GDPR och upphandling
Upphandlingar kan i flera fall innebära att leverantören behöver behandla personuppgifter för den upphandlande organisationens räkning. Här kan du läsa om vad som är viktigt att tänka på under upphandlingens alla faser vid upphandling som inkluderar personuppgiftsbehandling.
Innehåll på denna sida
Ska skydda personuppgifter
Dataskyddsförordningen (GDPR) gäller i hela EU och syftar till att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter. Reglerna gäller för i princip all automatiserad behandling av personuppgifter och i vissa fall även för manuell behandling. Dataskyddsförordningen ska tillämpas inom i princip all slags verksamhet och oberoende av vem som utför personuppgiftsbehandlingen.
Vilka typer av upphandlingar omfattas?
Upphandlande myndigheter och enheter (upphandlande organisationer) ska säkerställa att dataskyddsförordningen följs i alla upphandlingar som innebär att leverantören ska behandla personuppgifter för den upphandlande organisationens räkning. Det kan exempelvis handla om fall då leverantören ska sköta driften av en databas som det sker behandling av personuppgifter i. Det kan också handla om att leverantören på något annat sätt ska utföra arbete som innebär behandling av sådana personuppgifter som den upphandlande organisationen ansvarar för.
Även lagring av personuppgifter för den upphandlande organisationens räkning innebär personuppgiftsbehandling. Därför blir reglerna ofta aktuella vid upphandlingar av olika it-system.
Ansvar för personuppgifter vid upphandling
Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde.
Upphandlande organisation ofta personuppgiftsansvarig
Personuppgiftsansvarig är den som, ensamt eller tillsammans med andra, bestämmer
- för vilka ändamål som uppgifterna ska behandlas
- hur behandlingen ska gå till.
I upphandlingssituationer är det normalt den upphandlande organisationen som är personuppgiftsansvarig.
Leverantör ofta personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Vid upphandlingar är det normalt leverantören.
Personuppgiftsansvarigs skyldigheter
En personuppgiftsansvarig som avser att anlita ett personuppgiftsbiträde, har enligt dataskyddsförordningen ansvar för att anlita tillförlitliga biträden. Den ska också säkerställa att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Vid upphandling innebär det att ansvar, roller och villkor för personuppgiftsbehandlingen måste framgå redan av upphandlingsdokumenten, bland annat genom krav på anbudsgivarna, krav på varan eller tjänsten och genom särskilda kontraktsvillkor.
Att tänka på vid upphandling som innebär att ett biträde anlitas
Dataskyddsförordningen påverkar alla faser av inköpsprocessen, från att upphandlingen förbereds till uppföljningen av avtalet. Här ger vi tips om vad som är viktigt att tänka på i de olika faserna:
Vid upphandlingar som inkluderar personuppgiftsbehandlingar måste den upphandlande organisationen arbeta aktivt redan under förberedelsefasen för att säkerställa att dataskyddsförordningen efterlevs.
Ofta krävs samverkan mellan olika funktioner på den upphandlande organisationen. Bland annat kan dataskyddsombudet involveras för att vägleda och ge råd. Även andra funktioner i organisationen, som it-säkerhetsansvariga och avtalsjurister, kan vara viktiga att involvera.
Under förberedelsefasen bör en inventering göras av
- vilka personuppgifter som kommer att beröras av upphandlingen
- vilken rättslig grund som finns för behandlingen av personuppgifterna
- om personuppgifterna är känsliga
- hur personuppgifterna ska hanteras.
Vid behandling av känsliga personuppgifter kan särskilda åtgärder behöva vidtas.
I upphandlingsdokumenten ska den upphandlande organisationen säkerställa att dataskyddsförordningens krav om att endast anlita ”tillförlitliga biträden” uppfylls. Det innebär att organisationen måste säkerställa att leverantören har kompetens, organisation, rutiner och tekniska möjligheter att skydda personuppgifterna.
Vilka krav som behöver ställas beror på vilka uppgifter som omfattas, hur känsliga de är och vilken typ av produkt eller tjänst som ska upphandlas. Normalt säkerställs det genom att ett personuppgiftsbiträdesavtal (PUB-avtal) inkluderas i upphandlingsdokumenten. Villkoren i personuppgiftsbiträdesavtalet ska godkännas av leverantören, liksom andra avtalsvillkor.
I personuppgiftsbiträdesavtalet definieras bland annat
- parternas olika roller och ansvar
- vilka uppgifter som berörs
- villkor för hur dessa uppgifter ska behandlas.
Det är viktigt att tänka på att personuppgiftsbiträdesavtalet stämmer överens med andra avtalsvillkor som bifogas, exempelvis när det gäller ansvar, ansvarsbegränsning, skadestånd, hävning och rangordning av avtalsdokumentation. Ta hjälp av en avtalsjurist om du känner dig osäker på hur det ska hanteras.
Glöm inte eventuella underleverantörer
I upphandlingsdokumenten behöver det också säkerställas att de krav som ställs avseende personuppgiftsbehandling också uppfylls av eventuella underleverantörer. Det är därför särskilt viktigt i denna typ av upphandlingar att leverantören anger alla underleverantörer som kommer att vara involverade i uppdraget och att nya underleverantörer godkänns av den upphandlande organisationen. I detta sammanhang är det särskilt viktigt att notera att tredjelandsöverföringar, det vill säga behandling av personuppgifter utanför EU/EES, som utgångspunkt är otillåten. Bara i vissa undantagsfall är det tillåtet.
När ett avtal omfattar behandling av personuppgifter för en upphandlande organisations räkning är det extra viktigt att avtalet följs upp. Detta för att säkerställa att villkoren efterlevs. Därför bör den upphandlande organisationen säkerställa att ansvaret för uppföljningen är tydliggjort i organisationen innan avtalet träder ikraft.
Avtal tecknande innan GDPR trädde ikraft
För äldre avtal som tecknats innan dataskyddsförordningen trädde ikraft i maj 2018, kan det bli aktuellt att se över villkoren för personuppgiftsbehandling och personuppgiftsbiträdesavtalet. Innan detta görs är det bra att vara medveten om vilka villkor och möjligheter som upphandlingslagstiftningen ger avseende ändringar i avtal.