Logga in

Glömt ditt lösenord?

Biträdesavtal vid offentlig upphandling

upphandling-Bitradesavtal-vid-offentlig-upphandling.jpg

I den här analysen beskrivs några problem som kan uppkomma vid offentliga upphandlingar av IT-lösningar/system som medför personuppgiftsbehandling och analysen ger en checklista att använda vid offentliga upphandlingar för att inte frågan om personuppgiftsbehandling och eventuella personuppgiftsbiträdesavtal ska glömmas bort. Analysen är skriven av Anders Vedin som är jurist och arbetar som rådgivare och dataskyddsombud i vår dataskyddsgrupp. 

Inledning

I rollen som dataskyddsombud granskar vi i vår dataskyddsgrupp ofta personuppgiftsbiträdesavtal (PuB-avtal) som ska ingås mellan våra kunder som personuppgiftsansvarig (PuA) och leverantörer av olika typer av IT-lösningar/IT-system som personuppgiftsbiträden (PuB). PuB-avtal ska ingås enligt artikel 28 artikel 28 i dataskyddsförordningen när personuppgifter ska behandlas på PuA:s vägnar av en utomstående organisation.

Ibland så blir vi som dataskyddsombud involverade sent i processen och vår kund som en kommun, en region, en statlig myndighet eller ett kommunalt bolag (upphandlande myndighet), ber oss att granska ett PuB-avtal när kontrakt är tilldelat i en upphandling eller när huvudavtalet redan är tecknat. I vissa fall har det inte varit med något PuB-avtal som en del av upphandlingsdokumenten och det PuB-avtal som vi ombeds att granska är leverantörens eget. Ofta har PuB-avtalet då en mindre lämplig fördelning av ansvar och risker mellan PuA och PuB än vad vi normalt sett rekommenderar. Det kan även uppstå situationer där parterna inte är överens om att ett PuB-avtal behövs eller att det vid förhandlingar om PuB-avtalets innehåll framkommer att det är tveksamt om leverantörens offererade lösning är förenlig med dataskyddsförordningen. Till exempel kan det finnas tveksamheter i IT-lösningen/systemet genom att behandling av personuppgifter till viss del kan komma att ske i tredje land, direkt eller via underbiträden. De olika situationerna leder till att det finns frågor som i vissa fall behöver utredas innan ett PuB-avtal kan undertecknas.

Det kan ibland uppstå knepiga situationer där upphandlingen är genomförd och en vinnande anbudsgivare har tilldelats kontraktet men upphandlande myndighet kan inte teckna avtalet eller PuB-avtalet utan att riskera att bryta mot dataskyddsförordningen. Samtidigt har leverantören, till exempel på grund av avsaknad av PuB-avtal i upphandlingsdokumenten, baserat sin leverans och sitt pris på de förutsättningar som finns i leverantörens eget PuB-avtal och leverantören vill därför inte gå med på några andra villkor. Det kan även vara så att leverantören ser sig som PuA för de behandlingar av personuppgifter som görs i systemet och av den anledningen inte är beredd att teckna PuB-avtal. Parterna kan även vara oense om vilka skyddsåtgärder som är tillräckliga vid behandling av personuppgifter i tredje land. 

Man kan ha många olika åsikter om hur denna typ av uppkomna situationer bäst ska lösas. Men som upphandlande myndighet behöver man också vara medveten om att om PuB-avtalet inte har varit med i upphandlingsdokumenten vid en offentlig upphandling så kan upphandlingen strida mot öppenhetsprincipen i upphandlingslagarna. Detta eftersom Pub-avtalet oftast innehåller klausuler om ansvar, ansvarsbegränsning, skadestånd, hävning och rangordning av avtalsdokumenten med specifika krav utifrån dataskyddsförordningen. Dessa klausuler behöver överensstämma med eller i vart fall inte strida mot motsvarande klausuler i övriga upphandlingsdokument. Min rekommendation är att försöka säkerställa att de ovan nämnda problemen aldrig uppkommer och det finns några enkla råd som kan vara bra att följa.

Analysera personuppgiftsbehandlingen

Det första steget ur ett personuppgiftsbehandlingsperspektiv vid en upphandling av IT-lösning/system är att analysera om personuppgifter kommer att behandlas och vilken form av personuppgiftsansvar som är aktuellt. Denna analys behöver göras under förberedelserna inför upphandlingen av en ny IT-lösning/system. I de fall som en konsekvensbedömning ska göras enligt artikel 35 i dataskyddsförordningen så sker analysen naturligt inom ramen för konsekvensbedömningen. Resultatet av analysen kommer att påverka upphandlingsdokumentens utformning. Vid en upphandling av IT-lösningar/system så är ofta upphandlande myndighet PuA och leverantören PuB. Men det kan även handla om en överföring av personuppgifter mellan två självständiga PuA, där upphandlande myndighet är självständig PuA för de behandlingar de gör med personuppgifterna och leverantören är självständig PuA för de behandlingar som de gör när de har mottagit personuppgifterna. Slutligen så kan parterna vara gemensamt PuA för alla eller vissa behandlingar men det torde tillhöra undantagen vid offentlig upphandling. I den fortsatta texten behandlas endast situationen när leverantören är PuB. 

Personuppgiftsbiträdesavtal

Om leverantören kommer att vara osjälvständig i sin behandling av personuppgifter så kommer leverantören att vara PuB enligt dataskyddsförordningen. När det föreligger en personuppgiftsbiträdessituation så ska ett PuB-avtal tecknas enligt artikel 28 i dataskyddsförordningen. Enligt artikel 28 får en PuA endast anlita ett PuB som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att kraven i dataskyddsförordningen uppfylls och de registrerades rättigheter skyddas. I artikel 28 ställs upp ett antal formella krav på avtalets innehåll och vad som ska regleras. 

Enligt artikel 28.3 ska avtalet innehålla följande information om behandlingen:

  • föremålet för behandlingen och behandlingens varaktighet
  • behandlingens art och ändamål
  • typer av personuppgifter och kategorier av registrerade
  • den personuppgiftsansvarigas rättigheter och skyldigheter.

PuA har här ett långtgående ansvar för att tydligt klargöra vilka personuppgiftsbehandlingar det är man vill lägga över på ett PuB.

I punkterna a) till g) i artikel 28.3 anges sedan minimikrav för vad personuppgiftsbiträdesavtal ska innehålla:

  • att behandling endast får ske enligt dokumenterade instruktioner från den personuppgiftsansvariga
  • försäkran om konfidentialitet eller lagstadgad tystnadsplikt
  • lämpliga säkerhetsåtgärder
  • villkor för anlitande av underbiträden
  • skyldighet att vidta åtgärder för att uppfylla de registrerades rättigheter
  • bistå den personuppgiftsansvariga i fråga om dennes skyldigheter enligt artikel 32–36
  • hur personuppgifter ska hanteras när avtalet upphör
  • skyldighet att gå med på och bistå vid granskning och inspektioner.

Mallar för PuB-avtal kan finnas inom en organisation som är särskilt framtagna för den egna organisationen men det finns också mer allmänt spridda mallar. Till exempel är kommuner, regioner och kommunala bolag nästan alltid betjänta av att använda den av Sveriges kommuner och Regioner (SKR) framtagna mallen för PuB-avtal vilken har en rimlig fördelning av ansvar och risker mellan parterna. Oavsett vilket PuB-avtals mall som man utgår ifrån eller om man tar fram ett helt eget PuB-avtal, är det viktigt att parternas åtaganden och ansvar är tydlig reglerade och att avtalet uppfyller de formella kraven i artikel 28. I PuB-avtalet eller som en bilaga till PuB-avtalet ska PuA ge instruktioner till PuB för personuppgiftsbehandlingen. 

Bilagan med instruktioner är mycket viktig för PuA. Det är där PuA berättar för PuB vilka personuppgifter som PuB får behandla och på vilket sätt. Om PuB bryter mot givna instruktioner så blir PuB, utöver ansvarig för ett avtalsbrott, även personuppgiftsansvarig enligt dataskyddsförordningen för den otillåtna behandlingen. Har inga instruktioner för personuppgiftsbehandlingen givits genom PuB-avtalet kan ansvaret även för felaktiga behandlingar hamna hos den som är PuA enligt PuB-avtalet, vilket innebär att det hamnar hos upphandlande myndighet.

Det är även viktigt att det framgår av PuB-avtalet, även om det i sig följer av artikel 28. 2, att personuppgiftsbiträdet endast får anlita egna personuppgiftsbiträden (underbiträden) efter ett skriftligt, särskilt eller allmänt, godkännande av PuA samt att PuB säkerställer att underbiträdenas behandling är förenligt med dataskyddsförordningen. Det finns flera olika sätt att hantera det praktiska förfaringssättet kring godkännandet men oavsett vilket sätt man väljer så är det viktigt att det är reglerat i PuB-avtalet hur det ska gå till. 

Avslutande råd

Sammanfattningsvis kan upphandlande myndigheter vid offentliga upphandlingar av IT-lösningar/system där personuppgiftsbehandling sker och där leverantören blir PuB följa nedanstående punkter, för att säkerställa att förutsättningarna för personuppgiftsbehandlingen inte glöms bort:

  • Analysera personuppgiftsbehandlingen, blir leverantören PuB, självständig PuA eller föreligger det ett gemensamt ansvar för personuppgiftsbehandlingen.
  • Skriv uttryckligen i upphandlingsdokumenten att det är ett obligatoriskt krav att den offererade lösningen/systemet ska vara förenlig med dataskyddsförordningen.
  • Gör det obligatoriskt för anbudsgivare att lämna in en redogörelse tillsammans med anbudet som visar att den offererade lösningen/systemet är förenlig med dataskyddsförordningen.
  • Ta med ett förbehåll i upphandlingsdokumenten om att ni under kvalificering och utvärderingen kan komma att begära in kompletterande teknisk och juridisk information från anbudsgivarna för att säkerställa att IT-lösningen/systemet uppfyller dataskyddsförordningen.

När leverantören blir personuppgiftsbiträde

  • Gör det obligatoriskt att PuB-avtal ska tecknas av vinnande leverantör i enlighet med en lämplig mall för PuB-avtal och bilägg detta avtal med bilagor som en del av upphandlingsdokumenten.
  • Gör det obligatoriskt att anbudsgivare ska lämna in en ifylld bilaga för instruktioner till PuB-avtalet redan i anbudet. Det är förvisso PuA som ska ge PuB instruktioner om personuppgiftsbehandlingen, men det är vid inlämningen av anbuden endast anbudsgivaren som kan börja fylla i bilagan. Bilagan kan i ett senare läge behöva kompletteras med andra krav/instruktioner från förfrågningsunderlaget och det är slutligen PuA som ska godkänna innehållet i bilagan.
  • Gör det obligatoriskt för anbudsgivare att lämna in uppgifter om vilka underbiträden som de avser att anlita och uppgift om i vilket land som underbiträdenas personuppgiftsbehandling sker redan i anbudet.
  • När anbuden har kommit in granskas den offererade lösningens förenlighet med dataskyddsförordningen på samma sätt som uppfyllandet av alla andra obligatoriska krav.

De ovan angivna punkterna fungerar som en enkel checklista för att säkerställa att frågan om IT-lösningarna/systemen överensstämmelser med dataskyddsförordningen samt att frågan om PuB-avtal och instruktioner till PuB inte glöms bort i upphandlingsprocessen. Det är viktigt att analysera eventuell personuppgiftsbehandling och ta med PuB-avtalet tidigt i förberedelserna inför upphandlingen, eftersom upphandlingen annars kan strida mot upphandlingslagstiftningen.

Av Anders Vedin, jurist och rådgivare på JP Infonet.
Ursprungligen publicerad i JP ITnet och JP Upphandlingsnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

rådgivning-dataskydd-puff-hemsida.jpg

Publicerad 28 mar 2023

Anders Vedin

Rådgivare, jurist

Anmäl dig till vårt nyhetsbrev inom konkurrensrätt och upphandlingsrätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Avtalsrätt inom offentlig upphandling

Avtalsrätt inom offentlig upphandling

Avtalsuppföljning vid offentlig upphandling

Avtalsuppföljning vid offentlig upphandling

Rättspraxis inom offentlig upphandling – kort kurs

Rättspraxis inom offentlig upphandling – kort kurs

Se alla kurser inom upphandling

Tjänster

Se alla tjänster inom upphandling

Nyheter

Nytt argument i kammarrätten var föremål för preklusion

Upphandling

Enligt domstolen har en region åberopat den nya omständigheten på ett sätt som inte är tillåtet enligt bestämmelsen om preklusion i 20 kap. 5 c § LOU.

22 mar 2024

Indexjustering av pris vid upphandling av kollektivtrafik

Upphandling

EU-domstolen har avgjort ett mål om möjligheten för en upphandlande myndighet att avstå från att regelbundet indexreglera avtalspriset i förhållande till kostnadsökningarna. Eva Lindahl Toftegaard analyserar domen. 

22 mar 2024

Varför är reglerna om onormalt låga anbud så svåra att tillämpa?

Upphandling

Anna Ulfsdotter och Elin Nilsson på Advokatfirman Ulfsdotter går i denna analys igenom reglerna om onormalt låga anbud och analyserar de senaste avgörandena på området.

28 feb 2024

Se alla nyheter inom upphandling

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Genom att välja "acceptera" samtycker du till att cookies används. Läs mer

  • Inloggning och sessionshantering

    Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.

    Cookie-namn:
    • .JpLogin
    • ASP.NET_SessionId
    Godkännande av kakor

    Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.

    Cookie-namn:
    • jp-cookies
    Federerad inloggning

    Denna kaka sätts för användare som använder federerad inloggning.

    Cookie-namn:
    • FedAuth
    Kursutvärderingar

    Denna kaka sätts för användare som skickat in kursutvärderingar.

    Cookie-namn:
    • CourseEvaluations
  • Filnedladdning

    Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.

    Cookie-namn:
    • JP_Download
    Webbkursexaminationer

    Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.

    Cookie-namn:
    • ExamStudentId
    Solidtango

    Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.

    Cookie-namn:
    • JSESSIONID
    • _fanplay_session
    Twitter

    Sparar språkval för Twitter-flödet.

    Cookie-namn:
    • lang
    Google Analytics

    Denna kaka används för att särskilja användare.

    Cookie-namn:
    • _gali
    Form Apsis One

    Denna kaka används för inbäddade formulär.

    Cookie-namn:
    • form.apsis.one
  • Google Analytics

    Kakor som används för besöksmätning.

    Cookie-namn:
    • _ga
    • _gid
    • _gat
    Hot Jar

    Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.

    Cookie-namn:
    • _hjIncludedInSample
    • _hjid
    Upplysningscentralen (UC)

    Används för risksigillet i sidfoten på publik sajt.

    Cookie-namn:
    • www.uc.se
    Apsis One

    Används för att analysera användarbeteende och skräddarsy marknadsföring.

    Cookie-namn:
    • Apsis One
  • Google Advertising

    Kakor för Google Advertising

    Cookie-namn:
    • test_cookie
    • IDE
    ProspectEye (Apsis Lead)

    Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.

    Cookie-namn:
    • 3135848f46