Personuppgiftsbehandling i samband med avrop

Att tänka på inför ett avrop

Inför ett avrop från Kammarkollegiets ramavtal är det viktigt att identifiera om behandling av personuppgifter kommer att ske inom ramen för det varu- eller tjänstkontakt som tecknas med ramavtalsleverantören. Det är även viktigt att identifiera om den avropsberättigade myndigheten är personuppgiftsansvarig eller personuppgiftbiträde.

I korthet kan en personuppgift sägas utgöra all slags information som kan hänföras till en levande fysisk person. Exempel på personuppgifter är namn, adress, personnummer, en bild eller ett ärendes diarienummer. Med behandling avses i stort sett alla åtgärder som utförs med en personuppgift, såsom insamling, registrering, läsning, lagring, bearbetning, radering och överföring.

Personuppgiftsansvarig eller personuppgiftsbiträde

Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer ändamål och medel med en personuppgiftsbehandling samt utövar det faktiska inflytandet över behandlingen. Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Mellan den personuppgiftsansvarige och personuppgiftsbiträdet krävs ett personuppgiftsbiträdesavtal som reglerar hur personuppgifterna får behandlas, vilken säkerhet som krävs för uppgifterna med mera. Ett personuppgiftsbiträde är med andra ord osjälvständigt i förhållande till den personuppgiftsansvarige och får endast behandla den personuppgiftsansvariges personuppgifter i enlighet med dennes skriftliga instruktioner.

När en avropsberättigad myndighet avropar en vara eller tjänst, som medför att en ramavtalsleverantör kommer att behandla personuppgifter innebär inte det per automatik att det uppstår en biträdessituation. Inom vissa ramavtal är det vanligt att såväl avropsberättigad myndighet som leverantör är personuppgiftsansvariga för sina respektive behandlingar. En bedömning av huruvida det föreligger en biträdessituation måste göras i varje enskilt fall.

Att två parter i samband med avrop och fakturering behandlar varandras kontaktpersoners kontaktuppgifter innebär inte att en biträdessituation uppstår. I normalfallet krävs det således inte något personuppgiftsbiträdesavtal för att behandla kontaktuppgifter vid avrop och fakturering.

Att teckna personuppgiftbiträdesavtal

Statens inköpscentral vid Kammarkollegiet tillhandahåller ett utkast till personuppgiftsbiträdesavtal som vi rekommenderar att ni använder vid avrop om behandling av personuppgifter blir aktuellt för ramavtalsleverantören eller dess underleverantörer med anledning av kontraktet. Notera att mallen benämns utkast till personuppgiftsbiträdesavtal då den måste fyllas i av båda parterna för att uppfylla dataskyddsförordningens krav.

Personuppgiftsbiträdesavtalet består av två delar, själva avtalet samt en bilaga med den personuppgiftsansvariges instruktion till personuppgiftsbiträdet. Det är viktig att den avropsberättigade myndigheten fyller i så mycket information som möjligt i instruktionsfälten. Ifyllt personuppgiftsbiträdesavtal ska biläggas avropsförfrågan.

Mall för personuppgiftsbiträdesavtal enligt dataskyddsförordningen