BETA | Du är nu på Upphandlingsmyndighetens betawebbplats – en version som fortfarande är under utveckling. Information om vår betawebbplats.

Startsida

GDPR och upphandling

Upphandlingar kan i flera fall innebära att leverantören behöver behandla personuppgifter för den upphandlande myndighetens eller enhetens räkning. Här kan du läsa om vad som är viktigt att tänka på under upphandlingens alla faser vid upphandling som inkluderar personuppgiftsbehandling.

Ska skydda personuppgifter

Dataskyddsförordningen (GDPR) gäller i hela EU och syftar till att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter. Reglerna gäller för i princip all automatiserad behandling av personuppgifter och i vissa fall även för manuell behandling. Dataskyddsförordningen ska tillämpas inom i princip all slags verksamhet och oberoende av vem som utför personuppgiftsbehandlingen. 

Datainspektionens webbplats 

Sveriges Kommuner och Regioners stöd om GDPR 

Vilka typer av upphandlingar omfattas? 

Upphandlande myndigheter och enheter (upphandlande organisationer) ska säkerställa att dataskyddsförordningen följs i alla upphandlingar som innebär att leverantören ska behandla personuppgifter för den upphandlande organisationens räkning. Det kan exempelvis handla om fall då leverantören ska sköta driften av en databas som det sker behandling av personuppgifter i. Det kan också handla om att leverantören på något annat sätt ska utföra arbete som innebär behandling av sådana personuppgifter som den upphandlande organisationen ansvarar för.  

Även lagring av personuppgifter för den upphandlande organisationens räkning innebär personuppgiftsbehandling. Därför blir reglerna ofta aktuella vid upphandlingar av olika it-system. 

Ansvar för personuppgifter vid upphandling 

Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde.  

Upphandlande organisation ofta personuppgiftsansvarig 

Personuppgiftsansvarig är den som, ensamt eller tillsammans med andra, bestämmer 

  • för vilka ändamål som uppgifterna ska behandlas 
  • hur behandlingen ska gå till.  

I upphandlingssituationer är det normalt den upphandlande organisationen som är personuppgiftsansvarig.  

Leverantör ofta personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Vid upphandlingar är det normalt leverantören.  

Personuppgiftsansvarigs skyldigheter

En personuppgiftsansvarig som avser att anlita ett personuppgiftsbiträde, har enligt dataskyddsförordningen ansvar för att anlita tillförlitliga biträden. Den ska också säkerställa att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.  

Vid upphandling innebär det att ansvar, roller och villkor för personuppgiftsbehandlingen måste framgå redan av upphandlingsdokumenten, bland annat genom krav på anbudsgivarna, krav på varan eller tjänsten och genom särskilda kontraktsvillkor.  

Personuppgiftsansvariga och personuppgiftsbiträden (Datainspektionen) 

Att tänka på vid upphandling som innebär att ett biträde anlitas 

Dataskyddsförordningen påverkar alla faser av inköpsprocessen, från att upphandlingen förbereds till uppföljningen av avtalet. Här ger vi tips om vad som är viktigt att tänka på i de olika faserna: