Hur hanteras inkomna CV:n i en upphandling i förhållande till GDPR?
Publicerad 02 mars 2018
Hej! Jag har lite frågor kring GDPR.
Vid en upphandling som kräver inskickande av CV, vem är då skyldig att få personens godkännande? Är det den anbudsgivare som skickar in CV:t eller ska upphandlande myndighet begära att få godkännande från den som CV:t gäller?
Hur ska jag hantera inkomna CV:n? Hur ska dessa registreras? Ska jag överhuvudtaget bevara registrera dem och bevara dem om de inte tillhör vinnande anbud?
Hur ska jag hantera personuppgifter som kommer in via Tendsign, som CV:n, Egenförsäkran. Är det jag som ska radera? Vem har de kommit till, är det upphandlande myndighet som ska radera eller har företaget som tillhandahåller Upphandlingsverktyget något ansvar?
Vid en upphandling som kräver inskickande av CV, vem är då skyldig att få personens godkännande? Är det den anbudsgivare som skickar in CV:t eller ska upphandlande myndighet begära att få godkännande från den som CV:t gäller?
Hur ska jag hantera inkomna CV:n? Hur ska dessa registreras? Ska jag överhuvudtaget bevara registrera dem och bevara dem om de inte tillhör vinnande anbud?
Hur ska jag hantera personuppgifter som kommer in via Tendsign, som CV:n, Egenförsäkran. Är det jag som ska radera? Vem har de kommit till, är det upphandlande myndighet som ska radera eller har företaget som tillhandahåller Upphandlingsverktyget något ansvar?
Jeanna Linton-Wahlgren
Publicerad 02 mars 2018
Hej Jeanna,
Anbudsgivaren ansvarar för att de personuppgifter som inkluderas i ett anbud och skickas in till den upphandlande organisationen också är godkända av berörda personer. Hur sedan organisationen fortsättningsvis hanterar handlingarna efter att de inkommit är organisationens ansvar.
Enligt offentlighetsprincipen blir inkomna anbud allmän handling hos organisationen. Offentlighetsprincipen gäller före GDPR. Anbud ska alltså hanteras och gallras enligt normala rutiner, arkivlagen och Riksarkivets föreskrifter.
Tendsign hanterar de personuppgifter som inkommer i era ärenden eller som ni på annat sätt tillhandahållit dem (exempelvis kontaktuppgifter hos organisationen) som ert personuppgiftsbiträde och ni är personuppgiftsansvariga för uppgifterna. Personuppgiftsbiträdet och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige, det innebär att det är ni som upphandlande organisation som ska instruera Tendsign hur de ska hantera personuppgifterna. Detta sker genom att ni upprättar ett personuppgiftsbiträdesavtal. En nyhet i GDPR är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud. Vidare kan även personuppgiftsbiträdet bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsskyldig.
Med vänlig hälsning,
Anbudsgivaren ansvarar för att de personuppgifter som inkluderas i ett anbud och skickas in till den upphandlande organisationen också är godkända av berörda personer. Hur sedan organisationen fortsättningsvis hanterar handlingarna efter att de inkommit är organisationens ansvar.
Enligt offentlighetsprincipen blir inkomna anbud allmän handling hos organisationen. Offentlighetsprincipen gäller före GDPR. Anbud ska alltså hanteras och gallras enligt normala rutiner, arkivlagen och Riksarkivets föreskrifter.
Tendsign hanterar de personuppgifter som inkommer i era ärenden eller som ni på annat sätt tillhandahållit dem (exempelvis kontaktuppgifter hos organisationen) som ert personuppgiftsbiträde och ni är personuppgiftsansvariga för uppgifterna. Personuppgiftsbiträdet och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige, det innebär att det är ni som upphandlande organisation som ska instruera Tendsign hur de ska hantera personuppgifterna. Detta sker genom att ni upprättar ett personuppgiftsbiträdesavtal. En nyhet i GDPR är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud. Vidare kan även personuppgiftsbiträdet bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsskyldig.
Med vänlig hälsning,
Erika
Jurist
08 mars 2018 (Uppdaterat 01 mars 2023)
Hej,
Ofta får vi förfrågan om att lämna ut anbudshandlingar. Hur ska vi tänka där när det gäller utlämning av CV där personuppgifter kan stå? Är vi då skyldiga att maskera det enligt GDPR lagen?
Ofta får vi förfrågan om att lämna ut anbudshandlingar. Hur ska vi tänka där när det gäller utlämning av CV där personuppgifter kan stå? Är vi då skyldiga att maskera det enligt GDPR lagen?
Katarina
18 december 2018
Hej Katarina,
En liknande fråga har tidigare besvarats i vår Frågeportal, se inlägget GDPR och utlämnande av handlingar eller anbud.
För frågor som rör tillämpning av GDPR och näraliggande frågor hänvisar vi i första hand till Integritetsskyddsmyndigheten.
Med vänlig hälsning,
En liknande fråga har tidigare besvarats i vår Frågeportal, se inlägget GDPR och utlämnande av handlingar eller anbud.
För frågor som rör tillämpning av GDPR och näraliggande frågor hänvisar vi i första hand till Integritetsskyddsmyndigheten.
Med vänlig hälsning,
Erika
Jurist
21 december 2018 (Uppdaterat 21 januari 2021)
Fråga oss!
Frågeservice är stängt den 29 april på grund av verksamhetsutveckling. På grund av en stor mängd inkomna frågor har vi just nu längre svarstider i Frågeportalen.