Versjon 3.0
Versjon 3.0
18.02.2021, justert 8.11.2021.
.
Databehandleravtale
[dato]
Dette vedlegget består av 11 sider
Vedlegg 3 til Kontrakt om Prisavtale
[dato]
Databehandleravtale
Oppdatert av Ruter etter krav i ny personopplysningslov og EU forordning 2016/679 for behandling av personopplysninger.
Mellom
……………Ruter As …………….
Behandlingsansvarlig Og
………………………………………..
Databehandler (Operatør)
[dato]
1 Avtalens hensikt:
Avtalens hensikt er å regulere rettigheter og plikter etter gjeldende personopplysningslov, innenfor rammen av hovedavtalen Avtalen skal sikre at personopplysninger om den registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlerens bruk av personopplysninger på vegne av den behandlingsansvarlige – herunder innsamling, registrering, sammenstilling, lagring, videreformidling, utlevering eller kombinasjoner av disse.
Meddelelser etter denne avtalen skal sendes skriftlig til: xxxxxxxxxxxxxxx@xxxxx.xx
2 Definisjoner
Det vises til definisjonene i hovedavtalen. I tillegg gjelder følgende definisjoner:
Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av Personopplysninger og hvilke hjelpemidler som skal brukes.
Databehandler: Den som behandler Personopplysninger på vegne av den Behandlingsansvarlige.
Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson.
Behandling av personopplysninger: Enhver bruk av Personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
Behandlingsformål:
Angir hensikten med behandlingen av personopplysninger. Databehandler skal utføre konkrete oppgaver (driftsformål) for å oppfylle behandlingsformålet.
Behandlingsgrunnlag:
Et grunnlag som gjør behandlingen av personopplysninger lovlig. Samtykke fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag.
[dato]
3 Formål og rettslig grunnlag
Databehandler skal kun behandle personopplysninger som er i samsvar med formålet og for øvrig i samsvar med hovedavtalen.
Ved motstrid mellom Hovedavtalen og Databehandleravtalen, har Databehandleravtalen forrang når det gjelder forhold spesifikt knyttet til behandling av personopplysninger. Ved motstrid mellom Databehandleravtalen og dens bilag, har bilagene forrang.
Formålet med behandlingen er:
Personopplysninger som nevnt i denne avtale behandles ifm. digital læringsplattform med det formål at bruker gjennom å være registrert som bruker av læringsplattformen på en enkel og brukervennlig skal bruker kunne logge seg inn på en begrenset digital løsning som inneholder digital læring. Løsningen registrerer brukers bruksmønster i læringsplattformen til bruk i rapportering på gjennomføring av digital læring, å kunne sende ut varsel pr. sms/epost til bruker som informasjon om ny digital læring, og/eller informasjon om brukerpålogging.
Personopplysningene kan ikke benyttes for databehandlers formål.
Rettslig grunnlag for behandlingen:
Behandlingsansvarlige bekrefter at Behandlingsansvarlig har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger, og har rett til, og ansvaret for lovligheten av, overføring av personopplysningene til Databehandler.
Aktuelt grunnlag er at behandlingen er nødvendig for å ivareta behandlingsansvarliges berettigede interesse i opplæring av ansatte. Personvernulempen er vurdert til å være minimal og dataminimering er gjennomført.-
Personopplysningskategorier:
Følgende kategorier av opplysninger behandles.
• navn, e-post, telefonnummer, arbeidssted, kursgjennomføring med angivelse av tidspunkt for kurs og resultat på test
Særlige personopplysningskategorier:
Det behandles ikke særlige kategorier av personopplysninger
Tidsavgrenset behandling:
Behandling av personopplysningene skal opphøre etter instruks fra Behandlingsansvarlig, og i samsvar med gjeldende lovverk.
Sletting eller anonymisering av data som kan knyttes til en person
[dato]
Fortløpende sletting, eller anonymisering, av personopplysninger skal gjennomføres dersom opplysningene ikke lenger er nødvendig for å oppfylle formålet, og såfremt det ikke foreligger en plikt til oppbevaring i lovgivningen. En eventuell oppbevaringsplikt skal i tilfelle dokumenteres over Behandlingsansvarlig.
4 Den behandlingsansvarliges rolle
Ruter AS er behandlingsansvarlig og bestemmer over behandlingen av opplysningene som omfattes av denne avtale, i henhold til det som er avtalt med den enkelte kunde.
Ruter AS er som behandlingsansvarlig bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene, og at den aktuelle behandling er i overensstemmelse med gjeldende lovgivning.
Den behandlingsansvarlige skal sørge for tilstrekkelig interne rutiner og dokumentasjon om behandlingen, nødvendig informasjon om behandlingen, og gjennomfører risikovurdering og DPIA
Med mindre annet følger av lov, har den behandlingsansvarlige rett til tilgang til og innsyn i både personopplysningene som behandles og i systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
5 Databehandlerens plikter
Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlingsansvarlige til enhver tid har bestemt skal gjelde.
Det skal ikke behandles andre personopplysninger enn det som er beskrevet i denne avtalen.
Dersom ikke annet er avtalt skal personopplysningene ikke benyttes til andre formål enn det som er beskrevet i denne avtalen.
Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen:
Databehandler er ansvarlig for å oppfylle følgende pliktene i EU forordning 2016/679 for behandling av personopplysninger (men ikke avgrenset til):
• Varsle den behandlingsansvarlige om avvik uten unødvendig forsinkelse slik at Behandlingsansvarlig kan oppfylle fristen til å varsle Datatilsynet innen 72 timer jf. artikkel 33.
[dato]
• Opprette personvernombud dersom man behandler personopplysninger i stor målestokk, eller dersom man behandler sensitive personopplysninger i stort omfang eller er offentlig virksomhet. jf. art 37 og 38.
• Yte nødvendig bistand til behandlingsansvarlig i oppfyllelsen av den registrertes rettigheter slik de er beskrevet i GDPR kapitel 3, herunder retten til å kreve sletting, retting og innsyn i personopplysningene, retten til å kreve begrensning av en behandling og dataportabilitet mm. Bistandstimeprisen som beskrevet i hovedavtalen skal benyttes
• Underrette den behandlingsansvarlige dersom de mener at instruksjonene de mottar er i strid med forordningen eller personvernrett for øvrig.
• Å ivareta forsvarlig informasjonssikkerhet ved egen behandling, jf. GDPR art 32.
Brudd på pliktene kan føre til sanksjoner fra Datatilsynet, jf. artikkel 58 og fortalen nr.146.
Dersom brudd på personopplysningsloven og GDPR medfører tap for den registrerte er databehandleren erstatningsansvarlig (solidaransvar), for skade som er forårsaket av at han ikke har oppfylt forpliktelser i denne forordningen eller hvis han har handlet i strid med behandlingsansvarliges instruks for behandlingen.
6 Taushetsplikt
Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Dette gjelder også etter avtalens eller ansettelsesforholdets eller tjenesteforholdets opphør.
7 Bruk av skytjenester – overføring av opplysninger til land utenfor EUØ/EØS
Databehandleren eller hans underleverandører kan ikke benytte «sky tjenester» dersom dette kan medføre at personopplysninger behandles utenfor EU/EØS, uten at dette er særskilt godkjent av Behandlingsansvarlig. Tilsvarende gjelder annen behandling av personopplysninger ( -opplysninger som indirekte eller dirkete kan knyttes til en person) som innebærer overføring av personopplysninger til mottakerland utenfor EU/EØS.
Dette inkluderer lagring av personopplysninger på server utenfor EU/EØS og at noen av leverandørens eller underleverandørens ansatte kan få tilgang til system hvor det behandles personopplysninger. Tilsvarende gjelder for innlogging via skytjenester.
Spørsmål om eventuell fremtidig behandling av personopplysninger i forbindelse med skytjenester skal uansett tas opp med Behandlingsansvarlig senest tre måneder før
[dato]
planlagt oppstart av behandlingen. Sensitive personopplysninger kan uansett ikke behandles utenfor EU/EØS.
Behandling av personopplysninger skal utenfor EU/EØS skal i alle tilfelle baseres på et gyldig utleveringsgrunnlag i samsvar med GDPR og praksis, og i tillegg nødvendig tiltak, vurdert utfra beskyttelsesnivået i lov og praksis i mottakerlandet.1 Oppdatert SCC skal legges til grunn for slik behandling, se bilag 1
8 Bruk av underleverandør
Behandlingsansvarlig skal godkjenne Databehandlers eventuelle bruk av underleverandører før behandlingen av personopplysninger starter.
Underleverandører som er godkjent ved oppstart av avtalen skal vedlegges hovedavtalen.
Underleverandøren skal være kjent med databehandlerens avtalemessige og lovmessige forpliktelser, og oppfylle disse på lik linje med databehandleren.
En oversikt over underleverandører som ved avtaleinngåelsen - eller på et senere tidspunkt - skal behandle personopplysninger vedlegges databehandleravtalen, jf. bilag 2 Oversikt over godkjente underleverandører.
Databehandler er ansvarlig overfor Behandlingsansvarlig for avtalebrudd som eventuelle underleverandører til tjenesten gjør seg skyldig i.
9 Informasjonssikkerhet
Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32.
Databehandler skal ha en dokumentert autorisasjonsordninger for ansatte hos Databehandleren som skal få tilgang til å behandle personopplysninger.
For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlings- ansvarlige.
Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer.
Databehandleren skal ha et styringssystem. Systemet skal omfatte, men ikke avgrenses til, rutiner for:
1 Vurderingen skal gjøres i samsvar med retningslinjer fra EDPB..
[dato]
• Tilgangskontroll
• Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd.
• Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner.
• Ledelsens gjennomgang av sikkerhetsarbeidet.
• Gjennomføring av årlige revisjoner av virksomheten.
• Dokumentasjon av relevante hendelser
Databehandleren skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for.
Databehandleren skal også bistå behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved:
• Varsling av avvik, jf. punkt 5
• Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten.
• Bistå behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering.
• Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet.
Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet.
10 Sikkerhetsrevisjoner
Den behandlingsansvarlige skal kunne gjennomføre sikkerhetsrevisjoner av databehandleren. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.
Databehandler plikter å bistå den behandlingsansvarlig ved slike revisjoner og gjøre nødvendig dokumentasjon tilgjengelig. Bistandstimepris som beskrevet i hovedavtalen skal benyttes.
11 Avtalens varighet og endringer
Avtalen gjelder så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige.
[dato]
Dette tidspunktet vil i praksis være knyttet til hovedavtalens utløp.
Ved brudd på denne avtale eller gjeldende personopplysningslov, kan den behandlingsansvarlige pålegge databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Brudd på denne avtalen er å regne som mislighold av hovedavtalen.
Eventuelle endringer til denne avtalen skal beskrives i bilag 3, Endringer.
12 Tilbakeføring ved opphør
Ved opphør av hovedavtalen plikter databehandleren å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige, og som omfattes av denne avtalen.
Ved opphør av avtalen skal databehandleren deretter endelig slette eller forsvarlig destruere alle dokumenter, data, disketter, lagringstape, cd-er, minnepinner/USB- sticks og annet som inneholder personopplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Databehandleren skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
Databehandleren skal uansatt lagre dokumentasjon på sikkerhetsrutiner i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave, og databehandleren må i lagringstiden bistå den behandlingsansvarlige med å fremskaffe slik dokumentasjon.
13 Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.
Valg av verneting kan avtales særskilt, eller man kan følge hovedavtalen
Denne avtale er i 2 – to – eksemplarer, hvorav partene har hvert sitt. Ruter har signert avtalen elektronisk.
Oslo,
Behandlingsansvarlig Databehandler Ansvarlig leder
Xxxxx Xxxxxxx Juridisk seniorrådgiver
[dato]
Bilag 2 Oversikt over godkjente underleverandører:
Navn | Kontaktopplysninger | Behandles personopplysninger innenfor/ utenfor EU |
[dato]
Bilag 3 Endringer i databehandleravtalen
Dato | Endringer gjelder punkt | Beskrivelse |