Avtale om overføring av personopplysninger (dataoverføringsavtale) Mellom selvstendig behandlingsansvarlige [Navn på «Hovedavtale» knyttet til det konkrete samarbeid/prosjekt] mellom [Navn på institusjon/selskap] [org.nr.] («Dataoverfører») og [Navn...
Avtale om overføring av personopplysninger
(dataoverføringsavtale)
Mellom selvstendig behandlingsansvarlige
I henhold til gjeldende norsk personverngivning og EU-forordning 2016/679 av 27. april 2016 («GDPR»)
[Navn på «Hovedavtale» knyttet til det konkrete samarbeid/prosjekt]
mellom
[Navn på institusjon/selskap]
[xxx.xx.]
(«Dataoverfører»)
og
[Navn på institusjon/selskap]
[xxx.xx.]
(«Datamottaker)
Tekst markert i gult eller tekst i kursiv skal fjernes og/eller erstattes med relevant tekst, ev. velges ett av flere alternativer.
Denne avtalen om overføring av personopplysninger mellom to behandlingsansvarlige («Avtalen») angir partenes respektive ansvar for overholdelse av gjeldende personvernlovgivning når personopplysninger utveksles mellom partene i tilknytning til det konkrete samarbeid/prosjekt som angitt på innledningsvis i Avtalen.
Partene er selvstendig behandlingsansvarlige for personopplysningene som overføres under denne Avtalen, ettersom hver part selvstendig bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes, jf. GDPR artikkel 4 (7).
Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Ved motstrid skal vilkårene i denne Avtalen gå foran partenes respektive personvernerklæringer eller vilkår i andre avtaler inngått mellom partene i tilknytning til den dataoverføringen Avtalen gjelder.
Hver av partens formål med dataoverføringen, hvilke typer personopplysninger som vil bli overført og relevante kategorier av registrerte er angitt i Avtalens bilag 1. Disse forholdene kan ikke endres av noen av partene uten at ny avtale eller et endringsvedlegg til Avtalen er signert.
Formålsbegrensning
Datamottaker skal ikke behandle de mottatte personopplysningene for andre formål enn hva som er angitt i Avtalen, med mindre annet følger av lovpålagte forpliktelser.
Overholdelse av gjeldende personvernlovgivning
Ved å signere denne Avtalen enes partene om at:
Partene skal overholde alle krav i gjeldende personvernlovgivning med hensyn til behandling av personopplysninger i relasjon til denne Avtalen, herunder plikten til å gjennomføre risikovurderinger, og å inngå databehandleravtaler med underleverandører.
Partene bekrefter at de i henhold til GDPR artikkel 32 har iverksatt tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne Avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Hvis en part oppdager feil eller anløp til feil i sammenheng med overføringen av personopplysninger under denne Avtalen, skal den parten som oppdager feilen informere den andre parten omgående.
Hver part har tilstrekkelig behandlingsgrunnlag for sin respektive behandling av personopplysninger som angitt i denne Avtalen, i henhold til GDPR artikkel 6 og artikkel 9.
Overføring sikkerhet og ansvar
4.1 Overfører skal være ansvarlig for sikkerheten ved overføring av alle overførte opplysninger til mottakeren ved bruk av egnede tekniske metoder. Detaljert overføringsmetode skal spesifiseres her, for eksempel kryptering ...
Overfører skal sørge for at alle overførte/lagrede opplysninger er pseudonymisert når de mottas av mottakeren. Samme prosedyre må brukes dersom det velges et papirformat for datainnsamling eller elektronisk overføring av data på excel-ark. (juster der det er relevant)
De overførte dataene må ikke være irrelevante eller overdrevne med hensyn til de avtalte formålene.
4.2 Mottakeren vil være fullt ansvarlig for enhver handling eller unnlatelse fra sine ledere, ansatte, agenter og tillatte underleverandører.
5. Dataoverføring videre
5.1 Mottakeren må ikke dele de overførte opplysningene med en tredjepart uten uttrykkelig skriftlig tillatelse fra Overføreren. Dersom mottakeren får skriftlig tillatelse fra overføreren til slik deling, skal mottakeren bare dele opplysningene med en tredjepart utenfor EU/EØS i samsvar med bestemmelsene i kapittel V i personvernforordningen. (juster der det er aktuelt)
5.2 Når uttrykkelig skriftlig tillatelse er gitt i henhold til punkt 5.1, skal mottakeren ikke utlevere eller overføre de overførte opplysningene utenfor EU/EØS uten å sikre at tilstrekkelige og tilsvarende beskyttelsestiltak vil bli gitt for de overførte opplysningene.
6. De registrertes rettigheter
Hver part skal respektere de registrertes rettigheter, slik disse er regulert i GDPR kapittel 3.
Hver part skal sørge for at tydelig og tilstrekkelig informasjon om behandlingen av personopplysninger er gjort tilgjengelig for de registrerte individene, i henhold til GDPR artikkel 12-14.
Partene er enige om å yte rimelig bistand som er nødvendig for at de skal kunne etterkomme og svare på rettighetsforespørsler, forespørsler og/eller klager fra de registrerte.
7. Taushetsplikt
Avtalens innhold og de opplysninger som overføres er underlagt taushetsplikt mellom partene. Hver av partene kan imidlertid dele informasjon om Xxxxxxx og opplysningene med rådgivere og underleverandører i den utstrekning det anses nødvendig for oppfyllelsen av deres oppgaver for respektive part, forutsatt at mottakende part pålegges en tilsvarende forpliktelse om konfidensialitet som angitt i denne bestemmelsen.
Norsk lov vil kunne begrense omfanget av taushetsplikten for hver av partene.
8. Mislighold
Ved vesentlig mislighold av
vilkårene i denne Avtalen som skyldes feil eller forsømmelser fra
en parts side, kan den annen part si opp Avtalen med øyeblikkelig
virkning.
9. Erstatning
Hver av partene kan kreve erstatning for ethvert direkte økonomisk tap som kan tilbakeføres til brudd på den annen parts forpliktelser etter Avtalen. Erstatning kan ikke kreves for indirekte tap. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste, tapte besparelser, tap som følge av tap av data og krav fra tredjepart.
Samlet erstatning per kalenderår er begrenset til
Kommentar: Velg passende alternativ avhengig av prosjekt/avtale Det må vurderes hvilken risiko partene er villige til å ta, og eventuelt «økonomien» i avtalen. Partene må vurdere risikoen opp mot innholdet i prosjektet og risikoen for brudd på de registrertes rettigheter. Beløpene i alternativene er forslag, men partene står fritt til å velge et annet beløp:
[Stryk det alternativet nedenfor – alternativ 1 eller 2 – som ikke passer]
[Alternativ 1]: et beløp som tilsvarer samlet årlig vederlag ekskl. merverdiavgift under Hovedavtalen.
[Alternativ 2]: et beløp fastsatt til én million norske kroner (1 MNOK).
De
ovennevnte erstatningsbegrensningene gjelder ikke ved grov uaktsomhet
eller forsett.
10. Ansvarsbegrensning
Mottakeren må holde overføreren og dens ansatte skadesløs mot alle tredjeparts krav, skader, kostnader, utgifter, søksmål og ansvar (inkludert rimelige eksterne advokathonorarer og utgifter) mot formidleren og dens ansatte som oppstår ut av eller som følge av: (enhvert brudd på gjeldende databeskyttelseslovgivning og/eller denne avtalen fra mottakerens side. Denne skadeserstatningen vil ikke gjelde i den grad krav, skader, kostnader, utgifter, søksmål og ansvar oppstår som følge av overførerens grove uaktsomhet eller forsettlig uredelighet eller brudd på denne avtalen av overføreren. (juster der det er aktuelt)
11. Avtalens varighet
Denne Avtalen gjelder så lenge Hovedavtalen er i kraft og deretter så lenge Datamottaker fortsatt behandler personopplysninger mottatt fra Dataoverfører i henhold til Avtalen.
12. Kontaktpersoner
Kontaktperson hos Dataoverfører for spørsmål knyttet til denne Avtalen er:
[Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post]
Kontaktperson hos Xxxxxxxxxxxx for spørsmål knyttet til denne Avtalen er:
[Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post]
13. Lovvalg og verneting
Kommentar: Velg passende alternativ avhengig av avtalemotpart. Slett det andre alternativet:
Alternativ 1 - gjelder når VIDs avtalemotpart er en privat aktør/ikke-statlig universitet eller høyskole. Oslo/Stavanger/Bergen tingrett er skrevet inn som standard. Denne kan endres om ønskelig:
Avtalen er underlagt norsk rett. Partene vedtar Oslo/Stavanger/Bergen tingrett som verneting.
Alternativ 2 – gjelder når VIDs avtalemotpart er et annet statlig universitet eller høyskole.
Avtalen er underlagt norsk rett. Eventuelle tvister som springer ut av denne Avtalen skal først søkes løst gjennom forhandlinger. Dersom partene ikke oppnår enighet gjennom forhandlinger, skal tvisten løses med bindende virkning av Kunnskapsdepartementet. Hver av partene kan forlange at tvisten oversendes departementet.
***
Denne avtale er i 2 – to eksemplarer, hvorav partene beholder hvert sitt eksemplar.
Sted og dato
På vegne av Dataoverfører På vegne av Datamottaker
……………………….. ………………………
(underskrift) (underskrift)
Bilag 1 – spesifikasjon
av dataoverføringen
1. Formål
Formålet med Dataoverførers overføring av data under Avtalen er:
Kommentar: Angi klart og tydelig hva som er Dataoverførers formål med dataoverføringen. Dersom formålet fremgår av annen avtale mellom partene, kan det henvises til denne.
Formålet med Datamottakers mottak av data under Avtalen er:
Kommentar: Angi klart og tydelig hva som er Datamottakers formål med dataoverføringen, herunder hva Datamottaker skal bruke dataene til. Dersom formålet fremgår av annen avtale mellom partene, kan det henvises til denne.
2. Typer personopplysninger
Følgende typer personopplysninger vil bli overført fra Dataoverfører til Datamottaker under Avtalen:
Kommentar: Gi en kort (gjerne punktvis) oversikt over hvilke hovedtyper personopplysninger som Dataoverfører vil overføre til Datamottaker. Angi om de er sensitive og hvorvidt dataene er direkte identifiserbare eller avidentifiserte/pseudonymiserte (dvs. om data fremstår som anonyme, men hvor man faktisk kan gå tilbake og finne ut hvem dataene/informasjonen gjelder).
3. Kategorier av registrerte
Personopplysningene som overføres under Avtalen angår følgende kategorier av registrerte:
Kommentar: Gi en kort oversikt over hvem opplysningene gjelder, for eksempel forskningsdeltakere, studenter og ansatte.