AVTALE OM OVERFØRING AV PERSONOPPLYSNINGER (DATAOVERFØRINGSAVTALE) MELLOM SELVSTENDIG BEHANDLINGSANSVARLIGE
Universitetet i Oslo
Dataoverføringsavtale
AVTALE OM OVERFØRING AV PERSONOPPLYSNINGER
(DATAOVERFØRINGSAVTALE)
MELLOM SELVSTENDIG BEHANDLINGSANSVARLIGE
I henhold til gjeldende norsk personvernlovgivning og EU-forordning 2016/679 av 27. april 2016 («GDPR»)
[Undertittel knyttet til det konkrete forhold/prosjekt]
(«Hovedavtalen»)
Mellom
[Navn på institusjon/selskap]
[xxx.xx.]
(«Dataoverfører»)
og
[Navn på institusjon/selskap]
[xxx.xx.]
(«Datamottaker»)
Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer.
Denne avtalen om overføring av personopplysninger mellom to behandlingsansvarlige («Avtalen») angir partenes respektive ansvar for overholdelse av gjeldende personvernlovgivning når personopplysninger utveksles mellom partene i tilknytning til det konkret forhold/prosjekt som angitt på Avtalens førsteside («Hovedavtalen»).
Partene er selvstendig behandlingsansvarlige for personopplysningene som overføres under denne Avtalen, ettersom hver part selvstendig bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes, jf. GDPR artikkel 4 (7).
Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Ved motstrid skal vilkårene i denne Avtalen gå foran partenes respektive personvernerklæringer eller vilkår i andre avtaler inngått mellom partene i tilknytning til den dataoverføringen Avtalen gjelder.
Hver av partens formål med dataoverføringen, hvilke typer personopplysninger som vil bli overført og relevante kategorier av registrerte er angitt i Avtalens bilag 1. Disse forholdene kan ikke endres av noen av partene uten at ny avtale eller et endringsvedlegg til Avtalen er signert.
Formålsbegrensning
Datamottaker skal ikke behandle de mottatte personopplysningene for andre formål enn hva som er angitt i Avtalen, med mindre annet følger av lovpålagte forpliktelser.
Overholdelse av gjeldende personvernlovgivning
Ved å signere denne Avtalen enes partene om at:
Partene skal overholde alle krav i gjeldende personvernlovgivning med hensyn til behandling av personopplysninger i relasjon til denne Avtalen, herunder plikten til å gjennomføre risikovurderinger, og å inngå databehandleravtaler med underleverandører.
Partene bekrefter at de i henhold til GDPR artikkel 32 har iverksatt tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne Avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Hvis en part oppdager feil eller anløp til feil i sammenheng med overføringen av personopplysninger under denne Avtalen, skal den parten som oppdager feilen informere den andre parten omgående.
Hver part har tilstrekkelig behandlingsgrunnlag for sin respektive behandling av personopplysninger som angitt i denne Avtalen, i henhold til GDPR artikkel 6.
De registrertes rettigheter
Hver part skal respektere de registrertes rettigheter, slik disse er regulert i GDPR kapittel 3.
Hver part skal sørge for at tydelig og tilstrekkelig informasjon om behandlingen av personopplysninger er gjort tilgjengelig for de registrerte individene, i henhold til GDPR artikkel 12-14.
Taushetsplikt
Avtalens innhold og de opplysninger som overføres er underlagt taushetsplikt mellom partene. Hver av partene kan imidlertid dele informasjon om Xxxxxxx og opplysningene med rådgivere og underleverandører i den utstrekning det anses nødvendig for oppfyllelsen av deres oppgaver for respektive part, forutsatt at mottakende part pålegges en tilsvarende forpliktelse om konfidensialitet som angitt i denne bestemmelsen.
Norsk lov vil kunne begrense omfanget av taushetsplikten for hver av partene.
Overføring til land utenfor EU/EØS
Kommentar: Dersom Avtalen innebærer at personopplysninger som overføres fra Dataoverfører til Datamottaker kan bli overført til land utenfor EU/EØS (tredjeland), kan slik overføring kun skje på visse vilkår. Reglene om overføring til tredjeland finnes i GDPR artikkel 45-47 og 49. Disse reglene innebærer blant annet at overføringen vil være lovlig dersom den skjer til et EU-godkjent tredjeland. Merk at Privacy Shield-ordningen ikke lenger er et gyldig grunnlag for overføringer til virksomheter i USA.
Innta kun hvis relevant:
Personopplysninger som overføres fra Dataoverfører til Datamottaker i henhold til denne Avtalen, vil bli overført til, eller aksessert fra, følgende mottakerland utenfor EU/EØS:
…………………………………………………………………………………………………... (navn på mottakerland)
Det rettslige grunnlaget for overføring av personopplysninger til de nevnte mottakerland utenfor EU/EØS er:
…………………………………………………………………………………………………... (kort redegjørelse for overføringsgrunnlaget)
Ved vesentlig mislighold av vilkårene i denne Avtalen som skyldes
feil eller forsømmelser fra en parts side, kan den annen part si opp
Avtalen og Hovedavtalen med øyeblikkelig virkning.
Erstatning
Hver av partene kan kreve erstatning for ethvert direkte økonomisk tap som kan tilbakeføres til brudd på den annen parts forpliktelser etter Avtalen. Erstatning kan ikke kreves for indirekte tap. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste, tapte besparelser, tap som følge av tap av data og krav fra tredjepart.
Samlet erstatning per kalenderår er begrenset til
Kommentar: Velg passende alternativ avhengig av prosjekt/avtale:
Alternativ 1:
et beløp som tilsvarer samlet årlig vederlag ekskl. merverdiavgift under Hovedavtalen.
Alternativ 2:
et beløp fastsatt til én million norske kroner (1 MNOK).
De ovennevnte
erstatningsbegrensningene gjelder ikke ved grov uaktsomhet eller
forsett.
Avtalens varighet
Denne Avtalen gjelder så lenge Hovedavtalen er i kraft og deretter så lenge Datamottaker fortsatt behandler personopplysninger mottatt fra Dataoverfører i henhold til Avtalen.
Kontaktpersoner
Kontaktperson hos Dataoverfører for spørsmål knyttet til denne Avtalen er: ___________.
[Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post]
Kontaktperson hos Datamottaker for spørsmål knyttet til denne Avtalen er: ___________.
[Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post]
Lovvalg og verneting
Kommentar: Velg passende alternativ avhengig av avtalemotpart:
Alternativ 1 - gjelder når UiOs avtalemotpart er en privat aktør/ikke-statlig universitet eller høyskole:
Avtalen er underlagt norsk rett. Partene vedtar [fyll inn navn på tingrett] som verneting.
Alternativ 2 – gjelder når UiOs avtalemotpart er et annet statlig universitet eller høyskole.
Avtalen er underlagt norsk rett. Eventuelle tvister som springer ut av denne Avtalen skal først søkes løst gjennom forhandlinger. Dersom partene ikke oppnår enighet gjennom forhandlinger, skal tvisten løses med bindende virkning av Kunnskapsdepartementet/Oslo tingrett som ordinært verneting. Hver av partene kan forlange at tvisten oversendes departementet/tingretten.
***
Denne avtale er i 2 – to – eksemplarer, hvorav partene beholder hvert sitt eksemplar.
Sted og dato
………………………..
På vegne av Dataoverfører På vegne av Datamottaker
……………………….. ………………………
(underskrift) (underskrift)
BILAG
1 – SPESIFIKASJON AV DATAOVERFØRINGEN
1. Formål
Formålet med Dataoverførers overføring av data under Avtalen er:
Kommentar: Angi klart og tydelig hva som er Dataoverførers formål med dataoverføringen. Dersom formålet fremgår av annen avtale mellom partene, kan det henvises til denne.
Formålet med Datamottakers mottak av data under Avtalen er:
Kommentar: Angi klart og tydelig hva som er Datamottakers formål med dataoverføringen, herunder hva Datamottaker skal bruke dataene til. Dersom formålet fremgår av annen avtale mellom partene, kan det henvises til denne.
2. Typer personopplysninger
Følgende typer personopplysninger vil bli overført fra Dataoverfører til Datamottaker under Avtalen:
Kommentar: Gi en kort (gjerne punktvis) oversikt over hvilke hovedtyper personopplysninger som Dataoverfører vil overføre til Datamottaker. Angi om de er sensitive og hvorvidt dataene er direkte identifiserbare eller avidentifiserte (dvs. om data fremstår som anonyme, men hvor man faktisk kan gå tilbake og finne ut hvem dataene/informasjonen gjelder).
3. Kategorier av registrerte
Personopplysningene som overføres under Avtalen angår følgende kategorier av registrerte:
Kommentar: Gi en kort oversikt over hvem opplysningene gjelder, for eksempel studenter og ansatte ved institusjonen.