Denne avtalen er ikke basert på en jurist sine betraktninger, men dette forslaget til avtale er laget utifra det som datatilsynet anbefaler. se
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/
Avtale knyttet til personvernloven/ GDPR mellom
................................. ( Behandlingsansvarlig )
og
...................................... ( Databehandler)
1. Definisjoner
"GDPR" betyr EUs personvernforordning, General Data Protection Regulation (EU) 2016/679, som vedtatt av Europaparlamentet og Rådet for Den europeiske union den 14. april 2016 og som norsk lov fra 20.juli 2018
"Personvernlovgivning" betyr alle gjeldende lover og forskrifter om databeskyttelse og personvern, inkludert GDPR og den norske Personopplysningsloven.
"Personopplysning" betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig med henvisning til en identifikator, slik som et navn, et identifikasjonsnummer, posisjonsdata, en elektronisk identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.
"Den registrerte" betyr den fysiske personen som et bestemt sett med personopplysninger vedrører.
"Behandling" betyr enhver operasjon eller sett av operasjoner som utføres på personopplysninger eller på sett av personopplysninger, enten det er automatisert eller ikke, slik som innsamling, mottak, organisering, strukturering, lagring, bearbeidelse, endring, uthenting, konsultasjon, bruk, overføring, formidling, tilgjengeliggjøring, justering, kombinering, begrensning, sletting eller tilintetgjørelse.
"Behandlingsansvarlig" betyr den fysiske eller juridiske person, offentlig myndighet, byrå eller annet organ som, alene eller i fellesskap med andre, bestemmer formålet med og midlene for behandling av personopplysninger. I denne databehandleravtalen skal behandlingsansvarlig henvise til deg.
"Databehandler" betyr en fysisk eller juridisk person, offentlig myndighet, et byrå eller et annet organ som behandler personopplysninger på vegne av behandlingsansvarlig. I denne databehandleravtalen skal databehandler referere til Domeneshop.
"Tilsynsmyndighet" betyr en uavhengig offentlig myndighet som er opprettet av en EU/EØS-stat i henhold til artikkel 51 i GDPR. I Norge er det Datatilsynet som er tilsynsmyndighet.
2: Avtalens tema og behandlingens art, formål og varighet
Avtalen tar utgangspunkt i datatilsynet sine anbefarlinger for forhold mellom behandlingsansvarlige og databehandler i henhold til GDPR - flere artikler - og spesielt artikkel 28 nr. 3 a- g.
Behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige, består i å .........................................................................................
Formålet med behandlingen av personopplysninger er å ..................................................................
Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp av en av partene.
Kategorier av registrerte som omfattes, samt hva slags personopplysninger som behandles
De registrerte er ............................... hos den behandlingsansvarlige.
Personopplysningene som registreres er..................................................
......................................
3:Pliktene og rettighetene til den behandlingsansvarlige
Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7)
Den behandlingsansvarlige skal gi databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav . Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.
Avtalen er satt opp utifra artikkel 28 nr. 3 og de 8 punktene der.( bokstav a-h)
4: Bare behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige
Databehandleren skal kun skal behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige. Unntaket er dersom norsk lov pålegger databehandleren en konkret behandling av personopplysninger. I så fall skal databehandleren underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.
Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett (jf. artikkel 28 bokstav 3 siste ledd).
5:Plikt til at autoriserte personer behandler personopplysningene fortrolig
Både den behandlingsansvarlige og databehandlere har plikt til å behandle personopplysninger på en sikker måte. Dette innebærer blant annet tilgangsstyring, altså at bare utpekte personer skal ha tilgang til personopplysningene som behandles.
Databehandleren må derfor godkjenne (autorisere) alle som skal ha tilgang til opplysningene, enten det er snakk om egne ansatte eller innleid arbeidskraft. Kun de som har tjenestlig behov for opplysningene, skal autoriseres. Databehandleren må ha tiltak på plass som sikrer at ingen andre enn de som er autorisert, kan få tilgang. Disse pliktene følger av personvernforordningen artikkel 32, og gjelder uansett hva avtalen sier.
Databehandleren skal sikre at autoriserte personer er forpliktet til å behandle personopplysningene fortrolig, eller er underlagt lovfestet taushetsplikt.
Databehandleren skal, etter anmodning fra den behandlingsansvarlige, kunne påvise at de autoriserte personene er underlagt fortrolighet eller taushetsplikt - for eksempel ved ved dokumentasjon (jf. artikkel nr. 23 bokstav b og h).
Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført.
6: Plikt til å ha tilfredsstillende sikkerhetstiltak
Plikten til informasjonssikkerhet innebærer også andre plikter enn tilgangsstyring og fortrolighet, for eksempel plikt til å gjennomføre en risikovurdering.
Databehandleren treffer alle tiltak som er nødvendige etter personopplysningsloven artikkel 32.
Eventuelle tilleggskrav til sikkerhetstiltak beskrives i et eget vedlegg til databehandleravtalen.
Databehandleren har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32, men at databehandleren som et minimum må gjennomføre følgende tiltak : En beskrivelse av tekniske og organisatoriske tiltak for å beskytte personopplysninger ved overføring/utlevering og en beskrivelse av eventuelle krav til sikring av personopplysningene der disse lagres. Redegjørelse for dette finnes på databehandlerens webside. Beskrivelselsene overfor skal følge bransjestandarden som blir utviklet
7: Bruk av annen databehandler (underleverandør)
Databehandler får en generell godkjennelse slik at de har mulighet til å engasjere underleverandører underveis i avtaleforholdet etter behov. Databehandleren må uansett underrette den behandlingsansvarlige om bruk av nye underleverandører
Databehandleren må pålegge eventuelle andre databehandlere de samme forpliktelsene som er fastsatt i denne databehandleravtalen gjennom en skriftlig avtale
Hvis den andre databehandleren (underleverandøren) ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, har databehandleren det fulle ansvaret overfor den behandlingsansvarlige.
8:Bistand til å svare på anmodninger som gjelder de registrertes rettigheter
Databehandleren bistår den behandlingsansvarlige (ved hjelp av egnede tekniske og organisatoriske tiltak) å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.
Ved innsynskrav må databehandler bistå ved å samle opplysningene som er lagret om den registrerte. Databehandler må gjøre opplysningene tilgjengelig for den behandlingsansvarlige for at den behandlingsansvarlige kan vurdere innsynskravet.
9:Bistand til den behandlingsansvarlige
Databehandleren har en plikt til å bistå den behandlingsansvarlige med å overholde de forpliktelsene etter artikkel 32-36 som er relevante i det konkrete avtaleforholdet.
Databehandleren må straks underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten (jf. artikkel 33 nr. 2).
Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varselet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3).
Dersom bruddet medfører at den behandlingsansvarlige må varsle de registrerte (jf. artikkel 34), må databehandleren gi den informasjonen som kreves for at den behandlingsansvarlige kan ivareta plikten til å gi slik underretning på en tydelig måte, og i tråd med artikkel 33 nr. 3. bokstav b), c) og d).
10:Avslutning av avtalen
Databehandleren er forpliktet til å slette alle personopplysninger som er behandlet på den behandlingsansvarliges vegne, ved opphør av avtaleforholdet.
11: Tilgjengelig info
Databehandler gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen inspektør på fullmakt fra den behandlingsansvarlige
Denne avtalen er laget utifra det som datatilsynet anbefaler:
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/
Avtalen lages i to likelydende kopier med databehandler og behandlingsansvarlige underskrifter.
Dato: _________________
Sted_________________
Behandlingsansvarlig Databehandler