Trubbigt biträdesavtal riskerar ge färre anbud

NYHET Publicerad

OFFENTLIG UPPHANDLING Sveriges kommuner och landsting, SKL, har tillsammans med SKL Kommentus och Inera arbetat fram en mall för ett personuppgiftsbiträdesavtal som ska kunna användas vid offentlig upphandling. ”Vi är kritiska till att en och samma mall, som kommer att uppfattas som bindande, ska användas i alla olika typer av avtal. Risken är stor att företag då väljer att avstå från att delta i offentlig upphandling med en sämre konkurrens som följd”, skriver juristerna Birgitta Laurent och Carolina Brånby

Birgitta Laurent

Birgitta Laurent

Carolina Brånby

Carolina Brånby

Foto: Ernst Henry Photography AB

Vid en offentlig upphandling eller en förnyad konkurrensutsättning måste alla krav och förutsättningar klargöras i förväg. Villkoren för personuppgiftsbehandlingen måste således vara klarlagda i upphandlingsunderlaget. För det fall en leverantör ska fungera som personuppgiftsbiträde, PUB, måste därför också ett personuppgiftsbiträdesavtal med tillhörande instruktioner bifogas underlaget. Då kan leverantören göra en juridisk och kommersiell bedömning inte bara av huvudavtalet utan också av personuppgiftsbiträdesavtalet.

Datainspektionen kan utdöma en så kallad sanktionsavgift för den som bryter mot bestämmelserna i dataskyddsförordningen, GDPR. Registrerades skadeståndsanspråk till följd av att brott mot GDPR avgörs i domstol.

Personuppgiftsansvarig, PUA, har huvudansvaret för att personuppgifter behandlas på ett korrekt sätt enligt GDPR. Om personuppgifterna delas till en leverantör är det viktigt att klargöra hur personuppgiftsansvaret fördelas mellan parterna och att förhållandet regleras i avtal. Beroende på omständigheterna kan en leverantör antingen bära ett eget personuppgiftsansvar, vara gemensamt personuppgiftsansvarig eller agera som personuppgiftsbiträde åt kommunen, regionen eller landstinget. Handlar det om en biträdessituation är det ett krav enligt GDPR att det ska finnas ett biträdesavtal.

Ett PUB-avtal ska bland annat innehålla instruktioner för hur personuppgifterna i det specifika fallet ska hanteras, till exempel vilka skyddsåtgärder som krävs och hur länge uppgifterna får sparas. Instruktionen ska utgå ifrån vilken typ av uppgifter som behandlas och i vilken omfattning. PUB har också ett eget ansvar för behandlingen av personuppgifterna.

Det finns många olika typer av avtalssituationer och riskerna kommer att variera stort, bland annat beroende på vilken typ av personuppgifter som behandlas. Känsliga personuppgifter behandlas exempelvis inom skola, hälso- och sjukvård och för de leverantörerna krävs adekvata säkerhetsåtgärder för att skydda uppgifterna. För andra typer av personuppgifter, såsom adress- och faktureringsuppgifter behövs endast enklare skyddsåtgärder.

SKL-mallen ska kunna användas i alla typer av offentliga upphandlingar där man anlitar en leverantör som ska hantera personuppgifter åt kommunen i uppdraget. PUB-avtalet ska kompletteras med preciserade instruktioner för hur personuppgifterna ska hanteras för den specifika tjänsten som ska upphandlas.

Vi är kritiska till en mall som ska användas oavsett bransch. Dessutom saknas skrivningar om ansvarsbegränsning och möjlighet till regressrätt. Det innebär att PUB:s ansvar för eventuell skada i alla lägen kommer att vara obegränsat. Med undantag för skyldigheter som gäller gentemot de registrerade enligt GDPR råder avtalsfrihet och det finns inget i GDPR som hindrar att parterna kommer överens om hur fördelningen av ansvaret ska ske.

Utgångspunkten enligt vår uppfattning borde vara att ansvaret hamnar ”rätt”. dvs. hos den part som brutit mot GDPR eller biträdesavtalet. Detta bör gälla såväl eventuell sanktionsavgift som ett eventuellt skadestånd. Det finns dock två problem som behöver lösas oavsett om man arbetar med en eller flera mallar. Dels skulle tillsynsmyndigheten kunna utdöma sanktionsavgiften på ”fel” part och på ett sätt som parterna inte har kommit överens om. Då behövs en möjlighet till regressrätt. Dels skulle mängden personuppgifter som behandlas kunna medföra att det totala skadeståndsansvaret gentemot registrerade blir orimligt högt i förhållande till värdet av affären. Inför de situationerna skulle det behövas en möjlighet att avtala om ansvarsbegränsning.

Företagens beslut att delta i en offentlig upphandling eller inte tas först efter en juridisk och kommersiell bedömning av förutsättningarna. En del av upphandlingsunderlaget utgörs då av innehållet i det föreslagna personuppgiftsbiträdesavtalet tillsammans med instruktionerna. Ett rimligt antagande är att många leverantörer kommer att tveka om ett av ska-kraven är att de får ta hela ansvaret för ett eventuellt framtida skadestånd utan möjlighet till regressrätt. Eftersom andelen anbud i offentliga upphandlingar redan idag är alltför låg är det centralt att SKL-koncernen förespråkar relevanta och rimliga personuppgiftsbiträdesavtal utifrån typen och omfattningen av de personuppgifter som ska hanteras.

Frågan är om det ens är möjligt att använda sig av samma mall för olika typer av personuppgiftsbehandlingar och i olika branscher? Företag efterfrågar visserligen förutsägbara villkor men då måste villkoren preciseras så att företagen kan räkna på affären.

Fler liknande nyheter

NYHET Publicerad:

Öppenhet ger bättre offentlig upphandling

KOMMENTAR Sekretess försvårar möjligheterna att göra bra affärer och maximera nyttan för skattepengarna. Större öppenhet skulle ge effektivare upphandling, skriver Ellen Hausel Heldahl och Birgitta Laurent.
NYHET Publicerad:

GDPR- expert: ”Samtycke har ingen rättslig grund i en beroendeställning”

DATASKYDDSFÖRORDNINGEN Gymnasieskolan som använde kameraövervakning bröt mot dataskyddsförordningen. När det finns en beroendeställning gäller inte samtycke som rättslig grund, menar jurist Carolina Brånby.
NYHET Publicerad:

Digitaliseringen av svensk offentlig förvaltning – ett arbete med förhinder?

KOMMENTAR I en OECD:s rapport ställs frågan varför Sverige, trots hög teknisk standard och datamognad, inte förmår använda digitaliseringen för att effektivisera svensk offentlig förvaltning.
NYHET Publicerad:

Plattformsekonomi – vad är det och hur fungerar den?

DATAEKONOMIN I samarbete med fyra medlemsorganisationer – IT och telekomföretagen, Svensk Handel, Teknikföretagen och Visita – höll SN ett seminarium på detta tema den 17 maj. 65 nyfikna deltagare samlades på Europahuset i Stockholm.
NYHET Publicerad:

Så skapas AI du kan lita på

DIGITALISERING Ett 50-tal experter från universitet, näringsliv och civilsamhället har på EU-kommissionens uppdrag arbetat fram ett dokument med riktlinjer för Tillitsfull AI.
NYHET Publicerad:

E-faktura har börjat gälla

UPPHANDLING E-faktura gäller vid alla upphandlingar från första april. Såväl leverantörer till offentlig sektor som kommuner, landsting och regioner måste anpassa sig till den nya lagen.
NYHET Publicerad:

Upphandlare bryr sig inte om offentlighetsprincipen

KOMMENTAR Leverantörer nekas att ta del av andra anbud och text maskeras. Det är exempel på hur myndigheter sekretessbelägger en allmän handling. "Ett otyg", skriver juristerna Ellen Hausel Heldahl och Birgitta Laurent, och uppmanar drabbade företag att JO-anmäla myndigheten.
NYHET Publicerad:

Låt inte ePrivacy dränka digitala möjligheter

KOMMENTAR Om ePrivacyförordningen får fel utformning, så beskär det möjligheterna till elektronisk överföring och lagring av data. Det är negativt för alla som kommunicerar digitalt. Kasta förslaget i soptunnan och börja om, skriver Carolina Brånby, jurist digital policy.
NYHET Publicerad:

Akut att stoppa cyberbrottsligheten – så ska det gå till

IT-SÄKERHET I ljuset av den stora säkerhetsläckan från 1177 Vårdguiden är frågan hur Sverige ska stärka sin IT-säkerhet viktigare än någonsin. På Näringslivets Säkerhetsdelegations årsmöte diskuterades hur svenska företag och myndigheter kan arbeta för att stå emot den växande cyberbrottsligheten.
NYHET Publicerad:

SFI med hjälp av ny teknik

UPPHANDLINGSREGLER Ett modernt och effektivt sätt att lära sig svenska genom en blandning av lärarledda lektioner och digitala verktyg. Det erbjuder Swedish for Professionals till företag med utländska medarbetare. Nu siktar man på att även kunna bli upphandlade i SFI-sammanhang.
NYHET Publicerad:

E-faktura närmar sig med stormsteg

DIGITALISERING Tre av fyra småföretag klarar inte att använda e-faktura i affärer med offentlig sektor. ”Vägledningen måste vara tydlig och lättbegriplig”, säger jurist Birgitta Laurent.
NYHET Publicerad:

"Ingen pratar om det som redan görs med AI"

AI Just nu pågår det närmast en Tsunami av event om artificiell intelligens, AI, i Bryssel. Det som tas upp är potential för tekniken, behovet av investeringar men också risker med den nya tekniken, berättar Sophia Bengtsson, biträdande Chef Svenskt Näringslivs Brysselkontor, i samband med att hon var värd för seminariet AI IN PRACTICE som arrangerades tillsammans med IT&Telekomföretagen.
NYHET Publicerad:

Trubbigt biträdesavtal riskerar ge färre anbud

OFFENTLIG UPPHANDLING Sveriges kommuner och landsting, SKL, har tillsammans med SKL Kommentus och Inera arbetat fram en mall för ett personuppgiftsbiträdesavtal som ska kunna användas vid offentlig upphandling. ”Vi är kritiska till att en och samma mall, som kommer att uppfattas som bindande, ska användas i alla olika typer av avtal. Risken är stor att företag då väljer att avstå från att delta i offentlig upphandling med en sämre konkurrens som följd”, skriver juristerna Birgitta Laurent och Carolina Brånby
NYHET Publicerad:

Snabb teknisk utveckling påverkar immaterialrätten

SEMINARIUM Den fjärde industriella revolutionen är här. Förändringarna är så snabba och genomgripande att alla måste skapa sig en förståelse av hur de kan komma att påverka företag och arbetsplatser. Det innebär utmaningar för kunskapsbaserade tillgångar.
NYHET Publicerad:

Så fungerar AI i praktiken

SEMINARIUM Artificiell intelligens, AI, är på allas läppar i EU:s huvudstad Bryssel. Seminarier avlöser varandra.
Under Brysselkontorets och It&telekomföretagens evenemang presenterades flera företagsexempel.
NYHET Publicerad:

EU:s plan för artificiell intelligens stärker företagens konkurrenskraft

KOMMENTAR EU:s medlemsländer har presenterat en AI-plan för att främja utveckling och användning av artificiell intelligens. Att stärka AI vad gäller utveckling och användning i Europa är välkommet. Svenskt Näringsliv betonar bland annat betydelsen av ett hållbart och flexibelt regelverk, en investeringsvänlig politik och en infrastruktur av hög kvalitet. 
NYHET Publicerad:

Sverige driver inte digitaliseringen

KOMMENTAR Sverige anser sig vara en av EU:s nio ”digitala frontrunners”. När digitaliseringsministrarna möttes i Wien nyligen blev det uppenbart att Sverige inte är drivande och inte har förstått vikten av ePrivacy-förordningen, skriver jurist Carolina Brånby.
NYHET Publicerad:

”Samtycke ska vara sista utvägen”

ARBETSGIVARDAGEN För ungefär ett halvår sedan trädde EU:s nya dataskyddsförordningen, GDPR, och kompletterande svenska dataskyddsregler i kraft i Sverige. Fortfarande råder viss förvirring och en del missförstånd kring regelverket, konstaterade Svenskt Näringslivs expert Carolina Brånby på ett Arbetsgivardagen i Malmö. Exempelvis är det många som tror att det alltid krävs samtycke för att spara uppgifter. ”Det finns flera andra grunder för att få spara uppgifter, och om möjligt bör man försöka använda någon av dem”, säger Carolina Brånby.
NYHET Publicerad:

Geoblockering förbjuds mitt i julhandeln

NÄTHANDEL Från 3 december i år ska konsumenter och företag få besöka och handla från webbsidor inom hela EU. För dig som är leverantör är det viktigt att ha koll på vad som verkligen krävs. Sanktionsavgifterna i Sverige föreslås få uppgå till max 10 procent av årsomsättningen. 
NYHET Publicerad:

Kravet på rätt titel kostade sju miljoner extra

UPPHANDLING En bristande dialog mellan köpare och säljare skapar hinder vid offentliga upphandlingar. Det menade företrädare från näringslivet och offentlig sektor under ett seminarium. Byggföretagaren Carin Stoeckmann lyfte ett exempel där upphandlaren valde att betala sju miljoner extra för "rätt" titel på pappret.