Avtalemaler for personvern

N?r UiO bruker eksterne leverand?rer til ? behandle personopplysninger p? UiO vegne, m? det inng?s en avtale mellom UiO og den andre virksomheten. Det m? ogs? inng?s en avtale dersom UiO Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@er med en annen virksomhet om innsamling eller annen behandling av personopplysninger. 

Avtaler og maler

Det finnes fire ulike avtaler for ? ivareta personvern, avhengig av hva det er behov for. Les mer om n?r avtalene skal benyttes og last ned maler:

Databehandleravtale

Maler

Om avtalen

N?r UiO bruker en ekstern leverand?r til ? behandle personopplysninger p? sine vegne, m? det inng?s en databehandleravtale mellom UiO og leverand?ren. Alternativt kan vilk?rene fra en databehandleravtale fremg? i en tjeneste- eller driftsavtale. Leverand?ren (databehandler) kan kun behandle personopplysningene slik det er skriftlig avtalt i databehandleravtalen.

Det er for eksempel behov for en databehandleravtale hvis

  • et forskningsprosjekt ved UiO bruker et eksternt firma til ? transkribere informantintervjuer.
  • UiOs forskningsprosjekt bruker en ekstern tjeneste til innsamling/lagring av personopplysninger i forskningsprosjektet, for eksempel en sp?rreunders?kelsesplattform.
  • dataanalysen i et forskningsprosjekt ved UiO skal gj?res av et eksternt firma og dataene inneholder personopplysninger.

Husk ogs? at forskningsdeltagere skal ha informasjon om hvilke databehandlere et prosjekt bruker, for eksempel i samtykkeskjemaet.

Eksterne tjenester som du finner i tjenestekatalogen, har UiO allerede inng?tt n?dvendige databehandleravtaler for.

Signering og arkivering

Dersom UiO er behandlingsansvarlig, m? det gjennomf?res risiko- og s?rbarhetsanalyse  (ROS) f?r databehandleravtalen underskrives. Se LSIS Kapittel 7 for malverk og mer informasjon om risiko- og s?rbarhetsanalyser.

Som hovedregel skal den som har budsjettdisponeringsmyndighet (evt. tjenesteeier/systemeier/prosesseier) signere databehandleravtaler. Se for?vrig ogs? hvem som har signeringsmyndighet i forskningsprosjekter.

Etter avtalen er signert skal man arkivere avtalen, ROS-analysen og annen relevant dokumentasjon i henhold til lokale rutiner. 

 

Ta kontakt med ut?ver av behandleransvaret p? behandlingsansvarlig@uio.no dersom du har sp?rsm?l.

Avtale om felles behandlingsansvar

Maler

Om avtalen

Skal UiO i fellesskap med en eller flere eksterne virksomheter (for eksempel andre forsknings-/utdanningsinstitusjoner) bestemme form?l og midler for behandlingen av personopplysninger, skal det inng?s en avtale om felles behandlingsansvar. Denne avtalen definerer partenes ansvar for h?ndteringen av personopplysninger. 

Det er for eksempel behov for avtale om felles behandlingsansvar ved

  • Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@sprosjekter der flere universiteter i fellesskap bestemmer form?l og fremgangsm?te for h?ndteringen av personopplysningene i prosjektet.

Dataoverf?ringsavtale

Maler

Om avtalen

N?r UiO som behandlingsansvarlig overf?rer personopplysninger til en annen selvstendig behandlingsansvarlig, b?r det inng?s en dataoverf?ringsavtale. Dette er aktuelt hvis UiO skal overf?re personopplysninger til en ekstern virksomhet som har et eget form?l med hva de skal bruke personopplysningene til. I et slikt tilfelle vil ikke mottakeren av personopplysningene h?ndtere personopplysningene p? vegne av UiO, men de vil v?re selvstendig ansvarlig for behandlingen og for ? etterleve personvernregelverket.

F?r UiO overf?rer personopplysninger til en ekstern virksomhet er det viktig ? avklare at UiO har lov til ? overf?re personopplysningene til en ny behandlingsansvarlig. Det er ikke et lovkrav ? inng? en dataoverf?ringsavtale, men det er likevel hensiktsmessig for ? sikre personopplysningene og unng? at den eksterne virksomheten bruker dem i strid med de rammene UiO setter for overf?ringen.

Det kan for eksempel v?re behov for en dataoverf?ringsavtale hvis

  • UiO skal overf?re personopplysninger til et annet universitet, og det andre universitetet skal bruke personopplysningene til sitt eget prosjekt

Underdatabehandleravtale

Maler

Om avtalen

N?r UiO er databehandler og ?nsker ? benytte seg av en underdatabehandler, b?r det inng?s en underdatabehandleravtale.

F?r man inng?r en underdatabehandleravtale er det viktig ? avklare dette med behandlingsansvarlig. En underdatabehandleravtale er underlagt avtalen mellom databehandler og behandlingsansvarlig (databehandleravtalen), s? det m? foreligge en databehandleravtale f?r en underdatabehandleravtale kan benyttes.

Det kan for eksempel v?re behov for en underdatabehandleravtale hvis

  • UiO er databehandler og ?nsker ? benytte seg av en underdatabehandler for alle eller deler av sine oppgaver som databehandler.
Publisert 6. juli 2020 10:57 - Sist endret 6. mai 2024 10:02
Del p? e-post