Dataoverføringsavtale - Kunnskapsbasen
Dataoverføringsavtale
There is no version of this wiki page in English yet, but you will find a template for data transfer agreement between two data controllers below.
NTNUs mal for dataoverføringsavtale og veiledning til arbeidet med dataoverføringsavtale.
Når NTNU som behandlingsansvarlig overfører personopplysninger til en annen selvstendig behandlingsansvarlig, er det ikke behov for en databehandleravtale. Mottaker av opplysningene skal ikke håndtere disse på vegne av NTNU, og det er derfor ikke snakk om et databehandleroppdrag. I slike tilfeller har mottaker et selvstendig ansvar for å etterleve GDPR. Før NTNU overfører personopplysninger til en annen selvstendig behandlingsansvarlig er det imidlertid viktig å avklare at NTNU har lov til å overføre personopplysningene, altså må det foreligge et gyldig behandlingsgrunnlag. Les mer om behandlingsgrunnlag på Datatilsynet sine sider.
Det er ikke et krav etter personvernregelverket å inngå en avtale om overføring av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig. Det er like fullt hensiktsmessig å regulere overføringen av personopplysningene. NTNU har derfor en egen mal for overføring av personopplysninger mellom to eller flere selvstendige behandlingsansvarlige. Denne avtalen forplikter mottaker til å etterleve GDPR. Malen kan også benyttes i de tilfeller hvor NTNU som behandlingsansvarlig mottar personopplysninger fra en annen behandlingsansvarlig. At avtalens innhold ikke er lovbestemt på samme måte som for databehandleravtaler innebærer imidlertid at det kan gjøres avvik fra malen ut ifra hva som er hensiktsmessig i det enkelte tilfellet.
Ved tvil om det i det enkelte tilfellet skal benyttes databehandleravtale eller dataoverføringsavtale skal jurist på virksomhetsstyring kontaktes før overføring finner sted.
Mal for dataoverføringsavtale (.docx)
Template Data Transfer Agreement between two Data Controllers (.docx)
Sjekkliste for overføring av personopplysninger mellom behandlingsansvarlige
Nedenfor følger en oversikt over sentrale forhold som bør kontrolleres i de tilfeller hvor NTNU som behandlingsansvarlig overfører personopplysninger til andre parter som er selvstendig behandlingsansvarlige.
Før overføring
- Undersøk hvorvidt dataoverføringen faktisk vil innebære overføring av personopplysninger. Hvis ja; kartlegg formål, type opplysninger og kategorier av registrerte som overføringen angår.
- Verifiser at NTNU har et relevant rettslig grunnlag (behandlingsgrunnlag) for overføringen av personopplysningene, for eksempel samtykke fra de registrerte.
- Beskriv overføringen og dokumenter behandlingsgrunnlaget i NTNUs protokoll over behandlingsaktiviteter. Les mer: Oversikt over behandling av personopplysninger.
- Hvis overføringen er basert på samtykke må samtykket omfatte:
- formålet med behandlingen, herunder overføringen
- hvilke typer opplysninger overføringen gjelder
- informasjon om identiteten til mottakeren av opplysningene
- informasjon om lokasjon og rettslig grunnlag for overføringen ved overføring utenfor EU/EØS
- informasjon om at samtykket når som helst kan trekkes tilbake
- informasjon om eventuelle automatiserte beslutninger som treffes på grunnlag av behandlingen.
- Hvis overføringen omfatter helseopplysninger må det påses at samtykket uttrykkelig omfatter behandling (herunder overføring) av helseopplysninger.
- Påse at informasjons- og innsynskravene overfor de registrerte i henhold til GDPR art. 13-15 er oppfylt, herunder informasjon om identitet og lokasjon til relevante mottakere av personopplysningene.
- Verifiser om overføringen vil innebære at personopplysninger enten vil bli overført til, eller vil kunne aksesseres fra lokasjon utenfor EU/EØS («tredjeland»).
Hvis svaret er ja; påse at det foreligger et relevant rettslig grunnlag for overføring til tredjeland (f.eks. EUs «Model Clauses for Controllers» eller at mottakerlandet anses som et «godkjent» tredjeland av EU-kommisjonen). Sørg for inngåelse av EUs Model Clauses for Controllers før overføring finner sted hvis ingen andre overføringsgrunnlag foreligger og slik avtale ikke allerede er inngått. Les mer om overføring av personopplysninger til tredjeland.
Etter overføring
- Sørg for å underrette den enkelte mottaker av personopplysninger (dvs, den NTNU har overført personopplysningene til) dersom NTNU mottar krav fra en registrert om retting, sletting eller begrensning av behandlingen av den registrertes personopplysninger.
- Sørg for løpende oppfølging av inngåtte overføringsavtaler / prosjekter hvor det rutinemessig skjer slik overføring.