Hur bör leverantören agera för att följa reglerna i dataskyddsförordningen?
Publicerad 24 april 2018
Hej,
Det är vanligt förekommande är att upphandlande myndigheter eller enheter begär att leverantörerna ska ta med namn och personnummer på de anställda som ska utföra tjänsterna myndigheten. Myndigheten gör en kontroll av varje aktuell anställd och därefter en lämplighetsbedömning. Hur bör leverantören agera för att säkerställa att de inte agerar felaktigt utifrån reglerna i Dataskyddsförordningen?
Det är vanligt förekommande är att upphandlande myndigheter eller enheter begär att leverantörerna ska ta med namn och personnummer på de anställda som ska utföra tjänsterna myndigheten. Myndigheten gör en kontroll av varje aktuell anställd och därefter en lämplighetsbedömning. Hur bör leverantören agera för att säkerställa att de inte agerar felaktigt utifrån reglerna i Dataskyddsförordningen?
Stefan Holm
Publicerad 24 april 2018
Hej Stefan,
I detta fall är leverantören personuppgiftsansvarig för de personuppgifter som skickas in till den upphandlande organisationen och måste säkerställa att behandlingen (det vill säga att uppgifterna skickas med anbudet) har en rättslig grund.
Läs mer om rättsliga grunder avseende dataskyddsregler på Integritetsskyddsmyndighetens webbplats.
Det finns vissa grundläggande krav som man ska följa när man behandlar personuppgifter. Exempel på detta är att man inte får behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet för behandlingen. I det aktuella fallet handlar det bland annat om att leverantören i anbudet ska påvisa att personalen som ska utföra uppdraget är lämplig i förhållande till ställda krav.
Om den upphandlande organisationen begär information som leverantören har svårt att motivera ur ett GDPR-perspektiv (det vill säga leverantören har svårt att rättsligt motivera behandlingen), kan leverantören påtala detta till organisationen, lämpligen via frågor och svars-funktionen. Den upphandlande organisationen kan då överväga eventuella ändringar eller förtydliganden.
Med vänlig hälsning,
I detta fall är leverantören personuppgiftsansvarig för de personuppgifter som skickas in till den upphandlande organisationen och måste säkerställa att behandlingen (det vill säga att uppgifterna skickas med anbudet) har en rättslig grund.
Läs mer om rättsliga grunder avseende dataskyddsregler på Integritetsskyddsmyndighetens webbplats.
Det finns vissa grundläggande krav som man ska följa när man behandlar personuppgifter. Exempel på detta är att man inte får behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet för behandlingen. I det aktuella fallet handlar det bland annat om att leverantören i anbudet ska påvisa att personalen som ska utföra uppdraget är lämplig i förhållande till ställda krav.
Om den upphandlande organisationen begär information som leverantören har svårt att motivera ur ett GDPR-perspektiv (det vill säga leverantören har svårt att rättsligt motivera behandlingen), kan leverantören påtala detta till organisationen, lämpligen via frågor och svars-funktionen. Den upphandlande organisationen kan då överväga eventuella ändringar eller förtydliganden.
Med vänlig hälsning,
Gustav
08 maj 2018 (Uppdaterat 01 mars 2023)
Fråga oss!
25–26 april är Frågeservice stängd på grund av verksamhetsutveckling. På grund av en stor mängd inkomna frågor har vi just nu längre svarstider i Frågeportalen.