VEILEDNING OM BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED LEIE AV EIENDOM
|
|
|
DATABEHANDLERAVTALE MELLOM UTLEIER OG LEIETAKER
VEILEDNING OM BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED LEIE AV EIENDOM
Dersom utleier som ledd i oppfyllelsen av sine plikter etter leieavtalen får tilgang til og behandler opplysninger som kan knyttes til enkeltpersoner på vegne av leietaker, fastsetter personopplysningsloven en del lovkrav som må reflekteres i avtalen mellom leietaker og utleier. Blant annet må formålet med behandlingen angis, og det må gis informasjon til de enkeltpersoner det behandles opplysninger om. Som «behandling» av personopplysninger anses enhver bruk av opplysninger som kan knyttes til en enkeltperson, som f.eks. registrering, sammenstilling, lagring og utlevering.
For opplysninger som utleier behandler for egne formål, vil utleier være å anse som såkalt behandlingsansvarlig etter loven. For opplysninger som utleier kun behandler på vegne av leietaker, vil utleier være en såkalt databehandler på vegne av leietaker.
Denne forskjellen kan illustreres med følgende eksempel: Når utleier registrerer personopplysninger for å føre egen kontroll med at ikke uvedkommende får tilgang til utleiers eiendom (eget formål), er utleier å anse som behandlingsansvarlig, med direkte behandlingsansvar etter loven. Når utleier på den annen side registrerer opplysninger om nøkkelkort som er nødvendige for å gi den enkelte av leietakers personell riktig adgang til de lokaler leietaker leier, er utleier å anse som en databehandler på vegne av leietaker som behandlingsansvarlig. Avgjørende for skillet er hvilken av partene som bestemmer formålet med den aktuelle behandlingen og hvilke hjelpemidler som skal brukes til dette.
Siden utleier for deler av databehandlingen vil være å anse som databehandler, må avtalen mellom partene tilfredsstille personopplysningslovens krav til en såkalt databehandleravtale. Disse kravene er sikret i den foreslåtte kontraktsteksten nedenfor. Dersom utleier overlater hele eller deler av databehandlingen som utleier er ansvarlig for, til en ekstern leverandør, må det på tilsvarende vis inngås en databehandleravtale mellom utleier og den eksterne leverandøren. Det er utarbeidet en standard databehandleravtale også for relasjonen mellom utleier og eksterne leverandører.
Det kan også tenkes scenarier der situasjonen ut ifra formålsbetraktningene ovenfor er den omvendte av hva som er beskrevet ovenfor, dvs. at leietaker vil være databehandler på vegne av utleier som behandlingsansvarlig. Det må også da inngås en databehandleravtale mellom partene. Da dette antas å være spesialtilfeller, er ikke utkastet til databehandleravtale som er vedlagt her tilpasset dette scenariet. Utkastet kan imidlertid også benyttes som utgangspunkt for en slik databehandleravtale, men behøver da noen tilpasninger.
Utkastet til databehandleravtale er oppdatert for å tilfredsstille nye krav etter EUs personvernforordning (GDPR).
Mer informasjon om regler for behandling av personopplysninger finnes på Datatilsynets nettsider xxx.xxxxxxxxxxxx.xx.
BILAG […] TIL STANDARD LEIEAVTALE FOR NÆRINGSLOKALER/-BYGG
DATABEHANDLERAVTALE
MELLOM
UTLEIER OG LEIETAKER
1.Bakgrunn
[…] (Utleier) og […] (Leietaker) har [dato] inngått avtale (Leieavtalen) om leie av lokaler i [adresse, gnr. og bnr.] (Eiendommen).
Som ledd i oppfyllelsen av pliktene etter Leieavtalen, vil Utleier få tilgang til og behandle personopplysninger på vegne av Leietaker.
Denne databehandleravtalen regulerer Utleiers og Leietakers rettigheter og plikter i forbindelse med Utleiers behandling av personopplysninger på vegne av Leietaker. Leietaker er behandlingsansvarlig og Utleier er databehandler for behandlingen av personopplysninger.
2.Nærmere om behandlingen
Formålet med behandlingen, behandlingens art, kategorien av registrerte og de typer personopplysninger som skal behandles er nærmere beskrevet i Vedlegg 1.
3.Leietakers plikter
Leietaker bekrefter at Leietaker:
har et rettslig grunnlag for behandlingen av personopplysningene, herunder rett til å la Utleier behandle opplysningene som angitt i denne databehandleravtalen
har ansvaret for at personopplysningene er fullstendige og korrekte slik at Utleier blir i stand til å oppfylle sine plikter
har informert den som personopplysningene gjelder i tråd med gjeldende lov. Kopi av informasjon som er gitt skal gis til Utleier på forespørsel.
Leietaker skal:
svare på henvendelser fra de registrerte om behandlingen av personopplysninger under denne databehandleravtalen
Vurdere nødvendigheten av tiltak som angitt i pkt. 4.3.2 og ved behov bestille slike tiltak fra Utleier.
Leietaker skal ha på plass tilstrekkelige tekniske og organisatoriske tiltak for å sikre overholdelse av relevante krav etter gjeldende personvernlovgivning.
4.Utleiers plikter
4.1Overholdelse av gjeldende rett
Utleier skal behandle personopplysninger i henhold til gjeldende lovgivning og som angitt i denne databehandleravtalen.
4.2Instruks fra Leietaker
Utleier skal bare behandle personopplysninger i samsvar med dokumentert instruks fra Leietaker eller som angitt i denne databehandleravtalen. Utleier skal ikke uten forutgående skriftlig avtale eller instruks behandle personopplysninger utover det som er nødvendig for å overholde forpliktelser i denne databehandleravtalen.
Dersom Utleier likevel må behandle personopplysninger på grunn av ufravikelig lov, skal Utleier såfremt det er lovlig underrette Leietaker før behandlingen starter.
Utleier skal varsle Leietaker dersom Utleier mener at en instruks fra Leietaker er i strid med gjeldende lovgivning.
4.3Informasjonssikkerhet
4.3.1Vurdering av tiltak
Utleier skal ved planlagte systematiske, organisatoriske og tekniske tiltak sikre at de datasystemer og prosesser hvor personopplysningene behandles har et tilfredsstillende sikkerhetsnivå (informasjonssikkerhet).
Herunder skal Utleier sikre at opplysningene ikke blir gjort tilgjengelige for uvedkommende (konfidensialitet), at de ikke kan endres utilsiktet eller av uvedkommende (integritet), og at de er tilgjengelige for de rettmessige brukere når disse har behov for det for å kunne utføre sine oppgaver (tilgjengelighet).
Ved vurderingen av hvilke tekniske og organisatoriske tiltak som skal tas i bruk, skal Utleier i samråd med Leietaker ta i betraktning:
beste praksis
kostnaden ved implementering
karakteren og omfanget av behandlingen
konteksten og formålet med behandlingen
alvorlighet av den risiko behandlingen av personopplysninger medfører for de registrerte enkeltpersoners rettigheter
Utleier skal, i samråd med Leietaker, vurdere:
Implementering av pseudonymisering (erstatning av direkte identifiserende data med koder) og kryptering av personopplysninger
Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet som nevnt ovenfor, samt robustheten til systemer for behandling og tjenester
Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle uønskede fysiske eller tekniske hendelser
En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til behandlingen
Relevant dokumentasjon for sikkerhetstiltakene skal gjøres tilgjengelig for Leietaker på forespørsel.
4.3.2Bistand til Leietaker
Utleier skal gi bistand slik at Leietaker kan ivareta sitt eget ansvar etter gjeldende lovgivning. Herunder skal Utleier bistå Leietaker med å:
få på plass tekniske og organisatoriske tiltak som nevnt ovenfor
overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av eventuelle avvik når lovgivningen krever det
utføre vurdering av personvernkonsekvenser når lovgivningen krever det
utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig
Bistanden skal utføres i den utstrekning det er nødvendig ut fra Leietakers behov, karakteren av behandlingen og informasjonen tilgjengelig for Utleier.
4.3.3Henvendelser fra registrerte personer
Utleier skal ha på plass tekniske og organisatoriske tiltak for kunne bistå Leietaker med å svare på henvendelser fra de enkeltpersoner som det er registrert opplysninger om angående utøvelse av de rettigheter disse har etter lovgivningen.
4.3.4Kompensasjon for bistand
Bistand som fastsatt i denne databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Leietaker, skal kompenseres av Leietaker etter medgått tid i samsvar med Utleiers vanlige betingelser og timesatser, eller hvis slike ikke finnes; som nærmere avtalt mellom partene.
4.4Avvik og avviksmeldinger
Enhver bruk av personopplysninger i strid med etablerte rutiner, instrukser fra Leietaker eller gjeldende lovgivning, samt eventuelle sikkerhetsbrudd, skal behandles som avvik.
Utleier skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket og forhindring av gjentagelse.
Utleier skal uten ugrunnet opphold varsle Leietaker om ethvert sikkerhetsbrudd eller annet brudd på denne databehandleravtalen. Utleier skal gi Leietaker all informasjon som er nødvendig for å sette Leietaker i stand til å overholde gjeldende lovgivning og sette Leietaker i stand til å besvare henvendelser fra Datatilsynet. Det er Leietakers ansvar å melde avvik til Datatilsynet og registrerte personer i henhold til gjeldende lovgivning.
4.5Konfidensialitet
Utleier har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Utleier skal sikre at alle som utfører arbeid for Utleier, enten ansatte eller innleide, som har tilgang til eller er involvert i behandling av personopplysninger etter databehandleravtalen (i) er underlagt taushetsplikt, og (ii) er informert om og overholder forpliktelsene etter denne databehandleravtalen. Taushetsplikten gjelder også etter opphør av databehandleravtalen.
4.6Sikkerhetsrevisjoner
Utleier vil jevnlig foreta sikkerhetsrevisjoner for systemer og rutiner som er relevante for behandlingen av personopplysninger som omfattes av denne databehandleravtalen. Leietaker skal på forespørsel få tilgang til rapporter som dokumenterer slike sikkerhetsrevisjoner.
4.7Bruk av underleverandører; overføring av personopplysninger utenfor EU/EØS
Enhver underleverandør skal godkjennes skriftlig av Leietaker før underleverandøren kan behandle personopplysninger. En liste med godkjente underleverandører på avtaletidspunktet er vedlagt denne databehandleravtalen som vedlegg 2. Utleier skal, i skriftlig avtale med enhver underleverandør, sikre at behandling av personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som de som er pålagt Utleier i henhold til denne databehandleravtalen.
Dersom Utleier planlegger å skifte ut eller benytte ny underleverandør, skal Utleier skriftlig varsle Leietaker i rimelig tid for Leietakers godkjenning før ny underleverandør starter behandling av personopplysninger. Leietaker skal ved mottak av slikt varsel godkjenne underleverandøren innen rimelig tid, med mindre Leietaker har en rimelig grunn til å motsette seg endringen.
Utleier kan ikke benytte underleverandør(er) som innebærer overføring av personopplysninger utenfor EU/EØS uten etter særskilt avtale med Leietaker. Dersom Leietaker godkjenner slik overføring, skal Utleier samarbeide med Leietaker om å sikre lovligheten av slik overføring.
5.Kontraktsbrudd
Ved brudd på denne databehandleravtalen skal de relevante bestemmelser om kontraktsbrudd i Leieavtalen komme til anvendelse.
6.Varighet, avslutning av databehandleravtalen, endringer
Denne databehandleravtalen skal gjelde fra den er signert av begge parter og inntil Leieavtalen utløper, eller inntil Utleiers behandling av personopplysninger på vegne av Leietaker i henhold til denne databehandleravtalen opphører av annen grunn.
Ved avslutning av denne databehandleravtalen skal personopplysninger returneres i standardisert format på et elektronisk medium. Utleier skal først returnere og deretter slette alle personopplysninger. Utleier og dennes underleverandører skal umiddelbart stanse behandling av personopplysningene ved utløpet av databehandleravtalen.
Som alternativ til å få returnert personopplysningene kan Leietaker velge å instruere Utleier om at personopplysningene skal slettes, med mindre ufravikelig lovgivning forhindrer Utleier fra slik sletting.
Utleier skal gi Leietaker en skriftlig erklæring som bekrefter at Utleier garanterer at alle personopplysninger har blitt returnert eller slettet i henhold til Xxxxxxxxxx instrukser.
Forpliktelsene etter pkt. 4.5 og 5 skal fortsette å gjelde etter databehandleravtalens opphør. Videre skal bestemmelsene i databehandleravtalen gjelde fullt ut for eventuelle personopplysninger beholdt av Utleier i strid med dette pkt. 6.
Partene skal revidere denne databehandleravtalen i den grad det er nødvendig for å tilfredsstille endringer i relevant lovgivning eller pålegg fra offentlig myndighet.
7.Tvister og jurisdiksjon
Denne databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett.
Avtalt verneting skal være det samme som etter Leieavtalen.
*****
[sted], [dato]
For Utleier for Leietaker
________________________ ________________________
[…] […]
[Det må kontrolleres for hver avtale at disse kategoriene er riktige. Det er et lovkrav at riktige typer data angis i avtalen.]
Behandlingsaktiviteter og formål
Utleier vil utføre følgende behandlingsaktiviteter for følgende formål:
Adgangskontroll: Formålet med Utleiers behandling av personopplysninger på vegne av Leietaker er å bistå Leietaker med å sikre at ingen uvedkommende får adgang til Eiendommen, samt utføre driftsteknisk oppfølging og feilretting.
Kantine: Formålet med Utleiers behandling av personopplysninger på vegne av Leietaker er å bistå Leietaker med å gi Leietakers ansatte et kantinetilbud.
Resepsjon: Formålet med Utleiers behandling av personopplysninger på vegne av Leietaker er å bistå Leietaker med resepsjonstjenester og registrering av besøkende.
Parkering: Formålet med Utleiers behandling av personopplysninger på vegne av Leietaker er å bistå Leietaker med å administrere og kontrollere Leietakers parkeringsplasser til bruk for deres ansatte og/eller besøkende.
Kameraovervåking: Formålet med Utleiers behandling av personopplysninger på vegne av Leietaker er å bistå Leietaker med å ivareta sikkerheten til Leietakers ansatte og besøkende, samt utføre driftsteknisk oppfølging og feilretting.
Typer personopplysninger og kategorier av registrerte personer
Utleier vil for hver opplistede behandlingsaktivitet behandle følgende typer personopplysninger om følgende kategorier av registrerte personer:
Adgangskontroll:
Ansatte hos Leietaker: Navn, tidspunkt og sted for adgang.
Besøkende til lokalet: Navn, tidspunkt og sted for adgang.
Kantine:
Ansatte hos leietaker: Navn, tidspunkt for kjøp, kjøpesum.
Resepsjon:
Besøkende i bygget: Navn, telefonnummer, tidspunkt for besøk.
Parkering:
Ansatte hos Leietaker: Navn, telefonnummer, bilregistreringsnummer, tidspunkt for ankomst og avreise.
Besøkende til Leietaker: Bilregistreringsnummer, tidspunkt for ankomst og avreise.
Kameraovervåking:
Ansatte hos Leietaker: Videoopptak, herunder med bilde av person, bevegelser i og i nærheten av Eiendommen, tidspunkt for ankomst og avreise.
Besøkende hos Leietaker: Videoopptak, herunder med bilde av person, bevegelser i og i nærheten av Eiendommen, tidspunkt for ankomst og avreise.
Andre personer som oppholder seg i eller i nærheten av Eiendommen: Videoopptak, herunder med bilde av person, bevegelser i og i nærheten av Eiendommen, tidspunkt for ankomst og avreise.
Godkjente underleverandører
Dette vedlegget inneholder en uttømmende angivelse av hvilke underleverandører Utleier kan benytte.
-
Navn på underleverandør
Dato for oppstart av bruk av underleverandør
1