6. Bruk av databehandler og behandling av andre

6.1 Den eller de som behandler personopplysninger på vegne av Lesja fjellstyre, er Lesja fjellstyres databehandlere.

6.2 Det skal alltid inngås avtale med databehandlere, hvor Lesja fjellstyres standard databehandleravtale skal søkes å benyttes.

6.3 Benyttes ikke Lesja fjellstyres standard databehandleravtale, skal avtalens gjennomgås av ekspertise på personvern for å vurdere om databehandleravtalen er tilfredsstillende etter lovkravene.

6.4 Databehandleravtalene skal regulere hvordan databehandleren skal håndtere og sikre personopplysningene, og hvor også bestemmelser om informasjonssikkerhet inngår.

6.5 Alle avtaler hvor en ekstern virksomhet påtar seg oppdrag for Lesja fjellstyre som også omfatter informasjonssikkerhet, skal baseres på avtaler som minst samsvarer med kravene som er gitt i personvernforordningen artikkel 28 og 29.

6.6 Eksterne virksomheter eller personer kan ikke gis tilgang til virksomhetens informasjonssystem med mindre dette skjer som ledd i en godkjent avtale.

6.7 Oversikt over alle databehandlere skal inntas i Behandlingsoversikten (se punkt 5.1).

6.8 Det skal sikres at databehandlere og enhver person som handler for Lesja fjellstyre eller Lesja fjellstyres databehandlere, og som har tilgang til personopplysninger, skal behandle opplysninger bare etter instruks fra Lesja fjellstyre.