Personvernforordningens krav til bruk av databehandlere

Like dokumenter
Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Databehandleravtale. Charlotte Lindberg Difi

Wolters Kluwer Norge AS Østensjøveien Oslo

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

DATABEHANDLERAVTALE. 1. Bakgrunn

Personopplysningsvern med ProFundo som databehandler

Databehandleravtale for NLF-medlemmer

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I DE DIGITALE TJENESTENE FOR DE KOMMUNALE SOSIALE TJENESTENE. Databehandleravtale

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

3 Omfattede typer av personopplysninger og kategorier av registrerte

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

REKRUTTERING OG GDPR

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. Mellom. Den behandlingsansvarlige: [Navn] [organisasjonsnummer] [Adresse] [Postnummer og sted] Databehandleren

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Databehandleravtale. Mellom. Den behandlingsansvarlige: [Navn] [organisasjonsnummer] [Adresse] [Postnummer og sted] Databehandleren

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Registrerte og personopplysninger som behandles

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Avtale om kommunens bruk av Modia arbeidsrettet oppfølging til behandling av personopplysninger etter sosialtjenesteloven. Databehandleravtale.

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Kunden er behandlingsansvarlig Unifaun er databehandler

POWEL DATABEHANDLERAVTALE

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtaler

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvern - sjekkliste for databehandleravtale

DATABEHANDLERAVTALE vedrørende nettjenesten

DATABEHANDLERAVTALE. Kontaktperson hos Questback: Sara Habberstad. Databehandler/ Questback: Questback AS

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

GDPR - viktige prinsipper og rettigheter

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Del 2. Fagdag GDPR - Arkiv Troms

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Hvordan ivareta personvernet ved skikkethetsvurderinger?

EØS-tillegget til Den europeiske unions tidende Nr. 46/1 EØS-ORGANER EØS-KOMITEEN. EØS-KOMITEENS BESLUTNING nr. 154/2018. av 6.

Forslag til ny lov om behandling av personopplysninger

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Retningslinjer for databehandleravtaler

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Ny personvernforordning trer i kraft i mai 2018

GDPR Prosjektgjennomføring Sjekkliste

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale etter personopplysningsloven

Bilag 14 Databehandleravtale

EUs personvernforordning og norsk personopplysningsrett

Personvernerklæring for Flyt Høgskolen i Molde

Personvernforordningen

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Personvernforordningen

Personvernerklæring for Edvarda (Consortia Manager)

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Om dokumentasjon av automatisert rettsanvendelse. Dag Wiese Schartum, Senter for rettsinformatikk, UiO

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Transkript:

Personvernforordningens krav til bruk av databehandlere Dag Wiese Schartum, SERI/AFIN «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes;» [art. 4(7)] Felles behandlingsansvar, ansvar for DB-avtale må avklares, jf. art. 26(1) «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige [art. 4(8)] R «representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning [art. 4(17)] R R DB 1 BA 1 BA 2 BA 3 BA n DB 2 udb Jf. art. 28(2) DB n PVF art. 28 forutsetter avtaleregulering av forholdet mellom BA og DB. Med andre ord, muligheter for ganske kompliserte avtaleforhold! Kravet til representant gjelder ikke: Leilighetsvis behandling uten mange sensitive PO Offentlige myndigheter/organer Representant (R) skal pekes ut når BA og DB befinner seg utenfor Unionen og i) tilbyr varer eller tjenester, eller ii) monitorerer atferd til personer i Unionen [art. 3(2), jf. art. 27(1)] Avgjørende «om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.» (Fortalen, 24)

Valg av databehandlere og avtaleregulering Skal BA overlate behandling til noen som ikke er hans ansatte (og som han derfor ikke har instruksjonsmyndighet over), kan behandlingen bare overlates til en DB på den måten som er fastsatt i art. 28 [BA er oppdragsgiver og DB er oppdragstaker] BA kan bare velge DB som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer etterlevelse av forordningen «Tilstrekkelige garantier» kan være basert på konkret vurdering av tiltakene, og/eller på DBs etterlevelse av godkjente adferdsnormer (jf. art. 40), og/eller på om DB er omfattet av sertifiseringsmekanismer (jf. art. 42) Dersom DB (ulovlig) fastsetter formål og midlene for behandlingen, skal DB anses som BA for vedkommende behandling [og vil da kunne bli erstatningsansvarlig, bli bøtelagt eller sanksjoneres på annen måte, jf. art. 82 84] Generelt om avtalereguleringen Det skal inngås avtale («databehandleravtale») mellom BA og DB om den behandlingen av PO som DB skal utføre [art. 28(3)] I stedet for avtale kan annet rettslig dokument anvendes, som er bindende i henhold til unionsretten eller nasjonal rett Avtalen bør individualisere de ulike behandlingene som avtaleforholdet gjelder (jf. «behandlingen» i art. 28(3)) Databehandleravtalen og annet rettslig dokument skal være skriftlig (også digitalt) Kommisjonen og tilsynsmyndigheter kan vedta standardavtalevilkår for «særlige» punkter i avtalen (art. 28(3) bokstavene a h, og krav til «underdatabehandler (art. 28(4)) Databehandleravtalen og annet rettslig dokument kan helt eller delvis bygge på slike standardavtalevilkår Databehandleravtalen eller annet rettslig dokument skal «særlig» [og minst] angi punktene i art. 28(3) bokstavene a h Gjelder krav til bestemmelser om [min kategorisering]: Behandlingsansvarliges instrukser til databehandler Vilkår vedrørende DBs bruk av «underdatabehandler» Krav til fysiske personer hos databehandler Databehandlers bistand til behandlingsansvarlig Databehandlers sletting og tilbakelevering av personopplysninger Databehandlers tilrettelegging for revisjon og inspeksjon fra behandlingsansvarlig Viktig at avtalene får innhold som ikke er begrenset til disse særlige kravene

Krav til innholdet av databehandleravtaler, art. 28(3) Behandlingsansvarliges instrukser til databehandler Avtalen skal angi at DB bare kan behandle personopplysninger for BA på måter som fremgår av instrukser fra BA (art. 28(3)(a)) Instruksene skal være «dokumenterte» Overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon bør trolig alltid være omfattet av instruksen Behandling uten instruks kan skje hvis det kreves av unionsretten eller medlemsstatenes nasjonale rett som DB er underlagt DB skal underrette BA om slik behandling utenfor instruks før behandlingen skjer (men mindre unionsretten eller medlemsstatenes nasjonale rett forbyr slik underretning av hensyn til viktige samfunnsinteresser) Avtalen skal angi at DB skal treffe alle tiltak som er nødvendige i henhold til art 32 om behandlingssikkerhet (art. 28(3)(c)) Iflg. art. 32(1) skal både BA og DB treffe «egnede tekniske og organisatoriske tiltak» for å oppnå et sikkerhetsnivå som står i forhold til risikoen DB har plikt til å bistå BA i spørsmål om behandlingssikkerhet (art. 32 34), jf. bilde 8 (nedenfor) Kan være en god idé å la spørsmål om behandlingssikkerhet inngå i avtale og/eller instruks i hht. art. 28 Krav til innholdet av databehandleravtaler, art. 28(3) Vilkår vedrørende DBs bruk av «underdatabehandlere» Databehandleravtalen skal angi at DB skal overholde vilkårene i art. 28(2) og (4) vedrørende bruk av «underdatabehandlere» («udb») Bruk av udb krever alltid forhåndstillatelse fra BA Tillatelser skal være skriftlige Tillatelsen kan være særskilt, eller tillatelsen kan være generell DB skal underrette BA om planer for bruk av udb, eller skifte av udb Underretning om udb skal gi BA anledning til å motsette seg bruken av udb, og må derfor skje før endring av udb-forhold skjer udb skal pålegges de samme forpliktelser som DB har i henhold til DBs avtale med BA Nevnte pålegg skal gis i avtale mellom DB og udb I stedet for avtale kan annet rettslig dokument anvendes, som er bindende i henhold til unionsretten eller nasjonal rett udb skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak for å sikre etterlevelse av PVF Ved vurdering av om garantiene er tilstrekkelige, kan det legges vekt på på DBs etterlevelse av godkjente adferdsnormer (jf. art. 40), og/eller på om DB er omfattet av sertifiseringsmekanismer (jf. art. 42) DB er fullt ansvarlig ovenfor BA for udbs manglende oppfyllelse av sine forpliktelser

Krav til innholdet av databehandleravtaler, art. 28(3) Krav til fysiske personer hos databehandler Avtalen skal angi at DB skal sikre at personer er autorisert til å behandle personopplysningene, og har forpliktet seg til å behandle opplysningene fortrolig, eller er underlagt en egnet lovfestet taushetsplikt Fysiske personer hos BA og DB har plikt til bare å handle etter instruks fra BA (art. 32(4)) Kan gjøres unntak i unionsretten eller nasjonal rett Krav til innholdet av databehandleravtaler, art. 28(3) Databehandlers bistand til behandlingsansvarlig Avtalen skal angi at DB skal bistå BA med å oppfylle BAs plikt til å svare registrerte som ønsker å utøve rettigheter som er fastsatt i kap. III Gjelder i alle fall innsynsrett (art. 15), rett til korrigering (art. 16), sletting (art. 17), begrensning av behandling (art. 18), dataportabilitet (art. 20), innsigelsesrett (art. 21), og rett til ikke å være gjenstand for helt automatiserte avgjørelser (art. 22) Bistanden skal gis «i den grad det er mulig» Bistanden skal bestå i egnede tekniske og organisatoriske tiltak, og skal gis under «hensyn til behandlingens art» Avtalen skal angi at DB skal bistå BA med å sikre overholdelse av forpliktelsene vedrørende behandlingssikkerhet (artikkel 32 36) Bistanden skal gis under hensyn til behandlingens art, og den informasjonen som er tilgjengelig for DB

Krav til innholdet av databehandleravtaler, art. 28(3) Databehandlers sletting og tilbakelevering av personopplysninger Avtalen skal angi at DB skal slette eller tilbakelevere alle personopplysninger til BA etter at tjenestene knyttet til behandlingen er levert, og slette eksisterende kopier BA skal bestemme/velge hva som skal slettes eller tilbakeleveres (bør omfattes av BAs instruks?) Unntak gjelder dersom unionsretten eller nasjonal rett krever at personopplysningene lagres Krav til innholdet av databehandleravtaler, art. 28(3) Databehandlers tilrettelegging for revisjon og inspeksjon fra behandlingsansvarlig og plikt til å samarbeide med tilsynsmyndigheten Avtalen skal angi at DB skal gjøre tilgjengelig for BA all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i artikkel 28 er oppfylt (jf. krav til protokoll i art. 30(2)), muliggjøre og bidra til BAs revisjoner (informasjonen), muliggjøre og bidra til BAs inspeksjoner (stedlig) og ha plikt til å tilgjengeliggjøre og muliggjøre revisjon og inspeksjon, både når revisjon og inspeksjon blir gjennomført av BA selv, og når en inspektør (og revisor) opptrer på fullmakt fra BA og på anmodning samarbeide med tilsynsmyndigheten (slik også BA skal), jf. art. 31 DB skal herunder på anmodning gjøre protokoller som nevnt i art. 30(2) tilgjengelig for tilsynsmyndigheten (art. 30(4)) [men merk at ikke alle DB må føre protokoll, se art. 30(5)]

Avsluttende kommentar Bestemmelsene om databehandlers forhold til behandlingsansvarlig er omfattende og kompliserte Antar det er viktig at Datatilsynet vedtar standard avtalevilkår for ulike avtaletyper Den største utfordringen er trolig å sikre at avtalene ikke bare blir «til pynt», men blir brukt aktivt hos begge avtaleparter

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding