I forbindelse med udbud beskæftiger både tilbudsgivere og ordregivere sig med oplysninger om f.eks. strafbare forhold hos tilbudsgivernes ledelsesmedlemmer og andre såkaldte følsomme personoplysninger. Men betyder det, at man som ordregiver og/eller tilbudsgiver skal gøre noget aktivt for at overholde persondatarettens regler – og i så fald hvad? Denne artikel belyser samspillet mellem persondataretten og udbudsretten, der begge (fortsat) er i rivende udvikling.
Persondataloven – helt overordnet
Formålet med persondataretten er blandt andet at beskytte følsomme personoplysninger, f.eks. at en person er tidligere straffet. Dette gøres blandt andet ved hjælp af regler for, hvordan man skal behandle og opbevare oplysningerne, samt i nogle tilfælde gennem en pligt til at registrere, hvordan oplysningerne behandles. En følsom personoplysning kan eksempelvis være oplysningen om, at en person er tidligere straffet.
Hvorfor er persondatalovens regler vigtige i forbindelse med udbud?
Udbudslovens udelukkelsesgrunde taget i betragtning bør både ordregivere og tilbudsgivere være opmærksomme på, at de vil kunne komme til at skulle håndtere følsomme personoplysninger – efter omstændighederne allerede i forbindelse med tilbudsafgivelsen og/eller i forbindelse med fremsendelse af dokumentationen for f.eks. ESPD-erklæringens indhold.
Persondataloven omfatter alene oplysninger om fysiske personer. Det betyder, at eksempelvis oplysninger om de tilbudsgivende virksomheders eventuelle strafbare forhold ikke giver anledning til persondataretlige overvejelser, men altså alene oplysninger om strafbare forhold hos virksomhedernes ledelsesmedlemmer eller i øvrigt andre personfølsomme oplysninger.
Oplysningen om, at et ledelsesmedlem f.eks. er tidligere straffet for et af de konkrete strafbare forhold nævnt i udbudslovens § 135, stk. 1, er som nævnt ovenfor en følsom personoplysning. Det betyder, at der skal tages særlige forholdsregler for, hvordan den pågældende oplysning indhentes, videregives og opbevares. Derudover er der en pligt til at anmelde det til Datatilsynet, hvis man indhenter følsomme personoplysninger om strafbare forhold.
Hvad skal man gøre som tilbudsgiver?
En ren straffeattest er ikke en følsom personoplysning, men som tilbudsgiver ved med ikke, om straffeattesten er ren eller ej, når man indhenter den og dermed heller ikke på det tidspunkt, hvor anmeldelsen til Datatilsynet skal foretages. Tilbudsgivere bør derfor allerede ved udfyldelse af ESPD'et – hvor man (i hvert fald i teorien og som en generel anbefaling) indhenter oplysninger fra de enkelte ledelsesmedlemmer om, hvorvidt de er straffet, og senere i forbindelse med indhentelse af serviceattesten eller anden dokumentation – være opmærksomme på, om der skal ske anmeldelse til Datatilsynet.
I januar 2017 blev det muligt at få oplysninger også om udenlandske ledelsesmedlemmers eventuelle strafbare forhold inkorporeret i serviceattesten, og ifølge Konkurrence- og Forbrugerstyrelsen medfører anvendelsen af en serviceattest i stedet for indhentelse af straffeattester, at der ikke skal ske anmeldelse til Datatilsynet.
Læs mere om Erhvervsstyrelsens ændring af serviceattesten
Det kan dog diskuteres, om Konkurrence- og Forbrugerstyrelsens opfattelse (altid) er korrekt. Som altovervejende hovedregel skal der ske anmeldelse af behandling af følsomme personoplysninger til Datatilsynet, og en sådan anmeldelsespligt indtræder allerede forud for behandlingen. Viser det sig derfor, at et eller flere ledelsesmedlemmer er tidligere dømt, og virksomheden derved får oplysning om et konkret strafbart forhold, skulle indhentelsen af oplysningerne have været anmeldt til Datatilsynet.
Alle tilbudsgivere bør derfor efter vores opfattelse foretage en anmeldelse til Datatilsynet, når de indhenter oplysninger om ledelsesmedlemmers eventuelle strafbare forhold herunder henset til, at processen er relativ enkel at gennemføre, og at man derved undgår at ende i en tvivlssituation.
Fordelen herved er også, at tilbudsgivere som led i den generelle personaleadministration sikrer sig at have foretaget en generel anmeldelse til Datatilsynet om behandlingen af følsomme personoplysninger om medarbejdere, hvilket er en forpligtelse, som tilbudsgivere (også) har som følge af deres arbejdsgiverrolle. En sådan anmeldelse vil (og bør) derfor i mange tilfælde allerede være foretaget, og ellers vil man i en sådan anmeldelse kunne sikre, at behandling af oplysninger om strafbare forhold inkluderes. Dermed er udbudssituationen også omfattet.
Datatilsynet har udarbejdet en
standardanmeldelse til brug for personaleadministration, som nemt kan tilgås og indgives via Datatilsynets hjemmeside.
Hvad skal man gøre som ordregiver?
Også ordregivere vil kunne (og skulle) modtage oplysninger om en persons strafbare forhold – særligt ved indhentelse af straffeattester for udenlandske virksomheders ledelsesmedlemmer eller i øvrigt ved modtagelse af personrelateret dokumentation.
I forhold til anmeldelsespligten kan ordregivere indlevere en generel anmeldelse til Datatilsynet af en database om behandlingen af udbud og angive, at denne (også) omfatter oplysninger om strafbare forhold hos leverandørernes ledelsesmedlemmer (eller andre nøglemedarbejdere). Datatilsynet har – blandt andet til brug for udbud – udarbejdet en anmeldelseskladde, som giver mulighed for at foretage én samlet anmeldelse.
Se Datatilsynets anmeldelseskladde
Opsamling: Husk anmeldelsespligten
Både tilbudsgivere og ordregivere bør huske anmeldelsespligten – også i forbindelse med udbud. Det kan dog håndteres ved relativt simple forholdsregler, som der måske allerede er taget højde for i forbindelse med tidligere anmeldelser, eller som med fordel kan indgå i en generel anmeldelse af alle nødvendige forhold.
Hvad sker der i fremtiden?
Persondataforordningen træder i kraft pr. 25. maj 2018 og vil medføre en række ændringer, hvoraf de vigtigste er:
- Datatilsynet vil kunne komme på uanmeldt inspektion med henblik på at undersøge, om persondatareglerne er overholdt.
- Datatilsynets sanktionsmuligheder bliver skærpet, og en manglende overholdelse af persondataforordningen vil kunne føre til alt fra påbud, advarsler og kritiske udtalelser til bøder på op til 2-4 % af virksomhedens samlede globale årsomsætning på koncernniveau.
- Det er uvist, om der fortsat vil gælde en anmeldelsespligt.
Hvis du vil vide mere om persondataretten generelt, er du velkommen til kontakte vores specialister inden for området, Tina Brøgger Sørensen og Daiga Grunte-Sonne, eller læse mere om persondataret på vores
hjemmeside.
Følg derudover med, når vi senere på året følger op med en artikel om persondataforordningens rolle i udbud.
[layerslider id="67"]
