Databehandleravtale

Databehandleravtale

mellom

XXXX [xxx.xx. ]

(heretter benevnt som "Databehandler" og "Leverandør")

og

Norges Idrettsforbund [xxx.xx. 947975072 ]

(heretter benevnt som "Behandlingsansvarlig" og "Kunde")

(i fellesskap benevnt som "Partene")

1. Avtalens formål og virkeområde 1

2. Behandlingens formål, art og omfang 2

3. Behandlingsansvarliges plikter 2

4. Databehandlers plikter 2

4.1 Internkontroll 2

4.2 Rådighetsbegrensning og instruksjonsmyndighet 3

4.3 Utlevering og taushetsplikt 3

4.4 Bruk av Underleverandører 3

4.5 Overføring til Tredjeland 4

4.6 Informasjonssikkerhet 4

4.6.1 Fysiske tiltak 4

4.6.2 Tekniske tiltak 4

4.7 Avviksmelding ved sikkerhetsbrudd 5

4.8 Tilgang til informasjon og sikkerhetsrevisjoner 5

5. Databehandleravtalens varighet 5

6. Ved opphør 5

7. Kontaktpersoner 5

8. Lovvalg og verneting 6

1. Avtalens formål og virkeområde

Partene har [sett inn dato] inngått en avtale, hvoretter Leverandøren skal bistå Kunden med [sett inn beskrivelse] ("Tjenesteavtalen"). Leveransen medfører at Leverandøren Behandler Personopplysninger (heretter benevnt felles som "Personopplysninger") på vegne av Xxxxxx.

Formålet med denne Databehandleravtalen er å regulere Partenes rettigheter og plikter, for dermed å sikre at Personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger etter Lov om behandling av personopplysninger av 15. juni 2018 nr. 38 (personopplysningsloven), herunder EU – forordning 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger som besluttet 27. april 2016 (GDPR), heretter benevnt i fellesskap som "Personopplysningslovgivningen".

Begreper og definisjonene benyttet i Avtalen skal forstås på samme måte som i Personopplysningslovgivningen.

2. Behandlingens formål, art og omfang

Formålet med Behandlingen av Personopplysningene er [sett inn beskrivelse]. Databehandler skal bare Behandle Personopplysninger for det formål å oppfylle Tjenesteavtalen.

Behandlingen vil omfatte følgende kategorier av Personopplysninger:

• [sett inn en forsøksvis uttømmende liste, for eksempel navn, fødselsnummer, adresse, e-post, adresse, arbeidssted etc-]

Personopplysningene vil knytte seg til:

• [sett inn personkategorier, for eksempel egne ansatte, medlemmer, abonnenter el lign]

3. Behandlingsansvarliges plikter
   
   
   

Behandlingsansvarlig skal etablere rutiner i egen virksomhet for blant annet å

• påse at det foreligger et behandlingsgrunnlag etter Personopplysningslovgivningen for at Personopplysningene behandles for de formål som er angitt over

• ivareta de Registrertes rett til informasjon og innsyn, og til å få Personopplysningene slettet eller korrigert

• melde fra om Sikkerhetsbrudd til Tilsynsmyndigheter og de Registrerte, i henhold til Personvernlovgivningen

Behandlingsansvarlig skal straks melde fra til Databehandler om forhold som vil kunne medføre behov for endringer i den måten Databehandler Behandler opplysningene på.

4. Databehandlers plikter

1. Internkontroll

Databehandler skal etablere tekniske og organisatoriske tiltak for å sikre at Personopplysningene blir Behandlet i tråd med dennes plikter, Personopplysningslovgivningen og vilkårene i denne Databehandleravtale. Tiltakene skal dokumenteres for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.

Databehandleren skal hensynta behandlingens art og i den grad det er mulig bistå den Behandlingsansvarlige i å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter etter personopplysningslovgivningen.

Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personopplysningslovgivningen.

2. Rådighetsbegrensning og instruksjonsmyndighet

Databehandler skal bare Behandle Personopplysningene i tråd med denne Avtale og Behandlingsansvarliges dokumenterte instrukser, med mindre noe annet pålegges Databehandler i medhold av nasjonal rett i et EU/EØS-land.

Dersom Databehandleren mener at Behandlingsansvarliges instrukser er i strid med relevant Personvernlovgivning skal Databehandleren straks melde fra til Behandlingsansvarlig.

Dersom Databehandler behandler Personopplysningene på en annen måte enn det som følger av denne Databehandleravtale eller andre dokumenterte instrukser fra Behandlingsansvarlig, blir Databehandler å anse som ny Behandlingsansvarlig for denne aktuelle behandlingen. Behandlingsansvarlig kan pålegge Databehandler å stoppe den videre Behandlingen av Personopplysningene med øyeblikkelig virkning.

3. Utlevering og taushetsplikt

Databehandler skal ikke levere ut Personopplysningene uten den Behandlingsansvarliges uttrykkelige forhåndstillatelse, eller det foreligger en lovpålagt plikt til slik utlevering. Som utlevering etter denne bestemmelse regnes ikke at autorisert personell hos Databehandler eller dennes Underleverandører gis tilgang til opplysningene som er nødvendig for å gjennomføre Tjenesteavtalen.

Databehandler skal påse at personer som gis tilgang til personopplysningene har taushetsplikt. Dersom det ikke foreligger lovpålagt taushetsplikt skal disse personene i stedet avgi en taushetserklæring.

Denne bestemmelsen gjelder også etter at Behandlingen og eventuelt annet samarbeid mellom Partene har opphørt.

4. Bruk av Underleverandører

Databehandler kan ikke sette ut hele eller deler av Behandlingen til en annen virksomhet ("Underleverandør"), uten at Behandlingsansvarlig på forhånd er blitt informert.

Databehandler kan sette ut hele eller deler av Behandlingen til:

• [sett inn underleverandører]

Eventuelle endringer i denne listen skal meddeles Behandlingsansvarlig senest 30 dager før Behandlingen overlates til en ny Underleverandør. Behandlingsansvarlig skal kunne protestere mot eller stille vilkår for å akseptere nye Underleverandører.

Databehandler skal inngå en skriftlig avtale med Underleverandørene, som pålegger Underleverandørene de samme forpliktelsene som Databehandler har i medhold av denne Databehandleravtale.

Databehandler er fullt ut ansvarlig for den Behandlingen som Underleverandørene gjør.

5. Overføring til Tredjeland

Databehandler skal ikke uten den behandlingsansvarliges skriftlige tillatelse overføre eller tillate overføring av Personopplysninger til tredjeland som ikke er godkjent i medhold av personvernforordningen art. 45. Med overføring menes her også at personopplysninger som oppbevares og behandles innenfor EU/EØS gjøres tilgjengelige for personer eller virksomheter i et tredjeland.

6. Informasjonssikkerhet

Databehandler skal etablere tekniske og organisatoriske informasjonssikkerhetstiltak, som står i et rimelig forhold til den risikoen Behandlingen representerer. Dette omfatter også tiltak for å sikre at personer som har autorisert tilgang til Personopplysningene bare Behandler disse i tråd med denne Databehandleravtale og Behandlingsansvarliges instrukser. Tiltakene skal dokumenteres.

Tiltakene skal i det minste omfatte følgende:

1. Fysiske tiltak

• [sett inn]

2. Tekniske tiltak

• [sett inn]

7. Avviksmelding ved sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold melde fra til Behandlingsansvarlig om sikkerhetsbrudd som har medført en hendelig eller ulovlig tilintetgjørelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene.

Den Behandlingsansvarlige har ansvaret for å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.

8. Tilgang til informasjon og sikkerhetsrevisjoner

Databehandler skal på forespørsel gi Behandlingsansvarlig tilgang til all informasjon som er nødvendig for

• å påvise at Behandlingen skjer i samsvar med denne Databehandleravtale og Behandlingsansvarliges instrukser, og for

• at Behandlingsansvarlig skal kunne oppfylle sine lovpålagte forpliktelser.

5. Databehandleravtalens varighet

Denne Databehandleravtale gjelder så lenge Databehandler Behandler Personopplysninger på vegne av Behandlingsansvarlig.

6. Ved opphør

Ved opphør av denne Databehandleravtalen plikter Databehandler å tilbakelevere alle dokumenter, inkl. kopier, som det har mottatt elektronisk eller fysisk og som inneholder Personopplysninger som omfattes av denne Databehandleravtalen.

Databehandler skal gi Behandlingsansvarlig kopi av alt innhold i databaser og lagringsmedier lignende, som inneholder Personopplysninger som er omfattet av denne Databehandleravtalen.

Databehandler skal deretter slette alle Personopplysninger som omfattes av denne Databehandleravtalen. Dette gjelder også for eventuelle sikkerhetskopier.

Dette skal gjøres vederlagsfritt og i det format som Behandlingsansvarlig bestemmer, så langt dette formatet er tilgjengelig for Databehandler.

Databehandler skal sende skriftlig bekreftelse til Behandlingsansvarlig på at denne bestemmelsen er overholdt innen 30 dager etter avtalens opphør.

7. Kontaktpersoner

Følgende kontaktpersoner er oppnevnt i forbindelse med denne avtalen:

hos Behandlingsansvarlig: [sett inn tittel, navn og kontaktopplysninger]

hos Databehandler: [sett inn tittel, navn og kontaktopplysninger]

8. Lovvalg og verneting

Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett.

Eventuelle tvister som springer ut av denne avtalen skal behandles ved de ordinære domstoler. Oslo tingrett vedtas som verneting.

Dette gjelder også etter avtalens opphør.

*****

Denne avtale er undertegnet i 2- to- eksemplarer, hvorav hver part beholder 1- ett- eksemplar.

Oslo, den [sett inn dato]

………………………………………………. For NIF (signatur)	………………………………………………. For Leverandør(signatur)
(med trykte bokstaver) Stilling:…………………………………….. Navn: ………………………………………	(med trykte bokstaver) Stilling:…………………………………….. Navn: ………………………………………

6