Databehandleravtale
I henhold til personopplysningslovens § 13, jf. § 15
og
personopplysningsforskriftens kapittel 2
mellom
Norsk kulturskoleråd
Kor Arti'
Organisasjonsnummer.: 875627422
heretter "Databehandler"
og
…………………………………..
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte (Feide-brukere) ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av Kor Arti'.
2. Formål
Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig, er kun å levere og administrere Kor Arti'
Personopplysninger som overføres til databehandler kan ikke brukes til andre formål enn levering og administrasjon av Kor Arti'.
Databehandler kan ikke overføre personopplysninger til underleverandører eller andre tredjeparter uten at dette på forhånd er godkjent av behandlingsansvarlig, jf. også punkt 4 i denne avtalen.
Typer personopplysninger som databehandleren behandler i forbindelse med levering og administrasjon av Kor Arti':
Organisasjonsnummer (eduPersonOrgDN:norEduOrgNIN)
Liste med skoler (feideSchoolList)
Kontaktperson for Kor Arti’ brukerkonto med navn, e-post og telefon
Feide-attributter blir brukt ved innlogging for sammenligning mot informasjon som ligger på en eksiterende brukerkonto hos Kor Arti’. Dersom Feide-brukere er knyttet til samme organisasjonsnummer som også ligger på en Kor Arti’ brukerkonto, så vil Feide-brukere bli logget inn med den Kor Arti’ brukerkontoen.
Informasjon som ligger på en Kor Arti’ brukerkonto er oppgitt frivillig gjennom en bestilling av tjenesten og brukes ikke til andre formål enn levering og administrasjon av Kor Arti’.
3. Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandling av personopplysninger som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Vilkårene i denne avtalen går foran databehandlerens personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og databehandleren i forbindelse med bruk av Kor Arti'.
Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, jf. personopplysningsloven kapittel III og IV.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon. Databehandleren plikter også å bistå den behandlingsansvarlige slik at denne kan ivareta sitt eget ansvar etter lov og forskrift.
Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som databehandleren håndterer og de systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter også ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer som databehandleren anvender for å levere eller administrere tjenesten.
Kun ansatte hos databehandler som har tjenstlige behov for tilgang til personopplysningene, kan gis slik tilgang. Databehandleren plikter å dokumentere sine rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.
Databehandler plikter å loggføre all autorisert og forsøk på uautorisert bruk av Kor Arti' jf. personopplysningsforskriften § 2-16. Loggene skal oppbevares av databehandleren i minimum 3 måneder. Behandlingsansvarlig skal på forespørsel gis tilgang til loggene.
4. Bruk av underleverandør
Databehandler skal etablere egne avtaler med eventuelle underleverandører før behandlingen av personopplysninger starter. I avtalene skal databehandler sørge for at underleverandører er pålagt å ivareta alle plikter som databehandleren selv er forpliktet å ivareta iht. denne avtalen. Databehandler plikter å forelegge alle avtaler med underleverandører for den behandlingsansvarlige.
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Databehandler kan ikke overføre personopplysninger til underleverandører utenfor EU/EØS-området, med mindre underleverandørene er sertifisert etter Safe Harbour-ordningen eller opplysningene overføres til underleverandører i land godkjent av EU.1 Denne bestemmelsen gjelder også sikkerhetskopier (back-up) av personopplysninger som databehandleren behandler på vegne av behandlingsansvarlig.
Hvis det benyttes underleverandører skal feltene nedenfor fylles ut:
Navn på underleverandører: |
Digitalbyrået Arego AS |
Referanse til avtaler mellom databehandler og underleverandører: |
Tilbud nettsted Kor Arti’ digitalt. Avtale signert 3. mars 2016 |
5. Sikkerhet
Databehandler skal implementere og iverksette tilstrekkelige tekniske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot tilfeldig eller ulovlig ødeleggelse eller tap, endring, uautorisert eksponering eller tilgang.
Databehandler skal oppfylle de krav til sikringstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på forespørsel fra behandlingsansvarlige.
Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
Databehandler plikter å holde personopplysninger fra behandlingsansvarlig forsvarlig adskilt fra personopplysninger tilhørende andre kunder. Databehandler plikter å dokumentere dette på forespørsel fra behandlingsansvarlig.
6. Sikkerhetsrevisjoner
Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av og lignende som omfattes av denne avtalen. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.
Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos databehandleren, skal behandlingsansvarlig informeres om dette og ha tilgang til oppsummeringer av revisjonsrapportene.
7. Avtalens varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning
Avtalen kan sies opp av begge parter med en gjensidig frist på ______, jf. punkt 8 i denne avtalen.
8. Sletting av data
Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Behandlingsansvarlig bestemmer når og hvordan sletting eller tilbakelevering av opplysningene skal skje, herunder hvilket format som skal benyttes.
Brukerkontoer hos Kor Arti' skal på forespørsel slettes etter 30 dager.
Brukerkontoer skal slettes etter 450 dager med inaktivitet.
Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disker mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.
Xxxxxxxx skal skje ved at databehandler skriver over personopplysninger innen 30 dager etter avtalens opphør.
Personopplysninger i disker og andre fysiske lagringsmedier skal skrives over innen 30 dager etter avtalens opphør.
Databehandler skal skriftlig dokumentere at sletting eller destruksjon er foretatt i henhold til avtalen på forespørsel fra behandlingsansvarlig.
Databehandler dekker alle kostnader i forbindelse med tilbakelevering eller sletting av personopplysninger.
Kommentar: Partene kan avtale et annet tidsrom hvor personopplysninger skal skrives over og at kostnadene fordeles på en annen måte enn den som er foreslått her.
9. Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til: _______________
10. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar (fyll inn navn på tingrett) som verneting. Dette gjelder også etter opphør av avtalen.
***
Vi i Norsk
kulturskoleråd er opptatt av å beskytte dine
personopplysninger.
Personvernerklæringen og bruksvilkårene,
og informasjon om cookies gjelder for alle våre nettsteder
(xxx.xxxxxxxxxxxxxxxx.xx,
xxxxxxxxxx.xxxxxxxxxxxxxxxx.xx, xxx.xxxxxxx.xx,
xxx.xxx.xx
og xxx.xxxxxxxxxxxxxxx.xx)
og øvrige digitale tjenester, som e-postabonnement og registrering
av informasjon gjennom skjemaer.
Vilkårene styrer alt vi gjør innen innsamling, behandling, bruk av data og dine rettigheter til innsyn, endring og sletting av personlig informasjon.
Ved å benytte våre digitale kanaler samtykker du til vilkårene.
Hvis du er uenig i datapraksisene som er beskrevet i vilkårene, bør du unngå å bruke våre digitale kanaler.
Vår personvernerklæring og bruksvilkår finner du her:
xxxx://xxx.xxxxxxxxxxxxxxxx.xx/xx-xxx/xxxxxxxxxxxxxxxxxxxx-xx-xxxxxxxxxxxx
Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.
Sted og dato
På vegne av behandlingsansvarlig På vegne av databehandler
……………………….. ………………………
(underskrift) (underskrift)
(med trykte bokstaver)
_______________________________ |
(med trykte bokstaver)
_______________________________ |
1 Oversikt over land som EU har godkjent overføring av personopplysninger til, er tilgjengelig på xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx/xxxxxxxx/xxxxx_xx.xxx.
Side 1 av 5
