RODO w zamówieniach publicznych

Z dniem  25.05.2018. zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej RODO.

Przepisy prawa zamówień nie przewidują regulacji w zakresie przetwarzania i ochrony  danych osobowych z wyjątkiem  kwestii ochrony danych osobowych w postępowaniach z wolnej ręki w dziedzinie działalności kulturowej.

Tymczasem Zamawiający wszczyna nowe jak i kontynuuje wszczęte  postępowania o udzielenie zamówienia publiczne , realizuje umowy o zamówienie publiczne. Co zatem ma robić? Jakie obowiązki ciążą na Zamawiającym jako na Administratorze danych od 25.05.18r.? O tym  poniżej. 

Podstawa prawna przetwarzania danych osobowych

Motyw 78 preambuły RODO wskazuje, iż  “Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.

Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Zasadę uwzględniania ochrony danych w fazie projektowania  i zasadę domyślnej ochrony danych należy brać pod uwagę  także w przetargach publicznych”.

Zamawiający prowadząc postępowania o udzielenie zamówienia publicznego przetwarza :

  • dane członków komisji przetargowej oraz innych osób reprezentujących zamawiającego

  • dane osobowe znajdujące się w ofertach i innych dokumentach składanych w toku postępowania   tj. dane wykonawców , dane członków  organów spółki, konsorcjantów, podwykonawców osób trzecich udostępniających swój potencjał , dane pełnomocników, dane kluczowego personelu
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

    przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

Przetwarzane  dane to : dane identyfikacyjne, dane adresowe, dane kontaktowy, stanowisko, zakres doświadczenie zawodowe, dane znajdujące się w przedkładanych zaświadczeniach.

Zamawiający przetwarza dane osobowe realizując  :

  • obowiązek prawny ciążący na administratorze- art.6ust.1 lit. c RODO
  • wykonując umowy, której stroną jest osoba, której dane dotyczą, lub podejmując działania na żądanie osoby, której dane dotyczą, przed zawarciem umowy- art.6ust.1 lit.c RODO
  • cele wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią-art.6ust.1 lit.f RODO

Obowiązki Zamawiającego

1/obowiązek wprowadzenia zapisów RODO do wszystkich postępowań o udzielenie zamówienia publicznego wszczętych po 25.05.2018r jak i wszczętych przed tą datą i  będących to toku, niezależnie od zastosowanego trybu, oraz do zawartych już umów.

2/ Obowiązek informacyjny wobec Wykonawców– art. 13 RODO

Zamawiający ma obowiązek zamieszczenia stosownej informacji o zasadach przetwarzania danych osobowych :

  • w ogłoszeniu o zamówieniu /konkursie , lub
  • w specyfikacji istotnych warunków zamówienia, lub
  • zaproszeniu do składania ofert, negocjacji, lub
  • przy pierwszej czynności – poprzez wystosowanie pisma do Wykonawców

Przykładowa klauzula informacyjna wg wzoru UZP: 

https://www.uzp.gov.pl/__data/assets/word_doc/0022/36805/Klauzula_obowiazek_informacyjny_dla_zamawiajacego_art.13docx.docx

3/ Zamawiający ma obowiązek informacyjny wobec innych osób, których danych zostają przekazane w ofercie – art. 14 RODO

Zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób,
w przypadkach, o których mowa w art. 14 ust. 5 RODO, np. w sytuacji, gdy osoba ta dysponuje
już tymi informacjami albo gdy wymagałoby to ze strony zamawiającego niewspółmiernie
dużego wysiłku.

Obowiązek informacyjny określony przepisami ROD O spoczywa także na wykonawcach, którzy pozyskują dane osobowe osób trzecich w celu przekazania ich zamawiającym w ofertach.

Dla uzyskania przez zamawiającego potwierdzenia, że osoby, których dane osobowe są
przekazywane zamawiającemu, dysponują już wskazanymi informacjami, jak również w celu
właściwego zabezpieczenia i ochrony danych tych osób, z których wykonawca będzie
korzystał, przekazanych przez wykonawcę w ofercie dobrą praktyką będzie  odbieranie od Wykonawców oświadczeń odnośnie pozyskania przez wykonawcę danych osobowych od osób trzecich.

Wzór oświadczenia wg wzoru  UZP

https://www.uzp.gov.pl/__data/assets/word_doc/0023/36806/Klauzula_oswiadczenie_od_wykonawcy.docx

4/ Zamawiający ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych  – art.30ust.1 RODO.

Dotyczy to również Zamawiających zatrudniających mniej  niż 250 osób z uwagi na przetwarzanie danych z wyroków skazujących .

W rejestrze tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

5/ Zamawiający ma obowiązek  ograniczenia przetwarzania danych osobowych
odnoszące się do wyroków skazujących i naruszeń prawa (informacje o skazaniach
konkretnych osób i o innych naruszeniach prawa przez konkretne osoby) .

Zamawiający powinien dochować szczególnej ostrożności w przetwarzaniu  danych z KRK  lub otrzymanych w ramach instytucji “self cleaning”. Zamawiający powinien, w szczególności :

  • udostępniać te dane  tylko tym podmiotom, którym przysługuje prawo do korzystania ze środków ochrony prawnej, a także
  • zobowiązać osoby, które są uprawnione do przetwarzania takich danych (również po stronie zamawiającego), do zachowania poufności w zakresie uzyskanej w ten sposób wiedzy.
  • nie udostępniać  na stronie internetowej prowadzonego postępowania kopii ofert, wniosków o dopuszczenie do udziału w postępowaniu, a także wszelkich dokumentów podmiotowych uzyskanych w toku postępowań o udzielenie zamówienia publicznego lub w konkursach, zawierających dane osobowe.

Zgodnie z art. 10 RODO- przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Ustawa pzp pozwala na przetwarzanie takich danych w ramach weryfikacji podstaw wykluczenia, swobodne udostępnianie załączników do protokołu postepowania. Każdy ma zatem nieograniczony dostęp do danych zawartych w wyrokach skazujących. Trudno uznać to za odpowiednie zabezpieczenie praw i wolności z art. 10 RODO.

Projekt zmiany ustawy pzp zakłada  przede wszystkim zmiany w realizacji zasady jawności postępowania o udzielenie zamówienia publicznego (art. 8 ustawy Pzp) oraz dokumentowania postępowania o udzielenie zamówienia publicznego (art. 96 ustawy Pzp), a także przechowywania dokumentacji z postępowania (art. 97 ustawy Pzp).

Do czasu wejścia polskich regulacji Zamawiający powinien już respektować zapisy RODO poprzez zachowanie ostrożności poprzez ograniczone przetwarzanie ww danych. 

Facebooktwitter