Hur länge ska handlingar förvaras i och med GDPR?
Publicerad 14 maj 2018
I 12 kap. 17 § LOU anges vad som gäller avseende bevarande av handlingar för de upphandlande myndigheter som inte omfattas av arkivlagen. Där anges bl a att anbud och anbudsansökningar med tillhörande beskrivningar mm ska bevaras minst fyra år från den dag då kontraktet tilldelades. Vidare anges att kontrakt eller ramavtal ska bevaras åtminstone under sin löptid.
Vid upphandlingar samt vid avrop från ramavtal rörande konsulter är det till exempel vanligt förekommande att CV:n på konsulter som erbjuds ingår och i de avropsavtal som ingås efter tilldelning av ett konsultavrop är det inte ovanligt att namn och ibland även personnummer på den konsult som ska utföra uppdraget anges, då det ju är en viss person som ska utföra uppdraget i fråga.
Hur förhåller sig LOU till GDPR vad gäller hur länge en personuppgift kan förvaras? Är det OK att bevara dessa uppgifter om konsulter fyra år/under kontraktets löptid (enligt LOU), eftersom hanteringen av personuppgifterna i fråga kan anses både utgöra ett berättigat ändamål och vara nödvändigt för att fullgöra en rättslig förpliktelse som framgår av svensk lag (LOU)? Eller måste personuppgifterna i vissa fall gallras ut snabbare, till exempel på grund av att man inte kan anse det vara ett berättigat ändamål att lagra personuppgifter på konsulter som inte tilldelades ett uppdrag vid ett avrop?
Vid upphandlingar samt vid avrop från ramavtal rörande konsulter är det till exempel vanligt förekommande att CV:n på konsulter som erbjuds ingår och i de avropsavtal som ingås efter tilldelning av ett konsultavrop är det inte ovanligt att namn och ibland även personnummer på den konsult som ska utföra uppdraget anges, då det ju är en viss person som ska utföra uppdraget i fråga.
Hur förhåller sig LOU till GDPR vad gäller hur länge en personuppgift kan förvaras? Är det OK att bevara dessa uppgifter om konsulter fyra år/under kontraktets löptid (enligt LOU), eftersom hanteringen av personuppgifterna i fråga kan anses både utgöra ett berättigat ändamål och vara nödvändigt för att fullgöra en rättslig förpliktelse som framgår av svensk lag (LOU)? Eller måste personuppgifterna i vissa fall gallras ut snabbare, till exempel på grund av att man inte kan anse det vara ett berättigat ändamål att lagra personuppgifter på konsulter som inte tilldelades ett uppdrag vid ett avrop?
Maria
Publicerad 14 maj 2018
Hej Maria,
Behandlingen borde i detta fall vara nödvändig för att följa en rättslig förpliktelse som åvilar den personuppgiftsansvarige enligt LOU och är därmed laglig behandling enligt artikel 6.1 c dataskyddsförordningen.
Som upphandlande organisation är det dock viktigt att tänka på att endast begära in de uppgifter som är nödvändiga för bedömningen av anbudet. Även anbudsgivare bör ha i åtanke att endast lämna de personuppgifter som den upphandlande organisationen efterfrågar i upphandlingsdokumenten.
För frågor som rör tillämpning av GDPR och näraliggande frågor hänvisar vi i första hand till Integritetsskyddsmyndigheten.
Med vänlig hälsning,
Behandlingen borde i detta fall vara nödvändig för att följa en rättslig förpliktelse som åvilar den personuppgiftsansvarige enligt LOU och är därmed laglig behandling enligt artikel 6.1 c dataskyddsförordningen.
Som upphandlande organisation är det dock viktigt att tänka på att endast begära in de uppgifter som är nödvändiga för bedömningen av anbudet. Även anbudsgivare bör ha i åtanke att endast lämna de personuppgifter som den upphandlande organisationen efterfrågar i upphandlingsdokumenten.
För frågor som rör tillämpning av GDPR och näraliggande frågor hänvisar vi i första hand till Integritetsskyddsmyndigheten.
Med vänlig hälsning,
Gustav
16 maj 2018 (Uppdaterat 01 mars 2023)
Fråga oss!
Frågeservice är stängt den 29 april på grund av verksamhetsutveckling. På grund av en stor mängd inkomna frågor har vi just nu längre svarstider i Frågeportalen.