Personuppgiftsbehandling i samband med avrop
Att tänka på inför ett avrop
Inför ett avrop från Kammarkollegiets ramavtal är det viktigt att identifiera om behandling av personuppgifter kommer att ske inom ramen för det varu- eller tjänstekontrakt som tecknas med ramavtalsleverantören. Det är även viktigt att identifiera om den avropsberättigade myndigheten är personuppgiftsansvarig eller personuppgiftbiträde.
I korthet kan en personuppgift sägas utgöra all slags information som kan hänföras till en levande fysisk person. Exempel på personuppgifter är namn, adress, personnummer, en bild eller ett ärendes diarienummer. Med behandling avses i stort sett alla åtgärder som utförs med en personuppgift, såsom insamling, registrering, läsning, lagring, bearbetning, radering och överföring.
Personuppgiftsansvarig eller personuppgiftsbiträde
Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer ändamål och medel med en personuppgiftsbehandling samt utövar det faktiska inflytandet över behandlingen. Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Mellan den personuppgiftsansvarige och personuppgiftsbiträdet krävs ett personuppgiftsbiträdesavtal som reglerar hur personuppgifterna får behandlas, vilken säkerhet som krävs för uppgifterna med mera. Ett personuppgiftsbiträde är med andra ord osjälvständigt i förhållande till den personuppgiftsansvarige och får endast behandla den personuppgiftsansvariges personuppgifter i enlighet med dennes skriftliga instruktioner.
När en avropsberättigad myndighet avropar en vara eller tjänst, som medför att en ramavtalsleverantör kommer att behandla personuppgifter innebär inte det per automatik att det uppstår en biträdessituation. Inom vissa ramavtal är det vanligt att såväl avropsberättigad myndighet som leverantör är personuppgiftsansvariga för sina respektive behandlingar. En bedömning av huruvida det föreligger en biträdessituation måste göras i varje enskilt fall.
Att två parter i samband med avrop och fakturering behandlar varandras kontaktpersoners kontaktuppgifter innebär inte att en biträdessituation uppstår. I normalfallet krävs det således inte något personuppgiftsbiträdesavtal för att behandla kontaktuppgifter vid avrop och fakturering.
Att teckna personuppgiftbiträdesavtal
Statens inköpscentral vid Kammarkollegiet tillhandahåller ett utkast till personuppgiftsbiträdesavtal som vi rekommenderar att ni använder vid avrop om ramavtalsleverantören eller dess underleverantörer kommer att behandla personuppgifter för er räkning vid utförande av uppdrag enligt kontraktet. Notera att mallen benämns ”Utkast till personuppgiftsbiträdesavtal” då den måste fyllas i med uppgifter utifrån de specifika förhållandena i avropet för att uppfylla dataskyddsförordningens krav.
Personuppgiftsbiträdesavtalet består av två delar, själva avtalet samt en bilaga med den personuppgiftsansvariges instruktion till personuppgiftsbiträdet. Det är viktig att den avropsberättigade myndigheten fyller i så mycket information som möjligt i instruktionsfälten. Ifyllt personuppgiftsbiträdesavtal ska biläggas avropsförfrågan.
Mall för personuppgiftsbiträdesavtal enligt dataskyddsförordningen
Att teckna datadelningsavtal
Utöver ovan situationer, där antingen ett personuppgiftsbiträdesavtal tecknas eller avropsberättigad myndighet och ramavtalsleverantör var för sig är personuppgiftsansvariga för de personuppgifter som behandlas, kan även gemensamt personuppgiftsansvar realiseras inom ramavtalen. I korthet kan sägas att gemensamt personuppgiftsansvar föreligger om parterna har ett gemensamt och sammanbundet intresse av att behandla personuppgifterna. Enligt dataskyddsförordningen krävs vid gemensamt personuppgiftsansvar att parterna ingår ett ”inbördes arrangemang” (artikel 26), företrädelsevis genom tecknande av ett så kallat datadelningsavtal.
Statens inköpscentral vid Kammarkollegiet tillhandahåller ett utkast till datadelningsavtal som kan användas vid avrop då gemensamt personuppgiftsansvar föreligger. Notera att mallen benämns ”Utkast till datadelningsavtal” då den måste fyllas i med uppgifter utifrån de specifika förhållandena i avropet för att uppfylla dataskyddsförordningens krav.