Databehandleravtale
Minibuss Follo 2015 Kontrakt
Versjon 1.0
14.06.2016
Konkurranse om minibusstjenester Vedlegg 8
Databehandleravtale
I henhold til personopplysningslovens §13, jf. §15 og personopplysningsforskriftens kapittel 2.
mellom Ruter As
Behandlingsansvarlig og
xxxx Databehandler
1 AVTALENS HENSIKT
Avtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av
15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om den registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Ved innføring av nytt regelverk som EU forordningen om personvern gjelder avtalen inntil den blir erstattet av ny avtale, og så langt den er i samsvar med regelverket.
Avtalen regulerer databehandlerens bruk av personopplysninger på vegne av den behandlingsansvarlige – herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
Meddelelser etter denne avtalen skal sendes skriftlig til: xxxxxxx@xxxxx.xx
2 DEFINISJONER
Det vises til definisjonene i hovedavtalen. I tillegg gjelder følgende definisjoner:
Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av Personopplysninger og hvilke hjelpemidler som skal brukes.
Databehandler: Den som behandler Personopplysninger på vegne av den Behandlingsansvarlige.
Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson.
Behandling av personopplysninger: Enhver bruk av Personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
3 FORMÅL
Denne avtalen regulerer rettigheter og plikter for partene i forbindelse med databehandlers behandling av personopplysninger for den behandlingsansvarlige i forbindelse med utførelse av oppdrag om skole og spesialskyss med minibusser på Romerike. Avtalen gjelder tilsvarende så langt den passer for behandling av virksomhetskritiske opplysninger.
Opplysningene kan ikke benyttes for andre formål, og skal ikke utleveres til noen andre enn Oppdragsgiver. Unntak kan forekomme etter instruks fra Konsentra/Ruter. Det vises for øvrig til instruks for behandling av personopplysninger, som vil bli fastsatt etter kontraktsinngåelsen.
Ruter/ Konsentra ivaretar den registrertes øvrige rettigheter etter gjeldende regelverk.
4 DEN BEHANDLINGSANSVARLIGES ROLLE
[ • ] er behandlingsansvarlig og bestemmer over bruken av opplysningene som omfattes av denne avtale i henhold til det som er avtalt med den enkelte kunde.
Den behandling som er avtalt med kunden går frem av samtykkeskjemaet
[ • ] er som behandlingsansvarlig bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene, og at den aktuelle behandling er i overensstemmelse med gjeldende lovgivning.
Med mindre annet følger av lov, har den behandlingsansvarlige rett til tilgang til og innsyn i både personopplysningene som behandles og i systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Gjelder databehandlere utenfor behandlingsansvarliges nettverk.
Den behandlingsansvarlige har taushetsplikt om eventuelle virksomhetskritiske opplysninger han gjennom innsyn får tilgang til, og som ikke er relatert til behandlingen av personopplysninger.
5 DATABEHANDLERENS PLIKTER
Databehandleren behandler personopplysninger på vegne av Oppdragsgiver, Ruter AS.
Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlingsansvarlige til enhver tid har bestemt skal gjelde. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn det som er avtalt med den behandlingsansvarlige.
Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen, se nærmere under avsnitt 7.
Dette gjelder databehandlere utenfor behandlingsansvarliges nettverk, og innebærer at databehandleren skal følge den behandlingsansvarliges rutiner og instrukser så langt de er i samsvar med personopplysningsloven med forskrifter.
Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Dette gjelder også etter avtalens opphør.
Databehandleren plikter å følge Ruters instrukser og sikkerhetsreglement for intern kontroll og informasjonssikkerhet og har dessuten et selvstendig ansvar for å påse at personopplysningsloven blir fulgt.
6 SIKKERHET
Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter.
For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal på forespørsel gjøres tilgjengelig for den behandlingsansvarlige. Databehandleren skal også bistå, slik at den behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.
Gjelder databehandlere utenfor behandlingsansvarliges nettverk, se også kommentar under 5.
Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandleren melder avviket til den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet.
Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer.
Databehandleren skal videre ha et styringssystem for sikkerhet iht. personopplysningsforskriften. Systemet skal omfatte – men ikke avgrenses til rutiner for:
• Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd;
• Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner;
• Ledelsens gjennomgang av sikkerhetsarbeidet, samt
• Gjennomføring av årlige revisjoner av virksomheten;
Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for.
7 SIKKERHETSREVISJONER
Den behandlingsansvarlige skal jevnlig gjennomføre sikkerhetsrevisjoner av databehandleren.
Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.
8 AVTALENS VARIGHET
Avtalen gjelder så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige.
Dette tidspunktet vil i praksis være knyttet til hovedavtalens utløp.
Ved brudd på denne avtale eller personopplysningsloven, kan den behandlingsansvarlige pålegge databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Brudd på denne avtalen er å regne som mislighold av hovedavtalen.
9 TILBAKEFØRING VED OPPHØR
Ved opphør av denne avtalen plikter databehandleren å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige, og som omfattes av denne avtalen.
Ved opphør av avtalen skal databehandleren også slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er og annet som inneholder opplysninger som er behandlet i avtaleperioden. Dette gjelder også for eventuelle sikkerhetskopier.
Databehandleren skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
10 LOVVALG OG VERNETING
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.
Valg av verneting kan avtales særskilt, eller man kan følge hovedavtalen
***
Denne avtale er i 2 – to – eksemplarer, hvorav partene har hvert sitt.
Oslo den nnn 2016
Behandlingsansvarlig Databehandler
……………………….. ………..………………
………………………….