Personuppgiftsansvarig är den som bestämmer ändamål och medel för personuppgiftsbehandlingen medan personuppgiftsbiträdet är den som behandlar personuppgifter för personuppgiftsansvariges räkning.
Något som är nytt sedan Dataskyddsförordningen, GDPR, trädde ikraft är att flera av de skyldigheter som gäller för den ansvarige även gäller biträdet, till exempel skyldigheten att föra register.
Det är inte ovanligt att upphandlande myndighet låter en leverantör behandla personuppgifter för myndighetens räkning. I en sådan situation är det viktigt att myndigheten säkerställer att behandlingen av personuppgifterna görs i enlighet med GDPR.
En upphandlande myndighet som agerar som personuppgiftsansvarig är ansvarig för att säkerställa att biträdet har vidtagit lämpliga säkerhetsåtgärder för att skydda personuppgifterna.
Redan innan en upphandling genomförs är det viktigt att myndigheten fastställer vilken typ av personuppgiftsbehandling som kommer att omfattas av upphandlingen såsom vilka personuppgifter som berörs, eventuella känsliga personuppgifter, omfattningen av behandling etcetera.
Det är viktigt att komma ihåg att detta arbete inte bör utföras av en ensam individ hos den upphandlande myndigheten utan i stället av en grupp som kan bidra med relevanta och kloka tankar och information angående personuppgiftsbehandlingen och upphandlingen.
Därefter är det möjligt att fastställa vilka krav som måste uppställas i upphandlingen.
När en upphandlande myndighet önskar att ett biträde ska behandla personuppgifter för dess räkning ska ett personuppgiftsbiträdesavtal ingås mellan parterna. I detta biträdesavtal regleras roller, ansvar och villkor.
Det kan påminnas om att ett biträde endast får behandla personuppgifter i enlighet med dokumenterade instruktioner från den ansvarige.
Utkast till biträdesavtale ska finnas med som ett av upphandlingsdokumenten och leverantören behöver sedan godkänna biträdesavtalet.
Det kan nämnas att samtidigt som det kan finnas ett intresse av ett strikt biträdesavtal för att säkerställa att GDPR efterlevs kan ett alltför strikt biträdesavtal leda till att leverantörer avstår från att lämna anbud.
Därmed kan det i vissa situationer vara bra att den upphandlande myndigheten gör noggranna avvägningar för att säkerställa att biträdesavtal är i enlighet med GDPR, men inte går alltför långt utöver vad som är nödvändigt för att inte riskera att anbudsgivare avstår från att lämna anbud.
Alltför långtgående krav i personuppgiftsbiträdesavtalet skulle också kunna stå i strid med principen om proportionalitet.
När upphandlingen väl är genomförd och leverantören behandlar personuppgifter för den upphandlande myndighetens räkning är det viktigt att följa upp avtalet för att säkerställa att leverantören agerar i enlighet med biträdesavtalet, till exempel i fråga om säkerhetskrav och krav på grund av eventuell överföring av personuppgifter till tredje land.
Avtalsuppföljning är viktigt i flera avseenden, men det bör finnas ett särskilt intresse för upphandlande myndighet att säkerställa att biträdesavtalet följs för vetskapen att personuppgifter hanteras i enlighet med GDPR, vilket i förlängningen kan minimera risken för oönskade personuppgiftsincidenter eller överträdelser av GDPR.
Att inte följa upp avtalskrav eller till och med efterge krav (såsom exempelvis krav på vite) kan också ses som en otillåten direktupphandling om avtalet därmed ändras väsentligt. Det är därför viktigt för den upphandlande myndigheten att noga överväga hur personuppgiftsbiträdesavtalet bör utformas.
Tänk på att det utöver GDPR kan finnas annan lagstiftning som en upphandlande myndighet måste ta hänsyn till, till exempel kan en säkerhetsanalys enligt Säkerhetsskyddslagen eller en särskild sekretessprövning enligt Offentlighets- och sekretesslagen behöva göras.
Kommentatorerna ansvarar för sina egna kommentarer