Databehandleravtale. Denne avtalen er inngått mellom

Transkript

1 Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: MVA, med forretningsadresse Dronningens gate 40, 0154 Oslo, og postboks 1030 Sentrum, 0104 Oslo som kjøper av tjenester og behandlingsansvarlig (heretter benevnt som behandlingsansvarlig) Versjon 1.1

2 Innholdsfortegnelse: Databehandleravtale Bakgrunn Definisjoner Formål Roller og oppgaver Databehandlers plikter Videreformidling av opplysninger Taushetsplikt Kontroll og rapportering Mislighold Varighet og oppsigelse... 6

3 1. Bakgrunn Det vises til kontrakt om.. Databehandleravtalen utgjør Vedlegg 8 til hovedkontrakten og har samme varighet som denne. I forbindelse med oppdraget gis det tilgang til følgende opplysningstype: - Grunndata - Rapporter på sjåføroppgjør fra Ruter - Rapporter fra SIS for å utføre Operatør selger busstjenester på ruteområdet angitt i Kontrakten for befordring av Oppdragsgivers kollektivkunder i en periode på 7 år med mulighet for 3 år opsjon med ett år av gangen. 2. Definisjoner Det vises til definisjoner i hovedavtalen, i tillegg gjelder følgende definisjoner i denne avtalen: Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige (selger av tjenesten i denne avtalen). Virksomhetskritiske opplysninger: Opplysninger som er av sentral betydning for Oppdragsgivers virksomhet, for eksempel strategier, kontrakter, regnskapstall og lignende dokumenter. Personopplysninger: Alle opplysninger som direkte eller indirekte omhandler personer, herunder data som gjør kobling til slike opplysninger mulig. 3. Formål Denne avtalen regulerer rettigheter og plikter for partene i forbindelse med databehandlers behandling av personopplysninger for den behandlingsansvarlige. Avtalen gjelder tilsvarende så langt den passer for behandling av virksomhetskritiske opplysninger. 4. Roller og oppgaver Ruter er behandlingsansvarlig og bestemmer over bruken av de opplysningene som omfattes av denne avtale. Ruter er som behandlingsansvarlig bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene og at

4 den aktuelle behandling er i overensstemmelse med gjeldende lovgivning, i henhold til det som er avtalt med den enkelte kunde. Databehandler behandler personopplysninger på vegne av Ruter. Databehandleren er i tillegg ansvarlig at databehandlerens egen behandling av personopplysninger er i samsvar med personvernlovgivningen. 5. Databehandlers plikter Databehandler skal påse at alle personopplysninger blir behandlet i overensstemmelse med inngått avtale med den behandlingsansvarlige, jf personopplysningsloven 15. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn hva som er avtalt med den behandlingsansvarlige. Behandlingen skal skje i samsvar med reglene i den til enhver tid gjeldende personopplysningslov og forskrift og på den måten som den behandlings - ansvarlige til enhver tid fastsetter, se Vedlegg 9 Reglement for behandling av person og virksomhetskritiske opplysninger i Ruter. Databehandleren skal ivareta alle sine plikter og gjennomføre sikringstiltak for å trygge informasjonssikkerheten slik dette er beskrevet i personopplysningsloven, jf personopplysningsloven 15 og 13 med tilhørende forskrifter. Databehandleren må derfor bl.a. selv sørge for å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til person- eller virksomhetskritiske opplysninger. Databehandleren skal videre ha et styringssystem for sikkerhet iht personopplysningsforskriften, som omfatter men ikke avgrenses til nedenstående rutiner for: Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet herunder sikkerhetsbrudd. Sikkerhetsrevisjon som omfatter jevnlig oversendelse av de deler av rapporter fra sikkerhetsrevisjoner. Ledelsens gjennomgang av sikkerhetsarbeidet. Gjennomføring av årlige revisjoner av virksomheten. Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for. 6. Videreformidling av opplysninger Databehandler kan ikke benytte seg av de opplysninger som han får tilgang til under utførelsen av oppdraget, til egne formål og opplysningene kan ikke overføres til egen eller annen virksomhet. Personopplysningene kan heller ikke overlates til andre for lagring eller bearbeidelse, jf personopplysningsloven 15.

5 7. Taushetsplikt Databehandlerens ansatte har taushetsplikt om alle virksomhetskritiske opplysninger og personopplysninger de får kjennskap til gjennom utførelsen av tjenesten. Taushetsplikten skal være fastsatt i en egen erklæring, eller arbeidskontrakten. Den ansatte, som til vanlig skal behandle slike opplysninger i bedriften, er autorisert til slik behandling ved undertegnelsen av et slikt dokument. Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin tjeneste hos databehandleren skal pålegges taushet også etter fratredelse. 8. Sletting av opplysninger Person og virksomhetskritiske opplysninger skal lagres så lenge den behandlingsansvarlige finner det nødvendig, og ikke utover den periode som er avtalt mellom partene. Når behandlingsansvarlig ikke lenger finner lagring er nødvendig etter Personopplysningsloven, skal personopplysningene slettes umiddelbart. 9. Kontroll og rapportering Den behandlingsansvarlige kan til enhver tid kreve den tilgang til informasjon og den adgang til områder og utstyr hos virksomheten som er nødvendig for å forsikre seg om at den behandlingsansvarlige oppfyller vilkårene i avtalen, bl a gjennom sikkerhetsrevisjoner for å forsikre seg om at sikkerhetsbestemmelsene i personopplysningsloven og personopplysningsforskriften er oppfylt. Herunder skal behandlingsansvarlig gis tilgang til kontroll på hvordan opplysningene blir håndtert, og skal få tilgang til server, område eller mappe, samt tilknyttede loggfiler og lignende, hvor eventuelle opplysningene blir lagret. Tredjepart kan benyttes for gjennomføring av revisjoner. Databehandleren skal rapportere jevnlig om feil og avvik fra behandlingen. Manglende rapportering vil utløse gebyrer i henhold til kontraktens vedlegg 6 Incitamentsavtale. Det foretas en egen kontroll innen den 1. mai hvert år, som viser hvordan håndteringen av person og virksomhetskritiske opplysninger er håndtert under utførelsen av oppdraget. Resultatet av egenkontrollen skal rapporteres til den behandlingsansvarliges kontaktperson.

6 10. Mislighold Manglende oppfylling av forpliktelsene i denne avtale skal regnes som mislighold. Det vises til hovedavtalens misligholdsbeføyelser som gjelder tilsvarende for denne avtale. Dersom behandlingsansvarlig finner at sikkerheten ikke er tilstrekkelig ivaretatt, kan behandlingsansvarlig stille vilkår som må oppfylles for at behandlingen skal være i samsvar med avtalen. I henhold til personopplysningsloven 48 kan Datatilsynet gi pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i medhold av personopplysningsloven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven. Dersom Datatilsynet gir slikt pålegg innenfor noe som er databehandlerens ansvar etter denne avtale, kan behandlingsansvarlig kreve at databehandleren utbedrer feilen for egen regning. For øvrig gjelder hovedavtalens bestemmelser om mislighold. 11. Varighet og oppsigelse Avtalen trer i kraft når begge parter har signert. Avtalen følger hovedavtalen. Sted/Dato: For Sted/Dato: For [Navn] [Stilling] [Navn] [Stiilling]