Dataskyddsreglerna påverkar offentlig upphandling – det här behöver du känna till
Dataskyddsförordningen (GDPR) innebär stora förändringar för många företag, myndigheter och organisationer vid hanteringen av personuppgifter. Den som arbetar med upphandling behöver ha en god inblick i myndighetens personuppgiftsbehandling och kunskap om hur förordningen kan påverka upphandlingsprocessen. Bland annat måste förhållandet mellan den upphandlande myndigheten och leverantören vara klarlagt redan i förfrågningsunderlaget i upphandlingen, och befintliga personuppgiftsbiträdesavtal kan behöva ses över så att de uppfyller förordningens krav.
De praktiska konsekvenser som GDPR får i upphandlingar måste kartläggas i varje enskilt fall. Konsekvenserna beror bland annat på föremålet för upphandlingen och vilka personuppgifter som kommer att behandlas inom ramen för uppdraget. Upphandlingar av till exempel molntjänster som ska användas vid översättning av myndighetsdokument eller domar, som innehåller stora mängder känsliga personuppgifter, ställer högre krav på noggrannhet och förberedelser än upphandlingar av ett system som endast kommer att innehålla kontaktuppgifter till personer.
Många upphandlingar innebär att leverantören ska behandla personuppgifter för den upphandlande myndighetens räkning. Det betyder att leverantören får ställning som personuppgiftsbiträde. Leverantören måste då ha klart för sig att det innebär självständiga skyldigheter som kan aktualisera sanktioner. Upphandlande myndighet har som personuppgiftsansvarig en skyldighet att endast anlita leverantörer som kan lämna tillräckliga garantier för att de genomför tekniska och organisatoriska åtgärder, så att den personuppgiftsbehandling som kommer att utföras uppfyller kraven enligt förordningen och de registrerades rättigheter skyddas. Det innebär att myndigheten måste ställa krav på leverantörerna i detta avseende. Förhållandet mellan myndigheten och leverantören måste vara klarlagt redan i förfrågningsunderlaget i upphandlingen.
Den upphandlande myndigheten måste bifoga villkoren för personuppgiftsbehandlingen till förfrågningsunderlaget. Detta eftersom dessa villkor är en väsentlig förutsättning för upphandling och för de anbud som ska lämnas. Bilagan kan utgöra ett utkast till ett personuppgiftsbiträdesavtal mellan myndigheten och personuppgiftsbiträdet.
Befintliga personuppgiftsbiträdesavtal kan behöva ses över för att rätta till dem så att de uppfyller kraven i dataskyddsförordningen. Behovet av att anpassa befintliga avtal till kraven kan dock utlösa en konflikt i förhållande till bestämmelserna i lagen om offentlig upphandling (LOU). Ett förändringsbehov, i den mån ett sådant finns, orsakar en särskild problematik i upphandlingsrättsligt hänseende, eftersom upphandlande myndigheter har begränsade möjligheter att göra ändringar i befintliga kontrakt. Vilka möjligheter som finns att ändra ett personuppgiftsbiträdesavtal, utan att det sker i strid med LOU, måste analyseras noga i varje enskilt fall.
Vill du se fler analyser på upphandlingsområdet?
Läs då mer om informationstjänsten JP Upphandlingsnet.
Publicerad 24 maj 2018
