Vad ska man tänka på avseende GDPR vid upphandling?
Fråga från publiken vid Upphandlingsmyndighetens konferens 2017.
Följ inlägget
0
följare
Att förbereda en organisation för införandet av GDPR är mångas gemensamma ansvar. För att förbereda sig för hanteringen av GDPR krävs både juridiska, tekniska och organisatoriska överväganden och åtgärder. Insikt i detta är centralt, liksom att skapa medvetenhet om vad GDPR innebär och vilka skyldigheter det medför. Det kan t.ex. handla om att utbilda chefer och andra medarbetare med särskilda nyckelroller om vad GDPR innebär.
Hur efterlever vi GDPR?
Nedan följer några exempel på åtgärder för att efterleva GDPR.
- Utbilda medarbetare i innebörden av GDPR
- Kartlägg vilka personuppgiftersom behandlas inom organisationen
- Utse ett dataskyddsombud
- Vidta tekniska och organisatoriska åtgärder i form av att t.ex. ta fram en strategi för dataskydd
- Inför ledningssystem för dataskydd
- Inför register för behandling av personuppgifter
- Utför konsekvensbedömningar (DPIA) avseende dataskydd för att identifiera eventuella risker i datahanteringen.
- Utvärdera och revidera arbetet med efterlevnaden av GDPR löpande
Notera att det ännu inte finns några godkända uppförandekoder eller någon certifiering på området.Vad får GDPR för praktiska konsekvenser för våra upphandlingar? Vad behövs anges? Ska biträdesavtal bifogas?
Vilka konsekvenser GDPR får för en upphandling måste bedömas i varje enskilt fall. Det beror bland annat på vad som ska upphandlas och vilken typ av personuppgifter som kommer att behandlas inom ramen för uppdraget. Det är därför viktigt att kartlägga detta inför en upphandling.
Det kommer också att vara viktigt att den upphandlande myndighetens och leverantörens förhållande till varandra är klarlagt. Att få klart för sig huruvida ens organisation är att anse som en självständig personuppgiftsansvarig, ett personuppgiftsbiträde eller gemensamt personuppgiftsansvariga har betydelse för vilka skyldigheter man har. Om detta är otydligt i upphandlingsdokumenten bör man som leverantör be om att få detta tydliggjort under tiden för frågor och svar.
För den upphandlande myndigheten kommer det vara viktigt att villkor för personuppgiftsbehandling bifogas förfrågningsunderlaget, helst i form av ett utkast till personuppgiftsbiträdesavtal.
Då en personuppgiftsansvarig anlitar ett personuppgiftsbiträde måste ett skriftligt avtal upprättas. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. Dessa regler har nu blivit striktare. Således behöver alla avtal gås igenom.
Det finns nu även tydligare regler om att personuppgiftsbiträden som anlitar underbiträden också behöver teckna sådana avtal. Personuppgiftsbiträdena behöver även en skriftlig tillåtelse från den personuppgiftsansvarige att ett underbiträde får anlitas. Enligt GDPR är det den personuppgiftsansvarige som måste säkerställa att personuppgiftsbiträdet har tecknat underbiträdesavtal.
Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att följa GDPR. Även personuppgiftsbiträden har självständiga skyldigheter och kan drabbas av sanktioner. Att man som personuppgiftsbiträde uppmanas av den personuppgiftsansvarige att strida mot förordningen utgör inte något skäl för att inte följa förordningens bestämmelser.