Avtalemaler for personvern

Når skal du inngå en databehandleravtale?

Hvis du setter deler av behandlingen ut til en virksomhet/institusjon/fysisk person utenfor OsloMet skal databehandleravtale inngås. Det skjer når

• OsloMet (behandlingsansvarlig) overfører personopplysninger til en ekstern virksomhet/institusjon/fysisk person (databehandler) som skal behandle personopplysninger på vegne av OsloMet, og som OsloMet ikke har noen instruksjonsmyndighet over.
• en ekstern virksomhet/institusjon/fysisk person får tilgang til data OsloMet er behandlingsansvarlig for. OsloMet bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes.

Eksterne er alle OsloMet ikke har noen instruksjonsmyndighet over. Personer OsloMet har instruksjonsmyndighet over og anses som interne er

• personer som anses som studenter ved OsloMet og signerer en taushetserklæring
• ansatte som har en arbeidsavtale og signerer en taushetserklæring (gjelder også personer som knyttes til OsloMet via engasjement o.l.).

En databehandleravtale skal også signeres hvis OsloMet får overført/får tilgang til eller eventuelt samler inn personopplysninger som en ekstern virksomhet/institusjon/fysisk person er behandlingsansvarlig for, og hvor OsloMet ikke er med og bestemmer formål eller middel for behandlingen.  OsloMet behandler da personopplysninger på vegne av den eksterne virksomheten og har rollen som databehandler.

Ved oppdragsforskning, der "oppdragsgiver" bare er interessert i resultatet av forskningen, kan OsloMet være så selvstendig i utførelsen av oppdraget at OsloMet likevel må anses å være behandlingsansvarlig.

Husk at prosjektmedarbeidere (forskning) som tolker, transkriberingsassistenter og forskningsassistenter anses som databehandlere, dersom de er eksterne. Disse må signere en databehandleravtale hvor det fremgår hvordan personopplysningene skal behandles.

Husk at det er ditt ansvar at en avtale er på plass. En databehandleravtale er et viktig juridisk dokument som må være på plass så tidlig som mulig og før behandling av personopplysninger starter.

Databehandler i Norge

Det er i UH-sektoren utarbeidet (med noen småjusteringer fra OsloMet)

• forslag til databehandleravtale på norsk (doc)
• forslag til databehandleravtale på engelsk (doc)
• sjekkliste for databehandleravtaler (anskaffelser.no)
• sjekkliste for databehandleravtaler (old.unit.no)

Databehandleravtalemalen skal fortrinnsvis brukes ved OsloMet, men tilpasses i hvert enkelt tilfelle.

Sjekklisten kan brukes ved behov for kvalitetssikring av databehandleravtaler som leverandører av skytjenester eller andre typer nettbaserte tjenester tilbyr. Husk å få satt opp sikkerhet@oslomet.no i punkt om hvem databehandler skal varsle ved et eventuelt avvik.

Databehandler i tredjeland

EUs standard databehandleravtalemal (doc) (kun i engelsk versjon per i dag) bør brukes ved overføring av personopplysninger til en databehandler i tredjeland.

Det kan ikke gjøres unntak eller avtales noe som er i strid med vilkårene i EU sin standard databehandleravtalemal. Innholdet i avtalen er altså «låst».

Avtalen foreligger foreløpig kun på engelsk, tysk og fransk, men vil trolig komme på alle språk innenfor EU og sikkert også på norsk.

Andre aktuelle databehandleravtalemaler

• Til bruk overfor enkeltmannsforetak eller enkeltpersoner som skal være databehandlere kan denne databehandleravtalemalen (doc) brukes. Malen finnes også på engelsk.
• Digitaliseringsdirektoratets standard databehandleravtale (anskaffelser.no) kan brukes. Den dekker personvernforordningens minimumskrav, og har en generell avtaletekst og et bilagssett som må fylles ut i hvert enkelt tilfelle.
• I flg. Datatilsynets nettsider: Norske virksomheter kan ta i bruk en  standarddatabehandleravtale (datatilsynet.no) som det danske datatilsynet har vedtatt. Den er tilgjengelig på dansk og engelsk.

Sjekkliste

• Du skal sjekke at virksomheten som skal behandle personopplysninger på vegne av OsloMet har et tilfredsstillende informasjonssikkerhetssystem i form av policy, retningslinjer, rutiner og lignende.

• I forskning skal du sjekke at den eksterne virksomheten har sendt endringsmelding til Personverntjenester (Sikt) eller sitt personvernombud og fått din behandling av personopplysningene vurdert som ok, i de tilfeller OsloMet skal delta i et eksternt prosjekt og/eller skal behandle personopplysninger som er samlet inn av den eksterne virksomheten. Dette skal dokumenteres skriftlig. E-post kan være tilstrekkelig, dersom virksomheten er norsk. Er du i tvil om hva som er tilstrekkelig dokumentasjon i ditt prosjekt, ta kontakt med personvernkontakt FoU for ditt fakultet/senter.

• Før behandlingen av personopplysninger starter skal du sørge for at det foretas en risikovurdering, se også retningslinjer om informasjonssikkerhet om Hva skal beskyttes? Verdivurdering/risikovurdering og Retningslinje for behandling av personopplysninger. ​​​​​​

• Datatilsynets nettside om Behandlingsansvarlig og databehandler (datatilsynet.no).

• EDPB sine retningslinjer om begrepene behandlingsansvarlig og databehandler (edpb.europa.eu) (pdf, på engelsk)

• Datatilsynets nettside om Overføring av personopplysninger ut av EØS, opplysninger utelukkende behandlet i EØS (datatilsynet.no).

Signering og arkivering

Databehandleravtalen kan signeres (av tjenesteeier/systemeier/prosesseier) etter at det er gjort en risikovurdering og skal deretter arkiveres i P360. Se Registrering i Public 360 (sharepoint.com) og Datatilsynets veileder om databehandleravtale (datatilsynet.no). Saksnummer registreres på behandlingen/arbeidsprosessen i behandlingsoversikten til OsloMet i systemet Ardoq (gjelder de behandlinger som skal registreres i Ardoq) eller i excel-skjema som fungerer som protokoll for systemer. Dette gjøres av personvernkontakten ved aktuell enhet. 

OsloMet har fått utarbeidet en avtalemal for felles behandlingsansvar (doc), med utgangspunkt i UiO sin mal. Malen er også tilgjengelig som engelsk versjon. Malen kan benyttes i de tilfeller OsloMet og en ekstern virksomhet/institusjon må anses å ha et felles behandlingsansvar og det skal skje en overføring av personopplysninger mellom virksomhetene/institusjonene. Hver av de felles behandlingsansvarlige må da ha et eget lovlig grunnlag for sin behandling av personopplysningene (datatilsynet.no).

Det foreligger et felles behandlingsansvar, dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen.

Avtale om felles behandlingsansvar skal arkiveres i P360.

OsloMet har fått på plass en avtalemal for dataoverføring (doc), for det meste kopiert fra NTNU sin mal. (engelsk versjon). Malen kan benyttes i de tilfeller OsloMet skal overføre personopplysninger til en ekstern virksomhet/institusjon og begge parter har et selvstendig behandlingsansvar. Malen kan også benyttes i de tilfeller OsloMet mottar personopplysninger fra en annen selvstendig behandlingsansvarlig.

Det foreligger selvstendige behandlingsansvarlige hvis begge (alle) behandlingsansvarlige skal benytte personopplysningene til egne formål som ikke fastsettes i fellesskap.

Avtale om dataoverføring skal arkiveres i P360.

Se nettside om

• overføring av personopplysninger mellom behandlingsansvarlige
• overføring av personopplysninger til utlandet

Ved behov for hjelp ta kontakt med personvernkontakten ved din enhet/fakultet/senter.