Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Personer måste få veta att de registreras

Anbud som lämnas i offentliga upphandlingar innehåller ofta personuppgifter, till exempel om anbudsgivarens anställda. GDPR innebär att anbudsgivare och myndighet måste informera de anställda om hur deras personuppgifter behandlas. Martin Brinnen och Kristian Pedersen, Advokatfirman Kahn Pedersen, beskriver vad upphandlare och anbudsgivare bör tänka på.

| 2019-08-20

Personer vars uppgifter behandlas måste få veta att de registreras. Vid personuppgiftsbehandling är det en central del av rättighetsskyddet i dataskyddsförordningen. Skyldigheten att informera har dessutom skärpts jämfört med den tidigare personuppgiftslagen.

Brister i informationen kan innebära att behandlingen anses otillåten. Det kan i sin tur leda till skadestånd och sanktionsavgifter.

Den som ansvarar för behandlingen av personuppgifterna, kallad personuppgiftsansvarig, måste göra informationen begriplig för mottagaren. Det är ett särskilt problem eftersom uppgifterna som krävs enligt GDPR är omfattande.

Det är därför viktigt att en personuppgiftsansvarig noga överväger hur informationen utformas och hur den når fram till den som berörs.

Utgångspunkten är att informationen ska lämnas individuellt till var och en, till exempel via ett mejl. Men ibland kan det vara tillräckligt att lämna generell information till allmänheten om personuppgiftsbehandlingen, till exempel på en webbplats, särskilt om det handlar om relativt harmlösa personuppgifter.

Det är alltid den som är personuppgiftsansvarig som har bevisbördan för att fullständig information har lämnats eller att något av undantagen är tillämpligt.

Undantag

I dataskyddsförordningen har EU-lagstiftaren till viss del tagit hänsyn till de praktiska problem som ibland finns för att nå fram med informationen till de registrerade. Förordningen innehåller därför ett antal viktiga undantag från informationsskyldigheten.

Man bör dock vara medveten om att undantagen ska tolkas restriktivt. Att lämna generell information riktad till allmänheten om personuppgiftsbehandlingen till exempel på en webbplats får många gånger ses som ett minimikrav.

Om det handlar om mer integritetskänslig personuppgiftsbehandling ställs det större krav på tydlighet och på att nå fram med informationen.

Ett generellt undantag är att man inte behöver informera om den registrerade redan känner till informationen till exempel för att denne redan har fått informationen vid ett tidigare tillfälle eller för att det är underförstått.

En arbetssökande som lämnar in sin ansökan till ett företag kan i regel antas känna till att företaget kommer att behandla uppgifterna i ansökan för att handlägga ansökan men troligen inte att uppgifterna senare under anställningen används i anbudshandlingar som lämnas in till en upphandlande myndighet.

När personuppgifter samlas in från någon annan än den registrerade finns det därutöver flera undantag från informationsskyldigheten.

Några exempel på undantag är när det är omöjligt eller innebär en oproportionerlig stor arbetsinsats, när det inte är möjligt med hänsyn till sekretess eller tystnadsplikt eller när personuppgiftsbehandlingen är uttryckligen föreskriven i författning.

Dessa undantag kan vara aktuella för den upphandlande myndigheten (se nedan).

Anbudsgivaren måste informera

Anbudsgivaren som samlar in personuppgifter för att använda dem i anbud, antingen direkt från berörda anställda eller från andra källor såsom anbudsgivarens egna system, är skyldig att informera de anställda om behandlingen.

Informationen kan förstås ha lämnats tidigare och behöver då, enligt det generella undantaget, inte lämnas på nytt vid upprättande av anbudet. Detta gäller under förutsättning att de anställda känner till att deras personuppgifter kommer att ingå i anbudet.

Det skadar ofta inte att informera en extra gång.

Det kan därför också vara aktuellt att komplettera tidigare lämnad information med uppgifter om nya ”mottagare”, det vill säga att personuppgifterna kommer att lämnas in till upphandlande myndigheter.

Så länge som detta ryms inom de ursprungliga ändamålen med anbudsgivarens behandling av de anställdas personuppgifter, eller i vart fall inte är oförenligt med dessa ändamål, räcker det med kompletterande information till de anställda.

Upphandlaren måste informera

När anbuden lämnas till den upphandlande myndigheten uppkommer ett personuppgiftsansvar för myndigheten. Myndigheten blir då skyldig att informera de personer vars personuppgifter förekommer i anbudshandlingarna om hur myndigheten kommer att behandla uppgifterna.

När myndigheten som i dessa fall inte har samlat in personuppgifterna direkt från de registrerade finns det, som nämnts tidigare, flera undantag från informationsskyldigheten. Man har också något längre tid på sig att informera den registrerade.

En situation då information inte behöver lämnas till anbudsgivarens anställda är om personuppgifterna omfattas av tystnadsplikt eller sekretess. Eftersom det råder absolut sekretess under upphandlingen – fram till dess att tilldelningsbeslutet fattas – kan myndigheten inte upplysa de berörda personerna att deras personuppgifter förekommer i en pågående upphandling.

Däremot hindrar inte upphandlingssekretessen myndigheten från att lämna generell information om att personuppgifter kan komma behandlas under upphandlingen.

På samma sätt som för anbudsgivaren innebär det generella undantaget att den upphandlande myndigheten inte behöver informera om sin personuppgiftsbehandling om det som de berörda personerna vet, exempelvis för att de känner till att deras cv finns i de inlämnade anbudshandlingarna eller för att de fått informationen vid ett tidigare inlämnat anbud.

Det är dock många gånger tveksamt om man kan dra den slutsatsen när det gäller all den information som ska lämnas enligt dataskyddsförordningen. Om inte annat kan det därför vara lämpligt att påminna om personuppgiftsbehandlingen.

En situation då undantag från informationsskyldigheten gäller är om mottagandet eller utlämnandet av personuppgifter uttryckligen föreskrivs i svensk rätt eller EU-rätten. Den behandling av anbudsgivarens anställdas personuppgifter som myndigheten gör i upphandlingen kan dock inte anses vara uttryckligen föreskriven i dataskyddsförordningens mening.

Det är inte tillräckligt att hänvisa till att behandlingen utförs för att myndigheten ska kunna upphandla, eller fullgöra ett allmänt formulerat uppdrag enligt lag eller myndighetens instruktion.

En annan situation då undantag kan göras är att det skulle innebära en oproportionerlig ansträngning att lämna information, exempelvis för att myndigheten saknar kontaktuppgifter till anbudsgivarens anställda. Bedömningen av proportionaliteten ska göras bland annat utifrån riskerna med behandlingen. Det krävs med andra ord större ansträngningar för att informera när det gäller mer integritetskänslig behandling.

Om myndigheten gör bedömningen att det medför en oproportionerlig ansträngning att informera anbudsgivarens anställda individuellt måste myndigheten vidta så kallade kompensatoriska åtgärder för att nå fram med informationen till de berörda personerna.

Här kan information i förfrågningsunderlaget med uppmaning till anbudsgivare att informera sina anställda fylla en viktig funktion.

Men offentlighetsprincipen?

Hur förhåller sig offentlighetsprincipen till dataskyddslagstiftningen? Dataskyddsförordningen hindrar inte myndigheter från att lämna ut allmänna handlingar enligt offentlighetsprincipen. Av 1 kap. 7 § dataskyddslagen framgår att varken dataskyddsförordningen eller dataskyddslagen ska tillämpas i den utsträckning som tillämpningen skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Det är emellertid svårt att se hur skyldigheten att informera de personer vars personuppgifter förekommer i allmänna handlingar kan komma i konflikt med bestämmelserna.

En annan sak är att det normalt innebär en oproportionerlig ansträngning att informera de berörda personerna om att deras personuppgifter förekommer i handlingar som lämnas ut enligt offentlighetsprincipen. Riskerna med behandlingen är med andra ord sällan så stora att det är proportionerligt att lägga ned tid och resurser på att informera dem individuellt.

Anbudsgivaren måste informera sina anställda om att deras personuppgifter kan komma att behandlas i anbudshandlingar vid upphandling. Det kan till exempel göras i förväg i anställningsavtal, eller i samband med att upphandlingen genomförs.

Viktigt att tänka på

  • Anbudsgivaren måste informera sina anställda om att deras personuppgifter kan komma att behandlas i anbudshandlingar vid upphandling. Det kan till exempel göras i förväg i anställningsavtal, eller i samband med att upphandlingen genomförs.
  • Den upphandlande myndigheten måste informera anbudsgivares anställda vars personuppgifter förekommer i inlämnade anbudshandlingar om hur deras personuppgifter kommer att behandlas av myndigheten, under och efter upphandlingen.
  • Om det, med hänsyn till sekretess eller av praktiska skäl, är svårt eller omöjligt för den upphandlande myndigheten att lämna individuell information bör informationen i stället lämnas i generell form på myndighetens webbplats.
  • Det kan även vara lämpligt att lämna motsvarande information i förfrågningsunderlaget men det är sällan tillräckligt för att uppfylla informationsskyldigheten.

Martin Brinnen och Kristian Pedersen

 

Läs mer: InsynJuridikLagstiftning

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Svenska Bostäder söker entreprenadupphandlare

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Krävs mer än spekulationer för utredningsansvarKrävs mer än spekulationer för utredningsansvar

Nytt från Upphandling24

  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp
  • Livsmedelsupphandlare med många järn i elden
  • Pionjär inom cirkulära förkläden

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025