Avtaler og maler
Det finnes fire ulike avtaler for ? ivareta personvern, avhengig av hva det er behov for. Les mer om n?r avtalene skal benyttes og last ned maler:
Databehandleravtale
Maler
- Databehandleravtale.docx
- Databehandleravtale.odt
- Data processing Agreement.docx
- Data processing agreement.odt
Om avtalen
N?r UiO bruker en ekstern leverand?r til ? behandle personopplysninger p? sine vegne, m? det inng?s en databehandleravtale mellom UiO og leverand?ren. Alternativt kan vilk?rene fra en databehandleravtale fremg? i en tjeneste- eller driftsavtale. Leverand?ren (databehandler) kan kun behandle personopplysningene slik det er skriftlig avtalt i databehandleravtalen.
Det er for eksempel behov for en databehandleravtale hvis
- et forskningsprosjekt ved UiO bruker et eksternt firma til ? transkribere informantintervjuer.
- UiOs forskningsprosjekt bruker en ekstern tjeneste til innsamling/lagring av personopplysninger i forskningsprosjektet, for eksempel en sp?rreunders?kelsesplattform.
- dataanalysen i et forskningsprosjekt ved UiO skal gj?res av et eksternt firma og dataene inneholder personopplysninger.
Husk ogs? at forskningsdeltagere skal ha informasjon om hvilke databehandlere et prosjekt bruker, for eksempel i samtykkeskjemaet.
Eksterne tjenester som du finner i tjenestekatalogen, har UiO allerede inng?tt n?dvendige databehandleravtaler for.
Signering og arkivering
Dersom UiO er behandlingsansvarlig, m? det gjennomf?res risiko- og s?rbarhetsanalyse (ROS) f?r databehandleravtalen underskrives. Se LSIS Kapittel 7 for malverk og mer informasjon om risiko- og s?rbarhetsanalyser.
Som hovedregel skal den som har budsjettdisponeringsmyndighet (evt. tjenesteeier/systemeier/prosesseier) signere databehandleravtaler. Se for?vrig ogs? hvem som har signeringsmyndighet i forskningsprosjekter.
Etter avtalen er signert skal man arkivere avtalen, ROS-analysen og annen relevant dokumentasjon i henhold til lokale rutiner.
Ta kontakt med ut?ver av behandleransvaret p? behandlingsansvarlig@uio.no dersom du har sp?rsm?l.
Avtale om felles behandlingsansvar
Maler
- Avtale om felles behandlingsansvar.docx
- Avtale om felles behandlingsansvar.odt
- Joint Data Controller Agreement.docx
- Joint Data Controller Agreement.odt
Om avtalen
Skal UiO i fellesskap med en eller flere eksterne virksomheter (for eksempel andre forsknings-/utdanningsinstitusjoner) bestemme form?l og midler for behandlingen av personopplysninger, skal det inng?s en avtale om felles behandlingsansvar. Denne avtalen definerer partenes ansvar for h?ndteringen av personopplysninger.
Det er for eksempel behov for avtale om felles behandlingsansvar ved
- 亚博娱乐官网_亚博pt手机客户端登录sprosjekter der flere universiteter i fellesskap bestemmer form?l og fremgangsm?te for h?ndteringen av personopplysningene i prosjektet.
Dataoverf?ringsavtale
Maler
- Dataoverf?ringsavtale.docx
- Dataoverf?ringsavtale.odt
- Data Transfer Agreement.docx
- Data Transfer Agreement.odt
Om avtalen
N?r UiO som behandlingsansvarlig overf?rer personopplysninger til en annen selvstendig behandlingsansvarlig, b?r det inng?s en dataoverf?ringsavtale. Dette er aktuelt hvis UiO skal overf?re personopplysninger til en ekstern virksomhet som har et eget form?l med hva de skal bruke personopplysningene til. I et slikt tilfelle vil ikke mottakeren av personopplysningene h?ndtere personopplysningene p? vegne av UiO, men de vil v?re selvstendig ansvarlig for behandlingen og for ? etterleve personvernregelverket.
F?r UiO overf?rer personopplysninger til en ekstern virksomhet er det viktig ? avklare at UiO har lov til ? overf?re personopplysningene til en ny behandlingsansvarlig. Det er ikke et lovkrav ? inng? en dataoverf?ringsavtale, men det er likevel hensiktsmessig for ? sikre personopplysningene og unng? at den eksterne virksomheten bruker dem i strid med de rammene UiO setter for overf?ringen.
Det kan for eksempel v?re behov for en dataoverf?ringsavtale hvis
- UiO skal overf?re personopplysninger til et annet universitet, og det andre universitetet skal bruke personopplysningene til sitt eget prosjekt
Underdatabehandleravtale
Maler
- Underdatabehandleravtale.docx
- Underdatabehandleravtale.odt
- Sub-processor Agreement.docx
- Sub-processor Agreement.odt
Om avtalen
N?r UiO er databehandler og ?nsker ? benytte seg av en underdatabehandler, b?r det inng?s en underdatabehandleravtale.
F?r man inng?r en underdatabehandleravtale er det viktig ? avklare dette med behandlingsansvarlig. En underdatabehandleravtale er underlagt avtalen mellom databehandler og behandlingsansvarlig (databehandleravtalen), s? det m? foreligge en databehandleravtale f?r en underdatabehandleravtale kan benyttes.
Det kan for eksempel v?re behov for en underdatabehandleravtale hvis
- UiO er databehandler og ?nsker ? benytte seg av en underdatabehandler for alle eller deler av sine oppgaver som databehandler.