Overføring av personopplysninger - avtalemaler

NTNU både overfører og mottar personopplysninger fra andre. Dette må reguleres gjennom en avtale. For å sikre at mottaker av personopplysninger behandler opplysningene i tråd med GDPR må vi inngå en avtale om overføringen. Den som gir opplysninger til NTNU vil tilsvarende gjennom slik avtale, være trygg på at vi etterlever GDPR i vår behandling av personopplysningene.

Det finnes flere former for dataoverføring, og disse krever ulike avtaler. For overføring av personopplysninger skal det brukes én av følgende tre typer: 

  1. Databehandleravtale
  2. Dataoverføringsavtale
  3. Avtale om felles behandlingsansvar

Databehandleravtale #

Når NTNU setter ut hele eller deler av behandlingen av personopplysninger til en annen virksomhet, er den eller de som behandler opplysningene på NTNUs vegne, å anse som databehandlere. Det er et krav etter GDPR art. 28 at det i slike tilfeller inngås en databehandleravtale. 

Databehandleravtalen sikrer at personopplysningene kun brukes til sitt angitte formål, at de brukes på NTNUs instrukser og i overenstemmelse med personvernregelverket. 

Les mer og finn malen for slik avtale på wikisiden Databehandleravtale.

Dataoverføringsavtale #

Når NTNU som behandlingsansvarlig overfører personopplysninger til en annen selvstendig behandlingsansvarlig, skal det ikke inngås databehandleravtale. Mottaker av opplysningene håndterer ikke disse på vegne av NTNU og er alene ansvarlig for å etterleve GDPR.

Det er ikke et krav etter personvernregelverket å inngå en avtale om overføring av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig. Det er like fullt hensiktsmessig å regulere overføringen av personopplysningene. For disse tilfellene har NTNU utviklet mal for dataoverføringsavtale.  

Les mer og finn malen for slik avtale på wikisiden Dataoverføringsavtale

Avtale om felles behandlingsansvar #

Dersom NTNU sammen med andre selvstendig behandlingsansvarlige bestemmer formål med og midler for databehandlingen, foreligger et delt behandlingsansvar.

Avgjørende er hvorvidt de involverte parter i fellesskap har bestemmende innflytelse på mål og midler for den aktuelle behandlingen, eller om det bare er en av partene som bestemmer. Bestemmer de i fellesskap, skal det inngås en avtale som angir partenes ansvar. 

NTNU har en egen mal som kan brukes ved delt behandlingsansvar: Avtale om felles behandlingsansvar

English version: Joint controller agreement

2 Vedlegg
5136 Visninger
Gjennomsnitt (0 Stemmer)