Kommentaren du söker har flyttats till en ny diskussion, eller är borttagen.

Personuppgiftsbehandling i samband med upphandling (GDPR)

Finns det förslag på en standardtext som man kan lägga in i upphandlingar som beskriver t ex syftet, behandlingen och gallringsplanen för de personuppgifter som upphandlande myndighet insamlar i samband med en upphandling?

Kommentarer


  • Hej Erik,

    Nej, i vart fall Upphandlingsmyndigheten har inte utformat något sådant förslag till standardtext. Det bör övervägas om en sådan detaljerad beskrivning är nödvändig redan i upphandlingsdokumenten. I de allra flesta fall borde det vara tillräckligt att detta specificeras i det personuppgiftsbiträdesavtal som tecknas med den vinnande leverantören. En mall för personuppgiftsbiträdesavtal utan specifikation av detaljer är dock bra om den bifogas upphandlingsdokumenten. För vidare information om utformning av personuppgiftsbiträdesavtal, se Datainspektionens webbplats.

    Med vänlig hälsning,
    Gustav Upphandlingsjurist
  • Kommer ni att ta fram en sådan "mall"?
    Erica
  • Hej Erica,

    Nej, vi kommer inte ta fram en mall för personuppgiftsbiträdesavtal.

    Med vänlig hälsning,
    Gustav Upphandlingsjurist
  • Jag syftade inte på ett personuppgiftsbiträdesavtal, utan en slags mall för att säkerställa att de vars personuppgifter som skickas till oss i CV och referensuppdrag får information om att vi behandlar deras personuppgifter, där det framgår vilket rättslig grund osv. Detta bör ju anbudsgivare få information om när anbud inkommit.
    Erica
  • Hej Erica,

    Nej, vi kommer inte ta fram sådana mallar.

    Med vänlig hälsning,
    Gustav Upphandlingsjurist
  • Hej,

    Jag önskar väcka liv i denna fråga igen då UM nog missförstått frågan. Vad ska anges i något av upphandlingsdokumenten kopplat till den upphandlande myndigheten/enhetens informationsansvar gällande personuppgifter som lämnas in vid anbudslämning? I upphandlingar där personuppgiftsbiträdesavtal inte ska tecknas.
    Sanna
  • Hej,

    Det finns ingen skyldighet att lämna information i upphandlingsdokumenten om hur personuppgifter i anbud kommer att behandlas på den upphandlande myndigheten eller enheten. Inkomna anbud omfattas av offentlighetsprincipen och reglerna om allmän handling. Dessa regler har företräde framför dataskyddsförordningens bestämmelser (artikel 86).
    Dataskyddsförordningen, inklusive informationsplikten, blir därför inte tillämpligt i detta sammanhang.

    Däremot skadar det inte att i samband med annan information i upphandlingsdokumenten, till exempel om offentlighet och sekretess, även hänvisa till myndighetens dataskyddspolicy.

    Med vänlig hälsning,
    Anna Lönnerberg Strateg
  • Hej igen,

    Anna jag får nog be er titta över ert svar och denna fråga ett varv till. Art 86 i GDPR talar väl bara om att allmänna handlingar på myndigheter får lämnas ut i enlighet med respektive medlemsstats nationella rätt. Den innebär väl således att myndigheten/enheten inte kan neka ett utlämnande av allmän handling med hänvisning till GDPR. I övrigt borde GDPR gälla fullt ut inkl. informationsskyldigheten. Alltså gäller informationsplikt enligt GDPR även vid anbudslämning och frågan blir då fortfarande vad som måste informeras om härvid. Om vi följer detta svar från UHM och tar bort all information om hur vi hanterar personuppgifter i samband med anbudslämning så är det viktigt att det verkligen är korrekt.
    Sanna
  • Hej Sanna,

    Det är Upphandlingsmyndighetens uppfattning att svaret är korrekt. Anbud som skickas in till myndigheten blir inkommen handling och omfattas av bland annat sekretesslagstiftningen. När tilldelningsbeslutet offentliggörs blir handlingarna allmänna handlingar och offentlighetsprincipen gäller. Den regleringen är undantagen i vår nationella reglering och gäller före dataskyddsförordningen.

    För övrigt fullgörs informationsplikten av anbudsgivaren, som arbetsgivare till sin personal, då CV etc. bifogas anbudet. Någon information behöver inte lämnas specifikt till leverantörer som frivilligt lämnar in anbud där personuppgifter framgår. Myndighetens behandling av personuppgifter framgår i respektive dataskyddspolicy/integritetspolicy.

    Hos Datainspektionen finns mer information om Dataskyddsförordningen och du har även möjlighet att ställa frågor direkt till dem.
    Anna Lönnerberg Strateg

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post visas aldrig publikt.