VEILEDNING OM BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED LEIE AV EIENDOM









DATABEHANDLERAVTALE MELLOM UTLEIER OG LEVERANDØR

VEILEDNING OM BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED LEIE AV EIENDOM

Dersom utleier som ledd i oppfyllelsen av sine plikter etter leieavtalen får tilgang til og behandler opplysninger som kan knyttes til enkeltpersoner på vegne av leietaker, fastsetter personopplysningsloven en del lovkrav som må reflekteres i avtalen mellom leietaker og utleier. Blant annet må formålet med behandlingen angis, og det må gis informasjon til de enkeltpersoner det behandles opplysninger om. Som «behandling» av personopplysninger anses enhver bruk av opplysninger som kan knyttes til en enkeltperson, som f.eks. registrering, sammenstilling, lagring og utlevering.

For opplysninger som utleier behandler for egne formål, vil utleier være å anse som såkalt behandlingsansvarlig etter loven. For opplysninger som utleier kun behandler på vegne av leietaker, vil utleier være en såkalt databehandler på vegne av leietaker.

Denne forskjellen kan illustreres med følgende eksempel: Når utleier registrerer personopplysninger for å føre egen kontroll med at ikke uvedkommende får tilgang til utleiers eiendom (eget formål), er utleier å anse som behandlingsansvarlig, med direkte behandlingsansvar etter loven. Når utleier på den annen side registrerer opplysninger om nøkkelkort som er nødvendige for å gi den enkelte av leietakers personell riktig adgang til de lokaler leietaker leier, er utleier å anse som en databehandler på vegne av leietaker som behandlingsansvarlig. Avgjørende for skillet er hvilken av partene som bestemmer formålet med den aktuelle behandlingen og hvilke hjelpemidler som skal brukes til dette.

Siden utleier for deler av databehandlingen vil være å anse som databehandler, må avtalen mellom partene tilfredsstille personopplysningslovens krav til en såkalt databehandleravtale. Dersom utleier overlater hele eller deler av databehandlingen som utleier er ansvarlig for, til en ekstern leverandør, må det på tilsvarende vis inngås en databehandleravtale mellom utleier og den eksterne leverandøren som viderefører utleiers plikter til leverandøren (såkalt «underdatabehandleravtale»). Nedenfor følger en standardmal for inngåelsen av en slik avtale. Avtalen bygger på at det er inngått en tilsvarende (hoved)databehandleravtale mellom leietaker og utleier. Det er utarbeidet en standard databehandleravtale også for relasjonen mellom leietaker og utleier.

Det kan også tenkes scenarier der situasjonen ut ifra formålsbetraktningene ovenfor er den omvendte av hva som er beskrevet ovenfor, dvs. at leietaker vil være databehandler på vegne av utleier som behandlingsansvarlig. Det må også da inngås en databehandleravtale mellom partene. Da dette antas å være spesialtilfeller, er ikke utkastet til underdatabehandleravtale som er vedlagt her tilpasset dette scenariet. Utkastet kan imidlertid også benyttes i slike tilfeller, men behøver da noen tilpasninger.

Utkastet til databehandleravtale er oppdatert for å tilfredsstille nye krav etter EUs personvernforordning (GDPR).

Mer informasjon om regler for behandling av personopplysninger finnes på Datatilsynets nettsider xxx.xxxxxxxxxxxx.xx.


DATABEHANDLERAVTALE

MELLOM

UTLEIER OG LEVERANDØR



1.Bakgrunn

[…] (Utleier) og […] (Leverandøren) har [dato] inngått en avtale (Avtalen) som omfatter levering av nærmere angitte tjenester for [adresse, gnr. og bnr.] (Eiendommen).

Utleier bruker Leverandøren som underleverandør for å levere de ovennevnte tjenestene til leietaker/leietakerne (Leietaker) i Eiendommen.

Denne databehandleravtalen regulerer Utleiers og Leverandørens rettigheter og plikter i forbindelse med Leverandørens behandling av personopplysninger på vegne av Leietaker. Leietaker er behandlingsansvarlig og Utleier er databehandler for behandlingen av personopplysninger. Leverandøren, i egenskap av å være Utleiers underleverandør, er såkalt «underdatabehandler» for personopplysningene, og er gjennom denne databehandleravtalen ilagt tilsvarende forpliktelser som Utleier er underlagt i avtalen med Leietaker.

2.Nærmere om behandlingen

Formålet med behandlingen, behandlingens art, kategorien av registrerte og de typer personopplysninger som skal behandles er nærmere beskrevet i Vedlegg 1.

3.Utleiers plikter

Utleier bekrefter at Leietaker i avtalen med Utleier har bekreftet at:

  • Leietaker har et rettslig grunnlag for behandlingen av personopplysningene, herunder rett til å la Utleier og Leverandøren behandle opplysningene som angitt i denne databehandleravtalen

  • personopplysningene er fullstendige og korrekte slik at Utleier og Leverandøren blir i stand til å oppfylle sine plikter

  • Leietaker har informert den som personopplysningene gjelder i tråd med gjeldende lov

Utleier skal, i samråd med Leietaker:

  • svare på henvendelser fra de registrerte om behandlingen av personopplysninger under denne databehandleravtalen

  • vurdere nødvendigheten av tiltak som angitt i pkt. 4.3.2 og ved behov bestille slike tiltak fra Leverandøren

Utleier skal ha på plass tilstrekkelige tekniske og organisatoriske tiltak for å sikre overholdelse av relevante krav etter gjeldende personvernlovgivning.

4.Leverandørens plikter

4.1Overholdelse av gjeldende rett

Leverandøren skal behandle personopplysninger i henhold til gjeldende lovgivning og som angitt i denne databehandleravtalen.

4.2Instruks fra Utleier

Leverandøren skal bare behandle personopplysninger i samsvar med dokumentert instruks fra Utleier eller som angitt i denne databehandleravtalen. Leverandøren skal ikke uten forutgående skriftlig avtale eller instruks behandle personopplysninger utover det som er nødvendig for å overholde forpliktelser i denne databehandleravtalen.

Dersom Leverandøren likevel må behandle personopplysninger på grunn av ufravikelig lov, skal Leverandøren såfremt det er lovlig underrette Utleier før behandlingen starter.

Leverandøren skal varsle Utleier dersom Leverandøren mener at en instruks fra Utleier er i strid med gjeldende lovgivning.

4.3Informasjonssikkerhet

4.3.1Vurdering av tiltak

Leverandøren skal ved planlagte systematiske, organisatoriske og tekniske tiltak sikre at de datasystemer og prosesser hvor personopplysningene behandles har et tilfredsstillende sikkerhetsnivå (informasjonssikkerhet).

Herunder skal Leverandøren sikre at opplysningene ikke blir gjort tilgjengelige for uvedkommende (konfidensialitet), at de ikke kan endres utilsiktet eller av uvedkommende (integritet), og at de er tilgjengelige for de rettmessige brukere når disse har behov for det for å kunne utføre sine oppgaver (tilgjengelighet).

Ved vurderingen av hvilke tekniske og organisatoriske tiltak som skal tas i bruk, skal Leverandøren i samråd med Utleier ta i betraktning:

  • beste praksis

  • kostnaden ved implementering

  • karakteren og omfanget av behandlingen

  • konteksten og formålet med behandlingen

  • alvorlighet av den risiko behandlingen av personopplysninger medfører for de registrerte enkeltpersoners rettigheter

Leverandøren skal, i samråd med Utleier, vurdere:

  • Implementering av pseudonymisering (erstatning av direkte identifiserende data med koder) og kryptering av personopplysninger

  • Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet som nevnt ovenfor, samt robustheten til systemer for behandling og tjenester

  • Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle uønskede fysiske eller tekniske hendelser

  • En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til behandlingen

Relevant dokumentasjon for sikkerhetstiltakene skal gjøres tilgjengelig for Utleier på forespørsel.

4.3.2Bistand til Utleier

Leverandøren skal gi bistand slik at Utleier kan ivareta sitt eget ansvar etter avtalen med Leietaker og gjeldende lovgivning. Herunder skal Leverandøren bistå Utleier med å:

  • få på plass tekniske og organisatoriske tiltak som nevnt ovenfor

  • overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av eventuelle avvik når lovgivningen krever det

  • utføre vurdering av personvernkonsekvenser når lovgivningen krever det

  • utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig

Bistanden skal utføres i den utstrekning det er nødvendig ut fra Utleiers behov, karakteren av behandlingen og informasjonen tilgjengelig for Utleier.

4.3.3Henvendelser fra registrerte personer

Leverandøren skal ha på plass tekniske og organisatoriske tiltak for kunne bistå Utleier (i samråd med Leietaker) med å svare på henvendelser fra de enkeltpersoner som det er registrert opplysninger om angående utøvelse av de rettigheter disse har etter lovgivningen.

4.3.4Kompensasjon for bistand

Bistand som fastsatt i denne databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Utleier, skal kompenseres av Utleier etter medgått tid i samsvar med Leverandørens vanlige betingelser og timesatser, eller hvis slike ikke finnes; som nærmere avtalt mellom partene.

4.4Avvik og avviksmeldinger

Enhver bruk av personopplysninger i strid med etablerte rutiner, instrukser fra Utleier eller gjeldende lovgivning, samt eventuelle sikkerhetsbrudd, skal behandles som avvik.

Leverandøren skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket og forhindring av gjentagelse.

Leverandøren skal uten ugrunnet opphold varsle Utleier om ethvert sikkerhetsbrudd eller annet brudd på denne databehandleravtalen. Leverandøren skal gi Utleier all informasjon som er nødvendig for å sette Utleier og Leietaker i stand til å overholde gjeldende lovgivning og sette Leietaker i stand til å besvare henvendelser fra Datatilsynet. Det er Leietakers ansvar å melde avvik til Datatilsynet og registrerte personer i henhold til gjeldende lovgivning.

4.5Konfidensialitet

Leverandøren har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Leverandøren skal sikre at alle som utfører arbeid for Leverandøren, enten ansatte eller innleide, som har tilgang til eller er involvert i behandling av personopplysninger etter databehandleravtalen (i) er underlagt taushetsplikt, og (ii) er informert om og overholder forpliktelsene etter denne databehandleravtalen. Taushetsplikten gjelder også etter opphør av databehandleravtalen.

4.6Sikkerhetsrevisjoner

Leverandøren skal jevnlig foreta sikkerhetsrevisjoner for systemer og rutiner som er relevante for behandlingen av personopplysninger som omfattes av denne databehandleravtalen. Utleier skal på forespørsel få tilgang til rapporter som dokumenterer slike sikkerhetsrevisjoner.

Utleier har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Leverandøren skal kompenseres av Utleier i samsvar med Leverandøren vanlige betingelser og timesatser for Leverandørens medgåtte tidsbruk for medvirkning til slik revisjon, eller hvis slike ikke finnes; som nærmere avtalt mellom partene.

4.7Bruk av underleverandører; overføring av personopplysninger utenfor EU/EØS

Enhver underleverandør av Leverandøren skal godkjennes skriftlig av Utleier etter samråd med Leietaker før underleverandøren kan behandle personopplysninger. En liste med godkjente underleverandører på avtaletidspunktet er vedlagt denne databehandleravtalen som vedlegg 2. Leverandøren skal, i skriftlig avtale med enhver underleverandør, sikre at behandling av personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som de som er pålagt Leverandøren i henhold til denne databehandleravtalen.

Dersom Leverandøren planlegger å skifte ut eller benytte ny underleverandør, skal Leverandøren skriftlig varsle Utleier i rimelig tid for Utleiers godkjenning i samråd med Leietaker, før ny underleverandør starter behandling av personopplysninger. Utleier skal ved mottak av slikt varsel godkjenne underleverandøren innen rimelig tid, med mindre Utleier eller Leietaker har en rimelig grunn til å motsette seg endringen.

Leverandøren kan ikke benytte underleverandør(er) som innebærer overføring av personopplysninger utenfor EU/EØS uten etter særskilt avtale med Utleier. Dersom Utleier og Leietaker godkjenner slik overføring, skal Utleier samarbeide med Leverandøren om å sikre lovligheten av slik overføring.

5.Kontraktsbrudd

Ved brudd på denne databehandleravtalen skal de relevante bestemmelser om kontraktsbrudd i Avtalen komme til anvendelse.

6.Varighet, avslutning av databehandleravtalen, endringer

Denne databehandleravtalen skal gjelde fra den er signert av begge parter og inntil Avtalen utløper, eller inntil Leverandørens behandling av personopplysninger på vegne av Utleier i henhold til denne databehandleravtalen opphører av annen grunn.

Ved avslutning av denne databehandleravtalen skal personopplysninger returneres i standardisert format på et elektronisk medium. Leverandøren skal først returnere og deretter slette alle personopplysninger. Leverandøren og eventuelle underleverandører skal umiddelbart stanse behandling av personopplysningene ved utløpet av databehandleravtalen.

Som alternativ til å få returnert personopplysningene kan Utleier velge å instruere Leverandøren om at personopplysningene skal slettes, med mindre ufravikelig lovgivning forhindrer Leverandøren fra slik sletting.

Leverandøren skal gi Utleier en skriftlig erklæring som bekrefter at Leverandøren garanterer at alle personopplysninger har blitt returnert eller slettet i henhold til Xxxxxxxx instrukser.

Forpliktelsene etter pkt. 4.5 og 5 skal fortsette å gjelde etter databehandleravtalens opphør. Videre skal bestemmelsene i databehandleravtalen gjelde fullt ut for eventuelle personopplysninger beholdt av Leverandøren i strid med dette pkt. 6.

Partene skal revidere denne databehandleravtalen i den grad det er nødvendig for å tilfredsstille endringer i relevant lovgivning eller pålegg fra offentlig myndighet.

7.Tvister og jurisdiksjon

Denne databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett.

Avtalt verneting skal være det samme som etter Avtalen.

*****



[sted], [dato]



For Utleier for Leverandøren

________________________ ________________________
[…] […]

[Det må kontrolleres for hver avtale at disse kategoriene er riktige. Det er et lovkrav at riktige typer data angis i avtalen.]


  1. Behandlingsaktiviteter og formål

Leverandøren vil utføre følgende behandlingsaktiviteter for følgende formål:

  • Adgangskontroll: Formålet med Leverandørens behandling av personopplysninger på vegne av Utleier er å bistå Leietaker med å sikre at ingen uvedkommende får adgang til Eiendommen, samt utføre driftsteknisk oppfølging og feilretting.

  • Kantine: Formålet med Leverandørens behandling av personopplysninger på vegne av Utleier er å bistå Leietaker med å gi Leietakers ansatte et kantinetilbud.

  • Resepsjon: Formålet med Leverandørens behandling av personopplysninger på vegne av Utleier er å bistå Leietaker med resepsjonstjenester og registrering av besøkende.

  • Parkering: Formålet med Leverandørens behandling av personopplysninger på vegne av Utleier er å bistå Leietaker med å administrere og kontrollere Leietakers parkeringsplasser til bruk for deres ansatte og/eller besøkende.

  • Kameraovervåking: Formålet med Leverandørens behandling av personopplysninger på vegne av Utleier er å bistå Leietaker med å ivareta sikkerheten til Leietakers ansatte og besøkende, samt utføre driftsteknisk oppfølging og feilretting.



  1. Typer personopplysninger og kategorier av registrerte personer

Leverandøren vil for hver opplistede behandlingsaktivitet behandle følgende typer personopplysninger om følgende kategorier av registrerte personer:

  • Adgangskontroll:

    • Ansatte hos Leietaker: Navn, tidspunkt og sted for adgang.

    • Besøkende til lokalet: Navn, tidspunkt og sted for adgang.

  • Kantine:

    • Ansatte hos leietaker: Navn, tidspunkt for kjøp, kjøpesum.

  • Resepsjon:

    • Besøkende i bygget: Navn, telefonnummer, tidspunkt for besøk.

  • Parkering:

    • Ansatte hos Leietaker: Navn, telefonnummer, bilregistreringsnummer, tidspunkt for ankomst og avreise.

    • Besøkende hos Leietaker: Bilregistreringsnummer, tidspunkt for ankomst og avreise.

  • Kameraovervåking:

    • Ansatte hos Leietaker: Videoopptak, herunder med bilde av person, bevegelser i og i nærheten av Eiendommen, tidspunkt for ankomst og avreise.

    • Besøkende hos Leietaker: Videoopptak, herunder med bilde av person, bevegelser i og i nærheten av Eiendommen, tidspunkt for ankomst og avreise.

    • Andre personer som oppholder seg i eller i nærheten av Eiendommen: Videoopptak, herunder med bilde av person, bevegelser i og i nærheten av Eiendommen, tidspunkt for ankomst og avreise.


      1. Godkjente underleverandører

Dette vedlegget inneholder en uttømmende angivelse av hvilke underleverandører Leverandøren kan benytte.

Navn på underleverandør

Dato for oppstart av bruk av under­leverandør





1


Document Metadata

Filed: September 6th, 2018