Bilag 1 til Oppdragsbeskrivelsen
Bilag 1 til Oppdragsbeskrivelsen
Databehandleravtale
Mellom:
Ruter As (Ruter) som Oppdragsgiver Og
heretter kalt Operatøren.
Innholdsfortegnelse:
Bilag 1 til Oppdragsbeskrivelsen 1
1. Bakgrunn 2
2. Definisjoner 2
3. Formålet med behandlingen 2
3.1 Anropstyr persontrafikk 2
3.2 Kundedata 3
3.4 EBS 3
4. Grunnleggende krav til behandlingen 3
5. Overføring av data 4
6. Operatørens plikter ved utførelse av oppdraget 4
8. Kontroll og rapportering 5
9. Mislighold 5
1. Bakgrunn
Det vises til kontrakt om minibusstransport i Asker og Bærum, for Deloppdrag
,med vedlegg.
I forbindelse med Oppdraget får Operatøren tilgang til følgende personopplysninger:
Navn, henteadresse, leveringsadresse, telefonnummer, pårørende/ foresatte, nødvendige opplysninger om hjelpemiddelbehov,
Databehandleravtalen utgjør et bilag til transportkontrakten og har samme gyldighet som denne.
Kontaktperson hos Oppdragsgiver er IKT Sikkerhet og Personvern ansvarlig, for tiden Xxxxx Xxxxxxx, e-postadresse: xxxxxxx@xxxxx.xx
Kontaktperson hos Operatøren er: ( sett inn navn/ e-postadr.)
Operatøren har ikke adgang til å oppbevare, overføre eller på annen måte behandle slike opplysninger for andre formål enn de som er nevnt i denne avtalen.
Dersom Operatøren benytter underleverandør(er) så har Operatøren ansvar for at underoperatøren(e) oppfyller alle plikter/krav som er stilt til Operatøren.
2. Definisjoner
Det vises til de generelle kontraktsvilkår for en utførlig liste. I tillegg gjelder følgende begreper i denne avtalen.
Virksomhetskritiske opplysninger: opplysninger som er av sentral betydning for Oppdragsgivers virksomhet, for eksempel strategier, kontrakter, regnskapstall og lignende dokumenter.
Personopplysninger: alle opplysninger som direkte eller indirekte omhandler personer, herunder data som gjør kobling til slike opplysninger mulig.
3. Formålet med behandlingen
3.1 Anropstyr persontrafikk
Formålet er å tilby de kunder som har en rett til en nødvendig og tilpasset transport.
Ruter er for tiden behandlingsansvarlig, og har konsesjon. Behandlingsgrunnlag: behandlingen er nødvendig for offentlig myndighetsutøvelse, jfr. Personopplysningsloven §§ 8,1 e, 9,1e og § 9 if.
3.2 Kundedata
Formålet med behandlingen er å behandle kundeklager på en effektiv og korrekt måte.
Ruter er behandlingsansvarlig. For oppdragskjøring er Konsentra behandlingsansvarlig, se oppdragsbeskrivelsen.
Behandlingsgrunnlag: Behandlingen er nødvendig for å oppfylle en avtale med kunden, se POL § 8,1 a
3.4 EBS
Det registreres billetteringsopplysninger i EBS om salget til den enkelte sjåfør Ved hjelp av en rapport kan Oppdragsgiver kontrollere salget, og se om sjåfører rapporterer og leverer inn riktig oppgjør i forhold til det salget som er registrert i EBS.
Det kan også undersøkes på skiftnivå (altså ikke med navn på den enkelte sjåfør) om den enkelte buss noenlunde er i rute, noe som er aktuelt ved klage fra passasjerene, og kan ikke brukes på annen måte enn oppgitt.
Ruter er for tiden behandlingsansvarlig.
Behandlingsgrunnlag: Behandlingen er nødvendig for å ivareta en berettiget interesse, se Pol § 8,1 f).
4. Grunnleggende krav til behandlingen
Operatøren påtar seg herved å håndtere alle opplysninger, som de får tilgang til i samsvar med relevant lovgivning og forøvrig på den måten Oppdragsgiver har fastsatt til enhver tid. Leverandøren må selv sørge for å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til opplysningene.
Operatøren må sørge for forvarlig og sikker elektronisk oppbevaring av dataene, slik at dataenes konfidensialitet, integritet, tilgjengelighet og opplysningskvalitet sikres på en effektiv måte.
Eventuelle utskrifter og annet papirmateriale må håndteres og oppbevares forsvarlig og kan bare brukes til det fastsatte formål. Ingen uvedkommende personer må få tilgang til opplysningene.
Oppdragsgiver har i den forbindelse utarbeidet et Sikkerhetsreglement for å ivareta lovkravene, og Operatøren må så langt reglementet ikke strider mot personvern lovgivningen følge Oppdragsgivers gjeldende Sikkerhetsreglementet ved behandlingen av personopplysningene.
5. Overføring av data
Operatøren kan ikke benytte seg av de dataene som man får tilgang til under utførelsen av oppdraget til egne formål. Dataene kan ikke overføres til egen eller annen virksomhet.
Operatøren kan bare motta og overføre data fra/ til Oppdragsgiver eller Konsentra på en forsvarlig måte.
6. Operatørens plikter ved utførelse av oppdraget
Generelt
Grunnleggende krav til behandlingen fremgår av punkt 4.
Operatørens ansatte har taushetsplikt om alle virksomhetskritiske opplysninger og personopplysninger de får kjennskap til gjennom utførelsen av Oppdraget. Taushetsplikten skal være fastsatt i en egen erklæring, eller arbeidskontrakten. Den ansatte, som til vanlig skal behandle slike opplysninger i bedriften, er autorisert til slik behandling ved undertegnelsen av et slikt dokument.
Anropstyr kollektivtrafikk:
Operatøren vil få utlevert materiale som inneholder sensitive personopplysninger. Slike opplysninger skal slettes eller anonymiseres etter at det enkelte kjøreoppdrag er ferdig utført. Dette gjelder hos også sjåførens mobile dataenheter som brukes til lagring av kjøreopplysninger.
Operatøren skal i den årlige repporten bekrefte at dette kravet er ivaretatt.
Eventuelle utskrifter, papirkopier skal makuleres på en forsvarlig måte, operatøren skal beskrive metoden i den årlige rapporten.
Personopplysningene skal ikke overføres via ukryptert e-post, eller usikret linje på internett
7. Behandlingsperiode
Opplysninger som operatøren får tilgang til kan ikke oppbevares lenger enn nødvendig av hensyn til Oppdraget og den enkelte behandling av personopplysninger, såfremt ikke relevant lovgivning stiller krav til lenger oppbevaringsperiode Dette må i tilfelle rapporteres inn til Oppdragsgiver uten ugrunnet opphold.
Filer som inneholder personopplysninger eller virksomhetskritiske opplysninger skal slettes når oppdraget er fullført. Med sletting menes at man ved hjelp av datautstyr og software ikke skal kunne finne tilbake til dataene. Sletting skal på forespørsel kunne dokumenteres. Dokument som for eksempel telefakser, kopier av brev, samt utskrifter skal destrueres med makulerings maskin el.
8. Kontroll og rapportering
Oppdragsgiver kan foreta kontroll på hvordan opplysningene blir håndtert, og skal få tilgang til server, område eller mappe, samt tilknyttede loggfiler og lignende, hvor opplysningene blir lagret.
Det skal foretas en egen kontroll innen den 1. mai hvert år, som viser hvordan håndteringen av person og virksomhetskritiske opplysninger er håndtert under utførelsen av oppdraget. Egenkontrollen skal gjøres i samarbeid med Konsentra, som rapporterer videre til Oppdragsgiver.
Følgende elementer skal beskrives:
IKT løsningen med de aktuelle sikkerhetstiltak Inntrufne feil og sikkerhetsavvik
Iverksatte tiltak
Uklare spørsmål som operatøren ønsker tilbakemelding på Eventuell beskrivelse av andre relevante forhold.
Operatøren skal i tillegg rapportere om feil og sikkerhetsbrudd ved behandlingen uten ugrunnet opphold. Rapporten skal skje skriftlig pr post eller elektronisk men må ikke sendes som usikret e-post, eller uanmeldt faks. Tilsvarende gjelder for de rapporter/ den dokumentasjon som er beskrevet i punkt 7.
Xxxxxxxxx rapportering vil utløse gebyrer i henhold til kontraktens vedlegg 1 Punkt 5,4.
Resultatet av egenkontrollen skal rapporteres til Oppdragsgiver.
9. Mislighold
Det vises til de generelle kontraktsvilkår og kontraktens vedlegg 6 Incitamentsavtale.