GDPR och upphandling

Vad ska man tänka på när en upphandling omfattar att leverantören ska behandla personuppgifter för myndighetens räkning? Redan i upphandlingen är det viktigt att personuppgiftsbehandlingen säkerställs. Särskilt om upphandlingen innebär att en leverantör kommer att behandla personuppgifter för en upphandlande myndighet eller enhets räkning.

Den 25 maj 2018 infördes Dataskyddsförordningen i Sverige (GDPR). Dataskyddsförordningen innebär delvis nya rutiner för att säkerställa skyddet för personuppgifter. Eftersom krav enligt dataskyddsförordningen måste säkerställas redan i upphandlingsdokumenten, krävs rätt kompetens i upphandlingsarbetet.  

Vilka typer av upphandlingar omfattas

Att säkerställa att dataskyddsförordningen följs är viktigt i alla upphandlingar som innebär att leverantören ska behandla personuppgifter för myndighetens eller enhetens räkning. Det kan exempelvis handla om att sköta driften av databaser eller utföra arbete som innebär en behandling av personuppgifter som myndigheten eller enheten ansvarar för. Även lagring av personuppgifter innebär personuppgiftsbehandling, varför reglerna ofta blir aktuella i upphandlingar av olika IT-system.

Varför är det viktigt att säkerställa detta redan i upphandlingen?  

En organisation som bestämmer ändamålet och medlen för behandlingen av personuppgifterna, antingen ensamt eller tillsammans med andra är personuppgiftsansvarig. En personuppgiftsansvarig som avser att anlita ett personuppgiftsbiträde, har enligt dataskyddsförordningen ett ansvar att anlita tillförlitliga biträden och att säkerställa att biträdet vidtar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Det innebär att ansvar, roller och villkor för personuppgiftsbehandlingen måste framgå redan av upphandlingsdokumenten, bland annat genom krav på anbudsgivarna, krav på produkten/tjänsten och genom särskilda kontraktsvillkor.

Vad är viktigt att tänka på när man genomför en upphandling, som innebär att ett biträde anlitas?

Dataskyddsförordningen påverkar alla faser i upphandlingsprocessen, från förstudien till uppföljningen av avtalet. Här ger vi tips om vad som är viktigt att tänka på i de olika faserna:

Inför upphandlingen - Under förstudien

Dataskyddsförordningen ställer krav på förarbetet inför en upphandling och samverkan med olika funktioner på den upphandlande myndigheten eller enheten. För att säkerställa att dataskyddsförordningen följs i det slutliga avtalet är det bra om myndighetens dataskyddsombud involveras i upphandlingen så tidigt som möjligt. Dataskyddsombudet övervakar att organisationen följer dataskyddsförordningen, och behöver därför veta när myndigheten överväger att överlåta personuppgiftsbehandling till en extern part. Ombudet ska även vägleda hur detta ska gå till. Utöver dataskyddsombudet kan det också vara viktigt att involvera andra funktioner på myndigheten beroende på upphandlingens komplexitet och omfattning, exempelvis IT-säkerhetsansvarig och avtalsjurister.

Förstudien bör omfatta en inventering av vilka personuppgifter som berörs av upphandlingen, hur känsliga dessa är och hur de ska hanteras. Om upphandlingen omfattar känsliga personuppgifter kan det bli aktuellt med en Risk- och sårbarhetsanalys, Konsekvensanalys och eventuellt samverkan med Datainspektionen.

Dataskyddsförordningen om känsliga personuppgifter

Upphandlingsdokumentationen

I upphandlingsdokumentationen säkerställs att myndigheten uppfyller dataskyddsförordningens krav om att endast anlita ”tillförlitliga biträden”. Detta innebär att myndigheten eller enheten måste säkerställa att leverantören har kompetens, organisation, rutiner och tekniska möjligheter att skydda personuppgifterna. Vilka krav som behöver ställas beror på vilka uppgifter som omfattas, hur känsliga dessa är och vilken typ av produkt eller tjänst som ska upphandlas.

Dokumentationen måste också omfatta ett utkast till personuppgiftsbiträdesavtal. Villkoren i personuppgiftsbiträdesavtalet ska godkännas av leverantören, liksom andra avtalsvillkor. I personuppgiftsbiträdesavtalet definieras bl.a. parternas olika roller och ansvar, vilka uppgifter som berörs och villkor för hur dessa uppgifter ska behandlas.

Det är viktigt att tänka på att personuppgiftsbiträdesavtalet stämmer överens med andra avtalsvillkor som bifogas, exempelvis när det gäller ansvar, ansvarsbegränsning, skadestånd, hävning och rangordning av avtalsdokumentation. Ta hjälp av en avtalsjurist om du känner dig osäker på hur detta ska hanteras.

I upphandlingsdokumentationen behöver också säkerställas att de krav som ställs avseende personuppgiftsbehandling också uppfylls av eventuella underleverantörer. Det är därför särskilt viktigt i denna typ av upphandlingar att leverantören anger alla underleverantörer som kommer att vara involverade i uppdraget och att nya underleverantörer godkänns av den upphandlande myndigheten eller enheten.

Under avtalstiden

Då ett avtal omfattar behandling av personuppgifter för myndighetens räkning är det viktigt att avtalet följs upp för att säkerställa att villkoren efterlevs. Det är därför viktigt att säkerställa att ansvaret för uppföljningen är tydliggjord i organisationen innan avtalet träder ikraft.

För äldre avtal som tecknats innan dataskyddsförordningen trädde ikraft, kan det bli aktuellt att se över villkoren för personuppgiftsbehandling och personuppgiftsbiträdesavtalet. Innan detta görs är det bra att vara medveten om vilka villkor och möjligheter som LOU ger avseende ändringar i avtal.

Mer om ändring av avtal

Senast uppdaterad:

Relaterad information