Databehandlerens plikter. Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlingsansvarlige til enhver tid har bestemt skal gjelde. Det skal ikke behandles andre Personvernopplysninger enn det som er beskrevet i denne avtalen. Dersom ikke annet er avtalt skal personopplysningene ikke benyttes til andre formål enn det som er beskrevet i denne avtalen. Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen: Databehandler er ansvarlig for å oppfylle følgende pliktene i EU forordning 2016/679 for behandling av personopplysninger (men ikke avgrenset til): • Varsle den behandlingsansvarlige om avvik uten unødvendig forsinkelse slik at Behandlingsansvarlig kan oppfylle fristen til å varsle Datatilsynet innen 72 timer jf. artikkel 33. • Opprette personvernombud dersom man behandler personopplysninger i stor målestokk, eller dersom man behandler sensitive personopplysninger i stort omfang eller er offentlig virksomhet. jf. art 37 og 38. • Yte nødvendig bistand til behandlingsansvarlig i oppfyllelsen av den registrertes rettigheter slik de er beskrevet i GDPR kapitel 3, herunder retten til å kreve sletting, retting og innsyn i personopplysningene, retten til å kreve begrensning av en behandling og dataportabilitet mm. Bistandstimeprisen som beskrevet i hovedavtalen skal benyttes • Underrette den behandlingsansvarlige dersom de mener at instruksjonene de mottar er i strid med forordningen eller personvernrett for øvrig. • Å ivareta forsvarlig informasjonssikkerhet ved egen behandling, jf. GDPR art 32. Brudd på pliktene kan føre til sanksjoner fra Datatilsynet, jf. artikkel 58 og fortalen nr.146. Dersom brudd på personopplysningsloven og GDPR medfører tap for den registrerte er databehandleren være erstatningsansvarlige (solidaransvar), for skade som er forårsaket av at han ikke har oppfylt forpliktelser i denne forordningen eller hvis han har handlet i strid med behandlingsansvarliges instruks for behandlingen.
Databehandlerens plikter. Databehandleren behandler personopplysninger på vegne av Xxxxx AS Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlingsansvarlige til enhver tid har bestemt skal gjelde. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn det som er avtalt med den behandlingsansvarlige. Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen, se nærmere under avsnitt 7. Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Dette gjelder også etter avtalens opphør. Databehandleren plikter å følge Ruters instrukser og sikkerhetsreglement for intern kontroll og informasjonssikkerhet og har dessuten et selvstendig ansvar for å påse at personopplysningsloven blir fulgt.
Databehandlerens plikter. Databehandler skal bare Behandle Personopplysninger på vegne av og i henhold til instruksjoner fra Behandlingsansvarlig. Ved å inngå denne Databehandleravtalen instruerer Behandlingsansvarlig Databehandler om å Behandle Personopplysninger på følgende måte: i) bare i henhold til gjeldende lovgivning, ii) for å oppfylle alle plikter i henhold til Tjenesteavtale, iii) som instruert via Behandlingsansvarlig sin bruk av Databehandlers ordinære tjenester og iv) som spesifisert i denne Databehandleravtalen. Databehandleren har ved avtaleinngåelsen ingen grunn til å anta at det foreligger regulatoriske hindringer mot å følge instruksjonene fra Behandlingsansvarlige. Dersom Databehandleren ved et senere tidspunkt blir klar over at Behandlingsansvarliges instruksjoner eller Behandling av Personopplysninger strider mot gjeldende personvernlovgivning, skal Databehandleren melde dette til Behandlingsansvarlige.
Databehandlerens plikter. Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde. Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Databehandlerens plikter. 3.1 Sjømannslegen innestår for at behandlingen av personopplysninger skal være i tråd med gjeldende personvernregler og eventuelle pålegg fra kompetente offentlige myndigheter.
Databehandlerens plikter. Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlings- ansvarlige til enhver tid har bestemt skal være gjeldende. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn det som er avtalt med den behandlingsansvarlige. Databehandler skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen og slette disse uten unødvendig opphold så snart denne behandlingen er avsluttet. Databehandler skal sikre at kun personer som er underlagt hensiktsmessige og nødvendige konfidensialitetsforpliktelser blir autorisert til å behandle person-opplysninger: Databehandler skal sikre at kun autoriserte personer har tilgang til personopplysninger. Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen, se nærmere under avsnitt 7.
Databehandlerens plikter. Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlingsansvarlige til enhver tid har besluttet at skal gjelde. Det skal ikke behandles andre personopplysninger enn det som er beskrevet i denne avtalen. Dersom ikke annet er avtalt skal personopplysningene ikke benyttes til andre formål enn det som er beskrevet i denne avtalen. Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen. Databehandler er ansvarlig for å oppfylle pliktene i EU forordning 2016/679 for behandling av personopplysninger. Dette innebærer, men er ikke avgrenset til:
Databehandlerens plikter. Databehandleren skal: • Kun behandle data innsamlet til det formålet som er avtalt og gjengitt til subjektene i personvernerklæringen • Databehandleren skal holde skriftlig oversikt over alle kategorier av personlige data som behandles, samt operasjoner som gjennomføres på disse dataene. Denne dokumentasjonen kan foreligge i form av programkode. • Overføring til tredjeland skal kun utføres der underleverandøren kan vise å ha tilstrekkelig gode systemer og rutiner for sikkerhet og personvern • En generell beskrivelse av sikkerhetstiltak som er gjennomført skal gjøres tilgjengelig for behandlingsansvarlig på forespørsel • Behandleren skal ikke overlevere personlige data fra datasubjekter til tredjepart uten at dette er skriftlig avtalt med behandlingsansvarlig, eller behandleren er pålagt dette etter norsk lov. • Databehandleren skal påse at alle ansatte og kontraktører som kommer i befatning med programvaren, personlige data eller håndtering av infrastruktur som kan påvirke gjennomføring av behandlingen skal ha mottatt nødvendig opplæring i personvern og informasjonssikkerhet. • Ved datainnbrudd som kan ha betydning for behandlingsansvarlig og de registrerte skal behandleren gi beskjed til behandlingsansvarlig innen 24 timer etter at et mulig sikkerhetsbrudd har blitt oppdaget.
Databehandlerens plikter. Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av den behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen. Databehandleren plikter å gjennomføre planlagte og systematiske tiltak som skal sørge for tilfredsstillende sikring av personopplysningene, jf personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. Databehandleren plikter å gjøre seg kjent med og etterleve den behandlingsansvarliges internkontrollsystem, jf. personopplysningslovens § 14 og personopplysningsforskriftens kapittel 3. Etter forespørsel fra den behandlingsansvarlige plikter databehandleren å dokumentere at kravene til informasjonssikkerhet og internkontroll er ivaretatt. Risikovurderinger skal gjennomføres og fremlegges for den behandlingsansvarlige. Databehandler skal behandle personopplysningene i samsvar med akseptabelt risikonivå som den Behandlingsansvarlige setter. Dersom personopplysninger kommer på avveie, eller at det er mistanke om at disse er kompromittert, skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig. Den behandlingsansvarlige skal ha fullt innsyn i hele saken ved en slik hendelse. Databehandler skal etablere rutiner for logging av feil og avvik i henhold til personopplysningsforskriftens xxxxxxxx0. Databehandler skal sikre personopplysningenes konfidensialitet, integritet og tilgjengelighet, jf personopplysningsloven § 13. Tilgang til tjenester og eget nettverk skal være basert på individuelle brukerkonti og passord. Lagring av personopplysninger som behandles på vegne av den behandlingsansvarlige skal sikres slik at kun autorisert personell har adgang til disse. En skal alltid vurdere behovet for tilgang før slik gis til databehandlerens medarbeidere. Databehandleren skal til enhver tid ha oversikt over hvilke medarbeidere som har tilgang til personopplysingene.
Databehandlerens plikter. Databehandleren skal: