Databehandleravtale
Databehandleravtale
Denne avtalen er inngått mellom
xxxx, Org. nr.: xxxx med forretningsadresse xxxxxx som selger av tjenester og databehandler
( heretter benevnt databehandler)
og
Ruter AS, Org. nr.: 991 609 407 MVA, med forretningsadresse Xxxxxxxxxxx xxxx 00, 0000 Xxxx, og postboks 1030 Sentrum, 0104 Oslo som kjøper av tjenester og behandlingsansvarlig
(heretter benevnt som behandlingsansvarlig)
Versjon 1.0
Innholdsfortegnelse:
6. Videreformidling av opplysninger 4
1. Bakgrunn
Det vises til kontrakt om Oslo Vest. Databehandleravtalen utgjør Vedlegg 8 til hovedkontrakten og har samme varighet som denne.
I forbindelse med oppdraget gis det tilgang til følgende opplysningstype:
- Grunndata
- Rapporter på sjåføroppgjør fra Ruter
- Rapporter fra SIS
Operatør selger busstjenester på ruteområdet angitt i Kontrakten for befordring av Oppdragsgivers kollektivkunder i en periode på 7 år med mulighet for 3 år opsjon med ett år av gangen.
2. Definisjoner
Det vises til definisjoner i hovedavtalen, i tillegg gjelder følgende definisjoner i denne avtalen:
Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.
Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige (selger av tjenesten i denne avtalen).
Virksomhetskritiske opplysninger: Opplysninger som er av sentral betydning for Oppdragsgivers virksomhet, for eksempel strategier, kontrakter, regnskapstall og lignende dokumenter.
Personopplysninger: Alle opplysninger som direkte eller indirekte omhandler personer, herunder data som gjør kobling til slike opplysninger mulig.
3. Formål
Denne avtalen regulerer rettigheter og plikter for partene i forbindelse med databehandlers behandling av personopplysninger for den behandlingsansvarlige. Avtalen gjelder tilsvarende så langt den passer for behandling av virksomhetskritiske opplysninger.
4. Roller og oppgaver
Ruter er behandlingsansvarlig og bestemmer over bruken av de opplysningene som omfattes av denne avtale. Ruter er som behandlingsansvarlig bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene og at den aktuelle behandling er i overensstemmelse med gjeldende lovgivning, i henhold til det som er avtalt med den enkelte kunde.
Databehandler behandler personopplysninger på vegne av Ruter. Databehandleren er i tillegg ansvarlig at databehandlerens egen behandling av personopplysninger er i samsvar med personvernlovgivningen.
5. Databehandlers plikter
Databehandler skal påse at alle personopplysninger blir behandlet i overensstemmelse med inngått avtale med den behandlingsansvarlige, jf personopplysningsloven § 15. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn hva som er avtalt med den behandlingsansvarlige.
Behandlingen skal skje i samsvar med reglene i den til enhver tid gjeldende personopplysningslov og forskrift og på den måten som den behandlings - ansvarlige til enhver tid fastsetter, se Vedlegg 9 Reglement for behandling av person og virksomhetskritiske opplysninger i Ruter.
Databehandleren skal ivareta alle sine plikter og gjennomføre sikringstiltak for å trygge informasjonssikkerheten slik dette er beskrevet i personopplysningsloven, jf personopplysningsloven § 15 og § 13 med tilhørende forskrifter.
Databehandleren må derfor bl.a. selv sørge for å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til person- eller virksomhetskritiske opplysninger. Databehandleren skal videre ha et styringssystem for sikkerhet iht personopplysningsforskriften, som omfatter – men ikke avgrenses til nedenstående rutiner for:
• Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet herunder sikkerhetsbrudd.
• Sikkerhetsrevisjon som omfatter jevnlig oversendelse av de deler av rapporter fra sikkerhetsrevisjoner.
• Ledelsens gjennomgang av sikkerhetsarbeidet.
• Gjennomføring av årlige revisjoner av virksomheten.
Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for.
6. Videreformidling av opplysninger
Databehandler kan ikke benytte seg av de opplysninger som han får tilgang til under utførelsen av oppdraget, til egne formål og opplysningene kan ikke overføres til egen eller annen virksomhet. Personopplysningene kan heller ikke overlates til andre for lagring eller bearbeidelse, jf personopplysningsloven § 15.
7. Taushetsplikt
Databehandlerens ansatte har taushetsplikt om alle virksomhetskritiske opplysninger og personopplysninger de får kjennskap til gjennom utførelsen av tjenesten.
Taushetsplikten skal være fastsatt i en egen erklæring, eller arbeidskontrakten. Den ansatte, som til vanlig skal behandle slike opplysninger i bedriften, er autorisert til slik behandling ved undertegnelsen av et slikt dokument.
Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin tjeneste hos databehandleren skal pålegges taushet også etter fratredelse.
8. Sletting av opplysninger
Person og virksomhetskritiske opplysninger skal lagres så lenge den behandlingsansvarlige finner det nødvendig, og ikke utover den periode som er avtalt mellom partene. Når behandlingsansvarlig ikke lenger finner lagring er
nødvendig etter Personopplysningsloven, skal personopplysningene slettes umiddelbart.
9. Kontroll og rapportering
Den behandlingsansvarlige kan til enhver tid kreve den tilgang til informasjon og den adgang til områder og utstyr hos virksomheten som er nødvendig for å forsikre seg om at den behandlingsansvarlige oppfyller vilkårene i avtalen, bl a gjennom sikkerhetsrevisjoner for å forsikre seg om at sikkerhetsbestemmelsene i personopplysningsloven og personopplysningsforskriften er oppfylt. Herunder skal behandlingsansvarlig gis tilgang til kontroll på hvordan opplysningene blir håndtert, og skal få tilgang til server, område eller mappe, samt tilknyttede loggfiler og lignende, hvor eventuelle opplysningene blir lagret.
Tredjepart kan benyttes for gjennomføring av revisjoner.
Databehandleren skal rapportere jevnlig om feil og avvik fra behandlingen. Xxxxxxxxx rapportering vil utløse gebyrer i henhold til kontraktens vedlegg 6 Incitamentsavtale.
Det foretas en egen kontroll innen den 1. mai hvert år, som viser hvordan håndteringen av person og virksomhetskritiske opplysninger er håndtert under utførelsen av oppdraget. Resultatet av egenkontrollen skal rapporteres til den behandlingsansvarliges kontaktperson.
10. Mislighold
Manglende oppfylling av forpliktelsene i denne avtale skal regnes som mislighold. Det vises til hovedavtalens misligholdsbeføyelser som gjelder tilsvarende for denne avtale.
Dersom behandlingsansvarlig finner at sikkerheten ikke er tilstrekkelig ivaretatt, kan behandlingsansvarlig stille vilkår som må oppfylles for at behandlingen skal være i samsvar med avtalen.
I henhold til personopplysningsloven § 48 kan Datatilsynet gi pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i medhold av personopplysningsloven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven. Dersom Datatilsynet gir slikt pålegg innenfor noe som er databehandlerens ansvar etter denne avtale, kan behandlingsansvarlig kreve at databehandleren utbedrer feilen for egen regning.
For øvrig gjelder hovedavtalens bestemmelser om mislighold.
11. Varighet og oppsigelse
Avtalen trer i kraft når begge parter har signert. Avtalen følger hovedavtalen.
Sted/Dato: Sted/Dato:
For Ruter As For xxxxx
Xxxxx Xxxxxx Xxxxxxx xxxxxxx
Adm. Direktør Adm. Direktør