Rättslig grund för personuppgiftsbehandling i upphandlingsprocessen
Publicerad 13 september 2018
Hej!
Den här frågan rör personuppgiftsbehandling och GDPR.
Jag undrar vilken rättslig grund som är lämplig att använda sig av i upphandlingsprocessen?
De registrerade som lämnar ifrån sig personuppgifter har ju rätt att veta med vilken rättslig grund personuppgifterna behandlas. Vi har diskuterat om den rättsliga grunden "Avtal" är mest lämplig eller om vi ska stödja vår behandling på någon annan grund. Det är ju inte alla anbud som leder till att ett avtal tecknas.
Hur bör vi tänka ?
Den här frågan rör personuppgiftsbehandling och GDPR.
Jag undrar vilken rättslig grund som är lämplig att använda sig av i upphandlingsprocessen?
De registrerade som lämnar ifrån sig personuppgifter har ju rätt att veta med vilken rättslig grund personuppgifterna behandlas. Vi har diskuterat om den rättsliga grunden "Avtal" är mest lämplig eller om vi ska stödja vår behandling på någon annan grund. Det är ju inte alla anbud som leder till att ett avtal tecknas.
Hur bör vi tänka ?
Mikael Åskog
Publicerad 13 september 2018
Hej Mikael.
Det är anbudsgivaren som är personuppgiftsansvarig för inlämnade personuppgifter. Anbudsgivaren ansvarar för att personuppgifterna om anställda utförs på ett lagligt sätt. Laglig grund hos anbudsgivaren kan härledas till anställningsavtalet (exempelvis laglig grund avtal enligt artikel 6.1.b alt berättigat intresse i 6.1.f i dataskyddsförordningen). Informationsplikten till anbudsgivarens anställda säkerställs bl.a. i anställningsavtal och dataskyddspolicy hos anbudsgivaren. Myndigheten behöver inte särskilt informera leverantörens anställda då t.ex. ett CV inkommer i en upphandling. Däremot ska det ju på en myndighet finnas en dataskyddspolicy som informerar om hur myndigheten behandlar personuppgifter, hur länge de sparas, om tredjelandsöverföring finns osv.
När organisationen sedan får in uppgifterna, blir den personuppgiftsansvarig för hanteringen av inkomna personuppgifter och måste följa regler om handlingsoffentlighet, offentlighets- och sekretesslagen (OSL), arkivregler som finns och regler om upphandlingssekretess. Organisationen har laglig grund att behandla personuppgifterna - exempelvis rättslig förpliktelse eller eventuella avtal som du nämner beroende på behandling.
Med vänlig hälsning,
Det är anbudsgivaren som är personuppgiftsansvarig för inlämnade personuppgifter. Anbudsgivaren ansvarar för att personuppgifterna om anställda utförs på ett lagligt sätt. Laglig grund hos anbudsgivaren kan härledas till anställningsavtalet (exempelvis laglig grund avtal enligt artikel 6.1.b alt berättigat intresse i 6.1.f i dataskyddsförordningen). Informationsplikten till anbudsgivarens anställda säkerställs bl.a. i anställningsavtal och dataskyddspolicy hos anbudsgivaren. Myndigheten behöver inte särskilt informera leverantörens anställda då t.ex. ett CV inkommer i en upphandling. Däremot ska det ju på en myndighet finnas en dataskyddspolicy som informerar om hur myndigheten behandlar personuppgifter, hur länge de sparas, om tredjelandsöverföring finns osv.
När organisationen sedan får in uppgifterna, blir den personuppgiftsansvarig för hanteringen av inkomna personuppgifter och måste följa regler om handlingsoffentlighet, offentlighets- och sekretesslagen (OSL), arkivregler som finns och regler om upphandlingssekretess. Organisationen har laglig grund att behandla personuppgifterna - exempelvis rättslig förpliktelse eller eventuella avtal som du nämner beroende på behandling.
Med vänlig hälsning,
Arash
05 oktober 2018 (Uppdaterat 01 mars 2023)
Fråga oss!
Våra öppettider gäller endast på helgfria dagar.