Dataskyddsombud som tjänst

Vänersborgs kommun inbjuder er att lämna anbud på direktupphandling.

Anbud lämnas via systemet Visma direktupphandlingar.

Eventuella frågor ställs i systemet

Kontaktperson för upphandlingen:

Olof Borgmalm

olof.borgmalm@vanersborg.se

0521 - 72 23 92

Anbudets giltighet

Anbudet ska vara giltigt i tre månader efter sista anbudsdag.

Upphandlande myndighet

Vänersborgs kommun (org.nr. 212000-1538). Den upphandlande myndigheten benämns "kommunen" i detta underlag.

Upphandlingsförfarande

Upphandlingen genomförs som en direktupphandling enligt Lagen om offentlig upphandling.

Besked om resultat

Efter avslutad anbudsutvärdering fattas beslut som visar vilken anbudsgivare som antages. 

Meddelande om detta skickas ut till samtliga anbudsgivare.

Offentlighet och sekretess

Absolut sekretess råder fram till dess att tilldelningsbeslut har fattats.

För kommersiell sekretess till skydd för uppgifter i ett anbud krävs att uppgifterna avser affärs- och driftförhållanden för anbudsgivaren samt att det av särskild anledning kan antas att anbudsgivaren lider skada om uppgifterna röjs.

Alla handlingar som inkommit till myndighet/kommun blir allmän handling. Efter tilldelningsbeslut blir anbuden offentlig handling och kan endast i undantagsfall sekretessbeläggas i enlighet med offentlighets- och sekretesslagen (SFS 2009:400).

Prisuppgifter ingående i prövningen/utvärderingen kan ej sekretessbeläggas. Begäran om generell sekretess av hela eller stora delar av anbud accepteras ej.

Den anbudsgivare som anser att de uppgifter som lämnats i anbudet uppfyller villkoren för kommersiell sekretess ska skriftligen inkomma med begäran om kommersiell sekretess innehållande en precisering av vilka uppgifter som avses samt vilken skada hen skulle lida om uppgifterna röjs.

Observera att prövning av sekretess sker först när någon begär att få ta del av uppgifterna. Sekretessprövning kan aldrig göras i förväg.

Vi vill betona att om kommunen gör en bedömning av att sekretess föreligger kan kommunens beslut överklagas, i första hand till kammarrätten. Garantier för att uppgifter inte kommer att lämnas ut kan därför inte ges. 

Krav på registreringar m.m.

Anbudsgivare ska vara registrerade för redovisning av mervärdesskatt och inneha F-skattebevis samt vara fri från skulder för skatter och andra sociala avgifter. I det fall anbudsgivaren avser att använda underleverantörer ska även dessa företag uppfylla ställda krav.

Teknisk och yrkesmässig kapacitet

Anbudsgivare ska inneha och kunna visa att de har dokumenterade resurser, kompetens och erfarenhet att utföra uppdraget. 

Avtal

Bindande avtal mellan parterna uppstår först sedan kommunen och leverantören undertecknat särskilt upprättade skriftliga kontrakt.

Pris ska avges exklusive moms.

KRAVSPECIFIKATION

Uppdragsbeskrivning

Vänersborgs kommun avser att anlita en extern konsulttjänst som dataskyddsombud. Uppdraget innebär att leverera dataskyddsombudsrollen så som den beskrivs i artikel 39 i Europaparlamentets och rådets förordning (EU) 2016/679 (dataskyddsförordningen).

Uppdraget omfattar rollen som dataskyddsombud för Vänersborgs kommun, i enlighet med artikel 39 i dataskyddsförordningen.

1. Dataskyddsombudet ska ha minst följande uppgifter:

a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om

deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

För att åtagandet enligt punkt 1. a) ska anses uppfyllt ska anbudsgivaren som minimum:

- årligen upprätta en skriftlig rapport till respektive nämnd innehållande en nulägesbeskrivning samt en

sammanställning över förvaltningens/bolagets brister och utvecklingsbehov. Rapporten ska grunda sig i och utgå från gällande

lagstiftning samt kommunens/bolagens riktlinjer.

- ge löpande rådgivning i den mån det behövs för att uppfylla dataskyddslagstiftningen.

b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och

av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning,

information till och utbildning av personal som deltar i behandling och tillhörande granskning.

För att åtagandet enligt punkt 1. b) ska anses uppfyllt ska anbudsgivaren som minimum:

- vid ett (1) tillfälle årligen besöka respektive nämnd för att utöva tillsyn på plats avseende

kommunens/bolagets efterlevnad av dataskyddsförordningen. Tid för tillsynsbesöken uppskattas till två (2) till fyra (4) timmar

för vardera nämnd/bolagsstyrelse exklusive för- och efterarbete. Tillsynsbesök sker efter överenskommelse med beställaren.

- utifrån genomförd tillsyn informera om de brister som har identifierats avseende hanteringen av personuppgifter.

c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt

artikel 35.

d) Att samarbeta med tillsynsmyndigheten.

e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i

artikel 36, och vid behov samråda i alla andra frågor.

2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med

behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Observera att i enlighet med rubrik 6. i Allmänna villkor -  Ersättning och betalningsvillkor ersätts utförandet av punkterna a, b,  d och e ovan med ett fast månadspris. Punkt c ovan ersätts med timpris. Beställaren ska dock alltid skriftligen godkänna timprisbaserade uppdrag och dess omfattning innan de påbörjas.

Tjänster utöver artikel 39

Utöver upptagna tjänster enligt artikel 39 ska dataskyddsombudet även tillhanda nedanstående tjänster.

3. Dataskyddsombudet ska efter begäran biträda vid utredning av misstänkta personuppgiftsincidenter. Enklare rådgivning vid personuppgiftsincidenter ska ingå i punkten 1.a ovan (ingår i fast månadspris).

4. Dataskyddsombudet ska efter begäran bistå Vänersborgs kommun med att upprätta rutiner och mallar avseende

dataskyddsfrågor.

Ovanstående tjänster avropas efter behov och ersätts med timpris enligt rubrik 6. i Allmänna villkor -  Ersättning och betalningsvillkor. Beställaren ska dock alltid skriftligen godkänna timprisbaserade uppdrag och dess omfattning innan de påbörjas.

Uppstartsmöte

Anbudsgivaren ska, utan särskild ersättning, medverka vid ett startmöte vilket Vänersborgs kommun kallar till. Startmötet kommer

att ske i Vänersborgs kommuns lokaler. Offererat dataskyddsombud ska delta vid startmötet. Mötets tidsåtgång uppskattas till minst

fyra ﴾4﴿ timmar.

Dataskyddsombud och kontaktperson

Kontaktuppgifter

Anbudsgivaren ska vara dataskyddsombud och utse en kontaktperson. Information kommer att skickas ut till tillsynsmyndigheten

om vem som är dataskyddsombud och dess kontaktperson.

Samma information kommer även göras tillgänglig för allmänheten att ta del av under hela avtalsperioden.

Kontaktperson

Kontaktpersonen ska vara ytterst ansvarig för att handläggandet av uppdraget genomförs på ett korrekt och adekvat sätt. Fler

konsulter hos anbudsgivaren kan involveras i uppdraget med förbehållet att kontaktpersonen ska vara ytterst ansvarig för övriga konsulters arbete.

Utbildning och erfarenhet

Dataskyddsombudets kontaktperson ska uppfylla nedanstående krav.

Kontaktpersonen ska ha juristexamen.

Kontaktpersonen ska ha minst två (2) års erfarenhet av konsultativt arbete i frågor rörande personuppgifts och/eller

dataskyddslagstiftning.

Kontaktpersonen ska ha god kännedom om rättspraxis inom dataskydd på nationell och EU-nivå

samt en djup förståelse för den allmänna dataskyddsförordningen.

Anbudsgivare ska namnge dataskyddsombudets kontaktperson samt bifoga CV för denne där det tydligt framgår att ovanstående

krav uppfylls.

Referensuppdrag dataskyddsombudets kontaktperson

Dataskyddsombudets kontaktperson ska lämna ett (1) referensuppdrag. Referensuppdraget ska avse;

- ett (1) uppdrag där dataskyddsombudets kontaktperson innehaft rollen som dataskyddsombud/dataskyddsombudets

kontaktperson för en organisation inom offentlig sektor alternativt,

- ett (1) uppdrag där dataskyddsombudets kontaktperson har utrett och gett rådgivning till en organisation inom offentlig sektor i

minst fem (5) juridiska frågor av betydande storlek kopplade till den allmänna dataskyddsförordningen. Allmän rådgivning via

telefon anses ej vara av betydande storlek. Referensuppdraget ska innehålla en kortfattad redovisning över rådgivningen i minst fem (5) juridiska frågor av betydande storlek kopplade till den allmänna dataskyddsförordningen.

Det är anbudsgivarens ansvar att kontrollera att lämnade uppgifter är aktuella.

Lämnad kontaktperson för referensuppdraget ska kunna verifiera att lämnade uppgifter är korrekta.

Beställarens organisation

Vänersborgs kommun har drygt 39 000 invånare och ungefär 3 600 anställda.

Uppdraget avser rollen som dataskyddsombud i kommunens samtliga nämnder.

I kommunen finns nio nämnder (inklusive kommunstyrelsen) och sju förvaltningar.

För mer information om kommunen, se kommunens hemsida: www.vanersborg.se.

Resultat

Att anlita en extern konsulttjänst som dataskyddsombud som säkerställer att Vänersborgs kommun följer kraven i gällande dataskyddslagstiftning.

Tidplan/Leveranstid

Uppdraget ska kunna startas omgående efter beslut om tilldelning.

Tjänsten ska kunna erbjudas under 1 år med möjlighet till 1 års förlängning i beställarens val.

Utvärdering av anbud

Anbuden kommer utvärderas med utgångspunkt i en bedömning av det bästa förhållandet mellan pris och kvalitet (ekonomiskt mest fördelaktigt). Den anbudsgivare som lämnar det mest ekonomiskt fördelaktiga anbudet och uppfyller samtliga krav enligt kravspecifikationen kommer erhålla avtalet.