Databehandleravtalen sikrer at personopplysninger ikke kommer avveie eller brukes urettmessig.

Her kan du lese vår mal på databehandleravtale. Du kan også laste ned denne malen som PDF.

Har du spørsmål ang denne kan du sende en mail til Stine.

1. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter personvernlovgivning slik det vil bli implementert og gjennomført i norsk lovgivning. EUs nye forordning for personvern GDPR, ble gjeldende i Norge fra 20. juli 2018. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende, sikre de registrertes rettigheter og ivareta personvernprinsippene i henhold til artikkel 5.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

2. Formål

Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig, er å [beskrivelse].

Personopplysninger som overføres til databehandler kan ikke brukes til andre formål enn [beskrivelse]

Type personopplysninger som databehandleren behandler i forbindelse med [beskrivelse]

  • Navn
  • Epost
  • Telefonnummer

Avtalen omfatter følgende: [Beskrives med for eksempel innsamling, oppbevaring, bearbeiding av personopplysninger….for å tilby…..]

Databehandleren kan kun behandle personopplysninger gjort tilgjengelig av behandlingsansvarlig til de formål som er bestemt av behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtale. Formålet er å sørge for utsending av nyhetsbrev til påmeldte mottakere. 

Formål av personopplysninger kan ikke endres av noen av partene uten at ny avtale er signert.

3. Behandlingsansvarliges plikter

Behandlingsansvarlig plikter å ha et informasjonssikkerhetsstyringssystem som tilfredsstiller krav gitt i lov og forskrift om behandling av personopplysninger. Behandlingsansvarlig skal kun anskaffe system som har innebygget personvern og personvern som standardinnstilling, ref. GDPR artikkel 25.

4. Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. 

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. 

Databehandler plikter å bistå behandlingsansvarlige med å overholde forpliktelsene etter artikkel 32-36 som er relevante i dette avtaleforholdet.

Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Databehandler plikter å ivareta at kun de med tjenstlig behov og er autorisert får tilgang til opplysningene. Denne bestemmelsen gjelder også etter avtalens opphør.

Databehandler skal levere et system som har innebygget personvern og personvern som standardinnstilling, ref. GDPR artikkel 25.

5. Bruk av underleverandør

Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.

5.1 Avtale med underleverandører
En slik avtale gjøres som et tillegg til denne avtalen. Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Databehandler bærer det fulle ansvaret for at underlevandøren(e) oppfyller sine forpliktelser med hensyn til vern av personopplysninger.

6. Sikkerhet

Databehandler skal treffe alle tiltak som er nødvendig for å sikre informasjonssikkerhet i tråd med kravene i GDPR artikkel 32. Databehandler skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. Personopplysninger skal ikke overføres til land utenfor EØS-området uten at dette er skriftlig avtalt med behandlingsansvarlig på forhånd. Dette gjelder ikke dersom norsk lov pålegger databehandler en konkret behandling av personopplysninger.

Avviksmelding etter personvernlovgivningen skal skje ved at databehandler melder avviket til behandlingsansvarlig, uten grunnet opphold, slik at behandlingsansvarlig kan oppfylle sitt krav, etter GDPR artikkel 33 og 34, og melde avviket innen 72 timer til Datatilsynet og umiddelbart ved høy risiko til den registrerte. Dette gjelder hendelser som berører konfidensialitet, integritet og tilgjengelighet. 

7. Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale eller personvernreglene kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Avtalen kan sies opp av begge parter med en gjensidig frist på 3 måneder. 

8. Opphør

Databehandler skal kunne påvise at personopplysningene inklusive kopier faktisk er slettet eller tilbakelevert etter at oppdraget er avsluttet. Ved opphør av avtalen skal alle lagrede persondata slettes.

9. Lovvalg

Avtalen er underlagt norsk rett og partene forholder seg til til enhver tids gjeldende lovverk. Dette gjelder også etter opphør av avtalen.