OM BEHANDLING AV PERSONOPPLYSNINGER FOR FØRING AV OVERSIKTSLISTER ETTER BYGGHERREFORSKRIFTEN

OM BEHANDLING AV PERSONOPPLYSNINGER

FOR FØRING AV OVERSIKTSLISTER ETTER BYGGHERREFORSKRIFTEN

1. Bakgrunn

[…] (Byggherren) og […] (Entreprenøren) har [dato] inngått avtale (Avtalen) om entrepriseoppdrag for [adresse, gnr. og bnr.] (Eiendommen).

Entreprenøren er etter Avtalen ansvarlig på vegne av Byggherren for å føre oversiktslister over alle som utfører arbeid på bygge- eller anleggsplassen i henhold til byggherreforskriften § 15.

Denne databehandleravtalen regulerer partenes rettigheter og plikter i forbindelse med Entreprenørens behandling av personopplysninger tilknyttet føringen av oversiktslistene.

Byggherren er behandlingsansvarlig og Entreprenøren er databehandler for behandling av personopplysninger tilknyttet oversiktslistene. Formålet med Entreprenørens behandling av personopplysninger på vegne av Byggherren er bistå Byggherren med å sikre overholdelse av byggherreforskriften § 15.

De personopplysninger som omfattes av oversiktslistene Entreprenøren skal registrere i henhold til denne bestemmelsen, omfatter følgende: navn, fødselsdato og HMS-kortnummer på alle som utfører arbeid på bygge- eller anleggsplassen.

2. Byggherrens plikter

Byggherren bekrefter at Byggherren har tilstrekkelig hjemmelsgrunnlag for behandling av personopplysningene og at Byggherren har rett til å la Entreprenøren behandle personopplysningene som angitt i denne databehandleravtalen.

3. Entreprenørens plikter

   1. Overholdelse av gjeldende rett

Entreprenøren skal behandle personopplysninger i henhold til gjeldende lovgivning om behandling av personopplysninger, og for øvrig kun slik det fremgår av denne databehandleravtalen.

Entreprenøren er ansvarlig for nøyaktigheten, integriteten, innholdet og påliteligheten av de personopplysninger Entreprenøren registrerer på vegne av Byggherren etter denne databehandleravtalen.

2. Instruks fra Byggherren

Entreprenøren skal bare behandle personopplysninger i samsvar med dokumentert instruks fra Byggherren eller som angitt i denne databehandleravtalen. Entreprenøren skal ikke uten forutgående skriftlig avtale med Byggherren eller skriftlige instrukser fra Byggherren behandle personopplysninger utover det som er nødvendig for å overholde forpliktelser i denne databehandleravtalen.

Dersom Entreprenøren likevel må behandle personopplysninger på grunn av ufravikelig norsk eller EU/EØS-rettslig lovgivning Entreprenøren er underlagt, må Entreprenøren i så fall underrette Byggherren før behandlingen starter, med mindre slik underretning ikke er tillatt.

Entreprenøren skal varsle Byggherren dersom Entreprenøren mener at en instruks fra Byggherren er i strid med gjeldende personvernregelverk.

3. Informasjonssikkerhet

   1. Vurdering av tiltak

Entreprenøren skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med behandling av personopplysninger, i samsvar med bestemmelser om informasjonssikkerhet i gjeldende lovgivning om behandling av personopplysninger.

I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Entreprenøren i samråd med Byggherren ta i betraktning:

• beste praksis

• kostnaden ved implementering

• karakteren og omfanget av behandlingen

• konteksten og formålet med behandlingen

• alvorlighet av den risiko behandlingen av personopplysninger medfører for registrerte personers rettigheter

Entreprenøren skal, i samråd med Byggherren, vurdere:

• Implementering av pseudonymisering og kryptering av personopplysninger

• Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester

• Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser

• En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til behandlingen

Relevant dokumentasjon for informasjonssikkerhetstiltakene skal gjøres tilgjengelig for Byggherren på forespørsel.

2. Bistand til Byggherren

Entreprenøren skal gi bistand slik at Byggherren kan xxxxxxx sitt eget ansvar etter lov og forskrift, herunder bistå Byggherren med å:

• Implementere tekniske og organisatoriske tiltak som nevnt ovenfor

• overholde informasjonsplikt om personopplysningene til registrerte personer i henhold til gjeldende lovgivning

• overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik

• utføre vurdering av personvernkonsekvenser

• utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig

3. Henvendelser fra de registrerte

Tatt i betraktning arten av behandlingen skal Entreprenøren implementere tekniske og organisatoriske tiltak for bistå Byggherren med å svare på henvendelser angående utøvelse av de registrerte personers rettigheter.

4. Kompensasjon for bistand

Bistand som nevnt ovenfor skal utføres i den utstrekning det er nødvendig ut fra Byggherrens behov, karakteren av behandlingen og informasjonen tilgjengelig for Entreprenøren. Bistand som fastsatt i denne databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Byggherren, skal kompenseres av Byggherren i samsvar med Entreprenørens vanlige betingelser og timesatser.

4. Avvik og avviksmeldinger

Enhver bruk av informasjonssystemene og personopplysninger i strid med etablerte rutiner, instrukser fra Byggherren eller gjeldende lovgivning om behandling av personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik.

Entreprenøren skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.

Entreprenøren skal umiddelbart varsle Byggherren om ethvert brudd på denne databehandleravtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av personopplysninger, eller at personopplysninger kan ha blitt kompromittert, eller brudd på personopplysningenes integritet. Entreprenøren skal gi Byggherren all informasjon nødvendig for å sette Byggherren i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Byggherren i stand til å besvare henvendelser fra Datatilsynet, registrerte personers arbeidsgivere, verneombudet, Arbeidstilsynet og skattemyndighetene. Det er Byggherrens ansvar å melde avvik til Datatilsynet og de registrerte personer i henhold til gjeldende lovgivning.

5. Konfidensialitet

Entreprenøren har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Entreprenøren skal sikre at alle som utfører arbeid for Entreprenøren, enten ansatte eller innleide, som har tilgang til eller er involvert i behandling av personopplysninger etter databehandleravtalen (i) er underlagt taushetsplikt, og (ii) er informert om og overholder forpliktelsene etter denne databehandleravtalen. Taushetsplikten gjelder også etter opphør av databehandleravtalen.

6. Sikkerhetsrevisjoner

Entreprenøren vil jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for behandlingen av personopplysninger som omfattes av denne databehandleravtalen. Byggherren skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.

Byggherren har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Byggherren på forespørsel. Entreprenøren skal kompenseres av Byggherren i samsvar med Entreprenørens vanlige betingelser og timesatser for Entreprenørens medgåtte tidsbruk for medvirkning til slik revisjon.

7. Bruk av underleverandører og eventuell overføring av personopplysninger til tredjeland

Enhver underleverandør skal godkjennes skriftlig av Byggherren før underleverandøren kan behandle personopplysninger etter denne databehandleravtalen. En liste med godkjente underleverandører på avtaletidspunktet kan være vedlagt denne databehandleravtalen. Entreprenøren skal, i skriftlig avtale med enhver underleverandør, sikre at behandling av personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som pålagt Entreprenøren i henhold til denne databehandleravtalen.

Dersom Entreprenøren planlegger å skifte ut eller benytte ny underleverandør, skal Entreprenøren skriftlig varsle Byggherren i rimelig tid før ny underleverandør starter behandling av personopplysninger. Byggherren har på rimelig grunn rett til å motsette seg endringen.

Dersom Entreprenøren benytter underleverandør(er) utenfor EU/EØS («Tredjeland») for behandling av personopplysninger, må behandlingen skje i henhold til EUs standardavtaler for overføring til tredjeland eller annet akseptert og spesifikt angitt grunnlag for overføring til tredjeland. Det samme gjelder dersom opplysningene lagres i EU/EØS, men kan aksesseres av personell som er lokalisert utenfor EU/EØS.

Dersom Byggherren godkjenner slik overføring, skal Entreprenøren samarbeide med Byggherren om å sikre lovligheten av overføringene.

4. Ansvar, brudd

I tilfelle brudd på denne databehandleravtalen eller forpliktelser etter gjeldende lovgivning om behandling av personopplysninger, skal de relevante bestemmelser om brudd i Avtalen komme til anvendelse.

Entreprenøren skal varsle Byggherren uten ugrunnet opphold dersom Entreprenøren ikke vil være, eller har grunn til å tro at denne ikke vil være, i stand til å overholde sine forpliktelser etter denne databehandleravtalen.

5. Varighet, avslutning av databehandleravtalen, endringer

Denne databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Avtalen utløper, eller inntil Entreprenørens behandling av personopplysninger på vegne av Byggherren i henhold til Avtalen og denne databehandleravtalen opphører av annen grunn, med unntak av de bestemmelser i Avtalen og databehandleravtalen som fortsetter å løpe etter avslutning.

Ved avslutning av denne databehandleravtalen skal personopplysninger returneres i standardisert format og medium sammen med nødvendige instruksjoner for å legge til rette for Byggherrens videre bruk av personopplysningene og annen data. Entreprenøren skal først returnere og deretter slette alle personopplysninger. Entreprenøren og dennes underleverandører skal umiddelbart stanse behandling av personopplysningene fra dagen fastsatt av Byggherren, og hvis ingen slik dag er fastsatt, senest ved utløpet av databehandleravtalen.

Som alternativ til å returnere personopplysninger kan Byggherren, etter egen vurdering, skriftlig instruere Entreprenøren om at alle eller deler av personopplysningene skal slettes av Entreprenøren, med mindre ufravikelig lovgivning forhindrer Entreprenøren fra slik sletting.

Med de unntak som følger av ufravikelig lovgivning, har Entreprenøren ikke rett til å beholde kopi av personopplysninger behandlet på vegne av Byggherren i forbindelse med Avtalen eller denne databehandleravtalen i noe format, og all fysisk og logisk tilgang til slike personopplysninger skal slettes. Entreprenøren skal gi Byggherren en skriftlig erklæring, hvoretter Entreprenøren garanterer at alle personopplysninger eller data nevnt ovenfor har blitt returnert eller slettet i henhold til Byggherrens instrukser, og at Entreprenøren ikke har beholdt noen kopi, utskrift eller beholdt dataene i annet medium.

Forpliktelsene etter pkt. 3.5 og 4 skal fortsette å gjelde etter avslutning. Videre skal bestemmelsene i databehandleravtalen gjelde fullt ut for eventuelle personopplysninger beholdt av Entreprenøren i strid med dette pkt. 5.

Partene skal revidere denne databehandleravtalen i den grad det er nødvendig for å tilfredsstille endringer i relevant lovgivning eller pålegg fra offentlig myndighet.

6. Tvister og jurisdiksjon

Denne databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett.

Avtalt verneting skal være det samme som etter Avtalen.

*****

[Signaturer på neste side]

[sted], [dato]

For Byggherren for Entreprenøren

________________________ ________________________
[…] […]