Till senaste kommentaren

Hur hanteras inkomna CV:n i en upphandling i förhållande till GDPR?

Hej! Jag har lite frågor kring GDPR.

Vid en upphandling som kräver inskickande av CV, vem är då skyldig att få personens godkännande? Är det den anbudsgivare som skickar in CV:t eller ska upphandlande myndighet begära att få godkännande från den som CV:t gäller?

Hur ska jag hantera inkomna CV:n? Hur ska dessa registreras? Ska jag överhuvudtaget bevara registrera dem och bevara dem om de inte tillhör vinnande anbud?

Hur ska jag hantera personuppgifter som kommer in via Tendsign, som CV:n, Egenförsäkran. Är det jag som ska radera? Vem har de kommit till, är det upphandlande myndighet som ska radera eller har företaget som tillhandahåller Upphandlingsverktyget något ansvar?

Kommentarer

  • Hej Jeanna,

    Anbudsgivaren ansvarar för att de personuppgifter som inkluderas i ett anbud och skickas in till myndigheten också är godkända av berörda personer. Hur sedan myndigheten fortsättningsvis hanterar handlingarna efter att de inkommit myndigheten är myndighetens ansvar.

    Enligt offentlighetsprincipen blir inkomna anbud allmän handling hos myndigheten. Offentlighetsprincipen gäller före GDPR. Anbud ska alltså hanteras och gallras enligt normala rutiner, arkivlagen och Riksarkivets föreskrifter.

    Tendsign hanterar de personuppgifter som inkommer i era ärenden eller som ni på annat sätt tillhandahållit dem (exempelvis kontaktuppgifter hos myndigheten) som ert personuppgiftsbiträde och ni är personuppgiftsansvariga för uppgifterna. Personuppgiftsbiträdet och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige, det innebär att det är ni som myndighet som ska instruera Tendsign hur de ska hantera personuppgifterna. Detta sker genom att ni upprättar ett personuppgiftsbiträdesavtal. En nyhet i GDPR är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud. Vidare kan även personuppgiftsbiträdet bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsskyldig.

    Med vänliga hälsningar,
    Erika Upphandlingsjurist
  • Hej,

    Ofta får vi förfrågan om att lämna ut anbudshandlingar. Hur ska vi tänka där när det gäller utlämning av CV där personuppgifter kan stå? Är vi då skyldiga att maskera det enligt GDPR lagen?
    Katarina
  • Hej Katarina,

    En liknande fråga har tidigare besvarats i vår Frågeportal, se inlägget GDPR och utlämnande av handlingar eller anbud.

    För frågor som rör tillämpning av GDPR och näraliggande frågor hänvisar vi i första hand till Datainspektionen. Datainspektionen har en tjänst där de tar emot och besvarar frågor.

    Med vänlig hälsning,
    Erika Upphandlingsjurist

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post visas aldrig publikt.

Här kan du läsa om hur hur Upphandlingsmyndigheten behandlar personuppgifter i Frågeportalen.