AVTALE OM OVERFØRING AV PERSONOPPLYSNINGER (DATAOVERFØRINGSAVTALE) MELLOM SELVSTENDIG BEHANDLINGSANSVARLIGE
AVTALE OM OVERFØRING AV PERSONOPPLYSNINGER
(DATAOVERFØRINGSAVTALE)
MELLOM SELVSTENDIG BEHANDLINGSANSVARLIGE
I henhold til gjeldende norsk personverngivning og EU-forordning 2016/679 av 27. april 2016 («GDPR»)
[Navn på «Hovedavtale» knyttet til det konkrete samarbeid/prosjekt]
mellom
[Navn på institusjon/selskap]
[xxx.xx.]
(«Dataoverfører»)
og
[Navn på institusjon/selskap]
[xxx.xx.]
(«Datamottaker»)
Tekst markert i gult eller tekst i kursiv skal fjernes og/eller erstattes med relevant tekst, ev. velges ett av flere alternativer.
Denne avtalen om overføring av personopplysninger mellom to behandlingsansvarlige («Avtalen») angir partenes respektive ansvar for overholdelse av gjeldende personvernlovgivning når personopplysninger utveksles mellom partene i tilknytning til det konkrete samarbeid/prosjekt som angitt på Avtalens førsteside.
Partene er selvstendig behandlingsansvarlige for personopplysningene som overføres under denne Avtalen, ettersom hver part selvstendig bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes, jf. GDPR artikkel 4 (7).
Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Ved motstrid skal vilkårene i denne Avtalen gå foran partenes respektive personvernerklæringer eller vilkår i andre avtaler inngått mellom partene i tilknytning til den dataoverføringen Avtalen gjelder.
Hver av partens formål med dataoverføringen, hvilke typer personopplysninger som vil bli overført og relevante kategorier av registrerte er angitt i Avtalens bilag 1. Disse forholdene kan ikke endres av noen av partene uten at ny avtale eller et endringsvedlegg til Avtalen er signert.
Formålsbegrensning
Datamottaker skal ikke behandle de mottatte personopplysningene for andre formål enn hva som er angitt i Avtalen, med mindre annet følger av lovpålagte forpliktelser.
Overholdelse av gjeldende personvernlovgivning
Ved å signere denne Avtalen enes partene om at:
Partene skal overholde alle krav i gjeldende personvernlovgivning med hensyn til behandling av personopplysninger i relasjon til denne Avtalen, herunder plikten til å gjennomføre risikovurderinger, og å inngå databehandleravtaler med underleverandører.
Partene bekrefter at de i henhold til GDPR artikkel 32 har iverksatt tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne Avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Hvis en part oppdager feil eller anløp til feil i sammenheng med overføringen av personopplysninger under denne Avtalen, skal den parten som oppdager feilen informere den andre parten omgående.
Hver part har tilstrekkelig behandlingsgrunnlag for sin respektive behandling av personopplysninger som angitt i denne Avtalen, i henhold til GDPR artikkel 6.
De registrertes rettigheter
Hver part skal respektere de registrertes rettigheter, slik disse er regulert i GDPR kapittel 3.
Hver part skal sørge for at tydelig og tilstrekkelig informasjon om behandlingen av personopplysninger er gjort tilgjengelig for de registrerte individene, i henhold til GDPR artikkel 12-14.
Taushetsplikt
Avtalens innhold og de opplysninger som overføres er underlagt taushetsplikt mellom partene. Hver av partene kan imidlertid dele informasjon om Xxxxxxx og opplysningene med rådgivere og underleverandører i den utstrekning det anses nødvendig for oppfyllelsen av deres oppgaver for respektive part, forutsatt at mottakende part pålegges en tilsvarende forpliktelse om konfidensialitet som angitt i denne bestemmelsen.
Norsk lov vil kunne begrense omfanget av taushetsplikten for hver av partene.
Overføring til land utenfor EU/EØS
Kommentar: Dersom Avtalen innebærer at personopplysninger som overføres fra Dataoverfører til Datamottaker kan bli overført til land utenfor EU/EØS (tredjeland), kan slik overføring kun skje på visse vilkår. Reglene om overføring til tredjeland finnes i GDPR artikkel 45-47 og 49. Disse reglene innebærer blant annet at overføringen vil være lovlig dersom den skjer til et EU-godkjent tredjeland eller på grunnlag av EUs standardkontrakter for overføring av personopplysninger til behandlingsansvarlig i tredjeland.
[Stryk det alternativet nedenfor – alternativ 1 eller 2 – som ikke passer]
[Alternativ 1: Hvis det ikke skal overføres personopplysninger til land utenfor EU/EØS]
Personopplysninger skal ikke overføres til land utenfor EU/EØS.
Om det blir behov for å overføre personopplysninger utenfor EU/EØS for å oppfylle denne avtalen, må dette skriftlig godkjennes av behandlingsansvarlig på forhånd.
[Alternativ 2: Hvis personopplysninger skal overføres til land utenfor EU/EØS]
Personopplysninger som behandles i henhold til denne Avtalen, vil bli overført til, eller aksessert fra, følgende mottakerland utenfor EU/EØS:
(Navn på mottakerland)
Det rettslige grunnlaget for overføring av personopplysninger til de nevnte mottakerland utenfor EU/EØS er:
(Kort redegjørelse for overføringsgrunnlaget).
Kommentar: Her må man opplyse om hvilket overføringsgrunnlag som benyttes, jf. GDPR artikkel 45-47 og 49.
Ved vesentlig mislighold av vilkårene i denne Avtalen som skyldes
feil eller forsømmelser fra en parts side, kan den annen part si opp
Avtalen med øyeblikkelig virkning.
Erstatning
Hver av partene kan kreve erstatning for ethvert direkte økonomisk tap som kan tilbakeføres til brudd på den annen parts forpliktelser etter Avtalen. Erstatning kan ikke kreves for indirekte tap. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste, tapte besparelser, tap som følge av tap av data og krav fra tredjepart.
Samlet erstatning per kalenderår er begrenset til
Kommentar: Velg passende alternativ avhengig av prosjekt/avtale Det må vurderes hvilken risiko partene er villige til å ta, og eventuelt «økonomien» i avtalen. Partene må vurdere risikoen opp mot innholdet i prosjektet og risikoen for brudd på de registrertes rettigheter. Beløpene i alternativene er forslag, men partene står fritt til å velge et annet beløp:
[Stryk det alternativet nedenfor – alternativ 1 eller 2 – som ikke passer]
[Alternativ 1]: et beløp som tilsvarer samlet årlig vederlag ekskl. merverdiavgift under Hovedavtalen.
[Alternativ 2]: et beløp fastsatt til én million norske kroner (1 MNOK).
De ovennevnte
erstatningsbegrensningene gjelder ikke ved grov uaktsomhet eller
forsett.
Avtalens varighet
Denne Avtalen gjelder så lenge Hovedavtalen er i kraft og deretter så lenge Datamottaker fortsatt behandler personopplysninger mottatt fra Dataoverfører i henhold til Avtalen.
Kontaktpersoner
Kontaktperson hos Dataoverfører for spørsmål knyttet til denne Avtalen er:
[Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post]
Kontaktperson hos Xxxxxxxxxxxx for spørsmål knyttet til denne Avtalen er:
[Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post]
Lovvalg og verneting
Kommentar: Velg passende alternativ avhengig av avtalemotpart. Slett det andre alternativet:
Alternativ 1 - gjelder når NTNUs avtalemotpart er en privat aktør/ikke-statlig universitet eller høyskole. Trøndelag tingrett er skrevet inn som standard. Denne kan endres om ønskelig:
Avtalen er underlagt norsk rett. Partene vedtar Trøndelag tingrett som verneting.
Alternativ 2 – gjelder når NTNUs avtalemotpart er et annet statlig universitet eller høyskole.
Avtalen er underlagt norsk rett. Eventuelle tvister som springer ut av denne Avtalen skal først søkes løst gjennom forhandlinger. Dersom partene ikke oppnår enighet gjennom forhandlinger, skal tvisten løses med bindende virkning av Kunnskapsdepartementet. Hver av partene kan forlange at tvisten oversendes departementet.
***
Denne avtale er i 2 – to eksemplarer, hvorav partene beholder hvert sitt eksemplar.
Sted og dato
På vegne av Dataoverfører På vegne av Datamottaker
……………………….. ………………………
(underskrift) (underskrift)
BILAG
1 – SPESIFIKASJON AV DATAOVERFØRINGEN
1. Formål
Formålet med Dataoverførers overføring av data under Avtalen er:
Kommentar: Angi klart og tydelig hva som er Dataoverførers formål med dataoverføringen. Dersom formålet fremgår av annen avtale mellom partene, kan det henvises til denne.
Formålet med Datamottakers mottak av data under Avtalen er:
Kommentar: Angi klart og tydelig hva som er Datamottakers formål med dataoverføringen, herunder hva Datamottaker skal bruke dataene til. Dersom formålet fremgår av annen avtale mellom partene, kan det henvises til denne.
2. Typer personopplysninger
Følgende typer personopplysninger vil bli overført fra Dataoverfører til Datamottaker under Avtalen:
Kommentar: Gi en kort (gjerne punktvis) oversikt over hvilke hovedtyper personopplysninger som Dataoverfører vil overføre til Datamottaker. Angi om de er sensitive og hvorvidt dataene er direkte identifiserbare eller avidentifiserte/pseudonymiserte (dvs. om data fremstår som anonyme, men hvor man faktisk kan gå tilbake og finne ut hvem dataene/informasjonen gjelder).
3. Kategorier av registrerte
Personopplysningene som overføres under Avtalen angår følgende kategorier av registrerte:
Kommentar: Gi en kort oversikt over hvem opplysningene gjelder, for eksempel forskningsdeltakere, studenter og ansatte.