Biträdesavtal vid offentlig upphandling
I den här analysen beskrivs några problem som kan uppkomma vid offentliga upphandlingar av IT-lösningar/system som medför personuppgiftsbehandling och analysen ger en checklista att använda vid offentliga upphandlingar för att inte frågan om personuppgiftsbehandling och eventuella personuppgiftsbiträdesavtal ska glömmas bort. Analysen är skriven av Anders Vedin som är jurist och arbetar som rådgivare och dataskyddsombud i vår dataskyddsgrupp.
Inledning
I rollen som dataskyddsombud granskar vi i vår dataskyddsgrupp ofta personuppgiftsbiträdesavtal (PuB-avtal) som ska ingås mellan våra kunder som personuppgiftsansvarig (PuA) och leverantörer av olika typer av IT-lösningar/IT-system som personuppgiftsbiträden (PuB). PuB-avtal ska ingås enligt artikel 28 artikel 28 i dataskyddsförordningen när personuppgifter ska behandlas på PuA:s vägnar av en utomstående organisation.
Ibland så blir vi som dataskyddsombud involverade sent i processen och vår kund som en kommun, en region, en statlig myndighet eller ett kommunalt bolag (upphandlande myndighet), ber oss att granska ett PuB-avtal när kontrakt är tilldelat i en upphandling eller när huvudavtalet redan är tecknat. I vissa fall har det inte varit med något PuB-avtal som en del av upphandlingsdokumenten och det PuB-avtal som vi ombeds att granska är leverantörens eget. Ofta har PuB-avtalet då en mindre lämplig fördelning av ansvar och risker mellan PuA och PuB än vad vi normalt sett rekommenderar. Det kan även uppstå situationer där parterna inte är överens om att ett PuB-avtal behövs eller att det vid förhandlingar om PuB-avtalets innehåll framkommer att det är tveksamt om leverantörens offererade lösning är förenlig med dataskyddsförordningen. Till exempel kan det finnas tveksamheter i IT-lösningen/systemet genom att behandling av personuppgifter till viss del kan komma att ske i tredje land, direkt eller via underbiträden. De olika situationerna leder till att det finns frågor som i vissa fall behöver utredas innan ett PuB-avtal kan undertecknas.
Det kan ibland uppstå knepiga situationer där upphandlingen är genomförd och en vinnande anbudsgivare har tilldelats kontraktet men upphandlande myndighet kan inte teckna avtalet eller PuB-avtalet utan att riskera att bryta mot dataskyddsförordningen. Samtidigt har leverantören, till exempel på grund av avsaknad av PuB-avtal i upphandlingsdokumenten, baserat sin leverans och sitt pris på de förutsättningar som finns i leverantörens eget PuB-avtal och leverantören vill därför inte gå med på några andra villkor. Det kan även vara så att leverantören ser sig som PuA för de behandlingar av personuppgifter som görs i systemet och av den anledningen inte är beredd att teckna PuB-avtal. Parterna kan även vara oense om vilka skyddsåtgärder som är tillräckliga vid behandling av personuppgifter i tredje land.
Man kan ha många olika åsikter om hur denna typ av uppkomna situationer bäst ska lösas. Men som upphandlande myndighet behöver man också vara medveten om att om PuB-avtalet inte har varit med i upphandlingsdokumenten vid en offentlig upphandling så kan upphandlingen strida mot öppenhetsprincipen i upphandlingslagarna. Detta eftersom Pub-avtalet oftast innehåller klausuler om ansvar, ansvarsbegränsning, skadestånd, hävning och rangordning av avtalsdokumenten med specifika krav utifrån dataskyddsförordningen. Dessa klausuler behöver överensstämma med eller i vart fall inte strida mot motsvarande klausuler i övriga upphandlingsdokument. Min rekommendation är att försöka säkerställa att de ovan nämnda problemen aldrig uppkommer och det finns några enkla råd som kan vara bra att följa.
Analysera personuppgiftsbehandlingen
Det första steget ur ett personuppgiftsbehandlingsperspektiv vid en upphandling av IT-lösning/system är att analysera om personuppgifter kommer att behandlas och vilken form av personuppgiftsansvar som är aktuellt. Denna analys behöver göras under förberedelserna inför upphandlingen av en ny IT-lösning/system. I de fall som en konsekvensbedömning ska göras enligt artikel 35 i dataskyddsförordningen så sker analysen naturligt inom ramen för konsekvensbedömningen. Resultatet av analysen kommer att påverka upphandlingsdokumentens utformning. Vid en upphandling av IT-lösningar/system så är ofta upphandlande myndighet PuA och leverantören PuB. Men det kan även handla om en överföring av personuppgifter mellan två självständiga PuA, där upphandlande myndighet är självständig PuA för de behandlingar de gör med personuppgifterna och leverantören är självständig PuA för de behandlingar som de gör när de har mottagit personuppgifterna. Slutligen så kan parterna vara gemensamt PuA för alla eller vissa behandlingar men det torde tillhöra undantagen vid offentlig upphandling. I den fortsatta texten behandlas endast situationen när leverantören är PuB.
Personuppgiftsbiträdesavtal
Om leverantören kommer att vara osjälvständig i sin behandling av personuppgifter så kommer leverantören att vara PuB enligt dataskyddsförordningen. När det föreligger en personuppgiftsbiträdessituation så ska ett PuB-avtal tecknas enligt artikel 28 i dataskyddsförordningen. Enligt artikel 28 får en PuA endast anlita ett PuB som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att kraven i dataskyddsförordningen uppfylls och de registrerades rättigheter skyddas. I artikel 28 ställs upp ett antal formella krav på avtalets innehåll och vad som ska regleras.
Enligt artikel 28.3 ska avtalet innehålla följande information om behandlingen:
- föremålet för behandlingen och behandlingens varaktighet
- behandlingens art och ändamål
- typer av personuppgifter och kategorier av registrerade
- den personuppgiftsansvarigas rättigheter och skyldigheter.
PuA har här ett långtgående ansvar för att tydligt klargöra vilka personuppgiftsbehandlingar det är man vill lägga över på ett PuB.
I punkterna a) till g) i artikel 28.3 anges sedan minimikrav för vad personuppgiftsbiträdesavtal ska innehålla:
- att behandling endast får ske enligt dokumenterade instruktioner från den personuppgiftsansvariga
- försäkran om konfidentialitet eller lagstadgad tystnadsplikt
- lämpliga säkerhetsåtgärder
- villkor för anlitande av underbiträden
- skyldighet att vidta åtgärder för att uppfylla de registrerades rättigheter
- bistå den personuppgiftsansvariga i fråga om dennes skyldigheter enligt artikel 32–36
- hur personuppgifter ska hanteras när avtalet upphör
- skyldighet att gå med på och bistå vid granskning och inspektioner.
Mallar för PuB-avtal kan finnas inom en organisation som är särskilt framtagna för den egna organisationen men det finns också mer allmänt spridda mallar. Till exempel är kommuner, regioner och kommunala bolag nästan alltid betjänta av att använda den av Sveriges kommuner och Regioner (SKR) framtagna mallen för PuB-avtal vilken har en rimlig fördelning av ansvar och risker mellan parterna. Oavsett vilket PuB-avtals mall som man utgår ifrån eller om man tar fram ett helt eget PuB-avtal, är det viktigt att parternas åtaganden och ansvar är tydlig reglerade och att avtalet uppfyller de formella kraven i artikel 28. I PuB-avtalet eller som en bilaga till PuB-avtalet ska PuA ge instruktioner till PuB för personuppgiftsbehandlingen.
Bilagan med instruktioner är mycket viktig för PuA. Det är där PuA berättar för PuB vilka personuppgifter som PuB får behandla och på vilket sätt. Om PuB bryter mot givna instruktioner så blir PuB, utöver ansvarig för ett avtalsbrott, även personuppgiftsansvarig enligt dataskyddsförordningen för den otillåtna behandlingen. Har inga instruktioner för personuppgiftsbehandlingen givits genom PuB-avtalet kan ansvaret även för felaktiga behandlingar hamna hos den som är PuA enligt PuB-avtalet, vilket innebär att det hamnar hos upphandlande myndighet.
Det är även viktigt att det framgår av PuB-avtalet, även om det i sig följer av artikel 28. 2, att personuppgiftsbiträdet endast får anlita egna personuppgiftsbiträden (underbiträden) efter ett skriftligt, särskilt eller allmänt, godkännande av PuA samt att PuB säkerställer att underbiträdenas behandling är förenligt med dataskyddsförordningen. Det finns flera olika sätt att hantera det praktiska förfaringssättet kring godkännandet men oavsett vilket sätt man väljer så är det viktigt att det är reglerat i PuB-avtalet hur det ska gå till.
Avslutande råd
Sammanfattningsvis kan upphandlande myndigheter vid offentliga upphandlingar av IT-lösningar/system där personuppgiftsbehandling sker och där leverantören blir PuB följa nedanstående punkter, för att säkerställa att förutsättningarna för personuppgiftsbehandlingen inte glöms bort:
- Analysera personuppgiftsbehandlingen, blir leverantören PuB, självständig PuA eller föreligger det ett gemensamt ansvar för personuppgiftsbehandlingen.
- Skriv uttryckligen i upphandlingsdokumenten att det är ett obligatoriskt krav att den offererade lösningen/systemet ska vara förenlig med dataskyddsförordningen.
- Gör det obligatoriskt för anbudsgivare att lämna in en redogörelse tillsammans med anbudet som visar att den offererade lösningen/systemet är förenlig med dataskyddsförordningen.
- Ta med ett förbehåll i upphandlingsdokumenten om att ni under kvalificering och utvärderingen kan komma att begära in kompletterande teknisk och juridisk information från anbudsgivarna för att säkerställa att IT-lösningen/systemet uppfyller dataskyddsförordningen.
När leverantören blir personuppgiftsbiträde
- Gör det obligatoriskt att PuB-avtal ska tecknas av vinnande leverantör i enlighet med en lämplig mall för PuB-avtal och bilägg detta avtal med bilagor som en del av upphandlingsdokumenten.
- Gör det obligatoriskt att anbudsgivare ska lämna in en ifylld bilaga för instruktioner till PuB-avtalet redan i anbudet. Det är förvisso PuA som ska ge PuB instruktioner om personuppgiftsbehandlingen, men det är vid inlämningen av anbuden endast anbudsgivaren som kan börja fylla i bilagan. Bilagan kan i ett senare läge behöva kompletteras med andra krav/instruktioner från förfrågningsunderlaget och det är slutligen PuA som ska godkänna innehållet i bilagan.
- Gör det obligatoriskt för anbudsgivare att lämna in uppgifter om vilka underbiträden som de avser att anlita och uppgift om i vilket land som underbiträdenas personuppgiftsbehandling sker redan i anbudet.
- När anbuden har kommit in granskas den offererade lösningens förenlighet med dataskyddsförordningen på samma sätt som uppfyllandet av alla andra obligatoriska krav.
De ovan angivna punkterna fungerar som en enkel checklista för att säkerställa att frågan om IT-lösningarna/systemen överensstämmelser med dataskyddsförordningen samt att frågan om PuB-avtal och instruktioner till PuB inte glöms bort i upphandlingsprocessen. Det är viktigt att analysera eventuell personuppgiftsbehandling och ta med PuB-avtalet tidigt i förberedelserna inför upphandlingen, eftersom upphandlingen annars kan strida mot upphandlingslagstiftningen.
Av Anders Vedin, jurist och rådgivare på JP Infonet.
Ursprungligen publicerad i JP ITnet och JP Upphandlingsnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 28 mar 2023
Rådgivare, jurist