Handsaming av personopplysningar

1 Datahandsamar garanterar at han i tråd med denne DHA har implementert, og vil halde fram med å implementere, eigna tekniske og organisatoriske tiltak så lenge denne DHA er gjeldande. Tiltaka skal sikre at handsaminga av personopplysningar i tråd med denne DHA vil stette alla krav i høve gjeldande personlovgjeving, og sikre rettane til den registrerte.
2 Datahandsamar forpliktar seg til kun å handsame personopplysningar i tråd med dokumenterte instruksar frå handsamingsansvarleg, med mindre annan praksis vert krav med heimel i gjeldande personlovgjeving. Datahandsamar skal til ei kvar tid kunne dokumentere konkrete instruksar frå handsamingsansvarleg.
Handsamingsansvarleg garanterer at vedkomande har høve til å handsame personopplysningane i tråd med gjeldande personopplysningslov før personopplysningane vert overgitt datahandsamar. Med dette godtgjer handsamingsansvarleg at han er eineansvarleg for å bestemme føremål og verkemiddel for datahandsamar si handsaming av personopplysningane.
Den handsamingsansvarlege sine fyrste instruksar til datahandsamar knytt til omfang og varigheit, samt art av og føremålet med handsaminga, samt kategoriar av registrerte skal gå fram av denne DHA og eige vedlegg.
3 Datahandsamar skal, når personopplysningar vert handsama i tråd med denne DHA, overhalde gjeldande personvernlovgjeving. Datahandsamar skal også godta endringar i denne DHA som gjeldande personvernlovgjeving stiller krav om.
4 Datahandsamar skal bistå den handsamingsansvarlege med å oppfylle dei juridiske forpliktingar handlingsansvarleg har i høve gjeldande personvernlovgjeving, herunder, men ikkje avgrensa til, den handsamingsansvarlege si plikt til å svare på forespurnader om utøving av den registrerte sin rett til å be om innsyn, korrigering, avgrensing av datahandsaminga, sletting, samt retten til å få oversendt kopi av dei personopplysningar som vert handsama.
Datahandsamar skal kun handsame personopplysningane i tråd med dokumenterte instruksjonar frå Handsamingsansvarleg, og svarar ikkje på direkte forespurnader frå den registrerte, med mindre datahandsamar har ei lovpålagt plikt til å gjere dette.
5 Datahandsamar skal utan ugrunna opphald informere handsamingsansvarleg dersom datahandsamar manglar instruksjonar om korleis personopplysningar skal handsamast i ein bestemt situasjon, eller dersom instruksjonar som er gitt i tråd med denne DHA eller på annan måte er i strid med gjeldande personvernlovgjeving.
6 Dersom registrerte, kompetente myndigheiter eller andre tredjepartar bed om informasjon frå datahandsamar angåande handsaming av personopplysningar som er omfatta av denne DHA, skal datahandsamar vise til handsamingsansvarleg. Datahandsamar kan ikkje på nokon måte agere på vegne av, eller som representant for, handsamingsansvarleg.
Datahandsamar kan likevel gi informasjon til registrerte, kompetente myndigheiter dersom datahandsamar er lovpålagt å gi slik informasjon.
7 Datahandsamar skal ikkje, utan det ligg føre instruksjonar om dette frå handsamingsansvarleg, overføre eller på annan måte utlevere personopplysningar eller annan informasjon knytt til handsaminga av personopplysningar til tredjepart.
Dersom datahandsamar i tråd med gjeldande personvernlovgjeving vert pålagt å utlevere personopplysningar som datahandsamar handsmar på vegne av den handsamingsansvarlege, må datahandsamar umiddelbart informere handasamingsansvarleg om dette, samt be om konfidensialitet i samband med utlevering av informasjonen som er etterspurd.
8 Dersom handsamingsansvarleg forespør rimelege endringar i samsvar med prosedyrar for handtering av endringar i hovudavtalen, skal datahandsamar innan rimeleg tid implementere yttelegare tekniske og organisatoriske tryggingstiltak og tilpasningar av handsamingsaktivitetane. I den grad slike endringar påverkar tenestetilhøvet til andre partar datahandsamar har avtalar med, skal endringane skje i samråd med desse.
Handsamingsansvarleg skal varsle datahandsamar om eventuelle endringar av tryggleiksinstruksjonar og rutinar for handsaming av personopplysningar så tidleg som mogleg, slik at datahandsamar rekk å førebu og gjennomføre naudsynte endringar i dei prosedyrane som må implementerast.
9 Datahandsamar forpliktar seg til å gi handsamingsansvarleg all naudsynt informasjon og assistanse for å syne at alle tilpliktingar i DHA vert overhaldne.
Datahandsamar skal mogleggjere og bidra til revisjonar.
Med mindre noko anna er påkravd i høve gjeldande personvernlovgjeving, skal datahandsamar leggje til rette for gjennomføring av tryggleiksrevisjon i form av inspeksjon i datahandsamar sine lokale ein gong per kalenderår. Tryggleiksrevisjon kan utførast av handsamingsansvarleg eller annan inspektør med fullmakt frå den handsamingsansvarlege, under føresetnad av at ein eventuell tredjepart som utfører tryggleiksrevisjonen ikkje etter datahandsamar sitt skjønn kan reknast som ein direkte eller indirekte konkurrent til datahandsamar.
10 Seinast 30 dagar innan handsamingsansvarleg eller tredjepart utpeikt av handsamingsansvarleg ynskjer å gjennomføre tryggleiksrevisjon i tråd med denne DHA, skal datahandsamar ha skriftleg varsel om dette.
11 Tryggleiksrevisjonar i tråd med denne DHA skal ikkje gjennomførast på ein slik måte  at det kan medføre risiko for innsyn i persondata eller annan konfidensiell informasjon, til dømes merkantil informasjon, som datahandsamar handsamar på vegne av andre enn handsamingsansvarleg. Dei skal heller ikkje førstyrre datahandsamar si daglege verksemd.
12 Handsamingsansvarleg skal kompensere datahandsamar for medgått tid og andre kostnadar som måtte kome til som fylgje av gjennomføring av tryggleiksrevisjonane. Dette gjeld likevel ikkje for kostnadar knytt til tryggleiksrevisjonar som avdekkjer tryggleiksbrot hos datahandsamar.
13 Datahandsamar kan velge å synleggjere at forpliktingane som denne DHA pålegg datahandsamar er overhaldne gjennom sertifiseringar gitt av godkjende sertifiseringsorgan.

Attende til framsida.

Print Friendly, PDF & Email