Maler for personvern

Når UiO bruker eksterne leverandører til å behandle personopplysninger på UiO vegne, må det inngås en avtale mellom UiO og den andre virksomheten. Det må også inngås en avtale dersom UiO samarbeider med en annen virksomhet om innsamling eller annen behandling av personopplysninger. 

Avtaler og maler

Det finnes fire ulike avtaler for å ivareta personvern, avhengig av hva det er behov for. Les mer om når avtalene skal benyttes og last ned maler:

Databehandleravtale

Maler

Om avtalen

Når UiO bruker en ekstern leverandør til å behandle personopplysninger på sine vegne, må det inngås en databehandleravtale mellom UiO og leverandøren. Alternativt kan vilkårene fra en databehandleravtale fremgå i en tjeneste- eller driftsavtale. Leverandøren (databehandler) kan kun behandle personopplysningene slik det er skriftlig avtalt i databehandleravtalen.

Det er for eksempel behov for en databehandleravtale hvis

  • et forskningsprosjekt ved UiO bruker et eksternt firma til å transkribere informantintervjuer.
  • UiOs forskningsprosjekt bruker en ekstern tjeneste til innsamling/lagring av personopplysninger i forskningsprosjektet, for eksempel en spørreundersøkelsesplattform.
  • dataanalysen i et forskningsprosjekt ved UiO skal gjøres av et eksternt firma og dataene inneholder personopplysninger.

Husk også at forskningsdeltagere skal ha informasjon om hvilke databehandlere et prosjekt bruker, for eksempel i samtykkeskjemaet.

Eksterne tjenester som du finner i tjenestekatalogen, har UiO allerede inngått nødvendige databehandleravtaler for.

Avtale om felles behandlingsansvar

Maler

Om avtalen

Skal UiO i fellesskap med en eller flere eksterne virksomheter (for eksempel andre forsknings-/utdanningsinstitusjoner) bestemme formål og midler for behandlingen av personopplysninger, skal det inngås en avtale om felles behandlingsansvar. Denne avtalen definerer partenes ansvar for håndteringen av personopplysninger. 

Det er for eksempel behov for avtale om felles behandlingsansvar ved

  • samarbeidsprosjekter der flere universiteter i fellesskap bestemmer formål og fremgangsmåte for håndteringen av personopplysningene i prosjektet.

Dataoverføringsavtale

Maler

Om avtalen

Når UiO som behandlingsansvarlig overfører personopplysninger til en annen selvstendig behandlingsansvarlig, bør det inngås en dataoverføringsavtale. Dette er aktuelt hvis UiO skal overføre personopplysninger til en ekstern virksomhet som har et eget formål med hva de skal bruke personopplysningene til. I et slikt tilfelle vil ikke mottakeren av personopplysningene håndtere personopplysningene på vegne av UiO, men de vil være selvstendig ansvarlig for behandlingen og for å etterleve personvernregelverket.

Før UiO overfører personopplysninger til en ekstern virksomhet er det viktig å avklare at UiO har lov til å overføre personopplysningene til en ny behandlingsansvarlig. Det er ikke et lovkrav å inngå en dataoverføringsavtale, men det er likevel hensiktsmessig for å sikre personopplysningene og unngå at den eksterne virksomheten bruker dem i strid med de rammene UiO setter for overføringen.

Det kan for eksempel være behov for en dataoverføringsavtale hvis

  • UiO skal overføre personopplysninger til et annet universitet, og det andre universitetet skal bruke personopplysningene til sitt eget prosjekt

Underdatabehandleravtale

Maler

Om avtalen

Når UiO er databehandler og ønsker å benytte seg av en underdatabehandler, bør det inngås en underdatabehandleravtale.

Før man inngår en underdatabehandleravtale er det viktig å avklare dette med behandlingsansvarlig. En underdatabehandleravtale er underlagt avtalen mellom databehandler og behandlingsansvarlig (databehandleravtalen), så det må foreligge en databehandleravtale før en underdatabehandleravtale kan benyttes.

Det kan for eksempel være behov for en underdatabehandleravtale hvis

  • UiO er databehandler og ønsker å benytte seg av en underdatabehandler for alle eller deler av sine oppgaver som databehandler.
Publisert 6. juli 2020 10:57 - Sist endret 13. juli 2020 07:52