Vedlegg 8 Databehandleravtale Transporttjenester Indre by 2023
Vedlegg 8 |
Transporttjenester Indre by 2023 |
Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen).
Oppdatert av Ruter etter krav i ny personopplysningslov og EU forordning 2016/679 for behandling av personopplysninger.
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter gjeldende personopplysningslov, innenfor rammen av hovedavtalen om transporttjenester. Databehandleravtalen skal sikre at personopplysninger om den registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlerens bruk av personopplysninger på vegne av den behandlingsansvarlige – herunder innsamling, registrering, sammenstilling, lagring, videreformidling, utlevering eller kombinasjoner av disse.
Meddelelser etter denne avtalen skal sendes skriftlig til: xxxxxxxxxxxxxxx@xxxxx.xx
2. Definisjoner
I tillegg til definisjonene i hovedavtalen gjelder følgende definisjoner:
Begrep | Definisjon |
Behandlingsansvarlig | Den som bestemmer formålet med behandlingen av Personopplysninger og hvilke hjelpemidler som skal brukes. |
Databehandler | Den som behandler personopplysninger på vegne av den behandlingsansvarlige. |
Personopplysninger | Opplysninger og vurderinger som kan knyttes til en enkeltperson. |
Behandling av personopplysninger | Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. |
Behandlingsformål | Angir hensikten med behandlingen av personopplysninger. Databehandler skal utføre konkrete oppgaver (driftsformål) for å oppfylle behandlingsformålet. |
Behandlingsgrunnlag | Et grunnlag som gjør behandlingen av personopplysninger lovlig. Samtykke fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag. |
3. Formål og rettslig grunnlag
3.1 Innledning
Databehandler skal kun behandle personopplysninger som er i samsvar med formålet med behandlingen, på den måten som er angitt i denne avtale, og for øvrig i samsvar med hovedavtalen.
3.2 Formålet med behandlingen
Personopplysninger som nevnt i denne avtale behandles for å kunne følge opp henvendelser og skadesaker fra kunden.
For skadesaker vil det være delt behandling mellom operatør/ forsikringsselskap og Ruter, slik at for skadesaker som skal behandles av forsikringsselskap så er operatør/forsikringsselskap behandlingsansvarlig.
3.3 Behandlingsmåter
Behandlingen kan foregå ved transportering, innsamling, registrering, lesing, oppslag, bearbeiding i form av nødvendig tillegg i en sak, lagring, sletting og utlevering til behandlingsansvarlig, og hvis nødvendig også gjennom kobling av opplysninger og/eller data.
Opplysningene skal ikke lagres for fremtidig bruk i arkivinstans. Personopplysningene kan ikke benyttes for databehandlers formål.
3.4 Rettslig grunnlag for behandlingen
Behandlingsansvarlig bekrefter at behandlingsansvarlig har tilstrekkelig hjemmelsgrunnlag for behandling av personopplysninger, og har rett til, og ansvaret for lovligheten av, overføring av personopplysningene til databehandler. Rettslig grunnlag er beskrevet på xxxxx.xx/xxxxxxxxxx.
Aktuelt grunnlag for behandling av personopplysninger i denne avtale er kundens samtykke, eller at behandlingen er nødvendig for å følge opp transportavtalen med kunden.
3.5 Kategorier av personopplysninger som behandles
3.5.1 Kundeopplysninger
Kundeopplysninger er for eksempel navn, fødselsnummer, adresse, postadresse, telefonnummer, e-postadresse, kortnummer og status kort.
3.5.2 Reiseopplysninger
Reiseopplysninger er informasjon om tid og sted for transporten, inklusive informasjon om hentested og leveringssted.
3.5.3 Særlige personopplysningskategorier
Det behandles særlige kategorier av personopplysninger i skadesaker.
3.5.4 Tidsavgrenset behandling
Behandling av personopplysningene skal opphøre etter instruks fra behandlingsansvarlig, og i samsvar med gjeldende lovverk.
3.5.5 Sletting eller anonymisering av data som kan knyttes til en person
Fortløpende sletting, eller anonymisering, av personopplysninger skal gjennomføres dersom opplysningene ikke lenger er nødvendig for å oppfylle formålet, og såfremt det ikke foreligger en plikt til oppbevaring i lovgivningen. En eventuell oppbevaringsplikt skal i tilfelle dokumenteres overfor behandlingsansvarlig.
4. Den behandlingsansvarliges rolle
Ruter AS er behandlingsansvarlig og beslutter behandlingen av opplysningene som omfattes av denne avtale, i henhold til det som er avtalt med den enkelte kunde.
Ruter AS er som behandlingsansvarlig bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene, og at den aktuelle behandling er i overensstemmelse med gjeldende lovgivning.
Den behandlingsansvarlige skal sørge for tilstrekkelig interne rutiner og dokumentasjon om behandlingen, nødvendig informasjon om behandlingen, og gjennomfører risikovurdering og DPIA.
Med mindre annet følger av lov, har den behandlingsansvarlige rett til tilgang til og innsyn i både personopplysningene som behandles og i systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
5. Databehandlerens plikter
Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlingsansvarlige til enhver tid har besluttet at skal gjelde.
Det skal ikke behandles andre personopplysninger enn det som er beskrevet i denne avtalen.
Dersom ikke annet er avtalt skal personopplysningene ikke benyttes til andre formål enn det som er beskrevet i denne avtalen.
Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen.
Databehandler er ansvarlig for å oppfylle pliktene i EU forordning 2016/679 for behandling av personopplysninger. Dette innebærer, men er ikke avgrenset til:
5.1.1.1 Varsle den behandlingsansvarlige om avvik uten unødvendig forsinkelse slik at Behandlingsansvarlig kan oppfylle fristen til å varsle Datatilsynet innen 72 timer jf. artikkel 33.
5.1.1.2 Opprette personvernombud dersom man behandler personopplysninger i stor målestokk, eller dersom man behandler sensitive personopplysninger i stort omfang eller er offentlig virksomhet. jf. art 37 og 38.
5.1.1.3 Yte nødvendig bistand til behandlingsansvarlig i oppfyllelsen av den registrertes rettigheter slik de er beskrevet i GDPR kapitel 3, herunder retten til å kreve sletting, retting og innsyn i personopplysningene, retten til å kreve begrensning av en behandling og dataportabilitet mm. Bistandstimeprisen som beskrevet i hovedavtalen skal benyttes.
5.1.1.4 Underrette den behandlingsansvarlige dersom de mener at instruksjonene de mottar er i strid med forordningen eller personvernretten for øvrig.
5.1.1.5 Å ivareta forsvarlig informasjonssikkerhet ved egen behandling, jf. GDPR art 32.
5.1.1.6 Brudd på pliktene kan føre til sanksjoner fra Datatilsynet, jf. artikkel 58 og fortalen nr.146.
5.1.1.7 Dersom brudd på personopplysningsloven og GDPR medfører tap for den registrerte er databehandleren erstatningsansvarlig (solidaransvar), for skade som er forårsaket av at han ikke har oppfylt forpliktelser i denne forordningen eller hvis han har handlet i strid med behandlingsansvarliges instruks for behandlingen.
6. Taushetsplikt
Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Dette gjelder også etter avtalens eller ansettelsesforholdets eller tjenesteforholdets opphør.
7. Bruk av skytjenester – overføring av opplysninger til land utenfor EUØ/EØS
Databehandleren eller hans underleverandører kan ikke benytte skytjenester dersom dette kan medføre at personopplysninger behandles utenfor EU/EØS, uten at dette er særskilt godkjent av behandlingsansvarlig. Tilsvarende gjelder annen behandling av personopplysninger som innebærer overføring av personopplysninger til mottakerland utenfor EU/EØS.
Dette inkluderer lagring av personopplysninger på server utenfor EU/EØS og at noen av leverandørens eller underleverandørens ansatte kan få tilgang til system hvor det behandles personopplysninger. Tilsvarende gjelder for innlogging via skytjenester.
Spørsmål om behandling av personopplysninger i forbindelse med skytjenester skal uansett tas opp med Behandlingsansvarlig senest tre måneder før planlagt oppstart av behandlingen. Sensitive personopplysninger kan uansett ikke behandles utenfor EU/EØS.
Behandling av personopplysninger utenfor EU/EØS skal i alle tilfelle baseres på et gyldig utleveringsgrunnlag i samsvar med GDPR og praksis, og i tillegg nødvendig tiltak, vurdert utfra beskyttelsesnivået i lov og praksis i mottakerlandet. Vurderingen skal gjøres i samsvar med retningslinjer fra EDPB.
8. Bruk av underleverandør
Behandlingsansvarlig skal godkjenne databehandlers eventuelle bruk av underleverandører før behandlingen av personopplysninger starter. Underleverandører som er godkjent ved oppstart av avtalen skal vedlegges hovedavtalen.
Underleverandøren skal være kjent med databehandlerens avtalemessige og lovmessige forpliktelser, og oppfylle disse på lik linje med databehandleren.
En oversikt over underleverandører som ved avtaleinngåelsen - eller på et senere tidspunkt - skal behandle personopplysninger vedlegges databehandleravtalen, jf bilag 1 Oversikt over godkjente underleverandører.
Databehandler er ansvarlig overfor Behandlingsansvarlig for avtalebrudd som eventuelle underleverandører til tjenesten gjør seg skyldig i.
9. Informasjonssikkerhet
Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32.
Databehandler skal ha en dokumentert autorisasjonsordninger for ansatte hos databehandleren som skal få tilgang til å behandle personopplysninger.
For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlingsansvarlige.
Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer.
Databehandleren skal ha et styringssystem. Systemet skal omfatte, men ikke avgrenses til, rutiner for:
9.1.1.1 Tilgangskontroll
9.1.1.2 Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd.
9.1.1.3 Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner.
9.1.1.4 Ledelsens gjennomgang av sikkerhetsarbeidet.
9.1.1.5 Gjennomføring av årlige revisjoner av virksomheten.
9.1.1.6 Dokumentasjon av relevante hendelser
Databehandleren skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for.
Databehandleren skal også bistå behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift blant annet ved:
9.1.1.7 Varsling av avvik, jf. punkt 5.
9.1.1.8 Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten.
9.1.1.9 Bistå behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering.
9.1.1.10 Informasjonsutveksling med behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet.
Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet.
10. Sikkerhetsrevisjoner
Den behandlingsansvarlige skal kunne gjennomføre sikkerhetsrevisjoner av databehandleren. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.
Databehandler plikter å bistå den behandlingsansvarlig ved slike revisjoner og gjøre nødvendig dokumentasjon tilgjengelig. Bistandstimepris som beskrevet i hovedavtalen skal benyttes.
11. Avtalens varighet og endringer
Avtalen gjelder så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige. Dette tidspunktet vil i praksis være knyttet til hovedavtalens utløp.
Ved brudd på denne avtale eller gjeldende personopplysningslov, kan den behandlingsansvarlige pålegge databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Brudd på denne avtalen er å regne som mislighold av hovedavtalen.
Eventuelle endringer til denne avtalen skal beskrives i bilag 3, Endringer.
12. Tilbakeføring ved opphør
Ved opphør av hovedavtalen plikter databehandleren å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige, og som omfattes av denne avtalen.
Ved opphør av avtalen skal databehandleren deretter endelig slette eller forsvarlig destruere alle dokumenter, data, disketter, lagringstape, cd’er, minnepinner/USB-sticks og annet som inneholder personopplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Databehandleren skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
Databehandleren skal uansatt lagre dokumentasjon på sikkerhetsrutiner i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave, og databehandleren må i lagringstiden bistå den behandlingsansvarlige med å fremskaffe slik dokumentasjon.
13. Lovvalg og verneting
Avtalen er underlagt norsk rett og følger vernetingsbestemmelsene i hovedavtalen.
14. Signering
Databehandleravtalen er utarbeidet i to (2) eksemplarer hvor hver av partene beholder hvert sitt.