Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Transkript

1 Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim

2 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig og XXXX databehandler 2

3 1 Avtalens hensikt Avtalens hensikt er å regulere partenes rettigheter og plikter etter lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr (personopplysningsforskriften). Avtalen skal sikre at Personopplysninger om den registrerte ikke brukes urettmessig eller kommer uberettigede i hende, samt at all behandling av personopplysninger utføres i samsvar med lov og forskrift. Avtalen regulerer Databehandlerens bruk av personopplysninger på vegne av den Behandlingsansvarlige herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, og rettigheter og plikter for partene i forbindelse med Behandlingen. Databehandler har ikke rett til å bruke Personopplysninger på annen måte enn det som følger av avtale med den Behandlingsansvarlige. Avtalen gjelder tilsvarende så langt den passer for behandling av Virksomhetskritiske opplysninger. 2 Definisjoner Det vises til definisjonene i Kontrakt for Busstjenester i Stor-Trondheim (Hovedavtalen). I tillegg gjelder følgende definisjoner: Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av Personopplysninger og hvilke hjelpemidler som skal brukes, dvs. AtB v/daglig leder eller den han/hun delegerer til. Databehandler: Den som behandler Personopplysninger på vegne av den Behandlingsansvarlige, jf. personopplysningsloven 2 nr. 5. Virksomhetskritiske opplysninger: Opplysninger som er av sentral betydning for Oppdragsgivers virksomhet, for eksempel strategier, kontrakter, regnskapstall og lignende dokumenter Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2 nr. 1. Behandling: Enhver bruk av Personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. personopplysningsloven 2 nr Formål og beskrivelse av Behandlingen Avtalen skal sikre at Personopplysninger behandles i henhold til personopplysningsloven og personopplysningsforskriften. Som følge av Hovedavtalen vil Databehandler utføre tjenester og behandle Personopplysninger på vegne av den Behandlingsansvarlige. Personopplysninger skal kun behandles av Databehandler som et ledd i leveransen etter Hovedavtalen og i samsvar med denne avtalen. Databehandler kan ikke behandle Personopplysninger for eget formål. Personopplysningene vil kunne behandles av Databehandler i forbindelse med trafikkstyring og logistikk, billettering, rapportering og kontroll. I forbindelse med avtalen vil Databehandler behandle Personopplysninger som omfatter: Kontaktdata om kunder, herunder navn, adresse, e-post, telefonnummer, utstedelsesdato for kortet, kjøpsdato for billetter og kortnummer Reiseopplysninger for kunde, for eksempel hvilken sone og holdeplass reisen startet på, billettype, tidspunkt for avlesing av kort mv. Transaksjoner i billettsystemet, dvs. transaksjonsdata knyttet til skiftoppgjør. 3

4 Lokaliseringsinformasjon for buss med identifiserbar sjåfør. Eventuelle personopplysninger i passasjertellingssystemet. Personopplysninger i forbindelse med utstedelse av frikort. (den behandling som er avtalt med kunden går frem av samtykkeskjemaet, se Vedlegg 2 til Bransjenormen Mal for innhenting av informert samtykke) 4 Den Behandlingsansvarliges rolle Behandlingsansvarlig bestemmer over bruken av Personopplysningene som omfattes av denne avtale, herunder i henhold til det som er avtalt med den enkelte kunde. Behandlingsansvarlig er ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for Personopplysningene, og at den aktuelle Behandling er i overensstemmelse med gjeldende lovgivning. Med mindre annet følger av lov, har den Behandlingsansvarlige rett til tilgang til og innsyn i både Personopplysningene som behandles av Databehandler og i systemene som benyttes til dette formål, herunder systemer og rutiner som er iverksatt for å sikre konfidensialitet og informasjonssikkerhet. Databehandler plikter å gi nødvendig bistand til dette. Den Behandlingsansvarlige har taushetsplikt om eventuelle virksomhetskritiske opplysninger han gjennom innsyn får tilgang til, og som ikke er relatert til Behandlingen av Personopplysninger. 5 Databehandlerens plikter Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige. Databehandleren har selvstendig plikt til å gjennomføre planlagte og systematiske tiltak og sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av Personopplysninger, jf. personopplysningsloven 13 og punkt 7 i denne avtalen. Databehandleren skal følge de rutiner og instrukser for Behandlingen som den Behandlingsansvarlige til enhver tid har bestemt skal gjelde. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn det som er avtalt med den Behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates, selges, etc. til noen andre for lagring, bearbeidelse mv. Databehandleren er i tillegg ansvarlig for at egen Behandling av Personopplysninger er i samsvar med personvernlovgivningen, se nærmere under punkt 8 i denne avtalen. Dersom Databehandleren mottar forespørsler, herunder krav om innsyn, fra registrerte eller andre i medhold av personopplysningsloven 18, skal Databehandler videreformidle forespørselen til Behandlingsansvarlig og bistå Behandlingsansvarlig med å besvare slike forespørsler. Dersom det er behandlet Personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, er Databehandleren forpliktet til å rette opplysningene, bistå den Behandlingsansvarlige, samt til så langt som mulig å sørge for at feilen ikke får betydning for den registrerte. (Dette gjelder databehandlere utenfor behandlingsansvarliges nettverk, og innebærer at databehandleren skal følge den behandlingsansvarliges rutiner og instrukser så langt de er i samsvar med personopplysningsloven med forskrifter.) Databehandleren har taushetsplikt om all dokumentasjon og Personopplysninger som vedkommende får tilgang til iht. denne avtalen. Dette gjelder også etter avtalens opphør. 4

5 6 Bruk av Underoperatør Databehandleren forplikter seg til ikke å overføre Personopplysninger som Databehandleren behandler på vegne av Behandlingsansvarlig til tredjepersoner uten forutgående avtale med Behandlingsansvarlig. Databehandlerens bruk av Underoperatør eller andre som ikke normalt er ansatt hos Databehandleren til å behandle Personopplysningene skal avtales skriftlig med Behandlingsansvarlig før Behandlingen starter. Underoperatøren skal være kjent med og akseptere Databehandlerens avtalemessige og lovmessige forpliktelser, og oppfylle disse på lik linje med Databehandleren. Dette innebærer blant annet (men er ikke begrenset til): Underoperatør er forpliktet til å følge alle instruksjoner fra den Behandlingsansvarlige som gjelder Behandling av Personopplysninger. Den Behandlingsansvarlige skal ha samme adgang til å gjennomføre revisjoner av Underoperatør som fremgår av denne avtalen. Alle handlinger eller unnlatelser fra en Underoperatør skal være Databehandlers ansvar. Det skal inngås egen databehandleravtale med Underoperatør som skal godkjennes av Behandlingsansvarlig. På tidspunktet for denne avtalens inngåelse, fremgår godkjente underleverandører av Prosedyrereglene Bilag 8. 7 Overføring til utlandet Databehandler har ikke uten samtykke fra Behandlingsansvarlige adgang til å overføre Personopplysninger som omfattes av denne avtalen til land utenfor EU/EØS som ikke har tilfredsstillende beskyttelsesnivå (tredjeland), jf. Personopplysningsforskriften 6-1. På tidspunktet for denne avtalens inngåelse, er følgende godkjent: [xxx]. 8 Sikkerhet Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens med forskrifter. Databehandleren skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av Personopplysninger. (Se Vedlegg 4 til Bransjenormen - Veileder i Informasjonssikkerhet.) For å oppfylle disse kravene, har Databehandleren en plikt til å dokumentere sine sikkerhetsrutiner og sitt informasjonssystem. Dokumentasjonen skal på forespørsel gjøres tilgjengelig for den Behandlingsansvarlige. Databehandleren skal også bistå, slik at den Behandlingsansvarlige kan ivareta sitt eget ansvar etter lov og forskrift. (Gjelder databehandlere utenfor behandlingsansvarliges nettverk, se også kommentar under 5.) Avviksmelding etter personopplysningsforskriftens 2-6 skal skje ved at databehandleren umiddelbart melder avviket til den Behandlingsansvarlige. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet. Meldingen skal som minimum inneholde følgende informasjon: 5

6 Hvilke Personopplysninger som er omfattet og omfanget av avviket. (Hvis mulig) årsaken til avviket. Beskrivelse av konsekvensene og potensiell risiko for Personopplysningene. Beskrivelse av tiltak som er eller vil bli iverksatt for å hindre skade eller begrense skadeomfanget. Eventuell annen relevant informasjons om er nødvendig for at den Behandlingsansvarlige skal kunne ivareta sine forpliktelser. Resultatet av avviksbehandlingen skal dokumenteres. Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. Databehandleren skal videre ha et styringssystem for sikkerhet iht. personopplysningsforskriften. Systemet skal omfatte men ikke avgrenses til rutiner for: Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd; Risikovurderinger; Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner; Ledelsens gjennomgang av sikkerhetsarbeidet, samt Gjennomføring av årlige revisjoner av virksomheten; Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for. Behandlingsansvarlig skal informeres om og ha tilgang til resultatet av risikovurderinger og sikkerhetsrevisjoner. 9 Sikkerhetsrevisjoner Den Behandlingsansvarlige skal jevnlig gjennomføre sikkerhetsrevisjoner av databehandleren. Databehandleren skal gi nødvendig bistand til den Behandlingsansvarlige. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak, se nærmere i vedlegg 4 til Bransjenormen - Veileder i Informasjonssikkerhet. 10 Lagring og sletting av personopplysninger Databehandleren skal ikke lagre Personopplysninger lenger enn det som følger av avtale med Behandlingsansvarlig og for øvrig i samsvar med lov. 11 Mislighold Ved brudd på denne avtalen, personopplysningsloven eller annet regelverk kan Behandlingsansvarlig pålegge Databehandleren og/eller eventuell underleverandør å stoppe den videre Behandlingen av Personopplysningene med øyeblikkelig virkning, samt iverksette eventuelle nødvendige sikkerhetstiltak for å beskytte opplysningene. Brudd på denne avtalen er å regne som mislighold av Hovedavtalen. 6

7 Databehandler skal holde den Behandlingsansvarlige skadesløs for ethvert tap, kostnad eller ansvar for skade, herunder også potensielle bøter eller gebyrer, som den Behandlingsansvarlige lider eller blir holdt ansvarlig for som følge av Databehandlers (eller Databehandlers underleverandørs) brudd på lov, forskrift eller plikter etter denne avtalen. For øvrig gjelder Hovedavtalen punkt 17 om ansvar for Operatøren. 12 Avtalens varighet Avtalen gjelder så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige, jf. denne avtalen og Hovedavtalen, og frem til alle Personopplysninger er slettet eller tilbakelevert, jf. punkt 12 i denne avtalen. (Dette tidspunktet vil i praksis være knyttet til hovedavtalens utløp.) 13 Tilbakeføring og sletting ved opphør Ved opphør av denne avtalen plikter Databehandleren etter nærmere instruksjoner fra den Behandlingsansvarlige å slette eller tilbakelevere alle Personopplysninger som er Behandlet på vegne av den Behandlingsansvarlige, og som omfattes av denne avtalen, med mindre annet er skriftlig avtalt mellom partene eller er pålagt ved lov. Databehandleren skal videre, på forespørsel, gi Behandlingsansvarlig utskrift eller gjøre tilgjengelig alt innhold i databaser og lignende som inneholder data som er omfattet av denne avtalen eller Hovedavtalen. Ved opphør av avtalen skal Databehandleren også slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er og annet som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Databehandleren skal innen 1 måned] skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen. Databehandleren skal uansett lagre dokumentasjon på sikkerhetsrutiner i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave, og Databehandleren må i lagringstiden bistå den Behandlingsansvarlige med å fremskaffe slik dokumentasjon. 14 Kompensasjon Databehandleren skal utføre de forpliktelser som følger av denne avtalen, lov og forskrifter uten ytterligere kompensasjon, med mindre annet avtales mellom partene. 15 Skriftlige meddelelser Meddelelser etter denne avtalen skal sendes skriftlig til: line.holmesland@atb.no. 16 Endring i lovverk mv. Ved endring i lov eller forskrift, kan den Behandlingsansvarlige kreve endringer i denne avtalen slik at den reflekterer eventuelle nye krav og forpliktelser. 17 Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar Trondheim tingrett som verneting. Dette gjelder også etter opphør av avtalen. 7

8 *** Denne avtale er i 2 to eksemplarer, hvorav partene har hvert sitt. [Sted og dato] Behandlingsansvarlig Databehandler.. 8