Avtalemaler for personvern
Vi har tre ulike avtaler som angår personvern: avtale for felles behandlingsansvar, databehandleravtale og avtale om dataoverføring til utlandet (controller to controller). Her har vi samlet informasjon om når du skal bruke de ulike malene, og lenker til maler du selv kan fylle ut.
Ta kontakt med oss for informasjon om personopplysninger/GDPR, datahåndtering eller generell forskningsetikk!
Hillestad, Berit Widerøe
seniorrådgiver/jurist
Moe, Lars
IT-leder
Rolandsen, Unn Målfrid Høgseth
fagdirektør, forskning
Felles behandlingsansvar for personopplysninger
Avtalemaler felles behandlingsansvar
Når må jeg inngå avtale om felles behandlingsansvar for personopplysninger?
I forskning
Når du som forsker ved MF skal samarbeide med forskere ved en annen institusjon om et datasett der dere behandler personopplysninger, skal dere inngå en avtale om felles behandlingsansvar. Dette kan også være aktuelt dersom du veileder studenter ved en annen institusjon og skal ha tilgang til datamaterialet.
Avtalen skal underskrives av en leder på vegne av institusjonen (ved MF: prorektor).
Merk:
Prosjektleder (i masteroppgaver veileder) har ansvar for at personopplysninger behandles etter lovverket, men det er MF som institusjon som har det overordnede ansvaret for behandling av personopplysninger.
I administrativ drift
Når MF bruker eksterne leverandører til å behandle personopplysninger på institusjonens vegne, må det inngås en avtale mellom MF og den andre virksomheten.
Det må også inngås en avtale dersom MF samarbeider med en annen virksomhet om innsamling eller annen behandling av personopplysninger.
Avtalen skal underskrives av en administrativ leder.
Databehandleravtale og erklæring om taushetsplikt
Maler for databehandleravtale og erklæring om taushetsplikt
Når skal jeg inngå en databehandleravtale i et forskningsprosjekt?
Hvis du setter deler av databehandlingen ut til en virksomhet/institusjon/fysisk person utenfor MF skal databehandleravtale inngås. I personvernlovgivningen forstås ‘behandling’ svært bredt. Det inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, m.m.
Databehandleravtalen er et viktig juridisk dokument som må være på plass så tidlig som mulig, og før behandling av personopplysninger starter.
Eksempler på tilfeller der en databehandleravtale må være på plass:
- Oversettelse av materiale med personopplysninger
- Transkribering av intervjuer
- Arbeid med lyd- eller bildefiler med personopplysninger
Det vil si at prosjektmedarbeidere som tolker, transkriberingsassistenter og forskningsassistenter anses som databehandlere dersom de er eksterne. Disse må signere en databehandleravtale om hvordan personopplysningene skal behandles – i tillegg til en taushetserklæring.
Ekstern eller intern medarbeider?
'Eksterne' er alle MF ikke har noen instruksjonsmyndighet over.
Personer MF har instruksjonsmyndighet over og anses som interne er
- personer som anses som studenter ved MF og som signerer en taushetserklæring
- ansatte som har en arbeidsavtale og signerer en taushetserklæring (gjelder også personer som knyttes til MF via engasjement o.l.)
Ansvar og signering
Det er ditt ansvar som prosjektleder at disse avtalene kommer i stand, men forskningsadministrasjonen og juridisk rådgiver hjelper deg gjerne.
Avtalen skal underskrives av en leder på vegne av institusjonen (ved MF: prorektor).
For administrasjonen:
Databehandleravtale skal signeres når…
- …MF (behandlingsansvarlig) overfører personopplysninger til en ekstern virksomhet/institusjon/fysisk person (databehandler) som skal behandle personopplysninger på vegne av MF, og som MF ikke har noen instruksjonsmyndighet over.
- …en ekstern virksomhet/institusjon/fysisk person får tilgang til data MF er behandlingsansvarlig for. … MF bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes.
Signering og arkivering
Avtalen skal underskrives av en administrativ leder og arkiveres i P360.
Andre ressurser:
OsloMet har nettsider med god informasjon om bl.a. avtale med databehandler i trejdeland m.m.
Se også Sikt sine sider om cybersikkerhet og personvern.
Avtale om dataoverføring til utlandet (controller to controller)
Avtalemal
Ved overføring av personopplysninger til utlandet skal du påse at reglene for dette følges. Overføring til land utenfor EU og EØS-området ("tredjeland") krever et overføringsgrunnlag, i tillegg til en samarbeidsavtale, evt. en databehandleravtale o.l.
Ta gjerne kontakt med juridisk rådgiver Berit Widerøe Hillestad for å sikre detaljene i en slik avtale.
Aktuelle ressurser
Avtalemalene er utformet i samråd med forskningsadministrasjonen ved OsloMet og NTNU og med bakgrunn i disse institusjonenes malverk.