Databehandleravtale

Dette er Databehandleravtalen mellom Direktoratet for forvaltning og økonomistyring (DFØ) og Kunden. Samarbeidsavtalen og Standardvilkårene (inkludert Databehandleravtalen og arbeidsdelingsskjema), er Avtalen mellom DFØ og kundene. Databehandleravtalen omhandler behandling av personopplysninger i forbindelse med DFØs leveranse av lønns- og regnskapstjenester.

1. Avtalens hensikt

Databehandleravtalens hensikt er å regulere rettigheter og plikter etter gjeldende personvernregelverk, herunder:

• EUs personvernforordning (GDPR)
• gjeldende personopplysningslov
• generelle råd og veiledning fra tilsynsmyndigheter

2. Bakgrunn og formål

Denne Databehandleravtalen gjelder for alle Kunder (Behandlingsansvarlige) som mottar lønns- og/eller regnskapstjenester fra DFØ (Databehandler). Avtalen mellom DFØ og kunden består av Samarbeidsavtale og Standardvilkår (der inkludert Databehandleravtalen og arbeidsdelingsskjema).

Kundens ansatte, honorarmottakere og personer som mottar tilskudd/erstatning omtales som de registrerte i denne Databehandleravtalen.

Formålet med Databehandleravtalen er å sikre behandling av personopplysninger slik at de ikke brukes urettmessig eller kommer uberettigede i hende.

Formålet med DFØs behandling av personopplysninger er å levere og kontinuerlig utvikle lønns- og regnskapstjenestene til Kunden. DFØ behandler personopplysninger på vegne av kunden og skal kun behandle personopplysningene som beskrevet i Avtalen, og i den utstrekning det er nødvendig for å oppfylle DFØs plikter. Kunden har ansvar for at behandlingsgrunnlaget oppfyller de krav som er satt for behandling av personopplysninger etter gjeldende personvernregelverk. 

3. Personopplysninger som behandles

DFØ behandler flere typer personopplysninger, herunder særlige kategorier personopplysninger. DFØ behandler grunnlagsdata, (som navn, adresse, fødselsnummer, ansattnummer, bankkonto nummer, e-post, bruker identifikasjon, IP- adresse) lønnsnivå, tidsregistrering, skattemessige forhold, informasjon om reise- og utgifts- refusjoner, fagforeningstilhørighet, fraværssøknader, utbetalinger og sykmeldinger fra NAV, bilagsdetaljer, fakturabehandling, vedlikehold av leverandør- og kundenes kontoer i forbindelse med inngående fakturaer og utfakturering mv.

Følgende behandlinger omfattes av Avtalen, se også nærmere i arbeidsdelingsskjema:

Innsamling og registrering

• Kundens ansatte og honorarmottakere registrerer personopplysninger i DFØs lønns- og regnskapssystemer.
• Kunden overfører personopplysninger fra sine systemer til DFØ.
• DFØ innhenter personopplysninger fra Folkeregisteret, Altinn, NAV og Skatteetaten på vegne av Kunden.
• Kunden sender personopplysninger til DFØ via Kundesenter på nett, i papirform til fakturamottaket eller elektronisk som EHF for registrering i DFØs lønns- og regnskapssystemer. 

Sammenstilling

• DFØ systematiserer og sammenstiller personopplysningene for å innfri Kundens forpliktelser, både som arbeidsgiver/oppdragsgiver/oppdragstaker og som statlig virksomhet . 

Prosessering

• DFØ gjennomfører lønns- og reisekjøringer
• DFØ produserer lønnsslipper og lønnsrapporter
• DFØ gjennomfører kontroll og avstemming av lønnsdata
• DFØ kontrollerer og videresender fakturaer til godkjenning
• DFØ produserer utbetalingsfil til bank
• DFØ leser inn utgående krav/salgsordrer og innbetalingsfiler

Lagring 

• DFØ lagrer de registrerte personopplysningene slik at Kunden kan kontrollere rapportering og bokføring i tråd med bestemmelser om økonomistyring i staten.
• DFØ lagrer personopplysninger og nødvendig dokumentasjon i henhold til Bestemmelser om økonomistyring i staten i pkt. 4.4.9 og 4.4.10. Enkelte av personopplysningene kan være særlige kategorier av personopplysninger.

Vedlikehold av data

• DFØ vedlikeholder følgende data som avtalt i arbeidsdelingsskjema:
  • Faste, klient og virksomhetsavhengige data
  • Konteringsobjekter

Utlevering 

• DFØ gjør til enhver tid personopplysninger tilgjengelig for Kunden under Avtalens løpetid. DFØ tilgjengeliggjør data til aktuelle fagforeninger, Statens pensjonskasse, Skatteetaten, Altinn og NAV når utlevering er nødvendig for at DFØ kan oppfylle sine forpliktelser etter Avtalen.

Sletting 

• DFØ sletter personopplysninger som ikke skal oppbevares i henhold til behandlingsformålet og gjeldende regelverk

Drift og vedlikehold av systemparken

• Ytelsesrapportering og annen logging som går på å forbedre og vedlikeholde og optimalisere systemparken på tvers av kunder inneholder ikke personopplysninger. Ved behov for feilsøking og rettelser på et mer detaljert nivå, der noen logger inneholder personopplysninger, vil dette gjøres spesifikt og på vegne av den enkelte kundens behov for sikker drift.

I den grad DFØ får tilgang til personopplysninger om vikarer, konsulenter, underleverandører eller andre personer hos Kunden utover hva som følger av Avtalen, skal også disse opplysningene behandles i samsvar med Databehandleravtalen.

DFØ har ikke selvstendig råderett over personopplysningene, og kan ikke behandle disse til egne formål.

4. DFØs plikter    

DFØ skal sikre at personopplysningene behandles i samsvar med gjeldende personvernregelverk og etter instrukser fra Kunden.

Kunden har, med mindre annet følger av annet gjeldende regelverk, rett til tilgang og innsyn i personopplysningene som behandles hos DFØ. DFØ plikter å bistå Kunden med å få slik tilgang og innsyn. DFØ skal bistå Kunden med å svare på anmodninger som de registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen. Det skal tas hensyn til behandlingens art og hvilke tekniske og organisatoriske tiltak som er egnet.

DFØ skal uten ugrunnet opphold varsle Kunden om brudd på personopplysningssikkerheten. DFØ skal bistå behandlingsansvarlig med melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten. Meldingen fra DFØ til Kunden skal minimum oppfylle kravene fastsatt i gjeldende personvernregelverk. Kunden skal om nødvendig varsle Datatilsynet. For øvrig skal DFØ håndtere bruddet i samsvar med kravene i gjeldende personvernregelverk.

DFØs ansatte har lovfestet taushetsplikt om dokumentasjon og personopplysninger de får tilgang til under Avtalen. Taushetsplikten gjelder også etter Avtalens opphør.

5. Kundens plikter

Kunden har ansvar for at personopplysningene behandles i samsvar med det til enhver tid gjeldende personvernregelverk. Kunden har videre ansvar for å sikre at personopplysninger ikke lagres uten lovhjemmel når det trekkes ut informasjon fra DFØs lønns- og regnskapssystemer og de lagres internt og/eller blir sendt videre. Kunden har også ansvar for å ikke sende inn mer enn det som er nødvendig av personopplysninger til DFØs lønns- og regnskapssystemer. Dette vil falle utenfor behandlingens formål.

Kunden plikter å varsle DFØ om alle avvik som oppstår i forbindelse med DFØs tjenesteleveranse som medfører risiko for de registrertes rettigheter, i den utstrekning det er nødvendig. Kundens plikter framkommer for øvrig fra gjeldende personvernregelverk. 

6. Bruk av underleverandører

DFØ benytter underleverandører for å oppfylle Avtalen med Kunden. I noen tilfeller har DFØ behov for å gi underleverandører tilgang til systemområder som inneholder personopplysninger, for å kunne ivareta forpliktelser i Avtalen. I den grad det er nødvendig at de gis tilgang til DFØs systemer, vil underleverandørene være bundet av taushetserklæringer. Underleverandører gis ikke tilganger som er mer omfattende eller av lengere varighet enn det som er påkrevd for å utføre leveransene.

I de tilfellene DFØ benytter seg av underleverandører eller konsulenter til behandling av personopplysninger, skal DFØ inngå en skriftlig avtale med underleverandøren eller konsulenten, som sikrer minst samme grad av beskyttelse som denne Databehandleravtalen. Slik avtale skal på forespørsel fremlegges for Kunden.

DFØ kan inngå avtaler med nye underleverandører etter behov. Kunden skal motta en underretning minimum 4 uker før endringen trer i kraft. Kunden skal ha mulighet for å motsette seg endringene og skal meddele DFØ om dette senest 2 uker etter at underretningen er mottatt.

Ved å signere denne Databehandleravtalen godkjenner Kunden DFØs samtlige underleverandører som beskrevet i oppdatert oversikt her. 

7. Overføring til land utenfor EU/EØS

DFØ må på forhånd varsle Kunden før personopplysninger overføres til land utenfor EU/EØS. Hvis utlevering kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett, som DFØ er underlagt, skal DFØ underrette Kunden om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr en slik underretning.

Hvis DFØ skal benytte underleverandør som opererer fra land utenfor EU/EØS (tredjeland), må DFØ varsle Kunden før personopplysninger overføres. Kunden kan motsette seg en slik overføring.

8. Sikkerhet

DFØ har selvstendig plikt til å gjennomføre egnede sikkerhetstiltak, men skal også som et minimum oppfylle de krav til sikkerhetstiltak som stilles i til enhver tid gjeldende personvernregelverk. Behandlingen skal være underlagt sikringstiltak som ivaretar konfidensialitet, integritet og tilgjengelighet for behandling av personopplysningene i henhold til gjeldende personregelverk.

DFØ oppfyller kravene til sikkerhetstiltak eksempelvis med fysiske sikringstiltak, tilgangsstyring, internkontrollrutiner, gjennomføring av sikkerhetskopier, sikring av tilgjengelighet, loggføring, utførelse av sikkerhetsrevisjoner i tillegg til rollebeskrivelser og taushetsplikt for ansatte. Rutiner og tiltak for å oppfylle kravene dokumenteres skriftlig av DFØ. Dokumentasjonen skal være tilgjengelig på forespørsel fra Kunden. Innsyn i dokumentasjonen skal reguleres strengt (gis kun til begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået.

DFØs tilgangsstyring sikrer at kun personer med tjenstlig behov har tilgang til personopplysninger og/eller systemer hvor disse behandles. Hos DFØ gjelder dette driftspersonell og lønns- og regnskapsmedarbeidere. Kundens fagbrukere vil bli gitt tilgang til lønns- og regnskapssystemene etter behov. Krav om loggføring og taushetsplikt gjelder både for fast ansatte og midlertidig personell.

Brudd på personopplysningssikkerheten skal meldes til Datatilsynet av behandlingsansvarlig. Dette omfatter også sikkerhetsbrudd og bruk av informasjonssystemer i strid med fastlagte rutiner. Unntak fra dette gjelder hvis det er usannsynlig at bruddet medfører en risiko for enkeltpersoners rettigheter og friheter og skal vurderes av behandlingsansvarlig. 

9. Personvernombud og kontroll

Datatilsynet har tilsynsmyndighet ovenfor DFØ og skal gjennomføre tilsyn i henhold til gjeldende personvernregelverk. DFØ har videre avtalefestet rett til å gjennomføre jevnlige sikkerhetsrevisjoner av alle sine underleverandører.

DFØ har opprettet rolle for personvernombud som også skal kontrollere overholdelsen av gjeldende personvernregelverk. Personvernombudet er uavhengig i sitt arbeid og mottar ikke instrukser om utførelsen av oppgavene sine. Personvernombudet skal overholde rutiner for å ivareta at personopplysninger behandles i samsvar med både DFØs interne rutiner og gjeldende personvernregelverk. 

10. Varighet og opphør

Behandlingen er ikke tidsbegrenset og Databehandleravtalen gjelder så lenge DFØ behandler personopplysninger på vegne av Kunden. DFØ kan gjøre nødvendige endringer i denne Databehandleravtalen. Slike endringer skal varsles til Kunden som har rett til å motsette seg endringer med saklig begrunnelse.

Ved opphør av Avtalen plikter DFØ, i tråd med de til enhver tid gjeldende regler, å levere tilbake alle personopplysninger som er behandlet på vegne av Kunden og deretter forsvarlig destruere egne kopier. Dette gjelder også eventuelle sikkerhetskopier og så langt det ikke strider mot andre lovbestemmelser. 

11. Henvendelser

Kunden har til enhver tid full rådighet over personopplysningene. Kunden har ansvar for å ta i mot henvendelser fra den registrerte. DFØ skal svare på forespørsler om innsyn, retting eller sletting når det foreligger et lovpålagt grunnlag og/eller når databehandler blir instruert til å svare av Kunden.

Henvendelser fra Kunden skal sendes til DFØs Kundesenter på nett. Dette gjelder både spørsmål om innsyn, retting og sletting av personopplysninger tilknyttet DFØs tjenesteleveranse.

12. Tvister

Tvister eller uoverensstemmelser mellom partene etter denne Databehandleravtalen skal først søkes løst mellom partene. Dersom dette ikke lykkes, skal uenigheten eskaleres til neste nivå oppover i linjen inntil enighet oppnås. Dette er i samsvar med alminnelig praksis i forvaltningen.