Databehandleravtale Bilag
1: Angivelse av personopplysninger og behandlinger
Opplysninger om behandling av personopplysninger omfattet av
Databehandleravtalen skal føres inn i nedenstående
personopplysningsskjema.
Ulike typer personopplysninger kan føres inn samme
personopplysningsskjema i den grad det er hensiktsmessig. Dersom
typene personopplysninger omfattet av Databehandleravtalen er såpass
ulikeartede, eksempelvis i tidsangivelse, at det ikke er
hensiktsmessig å føre dem inn i samme personopplysningsskjema, skal
personopplysningsskjema fylles ut på nytt for de ulike
behandlingene.
Versjonsnummerering av personopplysningsskjemaet skal føres inn i
skjema for versjonsnummerering, og det skal angis i
Databehandleravtalen punkt 2 hvor mange personopplysningsskjema som
foreligger i Bilag 1.
Nærværende Bilag 1 tilhører Databehandleravtalen for følgende
Hovedavtale: (Navn og mimenummer på hovedavtale).
Versjonsnummerering:
|
Versjonsnummer av dette
skjema:
|
X
|
Totalt antall skjema i
Bilag 1:
|
X
|
Personopplysningsskjema:
|
Gi en beskrivelse av
oppgaven og/eller tjenesten Databehandler skal utføre
etter Hovedavtalen:
|
(Eksempel:
«Databehandler skal behandle personopplysninger ved
bakgrunnssjekk av søkere til stillinger i SVV»).
|
Gi en beskrivelse av type
personopplysninger omfattet av Databehandleravtalen. Se
EU-forordning 2016/679 artikkel 4 nr. 1 for definisjon av
personopplysning:
|
(Eksempler:
Navn, fødselsnummer, ansattnummer, adresse, arbeidsgiver,
opplysninger om utdanning, sivilstatus. osv..)
|
Gi en beskrivelse av
kategorier av registrerte omfattet av Databehandleravtalen:
|
(Eksempler:
Ansatte, kunder, jobbsøkere, osv.).
|
Gi en stikkordsmessig og
uttømmende opplisting av behandlinger omfattet av
Databehandleravtalen, jf. EU-forordning 2016/679 artikkel 4 nr.
2:
|
(Eksempel:
«Databehandler skal samle inn, registrere, sammenstille, lagre
og/eller utlevere, personopplysninger på vegne av
Behandlingsansvarlig».
Veiledning:
Begrep kan hentes fra definisjonen av «behandling», jf.
EU-forordning 2016/679 artikkel 4 nr. 2. Der følger det
at «behandling» er enhver operasjon eller rekke av
operasjoner som gjøres med personopplysninger, enten automatisert
eller ikke, f.eks. innsamling, registrering, organisering,
strukturering, lagring, tilpasning eller endring, gjenfinning,
konsultering, bruk, utlevering ved overføring, spredning eller
alle andre former for tilgjengeliggjøring, sammenstilling eller
samkjøring, begrensning, sletting eller tilintetgjøring.)
|
Gi en detaljert og
uttømmende forklaring av behandlinger omfattet av
Databehandleravtalen. Herunder skal behandlingens formål og art
fremgå:
|
(Veiledning: Her
skal man detaljere hvilke oppgaver Databehandler gjør som
forutsetter behandling av SVVs personopplysninger, samt forklare
hvordan behandlingene vil foregå. Behandlingens formål og art
skal angis uttømmende og detaljert. Eksemplene må strykes og
erstattes av det som er reelt for tjenesten. Se i Hovedavtalen for
å fange opp hvilke behandlinger som gjøres. Eventuelt kan man be
Databehandler om hjelp til å supplere informasjon.
Eksempler:
«Sammenstilling:
Databehandler systematiserer og sammenstiller opplysningene for å
oppnå Behandlingsansvarliges formål om [eks: å ha oversikt
over og styre de ansattes tidsbruk i ansettelsesforholdet som
arbeidsgiver].»
«Lagring:
Databehandler skal ta vare på de registrerte personopplysningene
for å ivareta Behandlingsansvarliges behov for å [eks:
kunne kontrollere tidsregistrering og fravær bakover i tid, samt
for å sikre tilgjengelighet gjennom sikkerhetskopiering]»
«Utlevering:
Databehandler gjør personopplysninger tilgjengelig til
Behandlingsansvarlig til enhver tid under avtalens løpetid».
«Innsamling og
utlevering: Databehandler samler inn opplysninger fra
trafikkulykker, herunder personopplysninger, og utleverer dette
til Behandlingsansvarlig så SVV kan føre dette inn i
ulykkesregistre.»
|
Gi en estimert angivelse
av behandlingens forventede varighet:
|
(Eksempler:
«Personopplysninger behandles i Hovedavtalens løpetid». Eller
«Personopplysningene behandles til den enkelte SVV-ansatte
slutter», eller angi et konkret tidsrom i tid. Tidsangivelsen
skal være så detaljert som mulig.)
|
Gi en opplisting av
stat(er) hvor Databehandler har personell som har tilgang
til personopplysninger omfattet av Databehandleravtalen.
Se
Databehandleravtalen punkt 4.10:
|
|
Omfatter behandlingen
personopplysninger underlagt særlige reguleringer etter
EU-forordning 2016/679:
|
Personopplysninger uten
særskilte reguleringer (kryss av)
|
|
Særlige kategorier
personopplysninger etter EU-forordning 2016/679 artikkel 9
(kryss av)
|
|
Personopplysninger om
straffedommer og lovovertredelser etter EU-forordning 2016/679
artikkel 10 (kryss av)
|
|
|
Informasjon om
skylagring:
|
Inngår skylagring i
Databehandlerens behandling (kryss av):
|
|
Hvis svaret er «Ja» på
skylagring skal det gis en angivelse av stat(er) hvor serveren er
plassert. Se Databehandleravtalen punkt 4.10:
|
|
Hvis svaret er «Ja» på
skylagring skal det gis en angivelse av stat(er) hvor eventuell(e)
sikkerhetskopi(er) av skyserveren er plassert. Se
Databehandleravtalen punkt 4.10:
|
|
Databehandlers faktiske behandling av personopplysninger kan
ikke gå utover det som er oppgitt i Bilag 1.
Ved utvidelse og/eller endring av de oppførte personopplysningene,
og/eller behandlingene, må personopplysningsskjema oppdateres før
endret behandling kan starte opp. Endringer av opplysningene i
personopplysningsskjema i løpet av Hovedavtalen og/eller
Databehandleravtalens løpetid representerer en endring av
Databehandleravtalen. Bilag 1 må i dette tilfellet signeres på nytt
av begge parter.
Det kan ikke foretas endringer utover det som er nødvendig for
oppfyllelse av Hovedavtalen.
Signaturer
Dato: Dato:
For
Databehandler For Behandlingsansvarlig
______________________ __________________________
Navn: Navn:
Tittel: Tittel: