VEILEDER FOR INNKJØPSFUNKSJONEN I BERGEN KOMMUNE:
Behandling av personopplysninger i henhold til personopplysningloven/GDPR
I arbeidet med anskaffelsesprosesser vil man både kunne levere ut personopplysninger til leverandør, motta personopplysninger fra leverandør, samt lagre personopplysninger. Det er viktig ved behandling av personopplysninger å ha et bevisst forhold til de rettigheter og plikter som følger med dette arbeidet.
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, og som gjør at denne personen kan bli identifisert, enten direkte eller indirekte. Det er også definert en rekke særlige kategorier av opplysninger som det skal mer til for å kunne behandle enn andre opplysninger, gjerne omtalt som sensitive personopplysninger. Særlig kategorier av personopplysninger innbefatter blant annet helseopplysninger og opplysninger om lovovertredelser.
De retningslinjene som her er beskrevet tar utgangspunkt i at anskaffelser skal gjøres i henhold til gjeldende regelverk, «Lov om behandling av personopplysninger». Retningslinjene er ment for å gi et verktøy til korrekt behandling av personopplysninger/en bevissthet rundt personvern i en anskaffelsesprosess, men det vil være opp til den enkelte innkjøper/kontraktsforvalter å selv foreta en konkret vurdering angående personvern i den aktuelle konkurransen/kontrakten.
1. Hvilke personopplysninger behandles i en anskaffelsesprosess
1.1. Vi mottar personopplysninger fra leverandør
1.2. Vi leverer ut personopplysninger til leverandør
1.3. Systemverktøy for behandling av personopplysninger (Mercell og Bk 360)
2.1. Rettslig grunnlag for behandling av personopplysninger
2.2.1. Behandling av personopplysninger ved konkurransegjennomføring
2.2.2. Behandling av personopplysninger ved kontraktsoppfølging
2.4. Kontraktavslutning: Avslutning av behandling av personopplysninger
I en anskaffelsesprosess vil man kunne motta ulike typer personopplysninger. Leverandørinformasjon vil man motta som en naturlig del av å gjøre en anskaffelse. Men i tillegg til leverandørinformasjon så vil en leverandør også ved konkurransegjennomføringen kunne bli bedt om å gi fra seg informasjon om ansatte (som følge av krav som stilles til for eksempel kvalifikasjon og/eller tildelingskriterier). Videre så stiller gjerne kontrakten krav som gjør at leverandør må gi informasjon om sine ansatte, dette ofte omtalt som krav til «samfunnsansvar» i kontrakt.
For at en leverandør skal kunne oppfylle en kontrakt så må man i noen tilfeller gi ut personopplysninger om beboere i kommunen til leverandør. Det kan for eksempel være informasjon om skolebarn eller eldre. I disse tilfellene så er det viktig at vi sikrer at personopplysningen vi gir fra oss blir behandlet korrekt, dette kan vi sikre oss ved å benytte en databehandleravtale. Data er i denne sammenheng å forstå som persondata/personopplysninger, og databehandleravtalen skal benyttes i alle kontrakter hvor personopplysninger blir levert ut til en leverandør. Databehandleravtalen ligger som et eget bilag til kontrakt i Mercell.
(For en nærmere gjennomgang les om «Databehandleravtalen» på Allmenningen).
I en anskaffelsesprosess benyttes Mercell som konkurransegjennomføringsverktøy (KGV) og kontraktsoppfølgingsverktøy (KAV). Det er en systemintegrasjon mellom Mercell og arkivet/Bk 360. Dette betyr at alt som kommer inn via Mercell, både i KGV og KAV, blir direkte lagret i Bk 360.
Det er Innkjøp konsern som er ansvarlig for kontrakten med Mercell, herunder også databehandleravtalen med Mercell. Dette betyr at alle personopplysninger som blir sendt gjennom Mercell er i henhold til databehandleravtalen, men det er den enkelte innkjøre/kontraktsforvalter som selv er ansvarlig for den konkrete behandlingen av personopplysninger som skjer via Mercell.
All kommunikasjon med leverandører skal gå via kommunikasjonsmodulen i KGV. Det er spesielt viktig at man ikke sender personopplysninger per e-post, men benytter KGV. E-post/Outlook oppfyller ikke kravene til sikkerhet for behandling av personopplysninger.
Personopplysninger skal ikke lagres slik at det er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålet opplysningene ble innhentet for jf. personvernforordningen art. 5 e). Dette betyr at personopplysninger skal anonymiseres eller slettes når behandlingen av dem er ferdigstilt. Med anonymiserte opplysninger så menes at alle personidentifiserbare opplysninger er tatt vekk fra dokumentasjonen.
For personopplysninger i Mercell så kan disse ikke anonymiseres, personopplysninger i Mercell må slettes. For personopplysninger i arkivet er det kun mulig å anonymisere dokumenter gjennom innsynsmodellen til Bk 360. Dette betyr i praksis at personopplysninger i arkivet også må slettes. Systemintegrasjonen mellom Mercell og Bk 360 gjør at man ved sletting av personopplysninger må gjøre dette på to ulike steder, både hos Mercell og hos arkivet/Bk 360. Personopplysninger skal ikke oppbevares/lagres andre steder enn i Mercell/Bk 360. Mercell/Bk 360 regnes for sikre lagringssystemer med tilgangskontroller til personopplysningene.
Sletting av personopplysninger i Mercell og hos arkivet må gjøres manuelt, henholdsvis via Mercell Support, og via Helpdesk. Det er et pågående arbeid både hos Mercell og Bk 360 for å få til bedre systemer for sletting/anonymisering av personopplysninger.
All behandling av personopplysninger skal skje i henhold til «personvernprinsipper». Prinsippene gir på ulike måter uttrykk for at behandling av personopplysninger skal skje på en måte som i størst mulig grad sikrer forutsigbarhet og forholdsmessighet for enkeltmenneske. Av dette følger at personopplysninger kun kan behandles for spesifikt uttrykte og legitime formål. At formålet skal være legitimt innebærer at det må finnes et rettslig grunnlag for behandling av personopplysninger, jf. personvernforordningen art. 6. Det er også definert en rekke særlige kategorier av opplysninger som det skal mer til for å kunne behandle enn andre opplysninger, gjerne omtalt som sensitive personopplysninger. Særlig kategorier av personopplysninger innbefatter blant annet helseopplysninger og opplysninger om lovovertredelser. jf. personvernforordningen art. 9/ art.10.
Personopplysninger skal ikke lagres slik at det er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålet jf. personvernforordningen art. 5 e). Dette betyr at personopplysningene må slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.
Ved arbeid/behandling av personopplysninger er det viktig å tenke dataminimering, dvs. at man i størst mulig grad begrenser mengden innsamlede personopplysninger. Man skal alltid stille seg spørsmålet om hvorvidt innsamling av personopplysninger er nødvendig for å realisere formålet med behandlingen av personopplysninger, eller hvorvidt man like gjerne kan motta anonymiserte opplysninger, motta en egenerklæring fra leverandør, foreta en stedlig kontroll hvor man kun observere personer/personopplysninger etc.
I avsnitt 2.2. blir noen personopplysninger med behandlingsgrunnlag eksemplifisert og kommentert. Men det er viktig at den enkelte innkjøper/kontraktsforvalter selv gjør en selvstendig vurdering angående personopplysninger i den enkelte konkurranse/kontrakt. Alle anskaffelser skal gjøres i henhold til gjeldende regelverk, «Lov om behandling av personopplysninger».
(For en nærmere gjennomgang av personvernprinsippene les på Datatilsynet sine internettsider om «Personvernprinsippene»).
Grunnleggende eksisterer det et tillitsforhold mellom oppdragsgiver/kommunen og leverandør ved en anskaffelsesprosess. En behandling av personopplysninger vil ofte først skje i forbindelse med kontroll av leverandør, dvs. kontroll av oppfyllelse av kvalifikasjonskrav, tildelingskriterier eller kontraktskrav.
Når leverandør leverer ut personopplysninger til kommunen, ved for eksempel en kontroll av oppfyllelse av en kontraktbestemmelse, regnes dette som en egen separat behandling av personopplysninger. Leverandør må da selv vurdere om det å levere ut personopplysninger til kommunen er i tråd med formålet disse opplysningene opprinnelig ble samlet inn for.
Når man mottar leverandørinformasjon i en konkurranse så har leverandør selv gjort et aktivt valg om å levere inn et tilbud til kommunen. Ved innlevering av tilbud i KGV/Mercell så samtykker også leverandør til at leverandørinformasjon vil bli behandlet (det kommer opp en automatisk «godkjennings-boks» hos Mercell ved innlevering av tilbud/«innebygd personvern»).
Når vi etterspør personopplysninger ved konkurransegjennomføring, enten som kvalifikasjonskrav eller tildelingskrav, med et formål om å gjennomføre en kvalitativ god anskaffelse, så er det viktig å tenke på hvorvidt man trenger å motta personopplysninger eller hvorvidt det holder å motta en bekreftelse på at etterspurte personer/ansatte eksisterer. (Og i så fall om evt. kontroll med dette kan gjøres på et senere tidspunkt. Se også avsnitt under «Behandling av personopplysninger ved kontraktsoppfølging). Denne avvegingen må gjøres i den enkelte konkurranse; for det enkelte kvalifikasjonskrav og det enkelte tildelingskriteriet.
Generelt kan man si at ved noen typer konkurranser så er det gjerne vanlig å etterspørre personopplysninger som CV ‘er eller referanser. Dette er gjerne personopplysninger som ikke inneholder særlige kategorier/sensitive personopplysninger, og som også gjerne er tilgjengelig andre steder (for eksempel på leverandør sine egne internettsider etc.). Ved denne type formål, og denne type personopplysninger, så vil behandlingsgrunnlaget kunne være berettiget interesse, jf. personvernforordningen art. 6. f). Det er viktig at man ved benyttelse av berettiget interesse kan dokumentere den interesseavveiningen som har funnet sted i konkurransen ved å etterspørre de konkrete personopplysningene.
(Når det gjelder en evt. kontroll med personopplysninger i ESPD så gjelder det særlige strenge krav, jf. personvernforordningen art. 10).
Personopplysninger skal ikke lagres slik at det er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene. Ved konkurransegjennomføring så vil man ikke behøve å ta vare på ikke-vinnende tilbud lengre enn karenstid og evt. søksmålsfrister i tvisteloven krever (normalt vil en sletting av ikke-vinnende tilbud senest skje når avtaleperioden for kontrakt er over). Det arbeides med rutiner for sletting av ikke-vinnende tilbud/sletting av personopplysninger man mottar ved konkurransegjennomføring, jf. avsnitt 1.3.
Kontrakt stiller gjerne krav som gjør at leverandør ved en kontroll skal sende inn informasjon på vegne av sine ansatte, dette er ofte omtalt som krav til «samfunnsansvar» i kontrakt. Krav til «samfunnsansvar» i vid forstand vil kunne omfatte alt fra krav til lønns- og arbeidsvilkår, krav til seriøsitetskrav i bygge bransjen, krav til bruk av lærlinger, krav til reserverte kontrakter og krav til inkluderte kontrakter, i tillegg til diverse minstekrav/minimumskrav som blir satt i den enkelte kontrakt, som for eksempel krav til autorisasjoner og språkkrav.
Når Bergen kommune stiller krav til leverandører i sine kontrakter kan disse kravene være hjemlet i lov (for eksempel forskrift om arbeidsvilkår i offentlige anskaffelser). Formålet med behandling av personopplysninger blir dermed å føre kontroll med at disse lovkravene oppfylles jf. personvernforordningen art. 6 c).
Bergen kommune kan også stille krav i sine kontrakter som ikke er hjemlet i lov, for eksempel krav til såkalte inkluderte kontrakter (bystyrevedtak 1198/17). Formålet med dette vedtaket er å fremme et inkluderende arbeidsliv gjennom en strategisk bruk av kommunen sine avtaler. Det som er en utfordring her er at en kontroll av leverandør ved inkluderte kontrakter vil kunne inneholde personopplysninger som inneholder særlige kategorier personopplysninger/helseopplysninger. En kontroll av personopplysninger vil kreve at man argumenterer og dokumentere svært godt hvorfor kommunen sin interesse for kontroll skal gå foran den enkelte sitt personvern (altså en evt. bruk av berettiget interesse, jf. personvernforordningen art. 6. f). Det vil i de fleste tilfeller ved kontroll av inkluderte kontrakter være mer korrekt å gjennomføre en kontroll ved å ha fokus på dataminimering/ikke samle inn personopplysninger. Alternativer kan da være: -Egenerklæring fra leverandør. -Motta anonymisert dokumentasjon. - Stedlig kontroll hvor personopplysninger kun blir observert.
Når Bergen kommune stiller som et minimumskrav til leverandører av vikarer at «vikarer har norskkunnskaper i henhold til tjenestens», så vil en kontroll med om dette kunne være berettiget interesse, jf. personvernforordningen art. 6. f).
Ved kontraktsoppfølging som innebefatter personopplysninger så må det altså gjøres en konkret vurdering av hvilket behandlingsgrunnlag som evt. finnes. Ved kontroll av leverandør/behandling av personopplysninger skal man alltid stille seg spørsmålet om hvorvidt innsamling av personopplysninger er nødvendig for å realisere formålet med behandlingen av personopplysninger, eller hvorvidt man like gjerne kan motta anonymiserte opplysninger etc.
Til en viss grad er kontroll av leverandør sentralisert for innkjøpsfunksjonen i Bergen kommune ved samfunnsansvarsgruppen ved Innkjøp konsern. Dette betyr at det er samfunnsansvarsgruppen som både har ansvar for at kontroll finner sted, og at personvernprinsippene i den forbindelse blir fulgt. For nærmere informasjon om ansvarfordeling innen dette arbeidet les internnotatet «Ansvarfordeling –samfunnsansvar i Bergen kommune fom. 2020» (BK360 referanse:2019/108668-5).
Personopplysninger skal ikke lagres slik at det er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene. Dette betyr at dersom man mottar personopplysninger ved kontroll av leverandør så må personopplysningen slettes når kontroll er ferdig gjennomført. Mercell/Bk 360 har en manuell prosedyre for sletting av personopplysninger, henholdsvis via Mercell Support og via Helpdesk. Det er et pågående arbeid både hos Mercell og Bk 360 for å få til bedre systemer for sletting/anonymisering av personopplysninger, jf. avsnitt 1.3. Dersom man mottar personopplysninger via kommunikasjonsmodulen i Mercell så må leverandør selv kontakte Mercell Support å få e-post slettet. Innkjøper/kontraktsforvalter må så kontakte Helpdesk og vise til tilsvarende journalpost i Bk 360 og få dokumentet slettet.
For at en leverandør skal kunne oppfylle en kontrakt så må man i noen tilfeller gi ut personopplysninger om beboere i kommunen til leverandør. Det kan for eksempel være informasjon om skolebarn, gjennom bruk av skole it-verktøyet «It`s Learning», eller informasjon om hjemmeboende eldre til leverandør av middagsmat. I disse tilfellene så er det viktig at vi sikrer at personopplysningen vi gir fra oss blir behandlet korrekt, dette kan vi sikre oss ved å benytte en databehandleravtale. Jf. personvernforordningen art. 28. Databehandleravtalen ligger som et eget bilag til kontrakt i Mercell. (For en nærmere gjennomgang les om «Databehandleravtalen» på Allmenningen).
Ved en anskaffelse av ikt-systemer/digital teknologi er det viktig å tenke på at selve systemet innehar nødvendig sikkerhet med tanke på personvern (i tillegg til at de konkrete personopplysningene som blir lagt inn i systemet blir behandlet korrekt/i henhold til databehandleravtalen). Innebygget personvern og informasjonssikkerhet som standardinnstilling skal være prioritet i alle IKT-anskaffelser. Jf. personvernforordningen art. 25. Alle som gjør en anskaffelse av et ikt-system skal derfor allerede ved oppstart av anskaffelsesprosessen gjøre en risikoanalyse av systemet. Jf. personvernforordningen art.24/32. Dersom ROS-analysen avdekker at systemet vil inneha personopplysninger som mest sannsynlig vil medføre høy risiko for personers rettigheter skal det i tillegg gjøres en personvernkonsekvensvurdering (DPIA). Jf. personvernforordningen art.35. En DPIA skal resultere i en rapport som skal danne grunnlag for om den aktuelle behandlingen av personopplysninger kan gjennomføres eller ikke. (For nærmere informasjon om DPIA og ROS-analyse les om dette på Allmenningen).
Personopplysninger skal ikke lagres slik at det er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene.
Dersom man mottar personopplysninger fra leverandør så krever Mercell/Bk 360 en manuell prosedyre for sletting av personopplysninger, henholdsvis via Mercell Support og via Helpdesk. Det er et pågående arbeid både hos Mercell og Bk 360 for å få til bedre systemer for sletting/anonymisering av personopplysninger, jf. avsnitt 1.3./2.2.1./2.2.2. Så snart arbeidet med forbedrede rutiner for sletting/anonymisering er gjennomført vil de oppdaterte rutinene bli tatt inn i dette dokumentet.
Dersom man har levert ut personopplysninger til en leverandør, via en databehandleravtale, så er det viktig at man ved kontraktavslutning forsikrer seg om at personopplysningen blir slettet hos leverandør. Dersom leverandør i kontraktsperioden har behandlet personopplysninger som er blitt endret/oppdaterte så er det viktig at man mottar disse oppdaterte personopplysningene før de blir slettet.
Personvernombudet i Bergen kommune har utarbeidet en protokoll som skal fylles ut i forbindelse med behandling av personopplysninger. Jf. personvernforordningen art. 30. Denne protokollen skal fylles ut for hver enhet/avdeling/tjenestested, og ikke for funksjonen innkjøp (Innkjøp konsern fyller ut sin egen protokoll, mens innkjøpere på andre avdelinger fyller ut sin protokoll sammen med evt. andre personopplysninger som blir behandlet på deres avdeling). Det er ikke behov for å fylle inn hver eneste kontrakt i protokollen men man skal fylle ut en fellespost for de ulike kategoriene dere behandler informasjon om. Les mer om protokoll på Allmenningen, og/eller Bergen kommune sine internettsider: https://www.bergen.kommune.no/hvaskjer/tema/personvern/personvernerklaring-for-bergen-kommune
Personvernombudet har også et elektronisk meldeskjema for behandling av personopplysninger. Dette skjemaet skal man benytte for å melde inn enkeltsaker/få bistand fra Personvernombudet. Skjema for melding om behandling av personopplysninger finner man på Allmenningen: https://allmenningen.bergen.kommune.no/ansatthjelpen/virksomhetsstyring/internkontroll/informasjonssikkerhet-og-personvern/personvern/melding-om-behandling-av-personopplysninger
Innkjøp konsern er ansvarlig for kontrakten med Mercell. Mercell er meldt inn til Personvernombudet av Innkjøp konsern, og dette er derfor ikke noe den enkelte innkjøper/kontraktsforvalter trenger å gjøre