Avtalemaler for personvern - Ansatt

Avtalemaler for personvern

Avtalemaler for personvern

Vi har tre avtalevarianter innen personvern: databehandleravtale, avtale for felles behandlingsansvar og avtale om dataoverføring. Her finner du aktuelle maler og informasjon om når du skal bruke de ulike malene.
  • Avtalemal for databehandleravtale

    Når skal du inngå en databehandleravtale?

    Hvis du setter deler av behandlingen ut til en virksomhet/institusjon/fysisk person utenfor OsloMet skal databehandleravtale inngås. Det skjer når

    • OsloMet (behandlingsansvarlig) overfører personopplysninger til en ekstern virksomhet/institusjon/fysisk person (databehandler) som skal behandle personopplysninger på vegne av OsloMet, og som OsloMet ikke har noen instruksjonsmyndighet over.
    • en ekstern virksomhet/institusjon/fysisk person får tilgang til data OsloMet er behandlingsansvarlig for. OsloMet bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes.

    Eksterne er alle OsloMet ikke har noen instruksjonsmyndighet over. Personer OsloMet har instruksjonsmyndighet over og anses som interne er

    • personer som anses som studenter ved OsloMet og signerer en taushetserklæring
    • ansatte som har en arbeidsavtale og signerer en taushetserklæring (gjelder også personer som knyttes til OsloMet via engasjement o.l.).

    En databehandleravtale skal også signeres hvis OsloMet får overført/får tilgang til eller eventuelt samler inn personopplysninger som en ekstern virksomhet/institusjon/fysisk person er behandlingsansvarlig for, og hvor OsloMet ikke er med og bestemmer formål eller middel for behandlingen.  OsloMet behandler da personopplysninger på vegne av den eksterne virksomheten og har rollen som databehandler.

    Ved oppdragsforskning, der "oppdragsgiver" bare er interessert i resultatet av forskningen, kan OsloMet være så selvstendig i utførelsen av oppdraget at OsloMet likevel må anses å være behandlingsansvarlig.

    Husk at prosjektmedarbeidere (forskning) som tolker, transkriberingsassistenter og forskningsassistenter anses som databehandlere, dersom de er eksterne. Disse må signere en databehandleravtale hvor det fremgår hvordan personopplysningene skal behandles.

    Husk at det er ditt ansvar at en avtale er på plass. En databehandleravtale er et viktig juridisk dokument som må være på plass så tidlig som mulig og før behandling av personopplysninger starter.

    Databehandler i Norge

    Det er i UH-sektoren utarbeidet (med noen småjusteringer fra OsloMet)

    Databehandleravtalemalen skal fortrinnsvis brukes ved OsloMet, men tilpasses i hvert enkelt tilfelle.

    Sjekklisten kan brukes ved behov for kvalitetssikring av databehandleravtaler som leverandører av skytjenester eller andre typer nettbaserte tjenester tilbyr. Husk å få satt opp sikkerhet@oslomet.no i punkt om hvem databehandler skal varsle ved et eventuelt avvik.

    Databehandler i tredjeland

    EUs standard databehandleravtalemal (doc) (kun i engelsk versjon per i dag) bør brukes ved overføring av personopplysninger til en databehandler i tredjeland.

    Det kan ikke gjøres unntak eller avtales noe som er i strid med vilkårene i EU sin standard databehandleravtalemal. Innholdet i avtalen er altså «låst».

    Avtalen foreligger foreløpig kun på engelsk, tysk og fransk, men vil trolig komme på alle språk innenfor EU og sikkert også på norsk.

    Andre aktuelle databehandleravtalemaler

    Sjekkliste

    Signering og arkivering

    Databehandleravtalen kan signeres (av tjenesteeier/systemeier/prosesseier) etter at det er gjort en risikovurdering og skal deretter arkiveres i P360. Se Registrering i Public 360 (sharepoint.com) og Datatilsynets veileder om databehandleravtale (datatilsynet.no). Saksnummer registreres på behandlingen/arbeidsprosessen i behandlingsoversikten til OsloMet i systemet Ardoq (gjelder de behandlinger som skal registreres i Ardoq) eller i excel-skjema som fungerer som protokoll for systemer. Dette gjøres av personvernkontakten ved aktuell enhet. 

  • Avtalemal for felles behandlingsansvar

    OsloMet har fått utarbeidet en avtalemal for felles behandlingsansvar (doc), med utgangspunkt i UiO sin mal. Malen er også tilgjengelig som engelsk versjon. Malen kan benyttes i de tilfeller OsloMet og en ekstern virksomhet/institusjon må anses å ha et felles behandlingsansvar og det skal skje en overføring av personopplysninger mellom virksomhetene/institusjonene. Hver av de felles behandlingsansvarlige må da ha et eget lovlig grunnlag for sin behandling av personopplysningene (datatilsynet.no).

    Det foreligger et felles behandlingsansvar, dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen.

    Avtale om felles behandlingsansvar skal arkiveres i P360.

  • Avtalemal for dataoverføring

    OsloMet har fått på plass en avtalemal for dataoverføring (doc), for det meste kopiert fra NTNU sin mal. (engelsk versjon). Malen kan benyttes i de tilfeller OsloMet skal overføre personopplysninger til en ekstern virksomhet/institusjon og begge parter har et selvstendig behandlingsansvar. Malen kan også benyttes i de tilfeller OsloMet mottar personopplysninger fra en annen selvstendig behandlingsansvarlig.

    Det foreligger selvstendige behandlingsansvarlige hvis begge (alle) behandlingsansvarlige skal benytte personopplysningene til egne formål som ikke fastsettes i fellesskap.

    Avtale om dataoverføring skal arkiveres i P360.

    Se nettside om

  • Ved behov for hjelp

    Ved behov for hjelp ta kontakt med personvernkontakten ved din enhet/fakultet/senter.