Overføring av...

Dataoverføringsavtale

NTNUs mal for dataoverføringsavtale og veiledning til arbeidet med dataoverføringsavtale.

There is no version of this wiki page in English yet, but you will find a template for data transfer agreement between two data controllers below. 

Når NTNU som behandlingsansvarlig overfører personopplysninger til en annen selvstendig behandlingsansvarlig, er det ikke behov for en databehandlingsavtale. Mottaker av opplysningene skal ikke håndtere disse på vegne av NTNU, og mottaker er derfor ikke databehandler. Dette vil være tilfelle i mange av de prosjekter NTNU deltar i. I slike tilfeller er mottaker ansvarlig for å etterleve GDPR. NTNU på sin side må være sikker på å ha rettslig grunnlag for selve overføringen.

Det er ikke et krav etter personvernregelverket å inngå en avtale om overføring av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig. Det er like fullt hensiktsmessig å regulere overføringen av personopplysningene. NTNU har derfor en egen mal for overføring av personopplysninger mellom to eller flere selvstendige behandlingsansvarlige. Gjennom denne er mottaker forpliktet til å etterleve GDPR. Denne malen kan også benyttes i de tilfeller hvor NTNU som behandlingsansvarlig mottar personopplysninger fra en annen behandlingsansvarlig. At avtalens innhold ikke er lovbestemt på samme måte som for databehandleravtaler innebærer imidlertid at det kan gjøres avvik fra malen ut ifra hva som er hensiktsmessig i det enkelte tilfellet.

Ved tvil om det i det enkelte tilfellet skal benyttes databehandleravtale eller dataoverføringsavtale skal jurist på virksomhetsstyring kontaktes før overføring finner sted. 

Mal for dataoverføringsavtale

Template Data Transfer Agreement between two Data Controllers

Sjekkliste for overføring av personopplysninger mellom behandlingsansvarlige #

Nedenfor følger en oversikt over sentrale forhold som bør kontrolleres i de tilfeller hvor NTNU som behandlingsansvarlig overfører personopplysninger til andre parter som er selvstendig behandlingsansvarlige. 

Før overføring  #

  • Undersøk hvorvidt dataoverføringen faktisk vil innebære overføring av personopplysninger. Hvis ja; kartlegg formål, type opplysninger og kategorier av registrerte som overføringen angår.
  • Verifiser at NTNU har et relevant rettslig grunnlag (behandlingsgrunnlag) for overføringen av personopplysningene, for eksempel samtykke fra de registrerte.
  • Beskriv overføringen og dokumenter behandlingsgrunnlaget i NTNUs protokoll over behandlingsaktiviteter. Les mer: Oversikt over behandling av personopplysninger
  • Hvis overføringen er basert på samtykke: Sikre at samtykket omfatter formålet med behandlingen, herunder overføringen, hvilke typer opplysninger overføringen gjelder, informasjon om identiteten til mottakeren av opplysningene, samt om lokasjon og rettslig grunnlag for overføringen ved overføring til lokasjon utenfor EU/EØS, informasjon om at samtykket når som helst kan trekkes tilbake, samt informasjon om eventuelle automatiserte beslutninger som treffes på grunnlag av behandlingen.Hvis overføringen omfatter helseopplysninger må det påses at samtykket uttrykkelig omfatter behandling (herunder overføring) av helseopplysninger.
  • Påse at informasjons- og innsynskravene overfor de registrerte i henhold til GDPR art. 13-15 er oppfylt, herunder informasjon om identitet og lokasjon til relevante mottakere av personopplysningene. 
  • Verifiser om overføringen vil innebære at personopplysninger enten vil bli overført til, eller vil kunne aksesseres fra lokasjon utenfor EU/EØS («tredjeland»).
    Hvis svaret er ja; påse at det foreligger et relevant rettslig grunnlag for overføring til tredjeland (f.eks. EUs «Model Clauses for Controllers», EU-US Privacy Shield-sertifisering hos mottaker, eller at mottakerlandet anses som et «godkjent» tredjeland av EU-kommisjonen). Sørg for inngåelse av EUs Model Clauses for Controllers før overføring finner sted hvis ingen andre overføringsgrunnlag foreligger og slik avtale ikke allerede er inngått.  Les mer om overføring av personopplysninger til tredjeland.

Etter overføring #

  • Sørg for å underrette den enkelte mottaker av personopplysninger dersom NTNU mottar krav fra en registrert om retting, sletting eller begrensning av behandlingen av den registrertes personopplysninger. 
  • Sørg for løpende oppfølging av inngåtte overføringsavtaler / prosjekter hvor det rutinemessig skjer slik overføring. 
2 Vedlegg
1713 Visninger
Gjennomsnitt (0 Stemmer)