6. Bruk av databehandler og behandling av andre

Den eller de som behandler personopplysninger på vegne av Eidfjord fjellstyre, er Eidfjord fjellstyres databehandlere. Det skal alltid inngås avtale med databehandlere, hvor Eidfjord fjellstyres standard databehandleravtale skal søkes å benyttes. Benyttes ikke Eidfjord fjellstyres standard databehandleravtale, skal avtalens gjennomgås av ekspertise på personvern for å vurdere om databehandleravtalen er tilfredsstillende etter lovkravene.  

Databehandleravtalene skal regulere hvordan databehandleren skal håndtere og sikre personopplysningene, og hvor også bestemmelser om informasjonssikkerhet inngår. Alle avtaler hvor en ekstern virksomhet påtar seg oppdrag for Eidfjord fjellstyre som også omfatter informasjonssikkerhet, skal baseres på avtaler som minst samsvarer med kravene som er gitt i personvernforordningen artikkel 28 og 29.  

Eksterne virksomheter eller personer kan ikke gis tilgang til virksomhetens informasjonssystem med mindre dette skjer som ledd i en godkjent avtale. 

Oversikt over alle databehandlere skal inntas i Behandlingsoversikten (se punkt 5.1).  

Det skal sikres at databehandlere og enhver person som handler for Eidfjord fjellstyre eller Eidfjord fjellstyres databehandlere, og som har tilgang til personopplysninger, skal behandle opplysninger bare etter instruks fra Eidfjord fjellstyre.