fødsels- og personnummer / D-nummer) («databehandler»/ «sjømannslege»)



Databehandleravtale


Det er i dag inngått følgende databehandleravtaledatabehandleravtalen») mellom:


Sjøfartsdirektoratet (xxx.xx. 974761262)

(«behandlingsansvarlig»)


og


xxxxxx

(fødsels- og personnummer / D-nummer) («databehandler»/ «sjømannslege»)


Denne avtalen er signert i to (2) to eksemplarer, hvorav partene har hvert sitt.


.....................................

Sted, dato


Sjøfartsdirektoratet Sjømannslege


………………………......... .………………………...............


1. Databehandleravtalens omfang


1.1 Sjøfartsdirektoratet har godkjent xxxxx som sjømannslege, noe som innebærer at xxxxxx i godkjenningsperioden behandler personopplysninger som angitt i punkt 2 under, på vegne av Sjøfartsdirektoratet.


1.2 For behandling av personopplysninger i Altinn som omtalt i punkt 2.1, er Sjøfartsdirektoratet behandlingsansvarlig mens sjømannslegen er databehandler.


1.3 Personopplysninger som behandles av sjømannslegen, omfatter kategoriene av personopplysninger og kategoriene av registrerte personer som er angitt i punkt 2 under, og behandlingen skal kun skje i henhold til de formål som er angitt der.


1.4 Med «personopplysning» forstås enhver form for informasjon om en identifisert eller identifiserbar fysisk person, jf. artikkel 4 (1) i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 (personvernforordningen). Behandling som foregår etter denne databehandleravtalen skal skje i henhold til gjeldende personvernregler. Dette inkluderer bindende veiledninger, avgjørelser eller vedtak fra myndigheter, domstoler eller andre relevante organer, i tillegg til EU-lovgivning og norsk regelverk.


2. Behandling av personopplysninger – formål med behandlingen


2.1 Sjømannslegen skal på vegne av Sjøfartsdirektoratet behandle personopplysninger. Behandlingen går ut på at sjømannslegen gjennom Altinn har tilgang til historikk over sjømannslegers tidligere vedtak om helse- og/eller udyktighetserklæring, samt at legen selv registrerer nye helse- og/eller udyktighetserklæringer i samsvar med forskrift 5. juni 2014 om helseundersøkelse av arbeidstakere på norske skip og flyttbare innretninger (helseforskriften). Sjømannslegen skal utføre de oppgaver som er spesifisert i helseforskriften. Formålet med behandlingen er dermed å sikre at disse oppgavene kan gjennomføres.


2.2 Sjømannslegen skal ikke behandle personopplysninger på annen måte enn det som er nødvendig for gjennomføringen av aktivitetene som følger av helseforskriften. Sjømannslegen skal heller ikke benytte personopplysningene til noe annet formål, med mindre annet formål er skriftlig avtalt i denne databehandleravtalen eller tatt inn i andre skriftlige instrukser fra Sjøfartsdirektoratet. Sjøfartsdirektoratet bestemmer formålene og virkemidlene for all behandling av personopplysninger som foretas av sjømannslegen. Instruksen fra Sjøfartsdirektoratet knyttet til behandlingen kan endres i databehandleravtalens løpetid.


2.3 Rammene for sjømannslegens behandling av personopplysninger følger denne databehandleravtalen og er spesifisert i instruksen for behandling i avtalens punkt 9.


3. Databehandlerens plikter


3.1 Sjømannslegen innestår for at behandlingen av personopplysninger skal være i tråd med gjeldende personvernregler og eventuelle pålegg fra kompetente offentlige myndigheter.

3.2 I den grad det følger en plikt til det i henhold til GDPR artikkel 30, skal sjømannslegen føre protokoll over sin behandling av personopplysninger.


Sjømannslegen skal til enhver tid gi Sjøfartsdirektoratet tilgang til denne protokollen, samt sin øvrige sikkerhetsdokumentasjon, og bistå direktoratet med å ivareta dennes ansvar etter gjeldende personvernregler og pålegg fra offentlige myndigheter.


3.3 Sjømannslegen skal på forespørsel bistå ved utarbeidelse av konsekvensutredning etter GDPR artikkel 35.


3.4 Sjømannslegen skal kun behandle personopplysningene etter Sjøfartsdirektoratets konkrete og dokumenterte instrukser og i henhold til formålet og rammene som er avtalt med direktoratet. Dataene skal ikke benyttes i andre sammenhenger enn det som er angitt i denne databehandleravtalen, herunder overføre personopplysningene til et tredjeland eller en internasjonal organisasjon, med mindre forpliktelse til dette følger av gjeldende personvernregler. I så fall skal Sjøfartsdirektoratet informeres om denne juridiske forpliktelsen før behandlingen starter, med mindre gjeldende lovgivning forbyr slik informasjon.


3.5 Sjømannslegen skal ikke gjennomføre overføring av personopplysninger til et tredjeland eller til internasjonale organisasjoner uten at Sjøfartsdirektoratet har gitt sin skriftlige tillatelse til dette. Dersom overføring av Sjøfartsdirektoratets personopplysninger skal skje til et tredjeland, skal sjømannslegen bistå direktoratet i å sørge for lovlig overføringsgrunnlag.


3.6 Hvis sjømannslegen skjønner at en instruks fra Sjøfartsdirektoratet er i strid med gjeldende personvernrett, skal Sjøfartsdirektoratet omgående orienteres skriftlig om dette.


3.7 Sjømannslegen kan ikke utlevere personopplysninger til andre eksterne parter uten at dette fremgår av databehandleravtalen eller er basert på annet lovlig grunnlag. Sjømannslegen skal løpende bistå Sjøfartsdirektoratet med å oppfylle forpliktelser etter gjeldende personvernregler, herunder, men ikke begrenset til, forpliktelser til å svare på forespørsler om innsyn, korrigering, begrensning av behandling og sletting av personopplysninger samt retten til å få oversendt kopi av de personopplysninger som behandles.


3.8 Sjømannslegen skal opprettholde et sikkerhetsnivå for behandlingen av personopplysningene som er tilstrekkelig i forhold til risikoen ved behandlingen. Sjømannslegen skal beskytte personopplysningene slik at de ikke blir ødelagt, endret, utlevert uten godkjenning eller gjort tilgjengelig uten godkjenning. Sjømannslegen skal treffe de nødvendige tekniske og organisatoriske sikkerhetstiltak for å hindre at personopplysningene som behandles


(i) utilsiktet eller ulovlig tilintetgjøres, tapes eller endres

(ii) videreformidles eller gjøres tilgjengelige uten godkjenning

(iii) for øvrig behandles i strid med gjeldende personvernregler


3.9 Sjømannslegen skal videre overholde forpliktende krav til sikkerhetstiltak som gjelder i det landet partene er etablert eller i det landet databehandlingen skjer.


3.10 Sjømannslegen plikter å gjennomføre årlige sikkerhetsrevisjoner av informasjonssystemet de benytter i arbeidet de utfører på vegne av Sjøfartsdirektoratet, og som er relevant for denne databehandleravtalen. Resultatet av denne sikkerhetsrevisjonen skal gjøres tilgjengelig for

Sjøfartsdirektoratet på forespørsel. Sjøfartsdirektoratet har rett til tilgang til og innsyn i personopplysningene som behandles, og systemene som benyttes til dette hos sjømannslegen. Sjømannslegen plikter å gi nødvendig bistand til dette og skal snarest mulig besvare konkrete spørsmål fra Sjøfartsdirektoratet samt dokumentere sin etterlevelse av denne databehandleravtalen.


3.11 Sjømannslegens lokasjon, herunder plassering av servere mv. som inngår i utførelse av databehandlingen, fremgår i instruksen for behandling i databehandleravtalens punkt 9. Endring av fysisk plassering skal varsles Sjøfartsdirektoratet senest én (1) måned før endringen.


4. Fortrolighet


4.1 Sjømannslegen skal holde personopplysningene fortrolige.


4.2 Sjømannslegen skal ikke formidle personopplysningene til noen eller ta kopi av personopplysningene, med mindre dette er absolutt nødvendig for å ivareta sine forpliktelser overfor Sjøfartsdirektoratet, og forutsatt at vedkommende personopplysningene overlates til, er kjent med opplysningenes fortrolige karakter.


4.3 Bestemmelsene om fortrolighet i databehandleravtalen skal gjelde for enhver av sjømannslegens medarbeidere, og sjømannslegen må stå inne for at medarbeiderne overholder databehandleravtalen.


4.4 Sjømannslegen skal begrense tilgangen til personopplysningene til medarbeidere som må ha adgang til personopplysninger for å kunne oppfylle sjømannslegens forpliktelser overfor Sjøfartsdirektoratet.


4.5 Sjømannslegens forpliktelser etter punkt 5 består uten tidsbegrensning og uansett om partenes samarbeid for øvrig måtte være opphørt.


4.6 Sjøfartsdirektoratet skal behandle opplysninger som mottas fra sjømannslegen fortrolig, og må ikke uberettiget benytte eller videreformidle de fortrolige opplysningene. Fortrolig informasjon skal ikke tilflyte noen andre enn de som har behov for tilgang til slik informasjon for å oppfylle kravene i databehandleravtalen og aldri til tredjemann.


5. Endringer og overdragelser


5.1 Partene kan til enhver tid avtale å endre databehandleravtalen. Endringer skal være skriftlige.


5.2 Sjømannslegen skal ikke overdra sine rettigheter og forpliktelser i henhold til databehandleravtalen uten Sjøfartsdirektoratets forutgående skriftlige samtykke.


5.3 Dersom sjømannslegen er av den oppfatning at databehandlingen etter Sjøfartsdirektoratets instruks er i strid med gjeldende personvernregler, skal sjømannslegen melde fra til direktoratet slik at direktoratet kan xxxxx instruksen.

6. Varighet og opphør av databehandleravtalen


6.1 Databehandleravtalen trer i kraft ved begge parters underskrift og er gjeldende så lenge sjømannslegen har godkjenning fra Sjøfartsdirektoratet.


6.2 Uansett varighet av godkjenningen skal databehandleravtalen gjelde så lenge sjømannslegen behandler personopplysninger for Sjøfartsdirektoratet.


7. Rangordning


7.1 Ved motstrid mellom bestemmelsene i lov eller forskrift og bestemmelser i andre skriftlige eller muntlige avtaler inngått mellom partene, skal bestemmelsene i lov/forskrift ha forrang. Bestemmelsene i punkt 3 gjelder ikke for de tilfellene der det er fastsatt strengere forpliktelser for sjømannslegen ved annen avtale mellom partene, eller dersom kommisjonens standardkontrakter for overføring av personopplysninger til tredjeland er anvendt og legger til grunn strengere vilkår.


8. Meddelelser


8.1 Meddelelser etter denne databehandleravtalen skal sendes skriftlig til oppgitte kontaktpersoner i instruksen for behandling i databehandleravtalens punkt 9.


9. Instruks for behandling


Xxxxxxx for sjømannslegens behandling av personopplysninger på vegne av Sjøfartsdirektoratet er:


9.1 Type databehandling

Sjømannslege som er godkjent av Sjøfartsdirektoratet, har gjennom Altinn tilgang til resultater fra tidligere helseundersøkelser foretatt av sjømannslege.


9.2 Kategorier av registrerte personer

Personer som har sitt arbeid om bord, jf. helseforskriften. § 1, jf. § 2.


9.3 Kategorier av personopplysninger


Følgende kategorier av personopplysninger inngår i behandlingen:


- navn

- alder

- kjønn

- fødsels- og personnummer / D-nummer

- nasjonalitet

- kontaktinformasjon

- resultater fra tidligere helseundersøkelser

9.4 Særlige kategorier av personopplysninger


Sjømannslegen har tilgang til tidligere registrerte helse- og udyktighetserklæringer, og registrerer selv slike erklæringer. Erklæringene inneholder informasjon om hvorvidt arbeidstakeren fyller kravene til helse, syn og hørsel i samsvar med helseforskriften.


9.5 Sjømannslegens kontor


Sjømannslegens kontoradresse: tilpasses den enkelte sjømannslegen


9.6 Kontaktinformasjon Kontaktperson for Sjøfartsdirektoratet:

Kontaktperson/rolle

Telefon

E-post

Xxxx Xxx (saksbehandler)

52 74 50 52

xxx@xxxx.xx

Xxxx Xxxxxxxxx (saksbehandler)

52 74 51 26

xxx@xxxx.xx

Xxxxxxx Xxxxxxxx (saksbehandler)

52 74 52 56

xxx@xxxx.xx


Kontaktperson for sjømannslegen:


Kontaktperson/rolle

Telefon

E-post








***

Document Metadata

Filed: January 9th, 2020