Wikier

Overføring av personopplysninger - avtalemaler

NTNU både overfører og mottar personopplysninger fra andre. Dette må reguleres gjennom en avtale. For å sikre at mottaker av personopplysninger behandler opplysningene i tråd med GDPR må vi inngå en avtale om overføringen. Den som gir opplysninger til NTNU vil tilsvarende gjennom slik avtale, være trygg på at vi etterlever GDPR i vår behandling av personopplysningene.

Det finnes flere former for dataoverføring, og disse krever ulike avtaler. For overføring av personopplysninger skal det brukes én av følgende tre typer: 

  1. Databehandleravtale
  2. Dataoverføringsavtale
  3. Avtale om felles behandlingsansvar

Databehandleravtale

Når NTNU setter ut hele eller deler av behandlingen av personopplysninger til en annen virksomhet, er den eller de som behandler opplysningene på NTNUs vegne, å anse som databehandlere. Det er et krav etter GDPR art. 28 at det i slike tilfeller inngås en databehandleravtale. 

Databehandleravtalen sikrer at personopplysningene kun brukes til sitt angitte formål, at de brukes på NTNUs instrukser og i overenstemmelse med personvernregelverket. 

Les mer og finn malen for slik avtale på wikisiden Databehandleravtale.

Dataoverføringsavtale

Når NTNU som behandlingsansvarlig overfører personopplysninger til en annen selvstendig behandlingsansvarlig, skal det ikke inngås databehandleravtale. Mottaker av opplysningene håndterer ikke disse på vegne av NTNU og er alene ansvarlig for å etterleve GDPR.

Det er ikke et krav etter personvernregelverket å inngå en avtale om overføring av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig. Det er like fullt hensiktsmessig å regulere overføringen av personopplysningene. For disse tilfellene har NTNU utviklet mal for dataoverføringsavtale.  

Les mer og finn malen for slik avtale på wikisiden Dataoverføringsavtale

Avtale om felles behandlingsansvar

Dersom NTNU sammen med andre selvstendig behandlingsansvarlige bestemmer formål med og midler for databehandlingen, foreligger et delt behandlingsansvar.

Avgjørende er hvorvidt de involverte parter i fellesskap har bestemmende innflytelse på mål og midler for den aktuelle behandlingen, eller om det bare er en av partene som bestemmer. Bestemmer de i fellesskap, skal det inngås en avtale som angir partenes ansvar. 

NTNU har en egen mal som kan brukes ved delt behandlingsansvar: Avtale om felles behandlingsansvar

English version: Joint controller agreement

Child Pages (2)

  • Databehandleravtale

    NTNUs mal for databehandleravtale og veiledning til arbeidet med databehandleravtale. Innholdsfortegnelse [-] Har NTNU programvare som dekker behovet? Hva er en databehandleravtale? Når trenger du...

  • Dataoverføringsavtale

    NTNUs mal for dataoverføringsavtale og veiledning til arbeidet med dataoverføringsavtale. There is no version of this wiki page in English yet, but you will find a template for data transfer...