Databehandleravtale

Databehandleravtale for Direktoratet for økonomistyrings (DFØ) leveranse av lønns- og regnskapstjenester.

Oppdatert |Se de siste endringene

Dette er Databehandleravtalen mellom Direktoratet for økonomistyring (DFØ) og Kunden. Samarbeidsavtalen og Standardvilkårene (inkludert Databehandleravtalen og arbeidsdelingsskjema), er Avtalen mellom DFØ og kundene. Databehandleravtalen omhandler behandling av personopplysninger i forbindelse med DFØs leveranse av lønns- og regnskapstjenester.

1. Avtalens hensikt

Databehandleravtalens hensikt er å regulere rettigheter og plikter etter gjeldende personvernregelverk herunder: 

EUs personvernforordning (GDPR), gjeldende personopplysningslov, personopplysningsforskriften og generelle råd og veiledning fra tilsynsmyndigheter.

2. Bakgrunn og formål

Denne Databehandleravtalen gjelder for alle Kunder (Behandlingsansvarlige) som mottar lønns- og/eller regnskapstjenester fra DFØ (Databehandler). Avtalen mellom DFØ og kunden består av Samarbeidsavtale og Standardvilkår (der inkludert Databehandleravtalen og arbeidsdelingskjema).

Kundens ansatte, honorarmottakere og personer som mottar tilskudd/erstatning omtales som de registrerte i denne Databehandleravtalen.

Formålet med Databehandleravtalen er å sikre behandling av personopplysninger slik at de ikke brukes urettmessig eller kommer uberettigede i hende.

DFØs behandlingsgrunnlag for behandling av personopplysningene er å finne i gjeldende Avtale. Formålet med DFØs behandling av personopplysninger er å levere og kontinuerlig utvikle lønns- og regnskapstjenestene til Kunden. DFØ skal kun behandle Kundens personopplysninger som beskrevet i Avtalen, i den utstrekning det er nødvendig for å oppfylle DFØs plikter.

Behandlingsgrunnlaget oppfyller de krav som er satt for behandling av personopplysninger etter gjeldende personvernregelverk. 

3. Personopplysninger som behandles

DFØ behandler personopplysninger, sensitive personopplysninger og adferdsmønster. DFØ behandler grunnlagsdata (som navn, adresse, fødselsnummer, ansattnummer, bankkontonummer, e-post, brukeridentifikasjon, IP-adresse), lønnsnivå, tidsregistrering, skattemessige forhold, informasjon om reise- og utgifts- refusjoner, fagforeningstilhørighet, fraværssøknader, utbetalinger og sykmeldinger fra NAV, bilagsdetaljer, fakturabehandling, vedlikehold av leverandør- og kundenes kontoer i forbindelse med inngående fakturaer og utfakturering mv.  

Følgende behandlinger omfattes av Avtalen, se også nærmere i arbeidsdelingsskjema.

Innsamling og registrering

  • Kundens ansatte og honorarmottakere registrerer personopplysninger i DFØs lønns- og regnskapssystemer. 
  • Kunden overfører personopplysninger fra sine systemer til DFØ. 
  • DFØ innhenter personopplysninger fra Folkeregisteret, Altinn, NAV og Skatteetaten på vegne av Kunden. 
  • Kunden sender personopplysninger til DFØ via Kundesenter på nett, i papirform til fakturamottaket eller elektronisk som EHF for registrering i DFØs lønns- og regnskapssystemer. 

Sammenstilling

  • DFØ systematiserer og sammenstiller personopplysningene for å innfri Kundens forpliktelser, både som arbeidsgiver / oppdragsgiver / oppdragstaker og som statlig virksomhet. 

Prosessering

  • DFØ gjennomfører lønns- og reisekjøringer
  • DFØ produserer lønnsslipper og lønnsrapporter
  • DFØ gjennomfører kontroll og avstemming av lønnsdata
  • DFØ kontrollerer og videresender fakturaer til godkjenning
  • DFØ produserer utbetalingsfil til bank 
  • DFØ leser inn utgående krav/salgsordrer og innbetalingsfiler

Lagring 

  • DFØ lagrer de registrerte personopplysningene slik at Kunden kan kontrollere rapportering og bokføring i tråd med bestemmelser om økonomistyring i staten. 
  • DFØ lagrer personopplysninger og nødvendig dokumentasjon i henhold til Bestemmelser om økonomistyring i staten i pkt. 4.4.9 og 4.4.10. Enkelte av personopplysningene kan være sensitive personopplysninger og/eller særlige kategorier av personopplysninger.

Vedlikehold av data

  • DFØ vedlikeholder følgende data som avtalt i arbeidsdelingsskjema
    • faste, klient og virksomhetsavhengige data
    • konteringsobjekter  

Utlevering 

  • DFØ gjør til enhver tid personopplysninger tilgjengelig for Kunden under Avtalens løpetid. DFØ tilgjengeliggjør data til aktuelle fagforeninger, Statens pensjonskasse, Skatteetaten, Altinn og NAV når utlevering er nødvendig for at DFØ kan oppfylle sine forpliktelser etter Avtalen.

Sletting 

  • DFØ sletter personopplysninger som ikke skal oppbevares i henhold til gjeldende regelverk.

I den grad DFØ får tilgang til personopplysninger om vikarer, konsulenter, underleverandører eller andre personer hos Kunden utover hva som følger av Avtalen, skal også disse opplysningene behandles i samsvar med Databehandleravtalen.

Informasjon om Kundens ansatte/honorarmottakere og tilhørende metadata (aggregert informasjon) om deres bruksmønster av tjenesten er også underlagt Databehandleravtalens bestemmelser.

DFØ har ikke selvstendig råderett over personopplysningene, og kan ikke behandle disse til egne formål.

4. DFØs plikter    

DFØ skal sikre at personopplysningene behandles i samsvar med gjeldende personvernregelverk. 

Kunden har, med mindre annet følger av annet gjeldende regelverk, rett til tilgang og innsyn i personopplysningene som behandles hos DFØ. DFØ plikter å bistå Kunden med å få slik tilgang og innsyn. DFØ skal bistå Kunden med å svare på anmodninger som de registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen. Det skal tas hensyn til behandlingens art og hvilke tekniske og organisatoriske tiltak som er egnet.

DFØ skal uten ugrunnet opphold varsle Kunden om avvik. DFØ skal bistå behandlingsansvarlig med melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten. Meldingen fra DFØ til Kunden skal minimum oppfylle kravene fastsatt i gjeldende personvernregelverk. Kunden skal om nødvendig varsle Datatilsynet. For øvrig skal DFØ håndtere avviket i samsvar med kravene i gjeldende personvernregelverk.

DFØs ansatte har lovfestet taushetsplikt om dokumentasjon og personopplysninger de får tilgang til under Avtalen. Taushetsplikten  gjelder også etter Avtalens opphør. 

5. Kundens plikter

Kunden har ansvar for at personopplysningene behandles i samsvar med instrukser i Avtalen og til enhver tid gjeldende personvernregelverk. Kunden har videre ansvar for å sikre at personopplysninger ikke lagres uten lovhjemmel når det trekkes ut informasjon fra DFØs lønns- og regnskapssystemer og de lagres internt og/eller blir sendt videre. Kunden har også ansvar for å ikke sende inn mer enn det som er nødvendig av personopplysninger til DFØs lønns- og regnskapssystemer. Det vil falle utenfor behandlingens formål. 

Kunden plikter å varsle DFØ om alle avvik som medfører risiko for de registrertes rettigheter, i den utstrekning det er nødvendig. Kundens plikter framkommer for øvrig fra gjeldende personvernregelverk. 

6. Bruk av underleverandører

DFØ benytter underleverandører for å oppfylle Avtalen med Kunden. I noen tilfeller har DFØ behov for å gi underleverandører tilgang til systemområder som inneholder personopplysninger, for å kunne ivareta forpliktelser i Avtalen. I den grad det er nødvendig at de gis tilgang til DFØs systemer, vil underleverandørene være bundet av taushetserklæringer. Underleverandører gis ikke tilganger som er mer omfattende eller av lengere varighet enn det som er påkrevd for å utføre leveransene.

I de tilfellene DFØ benytter seg av underleverandører eller konsulenter til behandling av personopplysninger, skal DFØ inngå en skriftlig avtale med underleverandøren eller konsulenten, som sikrer minst samme grad av beskyttelse som denne Databehandleravtalen. Slik avtale skal på forespørsel fremlegges for Kunden.
 
DFØ kan inngå avtaler med nye underleverandører etter behov.  Kunden skal underrettes så raskt som mulig ved alle endringer. 

Ved å signere denne Databehandleravtalen godkjenner Kunden DFØs samtlige underleverandører som beskrevet i oppdatert oversikt her.

7. Overføring til land utenfor EU/EØS

DFØ må på forhånd varsle Kunden før personopplysninger overføres til land utenfor EU/EØS. Hvis utlevering kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett, som DFØ er underlagt, skal DFØ underrette Kunden om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr en slik underretning. 

Hvis DFØ skal benytte underleverandør som opererer fra land utenfor EU/EØS (tredjeland), må DFØ varsle Kunden før personopplysninger overføres. Kunden skal godkjenne en slik overføring.

8. Sikkerhet

DFØ har selvstendig plikt til å gjennomføre egnede sikkerhetstiltak, men skal også som et minimum oppfylle de krav til sikkerhetstiltak som stilles i til enhver tid gjeldende personvernregelverk. Behandlingen skal være underlagt sikringstiltak som ivaretar konfidensialitet, integritet og tilgjengelighet for behandling av personopplysningene i henhold til gjeldende personregelverk. 

DFØ oppfyller kravene til sikkerhetstiltak eksempelvis med fysiske sikringstiltak, tilgangsstyring, internkontrollrutiner, gjennomføring av sikkerhetskopier, sikring av tilgjengelighet, loggføring, utførelse av sikkerhetsrevisjoner i tillegg til rollebeskrivelser og taushetsplikt for ansatte. Rutiner og tiltak for å oppfylle kravene dokumenteres skriftlig av DFØ. Dokumentasjonen skal være tilgjengelig på forespørsel fra Kunden. Innsyn i dokumentasjonen skal reguleres strengt (gis kun til begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået.

DFØs tilgangsstyring sikrer at kun personer med tjenstlig behov har tilgang til personopplysninger og/eller systemer hvor disse behandles. Hos DFØ gjelder dette driftspersonell og lønns- og regnskapsmedarbeidere. Kundens fagbrukere vil bli gitt tilgang til lønns- og regnskapssystemene etter behov. Krav om loggføring og taushetsplikt gjelder både for fast ansatte og midlertidig personell. 

Sikkerhetsbrudd og bruk av informasjonssystemet i strid med fastlagte rutiner skal anses som avvik. Hovedregelen er at alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern og skal vurderes av behandlingsansvarlig. 

9. Personvernombud og kontroll

Datatilsynet har tilsynsmyndighet ovenfor DFØ og skal gjennomføre tilsyn i henhold til gjeldende personvernregelverk. DFØ har videre avtalefestet rett til å gjennomføre jevnlige sikkerhetsrevisjoner av alle sine underleverandører.  

DFØ har opprettet rolle for personvernombud som også skal kontrollere overholdelsen av gjeldende personvernregelverk. Personvernombudet er uavhengig i sitt arbeid og mottar ikke instrukser om utførelsen av oppgavene sine. Personvernombudet skal overholde rutiner for å ivareta at personopplysninger behandles i samsvar med både DFØs interne rutiner og gjeldende personvernregelverk. 

10. Varighet og opphør

Behandlingen er ikke tidsbegrenset og Databehandleravtalen gjelder så lenge DFØ behandler personopplysninger på vegne av Kunden. DFØ kan gjøre endringer i denne Databehandleravtalen ved endringer i relevant regelverk for personvern. DFØ har ansvar for å informere Kunden om endringer i Databehandleravtalen.

Ved opphør av Avtalen plikter DFØ, i tråd med de til enhver tid gjeldende regler, å levere tilbake alle personopplysninger som er behandlet på vegne av Kunden og deretter forsvarlig destruere egne kopier. Dette gjelder også eventuelle sikkerhetskopier og så langt det ikke strider mot andre lovbestemmelser. 

11. Henvendelser

Kunden har til enhver tid full rådighet over personopplysningene. Kunden har ansvar for å ta i mot henvendelser fra den registrerte. DFØ skal svare på forespørsler om innsyn, retting eller sletting når det foreligger et lovpålagt grunnlag og/eller når databehandler blir instruert til å svare av Kunden. 

Henvendelser fra Kunden skal sendes til DFØs Kundesenter på nett. Dette gjelder både spørsmål om innsyn, retting og sletting av personopplysninger tilknyttet DFØs tjenesteleveranse.

12. Tvister

Tvister eller uoverensstemmelser mellom partene etter denne Databehandleravtalen skal først søkes løst mellom partene. Dersom dette ikke lykkes, skal uenigheten eskaleres til neste nivå oppover i linjen inntil enighet oppnås. Dette er i samsvar med alminnelig praksis i forvaltningen. 

Kontaktinfo

Har du spørsmål om innholdet på denne siden?

Kontakt kundesenter lønn

Kontakt kundesenter regnskap

Denne versjonen gjelder fra 29. juni 2017.

Fant du det du lette etter?