There is no version of this wiki page in English, but you will find a template for data transfer agreement between two data controllers below.

Når NTNU som behandlingsansvarlig overfører personopplysninger til en annen virksomhet som selv er behandlingsansvarlig, skal det ikke inngås en databehandleravtale, men det kan være lurt å regulere og dokumentere hvordan overføringen skal skje. Dette gjøres gjennom en dataoverføringsavtale. Denne siden gir deg NTNUs mal for dataoverføringsavtale på norsk og engelsk, veiledning og hjelp når du skal inngå en dataoverføringsavtale.

Om du er usikker om du skal benytte databehandleravtale eller dataoverføringsavtale skal juristene på Avdeling for utvikling og virksomhetsstyring kontaktes før overføring finner sted.

Maler

• Norsk mal for dataoverføringsavtale (.docx)
• Engelsk template Data Transfer Agreement between two Data Controllers (.docx)

Sjekkliste for overføring av personopplysninger mellom behandlingsansvarlige

Nedenfor følger en oversikt over sentrale forhold som bør kontrolleres i de tilfeller hvor NTNU som behandlingsansvarlig overfører personopplysninger til andre parter som er selvstendig behandlingsansvarlige.

Før overføring

• Undersøk hvorvidt dataoverføringen faktisk vil innebære overføring av personopplysninger. Hvis ja; kartlegg formål, type opplysninger og kategorier av registrerte som overføringen angår.
• Verifiser at NTNU har et relevant rettslig grunnlag (behandlingsgrunnlag) for overføringen av personopplysningene, for eksempel samtykke fra de registrerte.
• Beskriv overføringen og dokumenter behandlingsgrunnlaget i Elements.
  
  • Se retningslinje for behandling av personopplysninger for utfyllende informasjon
• Hvis overføringen er basert på samtykke må samtykket omfatte:
  
  • formålet med behandlingen, herunder overføringen
  • hvilke typer opplysninger overføringen gjelder
  • informasjon om identiteten til mottakeren av opplysningene
  • informasjon om lokasjon og rettslig grunnlag for overføringen ved overføring utenfor EU/EØS
  • informasjon om at samtykket når som helst kan trekkes tilbake
  • informasjon om eventuelle automatiserte beslutninger som treffes på grunnlag av behandlingen.
• Hvis overføringen omfatter helseopplysninger må det påses at samtykket uttrykkelig omfatter behandling (herunder overføring) av helseopplysninger.
• Påse at informasjons- og innsynskravene overfor de registrerte i henhold til personvernforordningen art. 13-15 er oppfylt, herunder informasjon om identitet og lokasjon til relevante mottakere av personopplysningene.
• Verifiser om overføringen vil innebære at personopplysninger enten vil bli overført til, eller vil kunne aksesseres fra lokasjon utenfor EU/EØS («tredjeland»).
  Hvis svaret er ja; påse at det foreligger et relevant rettslig grunnlag for overføring til tredjeland (f.eks. EUs «Standard contractual clauses» (SCC) eller at mottakerlandet anses som et «godkjent» tredjeland av EU-kommisjonen). Sørg for inngåelse av standard contractual clauses før overføring finner sted hvis ingen andre overføringsgrunnlag foreligger og slik avtale ikke allerede er inngått. Les mer om overføring av personopplysninger til tredjeland.

Etter overføring

• Sørg for å underrette den enkelte mottaker av personopplysninger (dvs, den NTNU har overført personopplysningene til) dersom NTNU mottar krav fra en registrert om retting, sletting eller begrensning av behandlingen av den registrertes personopplysninger.
• Sørg for løpende oppfølging av inngåtte overføringsavtaler / prosjekter hvor det rutinemessig skjer slik overføring.

Trenger jeg å inngå en dataoverføringsavtale?

Det er ikke et krav etter personvernregelverket å inngå en avtale om overføring av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig. En virksomhet som mottar personopplysninger fra NTNU, men som ikke skal håndtere disse på vegne av NTNU, har et selvstendig ansvar for å etterleve personvernforordningen og det er derfor ikke snakk om et databehandleroppdrag. Imidlertid kan det være hensiktsmessig å regulere overføringen av personopplysningene. NTNU har derfor en egen mal for overføring av personopplysninger mellom to eller flere selvstendige behandlingsansvarlige. Denne avtalen forplikter mottaker til å etterleve personvernforordningen. Malen kan også benyttes i de tilfeller hvor NTNU som behandlingsansvarlig mottar personopplysninger fra en annen behandlingsansvarlig. At avtalens innhold ikke er lovbestemt på samme måte som for databehandleravtaler innebærer imidlertid at det kan gjøres avvik fra malen ut ifra hva som er hensiktsmessig i det enkelte tilfellet.

Før NTNU overfører personopplysninger til en annen selvstendig behandlingsansvarlig er det viktig å avklare at NTNU har lov til å overføre personopplysningene, altså må det foreligge et gyldig behandlingsgrunnlag. Les mer om behandlingsgrunnlag på Datatilsynet sine sider.

Kan jeg få hjelp?

Om du er usikker eller trenger veiledning kan du kontakte juristene på Avdeling for utvikling og virksomhetsstyring eller sende inn spørsmålet ditt i NTNU hjelp.