umraniye escort pendik escort
maderba.com
implant
olabahis
canli poker siteleri meritslot oleybet giris adresi betgaranti
escort antalya
istanbul escort
sirinevler escort
antalya eskort bayan
brazzers
sikis
bodrum escort
Articles

Part two - GDPR and Public Law: Data protection in public procurement

Part two - GDPR and Public Law: Data protection in public procurement

Part two - GDPR and Public Law: Data protection in public procurement

05.06.2019 BE law

Since the General Data Protection Regulation (“GDPR”) became applicable almost one year ago, multiple questions have arisen about its interaction with other fields of law. In this three-part blog series of “GDPR and public law”, we discuss three capita selecta of the interaction of GDPR with public law and government. In this blog we discuss some GDPR-related aspects of public procurement.

CVs and references

Public authorities may require contenders to demonstrate their technical and professional capacity and experience during the selection phase, by requesting references and CVs. References and CVs often contain personal data of the contenders’ employees and of contact persons of (previous) customers. Therefore the obligations of the GDPR need to be complied with.

Firstly, such personal data should be limited to what is strictly necessary for the tender in question (e.g. no information on hobbies, family situation, etc.).

Secondly, information on how these personal data will be processed must be provided to the data subjects. The contracting authority can provide this information in the tendering specifications. The contenders in turn need to provide the relevant information to their employees and to the contact persons of their (previous) customers.

Thirdly, the processing requires a lawful basis. The contracting authority can justify its processing through its task in the public interest or the exercise of official authority. For the contenders, it is recommended to collect consent from their employees or to include in the employment agreement the necessity of sharing CVs with customers and prospects, amongst which public authorities. Importantly, in employment relations consent is generally not considered as being “freely given” due to the imbalance in the relationship, and therefore cannot constitute a valid basis. Vis-à-vis contact persons of (previous) customers, consent may be collected upon signature of the agreement or upon signature of the certificate of good performance (“attest van goede uitvoering / attestation de bonne exécution”) via a specific tick box. Alternatively, consent may also be collected on an ad hoc basis, though this may pose a larger administrative burden. The contenders could justify the processing on their legitimate interests. As this lawful basis requires a balance of interests, the provision of information towards data subjects in order to manage their reasonable privacy expectations becomes even more important.

Data Processing Agreements

Not every contender will qualify as a data processor. The key question is whether the future service provider will be processing personal data on behalf of and following the instructions of the contracting authority. Simply transferring or receiving personal data is not sufficient. Typical examples of data processors include issuers of service vouchers and hosting providers, although this depends on the specific circumstances.

If a data processing agreement is required, when and how does this need to be managed in a tendering process? The qualifications of data processor and data controller should be allocated as soon as possible in order to avoid discussions at a later stage. The determination of the exact content and modalities of the data processing agreement depends on the type of the tendering procedure. In a procedure with negotiations, the input of suppliers may be taken into account, whereas in a classic – more strict – attribution procedure without negotiations, the provisions will be stipulated unilaterally. In any event the content should be determined during the competition and at the latest in the request for proposal document, as changes after the competition are restricted. Strict provisions that the contenders can possibly not comply with (e.g. Supplier may not transfer personal data outside the EU) should be avoided, as this may possibly render the tendering process invalid.

Conclusion

Recital 78 GDPR emphasizes that the principles of data protection by design and by default should be taken into consideration in the context of public tenders. Attention must be paid to the capacity in which the public entity is acting (e.g. “public authority”, “data controller”, etc.) and to the data protection obligations throughout the whole tendering process. We strongly believe that it is of utmost importance for public authorities to properly set-up and organize the function of a Data Protection Officer, who should then be involved in all issues relating to data protection.

 

Carolien Michielsen & Niels Tack

Team

Related news

14.04.2021 NL law
Staatssecretaris I&W: intensiever beleid voor onderscheid afval of grondstof en verdere bevordering van circulaire experimenten

Short Reads - Voor bedrijven en overheden is het nog altijd moeilijk om het onderscheid te maken tussen ‘afvalstoffen’ zoals bedoeld in de milieuwetgeving en gewone grondstoffen. Dit kan bedrijven belemmeren in hun circulaire ambities, omdat voor afvalstoffen meer regelgeving en zodoende striktere eisen bestaan dan voor gewone grondstoffen. 

Read more

08.04.2021 NL law
Recente NOW-jurisprudentie

Short Reads - In de afgelopen periode zijn er weer uitspraken over de NOW gepubliceerd die van belang kunnen zijn voor werkgevers. Zo zijn er uitspraken gedaan over de vaststelling van de loonsom en de keuzes die al bij de aanvraag voor de subsidieverlening moeten worden gemaakt. Daarnaast laat een recente uitspraak zien dat een civiele vordering inzake het mislopen van NOW-steun niet slaagt.

Read more

07.04.2021 NL law
Het Schone Lucht Akkoord en de industrie: de overheid zet in op strengere emissie-eisen

Short Reads - Op 26 maart 2021 werd de uitvoeringsagenda Schone Lucht Akkoord aan de Tweede Kamer aangeboden. Hiermee wordt een aanzet gegeven naar het concretiseren van de emissiereductieafspraken die in het Schone Lucht Akkoord zijn neergelegd.  In dit blog gaan wij nader in op deze materie. In het bijzonder geven wij een overzicht van de maatregelen voor de industrie die in het Schone Lucht Akkoord en de uitvoeringsagenda zijn opgenomen en de stand van zaken omtrent de uitwerking van deze maatregelen in de praktijk.

Read more

08.04.2021 NL law
Voorzieningenrechter Afdeling: beroep van een niet-belanghebbende toch ontvankelijk wegens het Varkens in nood-arrest

Short Reads - De voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State gaat in een recente uitspraak op voorhand uit van de ontvankelijkheid van een beroep van een persoon die een zienswijze heeft ingediend over een ontwerp-inpassingsplan. Dit terwijl de betreffende persoon geen feitelijke gevolgen van het plan ondervindt en dus geen belanghebbende is.

Read more

06.04.2021 NL law
Podcast: 'de NOW en het bonusverbod'

Short Reads - Hoe werkt het bonusverbod voor werkgevers die NOW aanvragen? Geldt dit verbod ook voor sales medewerkers? En, hoe zit dat nou met buitenlandse moederbedrijven die in Nederland wel bonussen mogen uitkeren? In de tweede aflevering van een vierdelige podcastserie over de NOW geven arbeidsrechtadvocaat Astrid Helstone en advocaat bestuursrecht Sandra Putting antwoord op deze en andere vragen over de NOW en het bonusverbod.

Read more