Avtaler og maler
Det finnes fire ulike avtaler for å ivareta personvern, avhengig av hva det er behov for. Les mer om når avtalene skal benyttes og last ned maler:
Databehandleravtale
Maler
- Databehandleravtale.docx
- Databehandleravtale.odt
- Data processing Agreement.docx
- Data processing agreement.odt
Om avtalen
Når UiO bruker en ekstern leverandør til å behandle personopplysninger på sine vegne, må det inngås en databehandleravtale mellom UiO og leverandøren. Alternativt kan vilkårene fra en databehandleravtale fremgå i en tjeneste- eller driftsavtale. Leverandøren (databehandler) kan kun behandle personopplysningene slik det er skriftlig avtalt i databehandleravtalen.
Det er for eksempel behov for en databehandleravtale hvis
- et forskningsprosjekt ved UiO bruker et eksternt firma til å transkribere informantintervjuer.
- UiOs forskningsprosjekt bruker en ekstern tjeneste til innsamling/lagring av personopplysninger i forskningsprosjektet, for eksempel en spørreundersøkelsesplattform.
- dataanalysen i et forskningsprosjekt ved UiO skal gjøres av et eksternt firma og dataene inneholder personopplysninger.
Husk også at forskningsdeltagere skal ha informasjon om hvilke databehandlere et prosjekt bruker, for eksempel i samtykkeskjemaet.
Eksterne tjenester som du finner i tjenestekatalogen, har UiO allerede inngått nødvendige databehandleravtaler for.
Signering og arkivering
Dersom UiO er behandlingsansvarlig, må det gjennomføres risiko- og sårbarhetsanalyse (ROS) før databehandleravtalen underskrives. Se LSIS Kapittel 7 for malverk og mer informasjon om risiko- og sårbarhetsanalyser.
Som hovedregel skal den som har budsjettdisponeringsmyndighet (evt. tjenesteeier/systemeier/prosesseier) signere databehandleravtaler. Se forøvrig også hvem som har signeringsmyndighet i forskningsprosjekter.
Etter avtalen er signert skal man arkivere avtalen, ROS-analysen og annen relevant dokumentasjon i henhold til lokale rutiner.
Ta kontakt med utøver av behandleransvaret på behandlingsansvarlig@uio.no dersom du har spørsmål.
Avtale om felles behandlingsansvar
Maler
- Avtale om felles behandlingsansvar.docx
- Avtale om felles behandlingsansvar.odt
- Joint Data Controller Agreement.docx
- Joint Data Controller Agreement.odt
Om avtalen
Skal UiO i fellesskap med en eller flere eksterne virksomheter (for eksempel andre forsknings-/utdanningsinstitusjoner) bestemme formål og midler for behandlingen av personopplysninger, skal det inngås en avtale om felles behandlingsansvar. Denne avtalen definerer partenes ansvar for håndteringen av personopplysninger.
Det er for eksempel behov for avtale om felles behandlingsansvar ved
- samarbeidsprosjekter der flere universiteter i fellesskap bestemmer formål og fremgangsmåte for håndteringen av personopplysningene i prosjektet.
Dataoverføringsavtale
Maler
- Dataoverføringsavtale.docx
- Dataoverføringsavtale.odt
- Data Transfer Agreement.docx
- Data Transfer Agreement.odt
Om avtalen
Når UiO som behandlingsansvarlig overfører personopplysninger til en annen selvstendig behandlingsansvarlig, bør det inngås en dataoverføringsavtale. Dette er aktuelt hvis UiO skal overføre personopplysninger til en ekstern virksomhet som har et eget formål med hva de skal bruke personopplysningene til. I et slikt tilfelle vil ikke mottakeren av personopplysningene håndtere personopplysningene på vegne av UiO, men de vil være selvstendig ansvarlig for behandlingen og for å etterleve personvernregelverket.
Før UiO overfører personopplysninger til en ekstern virksomhet er det viktig å avklare at UiO har lov til å overføre personopplysningene til en ny behandlingsansvarlig. Det er ikke et lovkrav å inngå en dataoverføringsavtale, men det er likevel hensiktsmessig for å sikre personopplysningene og unngå at den eksterne virksomheten bruker dem i strid med de rammene UiO setter for overføringen.
Det kan for eksempel være behov for en dataoverføringsavtale hvis
- UiO skal overføre personopplysninger til et annet universitet, og det andre universitetet skal bruke personopplysningene til sitt eget prosjekt
Underdatabehandleravtale
Maler
- Underdatabehandleravtale.docx
- Underdatabehandleravtale.odt
- Sub-processor Agreement.docx
- Sub-processor Agreement.odt
Om avtalen
Når UiO er databehandler og ønsker å benytte seg av en underdatabehandler, bør det inngås en underdatabehandleravtale.
Før man inngår en underdatabehandleravtale er det viktig å avklare dette med behandlingsansvarlig. En underdatabehandleravtale er underlagt avtalen mellom databehandler og behandlingsansvarlig (databehandleravtalen), så det må foreligge en databehandleravtale før en underdatabehandleravtale kan benyttes.
Det kan for eksempel være behov for en underdatabehandleravtale hvis
- UiO er databehandler og ønsker å benytte seg av en underdatabehandler for alle eller deler av sine oppgaver som databehandler.