Formålet med ein dataavtale er at den skal tryggje at personopplysningane vert handsama i samsvar med regelverket. Avtalen set ei klar ramme for korleis datahandsamaren kan handsame personopplysningane. Datahandsamaravtalen regulerer vilkåra mellom handsamingsansvarleg verksemd og datahandsamaren. Ein datahandsamaravtale skal innehalde følgjande: 1. Ei konkret framstilling av korleis datahandsamaren handsamar personopplysningane. 2. Ei framstilling av den handsamingsansvarlege sine plikter og rettar. 3. Ei framstilling av datahandsamaren sine plikter. 1. Den konkrete framstillinga må innehalde: - ei konkret skildring av kva datahandsamaren skal gjere - klåre rammer for kva datahandsamaren kan og ikkje kan gjere - formlet med handsaminga. Avtalen skal tryggje at det ikkje vert handsama personopplysningar utover dette formålet. Viss personopplysningane vert handsama for fleire formål tilrår datatilsynet at dei vert handsama kvar for seg. - kor lenge avtalen skal vere i form av bestemt tidsperiode eller at avtalen gjeld fram til den vert sagt opp av ein av partane. - kva for kategori av personar personopplysningane gjeld, til dømes tilsette- kva for personopplysningar som vert handsama. 2.Plikter og rettar til handsamingsansvarlegeDatatilsynet tilrår ei overordna framstilling av handsamingsansvarlege sine plikter og rettar etter personvernforordninga. Alle rettar og plikter som ikkje følgjer direkte av lovverket må sidrast godt. Behandlingsansvarlege har følgjande plikter og rettar: - er ansvarleg fro at personopplysningane vert handsama i samsvar med personvernforordninga jf.artikkel 24 - rett og plikt til å avgjere formål og kva for hjelemidlar som skal brukast i handsaminga av personopplysningane jf. artikkel 4 nr.7 - Lage ein dokumentert innstruks til datahandsamar for korleis personopplysningane skal handsamast jf.artikkel 28 nr.3 bokstav a. Innstruksen skal vere del av avtalen eller vedlegg til avtalen. - rett til å seie opp avtalen, viss datahandsamaren ikkje oppfyller lova sine krav etter artikkel 28 nr.1. - avtalen kan innehelde avgjer om vederlag og dekking av kostander. 3.InnstruksDatahandsamaren skal berre handsame personopplysningar etter skriftleg innstruks frå handsamingsansvarlege. Det er handsamingsansvarleg som avgjer korleis personopplysningane vert handsama. Med unntak av pålegg i norsk lov som krev at datahandsamaren handsamar personopplysningane på ein konkret måte. I slike tilfeller skal datahandsamaren gje beskjed om det til handsamingsansvarleg før handsaminga startar. Med unntak av tilfelle der omsyn til viktige samfunnsinteresser forbyr tilbakemelding til handsamingsansvarlege. Datahandsamaren må gje tilbakemelding med ein gong, viss ein meiner at innstruksen er i strid med personvernforordninga jf.artikkel 28 bokstav 3 siste ledd. Innstruksen må innehelde informasjon tilgangsstyring, informasjonstryggleik, bruk av underleverandørar. Innstruksen må også innehelde informasjon datahandsamaren sin plikt til å hjelpe handsamingsansvarlege ved innsynskrav frå registrerte. Datahandsamaren plikter også å hjelpe handsamingsansvarlege ved brudd på informasjontryggleiken. Det må stå om personopplysningane skal leverast tilbake eller slettast ved avslutning av avtalen. Datahandsamaravtalen kan innehelde krav til datahandsamaren om å gje informasjon til handsamingsansvarleg på bestemte tidspunkt. Handsamingsansvarlege kan krevje revisjon og innspeksjon hjå datahandsamaren. Sjå datatilsynet sin rettleiar for meir informasjon. |