LogoLogo
LogoLogo
Nyhet14 december 2018

Trubbigt biträdesavtal riskerar ge färre anbud

Sveriges kommuner och landsting, SKL, har tillsammans med SKL Kommentus och Inera arbetat fram en mall för ett personuppgiftsbiträdesavtal som ska kunna användas vid offentlig upphandling. ”Vi är kritiska till att en och samma mall, som kommer att uppfattas som bindande, ska användas i alla olika typer av avtal. Risken är stor att företag då väljer att avstå från att delta i offentlig upphandling med en sämre konkurrens som följd”, skriver juristerna Birgitta Laurent och Carolina Brånby

Birgitta Laurent

Vid en offentlig upphandling eller en förnyad konkurrensutsättning måste alla krav och förutsättningar klargöras i förväg. Villkoren för personuppgiftsbehandlingen måste således vara klarlagda i upphandlingsunderlaget. För det fall en leverantör ska fungera som personuppgiftsbiträde, PUB, måste därför också ett personuppgiftsbiträdesavtal med tillhörande instruktioner bifogas underlaget. Då kan leverantören göra en juridisk och kommersiell bedömning inte bara av huvudavtalet utan också av personuppgiftsbiträdesavtalet.

Datainspektionen kan utdöma en så kallad sanktionsavgift för den som bryter mot bestämmelserna i dataskyddsförordningen, GDPR. Registrerades skadeståndsanspråk till följd av att brott mot GDPR avgörs i domstol.

Personuppgiftsansvarig, PUA, har huvudansvaret för att personuppgifter behandlas på ett korrekt sätt enligt GDPR. Om personuppgifterna delas till en leverantör är det viktigt att klargöra hur personuppgiftsansvaret fördelas mellan parterna och att förhållandet regleras i avtal. Beroende på omständigheterna kan en leverantör antingen bära ett eget personuppgiftsansvar, vara gemensamt personuppgiftsansvarig eller agera som personuppgiftsbiträde åt kommunen, regionen eller landstinget. Handlar det om en biträdessituation är det ett krav enligt GDPR att det ska finnas ett biträdesavtal.

Ett PUB-avtal ska bland annat innehålla instruktioner för hur personuppgifterna i det specifika fallet ska hanteras, till exempel vilka skyddsåtgärder som krävs och hur länge uppgifterna får sparas. Instruktionen ska utgå ifrån vilken typ av uppgifter som behandlas och i vilken omfattning. PUB har också ett eget ansvar för behandlingen av personuppgifterna.

Det finns många olika typer av avtalssituationer och riskerna kommer att variera stort, bland annat beroende på vilken typ av personuppgifter som behandlas. Känsliga personuppgifter behandlas exempelvis inom skola, hälso- och sjukvård och för de leverantörerna krävs adekvata säkerhetsåtgärder för att skydda uppgifterna. För andra typer av personuppgifter, såsom adress- och faktureringsuppgifter behövs endast enklare skyddsåtgärder.

SKL-mallen ska kunna användas i alla typer av offentliga upphandlingar där man anlitar en leverantör som ska hantera personuppgifter åt kommunen i uppdraget. PUB-avtalet ska kompletteras med preciserade instruktioner för hur personuppgifterna ska hanteras för den specifika tjänsten som ska upphandlas.

Vi är kritiska till en mall som ska användas oavsett bransch. Dessutom saknas skrivningar om ansvarsbegränsning och möjlighet till regressrätt. Det innebär att PUB:s ansvar för eventuell skada i alla lägen kommer att vara obegränsat. Med undantag för skyldigheter som gäller gentemot de registrerade enligt GDPR råder avtalsfrihet och det finns inget i GDPR som hindrar att parterna kommer överens om hur fördelningen av ansvaret ska ske.

Utgångspunkten enligt vår uppfattning borde vara att ansvaret hamnar ”rätt”. dvs. hos den part som brutit mot GDPR eller biträdesavtalet. Detta bör gälla såväl eventuell sanktionsavgift som ett eventuellt skadestånd. Det finns dock två problem som behöver lösas oavsett om man arbetar med en eller flera mallar. Dels skulle tillsynsmyndigheten kunna utdöma sanktionsavgiften på ”fel” part och på ett sätt som parterna inte har kommit överens om. Då behövs en möjlighet till regressrätt. Dels skulle mängden personuppgifter som behandlas kunna medföra att det totala skadeståndsansvaret gentemot registrerade blir orimligt högt i förhållande till värdet av affären. Inför de situationerna skulle det behövas en möjlighet att avtala om ansvarsbegränsning.

Företagens beslut att delta i en offentlig upphandling eller inte tas först efter en juridisk och kommersiell bedömning av förutsättningarna. En del av upphandlingsunderlaget utgörs då av innehållet i det föreslagna personuppgiftsbiträdesavtalet tillsammans med instruktionerna. Ett rimligt antagande är att många leverantörer kommer att tveka om ett av ska-kraven är att de får ta hela ansvaret för ett eventuellt framtida skadestånd utan möjlighet till regressrätt. Eftersom andelen anbud i offentliga upphandlingar redan idag är alltför låg är det centralt att SKL-koncernen förespråkar relevanta och rimliga personuppgiftsbiträdesavtal utifrån typen och omfattningen av de personuppgifter som ska hanteras.

Frågan är om det ens är möjligt att använda sig av samma mall för olika typer av personuppgiftsbehandlingar och i olika branscher? Företag efterfrågar visserligen förutsägbara villkor men då måste villkoren preciseras så att företagen kan räkna på affären.

Offentlig upphandlingDataskyddUpphandling
Skriven avCarolina BrånbyBirgitta Laurent
Kontakta Svenskt Näringsliv
Postadress: 114 82 Stockholm
Besöksadress: Storgatan 19
Stockholm Telefon: 08-553 430 00
Kontakta oss
Ta del av fler nyheter på fPlus
fPlus logo
fPlus ger dig koll på det senaste och fördjupning i allt som rör företagsamheten.
Prenumerera på Nytt från Svenskt Näringsliv
Kontakta Svenskt Näringsliv
Postadress: 114 82 Stockholm
Besöksadress: Storgatan 19
Stockholm Telefon: 08-553 430 00
Kontakta oss
Prenumerera på Nytt från Svenskt Näringsliv
Ta del av fler nyheter på fPlus
fPlus logo
fPlus ger dig koll på det senaste och fördjupning i allt som rör företagsamheten.
Kontakta Svenskt Näringsliv
Postadress: 114 82 Stockholm
Besöksadress: Storgatan 19
Stockholm Telefon: 08-553 430 00
Kontakta oss
Ta del av fler nyheter på fPlus
fPlus logo
fPlus ger dig koll på det senaste och fördjupning i allt som rör företagsamheten.
Prenumerera på Nytt från Svenskt Näringsliv
Kontakta Svenskt Näringsliv
Postadress: 114 82 Stockholm
Besöksadress: Storgatan 19
Stockholm Telefon: 08-553 430 00
Kontakta oss
Ta del av fler nyheter på fPlus
fPlus logo
fPlus ger dig koll på det senaste och fördjupning i allt som rör företagsamheten.
Prenumerera på Nytt från Svenskt Näringsliv
Ansvarig utgivare och chefredaktör Anna Dalqvist