Till senaste kommentaren

Vad ska man tänka på avseende GDPR vid upphandling?

Fråga från publiken vid Upphandlingsmyndighetens konferens 2017.

Kommentarer

  • Hur efterlever vi dataskyddsförordningen?
    Nedan följer några exempel på åtgärder för att efterleva dataskyddsförordningen.
    • Utbilda medarbetare i innebörden av dataskyddsförordningen.
    • Kartlägg vilka personuppgifter som behandlas inom organisationen.
    • Utse ett dataskyddsombud.
    • Vidta tekniska och organisatoriska åtgärder i form av att till exempel ta fram en strategi för dataskydd.
    • Inför ledningssystem för dataskydd.
    • Inför register för behandling av personuppgifter.
    • Utför konsekvensbedömningar avseende dataskydd för att identifiera eventuella risker i datahanteringen.
    • Utvärdera och revidera arbetet med efterlevnaden av dataskyddsförordningen löpande.
    Notera att det ännu inte finns några godkända uppförandekoder eller någon certifiering på området.

    Vad får dataskyddsförordningen för praktiska konsekvenser för våra upphandlingar? Vad behövs anges? Ska biträdesavtal bifogas? 

    Vilka konsekvenser dataskyddsförordningen får för en upphandling måste bedömas i varje enskilt fall. Det beror bland annat på vad som ska upphandlas och vilken typ av personuppgifter som kommer att behandlas inom ramen för uppdraget. Det är därför viktigt att kartlägga detta inför en upphandling.

    Det kommer också att vara viktigt att den upphandlande myndighetens och leverantörens förhållande till varandra är klarlagt. Att få klart för sig om ens organisation är att anse som en självständig personuppgiftsansvarig, ett personuppgiftsbiträde eller gemensamt personuppgiftsansvariga har betydelse för vilka skyldigheter man har. Om detta är otydligt i upphandlingsdokumenten bör man som leverantör be om att få detta tydliggjort under tiden för frågor och svar den aktuella upphandlingen.

    För den upphandlande myndigheten kommer det vara viktigt att villkor för personuppgiftsbehandling bifogas upphandlingsdokumenten, helst i form av ett utkast till personuppgiftsbiträdesavtal.

    Då en personuppgiftsansvarig anlitar ett personuppgiftsbiträde måste ett skriftligt avtal upprättas. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. Dessa regler har nu blivit striktare. Därför behöver alla avtal gås igenom.

    Det finns nu även tydligare regler om att personuppgiftsbiträden som anlitar underbiträden också behöver teckna sådana avtal. Personuppgiftsbiträdena behöver även en skriftlig tillåtelse från den personuppgiftsansvarige att ett underbiträde får anlitas. Enligt dataskyddsförordningen är det den personuppgiftsansvarige som måste säkerställa att personuppgiftsbiträdet har tecknat underbiträdesavtal.

    Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att följa dataskyddsförordningen. Även personuppgiftsbiträden har självständiga skyldigheter och kan drabbas av sanktioner. Att man som personuppgiftsbiträde uppmanas av den personuppgiftsansvarige att strida mot förordningen utgör inte något skäl för att inte följa förordningens bestämmelser.

    Uppdaterad: den 19 december 2019
    Upphandlingsmyndigheten

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post visas aldrig publikt.