login, kryptering, backup og at personoplysningerne opbevares i overensstemmelse med GDPR’s forskrifter.
Som jeres leverandør skal vi også sikre, at I har gode funktioner til at pseudonymisere og slette information i JobMatch Center.
I tilfælde af en sikkerhedsincident er det vores pligt at inden for 24 timer underrette dig som kunde om hændelsen.
Denne aftale reguleres af og fortolkes i overensstemmelse med svensk lov.
JobMatch Sweden AB
1.0 Parter
1.1 Dataansvarlig (DaA)
Dataansvarlig er den juridiske person, der har indgået en kunderelation med JobMatch Sweden AB om brug af online tjenesten JobMatch Center (JMC). (www.jobmatchcenter.com).
1.2 Brugere
De personer, der er udpeget af DaA til at indtaste og administrere personoplysninger i online-tjenesten JobMatch Center og som på forhånd har accepteret Brugervilkårene for JobMatch Center.
1.3 Testdeltagere
Testdeltagere defineres som de personer, der indtaster personlige oplysninger om sig selv i JobMatch online testsystem. Dette kan være i form af køn, alder, e-mailadresse, CPR-nummer, adresse, CV-data samt testsvar.
1.4 Databehandler (DaB): JobMatch Sweden AB, org.nr 556781-8330, Box 14001, 400 20 Göteborg. JobMatch Sweden er databehandler ved at vi stiller et online testsystem til rådighed for vores kunder, hvor personlige oplysninger kan registreres.
Parterne er enige om, at denne aftale er gældende, når DaA indgår en kunderelation med JobMatch Sweden AB. Aftalen sendes i form af e-mail, når en kunderelation indgås. Aftalen findes også i kundens online jobmatchcenter.com.
Brugere accepterer Brugervilkår, når de første gang logger ind på online systemet: www.jobmatchcenter.com.
2.0 Baggrund
Formålet med denne aftale er at regulere parters rettigheder og forpligtelser i forbindelse med registrering og behandling af personoplysninger og anden information, for på denne måde at sikre, at personoplysningerne behandles i overensstemmelse med de bestemmelser, der følger af den gældende Databeskyttelsesforordning EU 2016/679 (GDPR).
a) Ved at etablere en kunderelation har kunden (DaA) og JobMatch Sweden AB (DaB) indgået en aftale, under hvilken JobMatch Sweden AB stiller et online administrationssystem for psykometriske testværktøjer til rådighed gennem jobmatchcenter.com.
b) Det er DaAs brugere og DaA, der er ansvarlige for de oplysninger, der indtastes i jobmatchcenter.com, og at disse oplysninger administreres korrekt i forhold til GDPR’s retningslinjer. Brugervilkår accepteres online første gang brugeren logger ind i det online administrationsværktøj: Jobmatchcenter.com.
c) Når testdeltagere logger ind for at besvare en test, bliver de samtidig præsenteret for vilkårene i form af en Privatlivs- og persondatapolitik, som aktivt skal accepteres, før registreringen påbegyndes. Denne aftale sendes derefter via e-mail til testdeltageren og gemmes i JobMatch Centret under hver testdeltager som dokumentation for samtykket.
d) JobMatch Sweden garanterer at overholde de tekniske og organisatoriske retningslinjer, der kræves for at opfylde GDPR’s regelsæt på DaAs vegne.
3.0 Definitioner
Begreberne “Dataansvarlig“, “Databehandler“, “Personoplysning“, “Behandling” skal have samme betydning som i Databeskyttelsesforordningen Artikel 4 EU 2016/679 (“GDPR“).
I denne aftale betyder begrebet “Gældende Databeskyttelseslovgivning” til enhver tid gældende lovgivning på området, dvs. Persondataloven (1998:204) (“PUL“) og/eller GDPR, samt eventuel senere lovgivning, der erstatter eller supplerer disse.
a) “Dataansvarlig“: Den, der alene eller sammen med andre indtaster personoplysninger i jobmatchcenter.com.
b) “Databehandler“: Henviser til den, der behandler personoplysninger på den dataansvarliges vegne. I dette tilfælde JobMatch Sweden AB gennem administrationsværktøjet jobmatchcenter.com.
c) “Behandling af personoplysninger“: Henviser til behandling af testdeltageres kontaktoplysninger, anonymiserede testsvar til beregning af testresultater, matchning mod profil og generering af rapporter både i skriftlig og grafisk fremstilling.
d) “Personoplysninger“: Henviser til enhver form for information, som direkte eller indirekte kan henføres til en fysisk person. I JobMatch Center kan e-mail, fornavn og første bogstav i efternavn, alder samt køn registreres, og til screening formål fulde navn, personnummer, kontaktinformation, beskeder og CV-information. Al information indtastes af DaA eller testdeltager.
4.0 Opgaven
JobMatch Sweden AB (DaB) arbejder på vegne af kunden (DaA). Opgaven består i at levere et online administrationssystem til administration og testning af testdeltagere. Dette inkluderer jobkandidater, medarbejdere og andre personer, hvor psykometrisk testning er relevant.
Opgaven inkluderer behandling af anonymiserede testsvar (test scoring) og generering af forskellige typer af rapporter (testresultater) samt registrering af personoplysninger såsom e-mail (anonymiseres i forbindelse med, at testdeltagere indsender deres svar til JobMatch Talent eller JobMatch Logic i online systemet), fornavn/pseudonym, køn, alder, samt i tilfælde af screeningstest eventuelt personnummer, fuldt navn, kontaktinformation og CV information.
JobMatch Sweden har også til opgave at sikre, at systemet og behandlingen af oplysningerne følger gældende GDPR-regelværk.
JobMatch Sweden AB kan komme til at bruge testdeltageres anonymiserede testsvar til sammenstilling af statistik og til forskellige forskningsformål. Ingen oplysninger kan her kobles til fysisk person.
5.0 Behandling af personoplysninger
5.1 JobMatch Sweden AB (DaB) har kun ret til at behandle de af DaA leverede personoplysninger samt de af DaAs testdeltagere leverede personoplysninger ud fra det i denne aftale beskrevne opdrag, medmindre behandlingen er krævet i henhold til gældende lov (i EU eller i et af EU’s medlemslande). Hvis en behandling, som den dataansvarlige ikke har instrueret databehandleren til at udføre, kræves ifølge gældende lov, skal databehandleren informere den dataansvarlige om det retlige krav, før oplysningerne behandles, medmindre en sådan information er forbudt med henvisning til en vigtig offentlig interesse i henhold til gældende lov (artikel 28.3.a). Disse personoplysninger gemmes og behandles i online systemet jobmatchcenter.com.
Databehandleren skal straks informere den dataansvarlige, hvis databehandleren mener, at en instruktion strider mod databeskyttelsesforordningen eller anden gældende databeskyttelseslovgivning (artikel 28.3, 2a stk).
I JobMatch Center findes funktioner, hvor brugeren selv kan definere regler for pseudonymisering og sletning af testresultater og personoplysninger.
JobMatch Center vil automatisk, hver måned, minde brugeren om, når testresultater har været i systemet i 24 måneder.
Det påhviler DaA at slette alle testresultater, som ikke længere er relevante at gemme.
Oplysninger, der registreres i JobMatch Center, er:
Den til enhver tid leverede information af DaA og/eller DaAs testdeltagere i www.jobmatchcenter.com.
Disse oplysninger inkluderer for JobMatch Talent og JobMatch Logic:
Testdeltageres fornavn og første bogstav i efternavnet, alternativt af DaA angivet pseudonym, køn, alder, dato for testning samt testsvar og testresultater. Testdeltageres e-mailadresse anonymiseres samtidig med, at testdeltageren sender sine svar til JobMatch Center. Testsvar registreres online, men kan ikke spores til fysisk person i vores systemer, da de anonymiseres, så snart de indkommer. DaA har ikke adgang til testsvar.
For JobMatch Screen gælder:
De registrerede oplysninger kan inkludere (valgfrie alternativer) testdeltageres fulde navn, e-mailadresse, personnummer, kontaktinformation, CV-information, beskeder, køn, alder, dato for testning samt testsvar og testresultater. Testsvar registreres online, men kan ikke spores til fysisk person i vores systemer, da de anonymiseres, så snart de indkommer. DaA har ikke adgang til testsvar.
5.2 JobMatch Sweden AB har ikke ret til at overføre eller give adgang til personoplysningerne til tredjepart uden kundens (DaA) udtrykkelige forhåndstilladelse.
Hvis en generel skriftlig tilladelse er opnået, skal databehandleren informere den dataansvarlige om eventuelle planer om at anvende nye underdatabehandlere eller erstatte underdatabehandlere, så den dataansvarlige har mulighed for at gøre indsigelse mod sådanne ændringer.
Når underdatabehandlere anvendes, skal databehandleren sikre, at hver underdatabehandler har samme forpligtelser som databehandleren over for den dataansvarlige.
Hvis en underdatabehandler ikke opfylder sine databeskyttelsesforpligtelser, skal databehandleren være fuldt ansvarlig over for den dataansvarlige for udførelsen af underdatabehandlerens forpligtelser (artikel 28.2, 28.3.d, 28.4).
5.3 Driften af systemet sker af underdatabehandler Amazon Web Services, som vi har kontrolleret opfylder GDPR. https://aws.amazon.com/compliance/gdpr-center.
5.4 Lagring af data udføres af underdatabehandler, Amazon Web Services, som vi har bekræftet overholder GDPR. https://aws.amazon.com/compliance/gdpr-center.
5.5 I tilfælde af at JobMatch Sweden AB (DaB) skifter eller får en ny underdatabehandler, er det JobMatch Sweden ABs ansvar at kontrollere og bekræfte, at den nye underdatabehandler overholder GDPR-regelværket.
5.6 JobMatch Sweden AB (DaB) sikrer, at alle personoplysninger opbevares indenfor EU/EØS i overensstemmelse med GDPR-regelværket.
6.0 Sikkerhed
6.0 Sikkerhed
6.1 JobMatch Sweden (DaB) har implementeret tekniske og organisatoriske foranstaltninger, der beskytter de personoplysninger, der behandles, på et niveau, der er passende med hensyn til personoplysningernes følsomhed, og som er i overensstemmelse med GDPR’s retningslinjer.
Disse inkluderer:
SSL sikkerhedscertifikat på vores webtjenester.
Krypteret end-to-end kommunikation.
Krypteret database – hvilket betyder, at al information er krypteret.
Krypteret login med krav om adgangskode. Mulighed for tofaktorautentificering. Øjeblikkelig automatisk pseudonymisering (anonymisering) af kontaktinformation vedrørende JobMatch Talent og JobMatch Logic.
Automatisk påmindelse om at pseudonymisere/slette testresultater og oplysninger, der er ældre end 24 måneder.
6.2 Backup
Al information lagres på servere hos Amazon Web Services, som garanterer, at serverne er placeret i EU/EØS. Her udføres automatisk backup hver dag på al information. Backup’en lagres på separate servere under Amazon Web Services. Alle backups foregår via krypterede linjer, og al information er krypteret. https://aws.amazon.com/compliance/gdpr-center.
Personoplysningerne er beskyttet mod uautoriseret behandling såsom ændring, ødelæggelse eller uautoriseret adgang og distribution. Det er PuA og PuAs brugeres ansvar at håndtere og administrere loginoplysninger og adgangskoder, så ingen uautoriseret person får adgang til online systemet og de registrerede oplysninger.
JobMatch Sweden AB følger Datainspektionens beslutninger om foranstaltninger for at opfylde GDPR’s krav om sikkerhed.
JobMatch Sweden udleverer ikke personoplysninger eller anden information om behandlingen af personoplysninger – alt administreres af PuA og PuAs brugere.
6.3 PuA har ret til at kontrollere, at JobMatch Sweden AB (DaB) implementerer de ovennævnte sikkerhedsforanstaltninger.
Personoplysningerne skal give den dataansvarlige adgang til de oplysninger, der kræves a) for at bevise, at de forpligtelser, der er angivet i artikel 28, er opfyldt
b) for at muliggøre og bidrage til revisioner, herunder inspektioner, udført af den dataansvarlige eller en anden revisor, der er autoriseret af den dataansvarlige (artikel 28.3.h).
6.4 JobMatch Sweden AB (DaB) og dets personale skal, når de behandler personoplysninger, for hvilke PuA er dataansvarlig, overholde tavshedspligt, hvilket betyder, at oplysninger om fysiske eller juridiske personer ikke må afsløres.
7.0 Fortrolighed og adgangsrettigheder
JobMatch Sweden AB (DaB) sikrer, at personer med adgang til at behandle personoplysningerne er underlagt fortrolighed. Fortrolighedspligten skal også gælde efter dette Persondatabehandleraftale ophører med at være gældende. Adgang til personoplysningerne er begrænset til sådanne personer, der har brug for dem for at kunne udføre deres arbejdsopgaver.
8.0 Incidentrapportering
JobMatch Sweden AB (PuB) skal straks, senest inden for 24 timer, underrette kunden (PuA) om sikkerhedshændelser, der har medført utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret offentliggørelse af eller adgang til personoplysninger. Alle sådanne hændelser skal dokumenteres af JobMatch Sweden AB (PuB), og dokumentationen skal overleveres uden unødigt ophold til kunden (PuA).
JobMatch Sweden AB (PuB) skal straks efter at have fået kendskab til personoplysninghændelsen iværksætte passende afhjælpende foranstaltninger for at forhindre nye hændelser.
I tilfælde, hvor en hændelse skal rapporteres til tilsynsmyndigheden, skal JobMatch Sweden AB (PuB) hurtigt bistå den dataansvarlige med al den information, der efterspørges.
Personoplysningbitrædet skal, under hensyntagen til behandlingens art og den information personoplysningbitrædet råder over, bistå den dataansvarlige ved gennemførelsen af en konsekvensanalyse vedrørende en behandling, der helt eller delvist udføres af personoplysningbitrædet (artikel 28.3.f, 35).
9.0 Bistand til at opfylde forpligtelser over for registrerede
JobMatch Sweden AB (PuB) bistår den Dataansvarlige med at opfylde deres forpligtelser, når registrerede udøver deres ret til indsigt, rettelse, sletning, dataoverførbarhed osv. i henhold til gældende Databeskyttelseslovgivning.
9.1 Pseudonymisering I online systemet jobmatchcenter.com findes funktioner, der gør det muligt for kunden (PuA) og PuAs brugere at slette oplysninger og fuldstændigt anonymisere tests. I screening findes en automatisk funktion, der fjerner kontaktinformationen (anonymiserer) efter 12 måneder. Hver bruger kan selv administrere dette og gøre den automatiske funktion kortere eller længere, dog højst 24 månader.
10.0 Uddannelse
JobMatch Sweden AB (PuB) tilbyder passende uddannelse i databeskyttelse, fortrolighed og om de krav til informationssikkerhed, der er fastsat i denne aftale, til alle personer, der arbejder under JobMatch Swedens tilsyn og som har adgang til personoplysninger, der er omfattet af denne aftale.
11.0 Genforhandling og ændringer
Begge parter har ret til at anmode om genforhandling af denne aftale, herunder instruktioner og andre bilag, i tilfælde af:
a) den anden parts ejerforhold ændres væsentligt.
b) gældende lovgivning eller fortolkningen af denne ændres på en måde, der påvirker behandlingen af personoplysninger, som er omfattet af denne aftale.
11.1 Ændringer og tillæg Ændringer og tillæg til denne aftale skal være skriftlige og kan sendes til PuA via e-mail.
12.0 Aftalens varighed
Denne aftale er gældende så længe JobMatch Sweden (PuB) behandler personoplysninger på PuAs vegne i henhold til opdragsbeskrivelsen i denne aftale.
Aftalen træder i kraft den 25. maj 2018 eller på et hvilket som helst senere tidspunkt, hvor et kunde/leverandørforhold opstår mellem parterne.
13.0 Ophør af behandling af personoplysninger
Ved ophør af JobMatch Swedens opdrag for PuA, vil JobMatch Sweden inden for 30 dage anonymisere al information vedrørende screeningstests, således at kun uidentificerbare testresultater forbliver. Andre tests er allerede automatisk anonymiserede. PuA kan anmode om, at JobMatch Sweden sletter al information vedrørende kunde/leverandørforholdet, hvilket i så fald vil ske inden for 30 dage, medmindre fortsat opbevaring af personoplysningerne kræves ifølge gældende lov (artikel 28.3.g).
14.0 Lovvalg og jurisdiktion m.v.
Denne aftale skal reguleres af og fortolkes i overensstemmelse med svensk lov uden hensyntagen til dets principper om lovkonflikt. Tvist afgøres i svensk almindelig domstol med start i Tingsrätten i Göteborg.
Fortroligheds- og persondataaftale for vores testdeltagere
JobMatch LogiQ
JobMatch Five