Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019

Databehandleravtale

Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen)

Oppdatert av Ruter i forhold til endringer etter EU forordning 2016/679 for behandling av personopplysninger (i kraft 25.5.2018) og i samsvar med gjeldende personvernlovgivning

Mellom

…………… Ruter AS …………….

Behandlingsansvarlig Og

[Navn på operatørselskap] Databehandler

[dato]

Dette vedlegget består av 9 sider

Avtalens hensikt:

Avtalens hensikt er å regulere rettigheter og plikter etter gjeldende personopplysningslov. Avtalen skal sikre at personopplysninger om den registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlerens bruk av personopplysninger på vegne av den behandlingsansvarlige – herunder innsamling, registrering, sammenstilling, lagring, videreformidling, utlevering eller kombinasjoner av disse.

Meddelelser etter denne avtalen skal sendes skriftlig til: xxxxxxxxxxxxxxx@xxxxx.xx

1 Definisjoner

Det vises til definisjonene i hovedavtalen. I tillegg gjelder følgende definisjoner:

Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av Personopplysninger og hvilke hjelpemidler som skal brukes.

Databehandler: Den som behandler Personopplysninger på vegne av den Behandlingsansvarlige.

Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson.

Behandling av personopplysninger: Enhver bruk av Personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

Behandlingsformål:

Angir hensikten med behandlingen av personopplysninger. Databehandler skal utføre konkrete oppgaver (driftsformål) for å oppfylle behandlingsformålet.

Behandlingsgrunnlag:

Et grunnlag som gjør behandlingen av personopplysninger lovlig. Samtykke fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag.

2 Formål og rettslig grunnlag

Databehandler skal kun behandle personopplysninger som er i samsvar med formålet og for øvrig i samsvar med hovedavtalen.

Formålet med behandlingen er:

Oppfølging av klagesaker fra kunden som Operatør får oversendt angående transporten som følger av Kontrakten.

I tillegg behandles enkelte opplysninger knyttet til sjåfør id for oppfølging av den enkelte adgang og oppgjør av sjåføren kasse.

Slike opplysninger utleveres til Operatør under forutsetning av Operatøren som arbeidsgiver følger regler om drøfting i arbeidsmiljøloven og avtaleverket knyttet til den ansatte.

Rettslig grunnlag for behandlingen:

Behandlingsansvarlige bekrefter at Behandlingsansvarlig har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger, og har rett til, og ansvaret for lovligheten av, overføring av personopplysningene til Databehandler.

Aktuelt grunnlag er oppfølging av en avtale med den kunden om kollektivtransport.

For opplysninger om Sjåfør ID har Oppdragsgiver og Operatøren en rettslig interesse i at ruteavgangene går som avtalt og at oppgjøret blir korrekt.

Personopplysningskategorier:

Overført data vil kunne inneholde følgende personopplysningskategorier:

• Navn, adresse, fødselsdato, e-postadresse, telefonnummer og lignende kontaktopplysninger og en angivelse av klageårsak.

• Det behandles også opplysninger om sjåfør id, reell avgangstid og opplysninger knyttet til oppgjør av sjåførens kasse så som salgsbeløp og saldo. For tiden behandles også navn, men det planlegges strøket som følge av innføring av EUs personvernforrodning (GDPR)

Spesielle personopplysningskategorier:

• I skadesaker som sendes over til Operatøren kan det også bli oppgitt særlige kategorier av sensitive opplysninger i form av helseopplysninger som Operatøren sendes over til aktuelt forsikringsselskap.

Tidsavgrenset behandling:

Behandling av personopplysningene skal opphøre etter instruks fra Behandlingsansvarlig, og i samsvar med gjeldende lovverk.

Sletting av data med personopplysninger

Sletting av personopplysningene skal opphøre etter instruks fra Behandlingsansvarlig, og i samsvar med gjeldende lovverk.

3 Den behandlingsansvarliges rolle

Ruter AS er behandlingsansvarlig og bestemmer over behandlingen av opplysningene som omfattes av denne avtale, i henhold til det som er avtalt med den enkelte kunde.

Ruter AS er som behandlingsansvarlig bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene, og at den aktuelle behandling er i overensstemmelse med gjeldende lovgivning.

Med mindre annet følger av lov, har den behandlingsansvarlige rett til tilgang til og innsyn i både personopplysningene som behandles og i systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

4 Databehandlerens plikter

Databehandleren skal følge de rutiner og instrukser for behandlingen som den behandlingsansvarlige til enhver tid har bestemt skal gjelde.

Det skal ikke behandles andre Personvernopplysninger enn det som er beskrevet i denne avtalen.

Dersom ikke annet er avtalt skal personopplysningene ikke benyttes til andre formål enn det som er beskrevet i denne avtalen.

Databehandleren er i tillegg ansvarlig for at egen behandling av personopplysninger er i samsvar med personvernlovgivningen:

Databehandler er ansvarlig for å oppfylle følgende pliktene i EU forordning 2016/679 for behandling av personopplysninger (men ikke avgrenset til):

• Varsle den behandlingsansvarlige om avvik uten unødvendig forsinkelse slik at Behandlingsansvarlig kan oppfylle fristen til å varsle Datatilsynet innen 72 timer jf. artikkel 33.

• Opprette personvernombud dersom man behandler personopplysninger i stor målestokk, eller dersom man behandler sensitive personopplysninger i stort omfang eller er offentlig virksomhet. jf. art 37 og 38.

• Yte nødvendig bistand til behandlingsansvarlig i oppfyllelsen av den registrertes rettigheter slik de er beskrevet i GDPR kapitel 3, herunder retten til å kreve sletting, retting og innsyn i personopplysningene, retten til å kreve begrensning av en behandling og dataportabilitet mm. Bistandstimeprisen som beskrevet i hovedavtalen skal benyttes

• Underrette den behandlingsansvarlige dersom de mener at instruksjonene de mottar er i strid med forordningen eller personvernrett for øvrig.

• Å ivareta forsvarlig informasjonssikkerhet ved egen behandling, jf. GDPR art 32.

Brudd på pliktene kan føre til sanksjoner fra Datatilsynet, jf. artikkel 58 og fortalen nr.146.

Dersom brudd på personopplysningsloven og GDPR medfører tap for den registrerte er databehandleren være erstatningsansvarlige (solidaransvar), for skade som er forårsaket av at han ikke har oppfylt forpliktelser i denne forordningen eller hvis han har handlet i strid med behandlingsansvarliges instruks for behandlingen.

5 Taushetsplikt

Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Dette gjelder også etter avtalens eller ansettelsesforholdets eller tjenesteforholdets opphør.

6 Bruk av skytjenester – overføring av opplysninger til land utenfor EUØ/EØS

Databehandleren eller hans underleverandører kan ikke benytte «sky tjenester» dersom dette kan medføre at personopplysninger behandles utenfor EU/EØS, uten at dette er særskilt godkjent av Behandlingsansvarlig.

Dette inkluderer lagring av personopplysninger på server utenfor EU/EØS og at noen av leverandørens eller underleverandørens ansatte kan få tilgang til system hvor det behandles personopplysninger. Tilsvarende gjelder for innlogging via skytjenester.

Spørsmål om behandling av personopplysninger i forbindelse med skytjenester skal uansett tas opp med Behandlingsansvarlig senest tre måneder før oppstart av behandlingen.

Sensitive personopplysninger kan uansett ikke behandles utenfor EU/EØS.

7 Bruk av underleverandør

Behandlingsansvarlig skal godkjenne Databehandlers eventuelle bruk av underleverandører før behandlingen av personopplysninger starter.

Underleverandører som er godkjent ved oppstart av avtalen skal vedlegges hovedavtalen.

Underleverandøren skal være kjent med databehandlerens avtalemessige og lovmessige forpliktelser, og oppfylle disse på lik linje med databehandleren.

En oversikt over underleverandører som ved avtaleinngåelsen - eller på et senere tidspunkt - skal behandle personopplysninger vedlegges databehandleravtalen, jf bilag 1 Oversikt over godkjente underleverandører.

Databehandler er ansvarlig overfor Behandlingsansvarlig for avtalebrudd som eventuelle underleverandører til tjenesten gjør seg skyldig i.

8 Informasjonssikkerhet

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32.

Databehandler skal ha en dokumentert autorisasjonsordninger for ansatte hos Databehandleren som skal få tilgang til å behandle personopplysninger.

For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlings- ansvarlige.

Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer.

Databehandleren skal ha et styringssystem. Systemet skal omfatte – men ikke avgrenses til - rutiner for:

• Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd.

• Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner.

• Ledelsens gjennomgang av sikkerhetsarbeidet.

• Gjennomføring av årlige revisjoner av virksomheten.

Databehandleren skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for.

Databehandleren skal også bistå behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved:

• Varsling av avvik, jf. punkt 5

• Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten.

• Bistå behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering.

• Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet.

Avviksmelding skal skje ved at databehandleren uten unødvendig opphold melder avviket til den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet.

Se for øvrig bilag 2 for en veiledning i internkontroll og informasjonssikkerhet (utarbeidet etter gammel lovgivning men i hovedsak også relevant etter GDPR)

9 Sikkerhetsrevisjoner

Den behandlingsansvarlige skal kunne gjennomføre sikkerhetsrevisjoner av databehandleren. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.

Databehandler plikter å bistå den behandlingsansvarlig ved slike revisjoner og gjøre nødvendig dokumentasjon tilgjengelig. Bistandstimepris som beskrevet i hovedavtalen skal benyttes.

10 Avtalens varighet og endringer

Avtalen gjelder så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige.

Dette tidspunktet vil i praksis være knyttet til hovedavtalens utløp.

Ved brudd på denne avtale eller gjeldende personopplysningslov, kan den behandlingsansvarlige pålegge databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Brudd på denne avtalen er å regne som mislighold av hovedavtalen.

Eventuelle endringer til denne avtalen skal beskrives i bilag 3 Endringer.

11 Tilbakeføring ved opphør

Ved opphør av hovedavtalen plikter databehandleren å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige, og som omfattes av denne avtalen.

Ved opphør av avtalen skal databehandleren deretter endelig slette eller forsvarlig destruere alle dokumenter, data, disketter, lagringstape, cd-er, minnepinner/USB- sticks og annet som inneholder personopplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Databehandleren skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

Databehandleren skal uansatt lagre dokumentasjon på sikkerhetsrutiner i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave, og databehandleren må i lagringstiden bistå den behandlingsansvarlige med å fremskaffe slik dokumentasjon.

12 Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.

Valg av verneting kan avtales særskilt, eller man kan følge hovedavtalen

Denne avtale er i 2 – to – eksemplarer, hvorav partene har hvert sitt.

[Sted og dato]

Behandlingsansvarlig Databehandler

……………………….. ………………………