AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)










AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Shape1




  1. Avtalens parter


    1. Parter


Avtalen inngås mellom:


XXX kommune, xxx.xx XXX XXX XXX (heretter kalt behandlingsansvarlig) og

Xxxxxxxxxxxxxxxxx.xx AS, Xxx.xx 927 153 114 (heretter kalt databehandler)


    1. Kontaktpersoner


Kontaktperson («superbruker») hos behandlingsansvarlig:


Navn:

Tittel:

Tlf:

Mailadresse:


  1. Bakgrunn


Partene har (dato) inngått avtale om tilgang til XXX kommune for bruk av nettportalen Undervisningsplan. Avtalen innebærer at XXX kommune, databehandler og sluttbruker kan registrere, sammenstille og lagre personopplysninger i portalen.


Avtalens hensikt er å regulere rettigheter og plikter i henhold til personopplysningsloven av 15.06.2018, jf. artikkel 28 nr. 3 i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) («personvernforordningen» eller «GDPR»).


Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behand- lingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.


  1. Formålet med avtalen


Formålet med avtalen er å åpne for tilgang til tjenesten Xxxxxxxxxxxxxxxxx.xx via NN kommune sin Feide-innlogging, samt å regulere behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige i forbindelse med drift av portalen.


Databehandleren kan kun behandle personopplysninger gjort tilgjengelig av behandleransvarlig i henhold til denne avtale. Dette omfatter personopplysninger som følger den enkelte brukers profil autoriseringstjenesten Feide.


Det skal fremgå klart av denne avtalen dersom databehandleren kan overlate person- opplysninger til andre for oppbevaring, bearbeiding eller annen behandling, og under- leverandør skal angis i avtalens punkt 6.


Behandlingens formål kan ikke endres av noen av partene uten at ny avtale er signert.


    1. Spesifisering av registrerte og aktuelle data


Det behandles ikke opplysninger om elever eller foresatte, men kun ansatte i skolen.


De data som behandles vil være:


Personopplysninger som kan hentes tilknyttet den enkelte brukers Feide-innlogging, som:


  • Navn

  • Mailadresse

  • Gruppetilhørighet

  • Organisasjonstilhørighet

  • Feide-Id (bruker-ID)


Kontaktinformasjon for brukere som registrerer seg utenfor Feide


  • Navn

  • Sted

  • Skole

  • Stilling

  • Trinn

  • Fag

  • Mailadresse

  • Telefon


Kontaktinformasjon for brukere som registrerer seg utenfor Feide, som organisasjon eller bedrift


  • Navn organisasjon/bedrift

  • Sted

  • Skole

  • Stilling

  • Trinn

  • Fag

  • Mailadresse

  • Telefon


  1. Varighet og oppsigelse

Avtalen gjelder lenge databehandler behandler personopplysninger vegne av behandlingsansvarlig ihht. formålet angitt i avtalens pkt. 3 og pkt. 4.


Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.


Avtalen kan sies opp av begge parter med en gjensidig frist på 3 måneder, jf. punkt 8 i denne avtalen.


Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.


  1. Partenes ansvar under personopplysningsloven


    1. Behandlingsansvarliges plikter


Behandlingsansvarlig er den som bestemmer formålet med behandlingen av person- opplysninger og hvilke hjelpemidler som skal brukes, jf. lov om behandling av person- opplysninger (heretter personopplysningsloven), § 2 nr. 4.


Den behandlingsansvarlige har ansvar for å påse at krav til informasjonssikkerhet, herunder krav om konfidensialitet, integritet og tilgjengelighet, som stilles i personopplysningsloven med forskrifter, er oppfylt.


Dette innebærer blant annet også at behandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av personopplysningene hos data- behandleren, jf. loven §§ 13 og 15 og personopplysningsforskriften § 2-15.


Superbruker utpeker overfor databehandler hvem som skal ha tilgang («brukere»), og hvor omfattende tilgangen skal være. Superbruker skal uten opphold melde fra til databehandler dersom en brukers tilgang skal begrenses eller opp.


    1. Databehandlers plikter


Databehandler er den som behandler personopplysninger på vegne av den behandlings- ansvarlige, jf. personopplysningsloven § 2 nr. 5.


Databehandler kan kun behandle personopplysninger tilgjengeliggjort av behandlings- ansvarlig i henhold til denne avtale, jf. personopplysningsloven § 15. Eventuell annen bruk av personopplysningene skal i forkant avtales særskilt og skriftlig med behandlings- ansvarlig.


Databehandler skal følge de rutiner og instrukser for behandlingen som behandlings- ansvarlig til enhver tid har bestemt skal gjelde, herunder bidra til å utarbeide og iverksette tiltak som beskrevet i lovens § 13.


Partene er enige at det kun er følgende ansatte hos databehandler som har tilgang til de opplysninger som gjøres tilgjengelig i portalen:


  • Systemansvarlig: Advanz AS (xxx.xx: 924 791 268)

  • Personer med Admin global-rolle (pt. Advanz AS, Xxxxx Xxxx og Xxxxx Xxxxxxxx)


Databehandler plikter å foreta tildele/inndra brukerrettigheter som beskrevet ovenfor under pkt. 5.1.


Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.


Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.


Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkom- mende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.


  1. Bruk av underleverandører


Dersom en av partene engasjerer utenforstående (underleverandører) til å utføre ytelser som følger av denne avtalen, er parten fullt ansvarlig for utførelsen av disse ytelsene på samme måte som han selv stod for utførelsen. Databehandleren skal sørge for at underleverandør undertegner og forplikter seg til å følge behandlingsansvarliges databehandleravtale.


Dersom underleverandør anvendes skal denne/disse angis her, eller som et tillegg til avtalen:


  • Datasenter v/ Advanz AS. Data blir lagret i en database på en Google Cloud-server som er lokalisert i Amsterdam.


Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.


  1. Krav til informasjonssikkerhet


Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysnings- loven og personopplysningsforskriften, herunder særlig personopplysningsloven §§ 13-15 med forskrifter.


Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig behandlingsansvarliges forespørsel.


Databehandler skal på forespørsel fra behandlingsansvarlig bistå og stille seg til disposisjon for at behandlingsansvarlig skal kunne foreta sikkerhetsrevisjoner for systemer og rutiner, og andre kontrolltiltak relevant for oppfyllelsen av partenes rettslige plikter i henhold til denne avtale, hos databehandler.


  1. Avviksmelding


Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, anses som avvik, jf. personopplysningsforskriftens § 2-6. Databehandler skal melde avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding, der uautorisert utlevering av personopplysninger har skjedd, sendes til Datatilsynet. Varsling skal finne sted innen 72 timer.


  1. Taushetsplikt


Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående.


Taushetsplikten gjelder partenes ansatte og evt. underleverandører som handler på partenes vegne i forbindelse med gjennomføringen av kontrakten. Alle ansatte skal ha undertegnet taushetserklæring.


Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet. Ansatte og andre som fratrer sin tjeneste hos en av databehandlerne skal pålegges taushet også etter fratredelse om forhold som nevnt over.


Denne bestemmelsen gjelder også etter avtalens opphør.


  1. Mislighold


Mislighold foreligger dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret for eller risikoen for.


Dersom en av partene ønsker å påberope seg mislighold, skal dette meddeles den andre parten skriftlig uten ugrunnet opphold.


Ved mislighold kan den krenkede part holde tilbake sin motytelse, men ikke åpenbart mer enn det som synes påkrevd for å avhjelpe virkningene av misligholdet, og bare inntil forholdet er brakt i overensstemmelse med avtalen.


Hvis det foreligger vesentlig mislighold kan den andre parten – etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden heve hele eller deler av avtalen med øyeblikkelig virkning og kreve erstatning for eventuelle tap dette har medført.


  1. Ved opphør


Ved avtalens utløp skal databehandleren påse at alle personopplysninger som er tilgjengelig- gjort av behandlingsansvarlig makuleres / slettes forsvarlig måte. Dette gjelder også sikkerhetskopier.


I stedet for makulering kan behandlingsansvarlig kreve alt utlevert / tilsendt materiale som omfatter personopplysninger, tilbake til behandlingsansvarlig i form av utskrift eller kopi.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.


  1. Rettsvalg og verneting


Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett.


Eventuelle tvister som springer ut av denne avtalen skal behandles ved de ordinære domstoler.


Møre og Romsdal tingrett vedtas som verneting.





  1. Signering


Denne avtale er undertegnet i 2 – to – eksemplarer, hvorav hver part beholder 1 – ett – eksemplar.


Sted/Dato: Kristiansund, 02.12.21


Navn: Navn: XXXXX XXXX


Shape2


Databehandler (signatur)


 Shape3 Stilling: Stilling: Daglig leder



Shape4
Shape5

Behandlingsansvarlig (signatur)

Document Metadata

Filed: December 2nd, 2021