Dataskydd i upphandlingsförfarandet

Dataskyddsförordningen, GDPR, gäller för behandling av personuppgifter, det vill säga all information som innebär att en fysisk person direkt eller indirekt kan identifieras eller blir identifierbar, exempelvis med hjälp av annan information.

Det är ofrånkomligt att personuppgifter måste hanteras under en offentlig upphandling. I många fall handlar det inte om någon särskilt omfattande behandling eller integritetskänsliga personuppgifter.

Att kontaktuppgifter till anställda hos myndigheten och hos anbudsgivarna finns med i upphandlingen kan inte komma som någon överraskning för dem vars personuppgifter behandlas (de registrerade).

Men bestämmelserna i dataskyddsförordningen är ändå tillämpliga. Det innebär att de registrerade har vissa rättigheter och att den som behandlar personuppgifterna måste vidta vissa åtgärder för att skydda personuppgifterna.

Något mer komplicerat blir det när upphandlingen även omfattar cv:n för exempelvis konsulter, projektledare, plats- eller arbetschefer och andra medarbetare hos anbudsgivarna. I dessa fall är det särskilt viktigt att se till att de berörda personerna är informerade om att deras personuppgifter förekommer i anbudshandlingarna som skickas in till myndigheten.

Den behandling av personuppgifter som kan förekomma efter en genomförd upphandling, alltså när det upphandlade avtalet är klart, medför förstås andra bedömningar som kan innebära att särskilda krav måste ställas i upphandlingsdokumenten. Personuppgiftsbehandling under avtalstiden behandlas dock inte i denna artikel.

Var och en ansvarar för sin personuppgiftsbehandling
Både anbudsgivare och den upphandlande myndigheten kommer att behandla personuppgifter under en upphandling. De gör det dock i regel var och en för sig.

I de flesta fallen bör ansvarsfördelningen vara relativt enkel, på det sättet att anbudsgivaren är ansvarig för personuppgiftsbehandlingen fram till det att anbudet skickas in till myndigheten, medan myndigheten är personuppgiftsansvarig för den behandling som sker när anbuden har kommit in till myndigheten. 

Anbudsgivaren och myndigheten måste var och en för sig bedöma vad personuppgiftsansvaret medför. De måste också vidta nödvändiga åtgärder, såsom att överväga den rättsliga grunden för behandlingen av uppgifterna, och hur de registrerade får information om att deras personuppgifter behandlas.

Endast personuppgiftsbehandling som är “nödvändig” för upphandlingen är tillåten
Enkelt uttryckt är endast den behandling av personuppgifter som är nödvändig för genomförandet av upphandlingen tillåten. Bedömningen av vad som är nödvändigt kan naturligtvis variera.

Men det är viktigt att komma ihåg att det är den som behandlar personuppgifter som måste kunna motivera varför uppgifterna är nödvändiga att behandla för att kunna genomföra upphandlingen, eller att för att kunna lämna ett anbud.

Detta följer av de så kallade grundläggande principer som gäller enligt dataskyddsförordningen. Det handlar bland annat om principen om uppgiftsminimering och ändamålsbegränsning.

Exempelvis är kontaktuppgifter till en anställd hos anbudsgivaren nödvändiga att behandla, om det handlar personer som är ansvariga för anbudet. Men för det ändamålet är det inte nödvändigt att ange personens privata kontaktuppgifter.

Det måste också finnas en rättslig grund, enligt dataskyddsförordningen, för behandlingen av personuppgifter och även särskilt stöd för att behandla eventuella känsliga personuppgifter (bland annat uppgifter om hälsa, etniskt ursprung, medlemskap i fackförening) och uppgifter om brott.

En sådan rättslig grund är samtycke från den registrerade. Men det är oftast inte en särskilt praktisk eller lämplig rättslig grund, särskilt inte i anställningsförhållanden.

En lämpligare rättslig grund för anbudsgivarens behandling av personuppgifter kan vara anställningsavtalet, förutsatt att den anställda har en sådan roll att det ingår i anställningen att agera som kontaktperson.

Alternativt bör behandlingen av kontaktuppgifter kunna grundas på en så kallad intresseavvägning, eftersom det handlar om en personuppgiftsbehandling som inte är särskilt integritetskänslig, och som kan anses ligga inom den anställdes rimliga förväntningar.

I regel bör inte personuppgifter som behandlas i en upphandling innefatta känsliga personuppgifter. Det är också mycket svårare att finna en tillämplig rättslig grund för att anbudsgivare ska få behandla sådana uppgifter. Det enda alternativet som står till buds för anbudsgivare är sannolikt uttryckligt samtycke från den registrerade.

Men den upphandlade myndigheten kan basera eventuell behandling av känsliga personuppgifter på att behandlingen är ”nödvändig för att utföra en uppgift av allmänt intresse”.

Det kan enligt svenska regler i dataskyddslagen bland annat innefatta sådana uppgifter som lämnats in till myndigheten eller som är nödvändiga för handläggningen av ett ärende. Myndigheter har även laglig rätt att behandla personuppgifter om brott.

Glöm inte att informera
Dataskyddsförordningen ger de registrerade, alltså de personer vars personuppgifter behandlas, särskilda rättigheter. Det handlar bland annat om rätten att begära tillgång till sina egna personuppgifter (registerutdrag), rätten till rättelse och under vissa förutsättningar rätten till radering.

Utöver sådana rättigheter som kan göras gällande efter begäran från den registrerade har den som är personuppgiftsansvarig också skyldighet att på eget initiativ informera de registrerade om behandlingen.

Informationsplikten enligt dataskyddsförordningen är omfattande och innebär dessutom att informationen ska göras tillgänglig ”i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk”. Det räcker inte med att berätta att man behandlar personuppgifter enligt dataskyddsförordningen. Det måste dessutom framgå varför, hur länge, vem som får del av uppgifterna, vem som är personuppgiftsansvarig, om uppgifterna kommer att överföras utanför EU/EES samt information om de rättigheter som den registrerade har.

Informationen kan göras tillgänglig i flera ”skikt” så att kortfattad information lämnas ”just in time”, det vill säga när den registrerade kan antas behöva information. Fullständig information kan sedan lämnas i en personuppgiftspolicy på anbudsgivarens eller myndighetens webbplats.

Det finns några undantag från informationsplikten. Information behöver exempelvis inte lämnas om det som den registrerade redan känner till. Men observera att det är den personuppgiftsansvarige som måste visa att den registrerade borde ha känt till informationen.

När uppgifterna inte samlas in direkt från den registrerade finns det några ytterligare undantag. Det gäller bland annat om det är omöjligt, exempelvis för att det inte finns några möjligheter att få tag på kontaktuppgifter till de registrerade, eller om det skulle medföra en oproportionerlig ansträngning. Det senare innebär att man måste göra en intresseavvägning och väga ”ansträngningen” mot integritetsintrånget, exempelvis vilka personuppgifter som behandlas.

I upphandlingsprocessen är det sällan omöjligt eller särskilt ansträngande att informera. Så av den anledningen är det ofta svårt att hävda att det går att avstå från att informera de registrerade om den personuppgiftsbehandling som sker i en upphandling. Undantagen ska dessutom inte användas rutinmässigt.

Kom ihåg!

• Den personuppgiftsbehandling som förekommer i upphandlingar, såsom kontaktuppgifter till anställda, är i regel inte särskilt integritetskänslig.
• Men dataskyddsförordningen kräver ändå att både anbudsgivare och upphandlande myndigheter i förväg tar ställning vad deras respektive personuppgiftsansvar innebär och vilka åtgärder de måste vidta.
• Några av de viktigaste åtgärderna är att se till att inte fler personuppgifter än vad som är nödvändigt behandlas och att de registrerade får information om behandlingen av deras personuppgifter.

Martin Brinnen
Senior Specialist

Magnus Ehn
Senior Specialist

Advokatfirman Kahn Pedersen