Dataskyddsreglerna påverkar offentlig upphandling – det här behöver du känna till

Dataskyddsförordningen (GDPR) innebär stora förändringar för många företag, myndigheter och organisationer vid hanteringen av personuppgifter. Den som arbetar med upphandling behöver ha en god inblick i myndighetens personuppgiftsbehandling och kunskap om hur förordningen kan påverka upphandlingsprocessen. Bland annat måste förhållandet mellan den upphandlande myndigheten och leverantören vara klarlagt redan i förfrågningsunderlaget i upphandlingen, och befintliga personuppgiftsbiträdesavtal kan behöva ses över så att de uppfyller förordningens krav.

 

De praktiska konsekvenser som GDPR får i upphandlingar måste kartläggas i varje enskilt fall. Konsekvenserna beror bland annat på föremålet för upphandlingen och vilka personuppgifter som kommer att behandlas inom ramen för uppdraget. Upphandlingar av till exempel molntjänster som ska användas vid översättning av myndighetsdokument eller domar, som innehåller stora mängder känsliga personuppgifter, ställer högre krav på noggrannhet och förberedelser än upphandlingar av ett system som endast kommer att innehålla kontaktuppgifter till personer.

Många upphandlingar innebär att leverantören ska behandla personuppgifter för den upphandlande myndighetens räkning. Det betyder att leverantören får ställning som personuppgiftsbiträde. Leverantören måste då ha klart för sig att det innebär självständiga skyldigheter som kan aktualisera sanktioner. Upphandlande myndighet har som personuppgiftsansvarig en skyldighet att endast anlita leverantörer som kan lämna tillräckliga garantier för att de genomför tekniska och organisatoriska åtgärder, så att den personuppgiftsbehandling som kommer att utföras uppfyller kraven enligt förordningen och de registrerades rättigheter skyddas. Det innebär att myndigheten måste ställa krav på leverantörerna i detta avseende. Förhållandet mellan myndigheten och leverantören måste vara klarlagt redan i förfrågningsunderlaget i upphandlingen.

Den upphandlande myndigheten måste bifoga villkoren för personuppgifts­behandlingen till förfrågningsunderlaget. Detta eftersom dessa villkor är en väsentlig förutsättning för upphandling och för de anbud som ska lämnas. Bilagan kan utgöra ett utkast till ett personuppgiftsbiträdesavtal mellan myndigheten och personuppgifts­biträdet.

Befintliga personuppgiftsbiträdesavtal kan behöva ses över för att rätta till dem så att de uppfyller kraven i dataskyddsförordningen. Behovet av att anpassa befintliga avtal till kraven kan dock utlösa en konflikt i förhållande till bestämmelserna i lagen om offentlig upphandling (LOU). Ett förändringsbehov, i den mån ett sådant finns, orsakar en särskild problematik i upphandlingsrättsligt hänseende, eftersom upphandlande myndigheter har begränsade möjligheter att göra ändringar i befintliga kontrakt. Vilka möjligheter som finns att ändra ett personuppgiftsbiträdesavtal, utan att det sker i strid med LOU, måste analyseras noga i varje enskilt fall.

Vill du se fler analyser på upphandlingsområdet? 

Läs då mer om informationstjänsten JP Upphandlingsnet

Publicerad 24 maj 2018

Anmäl dig till vårt nyhetsbrev inom konkurrensrätt och upphandlingsrätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP Upphandlingsnet

    Tjänsten med all relevant information gällande upphandling samlat på ett och samma ställe.
  • JP RättsfallsnetUpphandling

    Rättsfallstjänsten innehåller alla domar som har avgjorts med stöd av upphandlingslagstiftning från samtliga instanser.
  • Rådgivning inom upphandling

    Vi hjälper dig i upphandlingsprocessens samtliga moment. Upprättar rättsutredningar, granskar anbud och mycket mer. Kontakta våra jurister redan idag!

Nyheter

Domstolsverket ingick ett samarbete med ett fastighetsbolag om att bygga en ny domstolsbyggnad som myndigheten sedan skulle hyra. Konkurrensverket anser att detta var en otillåten direktupphandling, samarbetet skulle ha annonserats enligt upphandlingsreglerna.

18 jan 2022

Vid upphandling av ramavtal måste den största kvantitet eller det högsta värde som ramavtalet ska omfatta anges. Leverantörerna har i de aktuella fallen dock inte visat att avsaknad av uppgift om detta har medfört att de har lidit eller riskerar att lida skada.

18 jan 2022

Konkurrensverket yrkar att kommunen, som ingick ett avtal om drift av ett serveringskök utan att först annonsera enligt upphandlingsreglerna, ska betala upphandlingsskadeavgift för en otillåten direktupphandling.

13 jan 2022