Personvernerklæring for system for anskaffelser i Oslo kommune

Denne personvernerklæringen vil gi deg informasjon om hvordan og hvorfor vi samler inn og behandler personopplysninger om deg ved bruk av vårt konkurransegjennomførings- og kontraktsadministrasjonsverktøy (KGV/KAV).

For spørsmål knyttet behandlingen av dine personopplysninger, ta kontakt med ansvarlig virksomhet som er oppført oppdragsgiver i anskaffelsen.

Du kan også ta kontakt med Oslo kommunes personvernombud ved å sende en e-post til personvernombud@oslobystyre.no eller ringe 99 56 97 17.

Hvilke personopplysninger behandler vi om deg og hvorfor gjør vi det?

For å kunne gjennomføre anskaffelsesprosesser vil vi måtte behandle noen personopplysninger om deg. Dette gjelder for at du som leverandør skal kunne ta i bruk verktøyet og kommunisere med oss gjennom prosessen. Dette gjelder informasjon som navn, arbeidsgiver, stilling, e-postadresse, brukernavn og annen informasjon som legges inn.

Videre vil noen anskaffelsesprosesser forutsette at vi behandler informasjon om deg som ansatt hos leverandøren. Dette for å vurdere leverandørens faglige kvalifikasjoner, og/eller for å dokumentene faglig kompetanse hos tilbudt personell. Hvilke personopplysninger som behandles, vil avhenge av konkurransegrunnlaget. Dette vil som regel være CV, som vil inneholde kontaktopplysninger og opplysninger om faglige kvalifikasjoner (bl.a. utdanning og arbeidserfaring).

Hva gir oss lov til å behandle dine personopplysninger?

Det som gir oss lov til å behandle dine personopplysninger er personvernforordningen artikkel 6 nr. 1 bokstav e og lov om offentlige anskaffelser med tilhørende forskrifter.

Hvor henter vi personopplysninger om deg?

Når du bruker systemet, vil vi samle inn personopplysningene direkte fra deg. Dersom CVen din med tilhørende dokumentasjon behandles av oss som en del av en anskaffelse, så samler vi dette inn fra din arbeidsgiver som vil være leverandør/tilbyder.

Hvor lenge lagrer vi personopplysninger om deg?

Når konkurransen er avsluttet, overføres personopplysningene til arkivsystemet og slettes fra KGV. Personopplysninger lagres i KAV inntil kontraktens varighet går ut. Når kontrakten avsluttes, slettes den fra KAV. Personopplysningene lagres i arkivsystemet i enten 5 eller 10 år. Enkelte dokumenter overføres til byarkivet for bevaring. Lagringstiden avgjøres av arkivlova med tilhørende forskrifter.

Hvem deler vi personopplysningene med?

Som offentlig virksomhet er vi underlagt offentleglova. Dette innebærer at dokumentene som inngår i anskaffelsesprosessen som utgangspunkt er åpne for innsyn. Utlevering skjer bare på forespørsel. Det vil si når vi mottar et innsynskrav. Vi vurderer konkret om dokumenter eller opplysninger skal unntas fra innsyn i tråd med offentleglovas bestemmelser.

Hvem er databehandler?

KGV/KAV er en programvare som brukes for å gjennomføre anskaffelser på en effektiv og god måte i henhold til anskaffelsesregelverket. Løsningen er utvikling av Artifik AS, som er vår databehandler. Artifik er lokalisert i Norge. Videre er Amazon Web Services underdatabehandler, da løsningen kjøres i denne skyplattformen.

Vårt arkivsystem er Websak. Systemer er utviklet av Acos AS, som er vår databehandler. Acos er lokalisert i Norge.

Skjer det overføringer av personopplysninger til land utenfor EU/EØS?

Lagringen av personopplysningene skjer i EU/EØS. Det vil likevel være en teoretisk mulighet for at personopplysningene overføres, ettersom den amerikanske skyplattformen Amazon Web Services benyttes. Dette fordi dersom selskapet får en utleveringsbegjæring fra amerikanske myndigheter, vil det kunne skje en overføring. Imidlertid er USA underlagt en adekvansbeslutning. Dette er en beslutning gjort av EU-kommisjonen om at et land, et område eller en internasjonal organisasjon har et tilstrekkelig beskyttelsesnivå for personopplysninger. En form for "godkjenning". Amazon som er underdatabehandler, er sertifisert under ordningen EU-U.S. Data Privacy Framework (DPF).

Hvordan tar vi vare på dine personopplysninger?

Personopplysningene er bare tilgjengelig for ansatte med tjenstlig behov.

Dine rettigheter

Du har krav på å få informasjon om hvordan dine personopplysninger behandles, og denne personvernerklæringen skal inneholde den informasjonen. Dersom du ønsker kan du ta kontakt med oss for å få innsyn i alle personopplysningene som vi har registrert om deg i våre systemer. Videre kan du fremsette krav om å få utlevert en kopi av alle personopplysningene vi har registrert.

Rett til korrigering/retting

Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle. Krav om retting vil vurderes i henhold til anskaffelsesregelverket.

Rett til sletting

Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om vilkårene for å kreve sletting er oppfylt. Noen personopplysninger er vi lovpålagt å behandle, for eksempel etter arkivloven eller anskaffelsesregelverket, slik at vi ikke har mulighet til å slette dem.

Rett til å protestere

Du har rett til å protestere mot behandlingen av dine personopplysninger, ettersom behandlingsgrunnlaget er GDPR art. 6 (1) bokstav e. Dersom vi kommer frem til at du har rett til å protestere vil vi stanse behandlingen av personopplysningene og du vil også kunne kreve å få de slettet.

Rett til begrensning

I enkelte tilfeller kan du ha rett til å kreve at behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrenset. Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se punktet om retten til å protestere), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig begrenses. Det vil si at behandlingen blir begrenset inntil vi evt. har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.

Klage til Datatilsynet

Du kan klage til Datatilsynet dersom du mener at vår behandling av personopplysningen ikke er i samsvar med personvernregelverket. Datatilsynets nettsider inneholder informasjon om hvordan du går fram for å klage.

Før en eventuell klage, ber vi deg om å ta saken opp med vårt personvernombud.