RODO w zamówieniach publicznych

Strona główna / Zamówienia / RODO w zamówieniach publicznych

30-05

2018

Z dniem 25.05.2018. zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej RODO.

Przepisy prawa zamówień nie przewidują regulacji w zakresie przetwarzania i ochrony danych osobowych z wyjątkiem kwestii ochrony danych osobowych w postępowaniach z wolnej ręki w dziedzinie działalności kulturowej.

Tymczasem Zamawiający wszczyna nowe jak i kontynuuje wszczęte postępowania o udzielenie zamówienia publiczne , realizuje umowy o zamówienie publiczne. Co zatem ma robić? Jakie obowiązki ciążą na Zamawiającym jako na Administratorze danych od 25.05.18r.? O tym poniżej.

Podstawa prawna przetwarzania danych osobowych

Motyw 78 preambuły RODO wskazuje, iż “Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.

Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy brać pod uwagę także w przetargach publicznych”.

Zamawiający prowadząc postępowania o udzielenie zamówienia publicznego przetwarza :

dane członków komisji przetargowej oraz innych osób reprezentujących zamawiającego
dane osobowe znajdujące się w ofertach i innych dokumentach składanych w toku postępowania tj. dane wykonawców , dane członków organów spółki, konsorcjantów, podwykonawców osób trzecich udostępniających swój potencjał , dane pełnomocników, dane kluczowego personelu
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

Przetwarzane dane to : dane identyfikacyjne, dane adresowe, dane kontaktowy, stanowisko, zakres doświadczenie zawodowe, dane znajdujące się w przedkładanych zaświadczeniach.

Zamawiający przetwarza dane osobowe realizując :

obowiązek prawny ciążący na administratorze- art.6ust.1 lit. c RODO
wykonując umowy, której stroną jest osoba, której dane dotyczą, lub podejmując działania na żądanie osoby, której dane dotyczą, przed zawarciem umowy- art.6ust.1 lit.c RODO
cele wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią-art.6ust.1 lit.f RODO

Obowiązki Zamawiającego

1/obowiązek wprowadzenia zapisów RODO do wszystkich postępowań o udzielenie zamówienia publicznego wszczętych po 25.05.2018r jak i wszczętych przed tą datą i będących to toku, niezależnie od zastosowanego trybu, oraz do zawartych już umów.

2/ Obowiązek informacyjny wobec Wykonawców– art. 13 RODO

Zamawiający ma obowiązek zamieszczenia stosownej informacji o zasadach przetwarzania danych osobowych :

w ogłoszeniu o zamówieniu /konkursie , lub
w specyfikacji istotnych warunków zamówienia, lub
zaproszeniu do składania ofert, negocjacji, lub
przy pierwszej czynności – poprzez wystosowanie pisma do Wykonawców

Przykładowa klauzula informacyjna wg wzoru UZP:

https://www.uzp.gov.pl/__data/assets/word_doc/0022/36805/Klauzula_obowiazek_informacyjny_dla_zamawiajacego_art.13docx.docx

3/ Zamawiający ma obowiązek informacyjny wobec innych osób, których danych zostają przekazane w ofercie – art. 14 RODO

Zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób,
w przypadkach, o których mowa w art. 14 ust. 5 RODO, np. w sytuacji, gdy osoba ta dysponuje
już tymi informacjami albo gdy wymagałoby to ze strony zamawiającego niewspółmiernie
dużego wysiłku.

Obowiązek informacyjny określony przepisami ROD O spoczywa także na wykonawcach, którzy pozyskują dane osobowe osób trzecich w celu przekazania ich zamawiającym w ofertach.

Dla uzyskania przez zamawiającego potwierdzenia, że osoby, których dane osobowe są
przekazywane zamawiającemu, dysponują już wskazanymi informacjami, jak również w celu
właściwego zabezpieczenia i ochrony danych tych osób, z których wykonawca będzie
korzystał, przekazanych przez wykonawcę w ofercie dobrą praktyką będzie odbieranie od Wykonawców oświadczeń odnośnie pozyskania przez wykonawcę danych osobowych od osób trzecich.

Wzór oświadczenia wg wzoru UZP

https://www.uzp.gov.pl/__data/assets/word_doc/0023/36806/Klauzula_oswiadczenie_od_wykonawcy.docx

4/ Zamawiający ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych – art.30ust.1 RODO.

Dotyczy to również Zamawiających zatrudniających mniej niż 250 osób z uwagi na przetwarzanie danych z wyroków skazujących .

W rejestrze tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

5/ Zamawiający ma obowiązek ograniczenia przetwarzania danych osobowych
odnoszące się do wyroków skazujących i naruszeń prawa (informacje o skazaniach
konkretnych osób i o innych naruszeniach prawa przez konkretne osoby) .

Zamawiający powinien dochować szczególnej ostrożności w przetwarzaniu danych z KRK lub otrzymanych w ramach instytucji “self cleaning”. Zamawiający powinien, w szczególności :

udostępniać te dane tylko tym podmiotom, którym przysługuje prawo do korzystania ze środków ochrony prawnej, a także
zobowiązać osoby, które są uprawnione do przetwarzania takich danych (również po stronie zamawiającego), do zachowania poufności w zakresie uzyskanej w ten sposób wiedzy.
nie udostępniać na stronie internetowej prowadzonego postępowania kopii ofert, wniosków o dopuszczenie do udziału w postępowaniu, a także wszelkich dokumentów podmiotowych uzyskanych w toku postępowań o udzielenie zamówienia publicznego lub w konkursach, zawierających dane osobowe.

Zgodnie z art. 10 RODO- przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Ustawa pzp pozwala na przetwarzanie takich danych w ramach weryfikacji podstaw wykluczenia, swobodne udostępnianie załączników do protokołu postepowania. Każdy ma zatem nieograniczony dostęp do danych zawartych w wyrokach skazujących. Trudno uznać to za odpowiednie zabezpieczenie praw i wolności z art. 10 RODO.

Projekt zmiany ustawy pzp zakłada przede wszystkim zmiany w realizacji zasady jawności postępowania o udzielenie zamówienia publicznego (art. 8 ustawy Pzp) oraz dokumentowania postępowania o udzielenie zamówienia publicznego (art. 96 ustawy Pzp), a także przechowywania dokumentacji z postępowania (art. 97 ustawy Pzp).

Do czasu wejścia polskich regulacji Zamawiający powinien już respektować zapisy RODO poprzez zachowanie ostrożności poprzez ograniczone przetwarzanie ww danych.

Zamówienia

Zamówienia publiczne

Blog prawa zamówień prowadzony przez radcę prawnego Bernadetę Podraska

RODO w zamówieniach publicznych

Podstawa prawna przetwarzania danych osobowych

Obowiązki Zamawiającego

Zobacz również

Historia rachunku jako informacja banku

Złożenie oferty w warunkach czynu nieuczciwej konkurencji

Kto powinien podpisać wykaz dostaw?

Ocena zgodności oferty z warunkami zamówienia

Czy zawsze trzeba wskazać nazwy podwykonawców?

Doświadczenie odpowiadające rodzajem przedmiotowi zamówienia

Referencja a kary umowne

Kiedy Zamawiający może zabrać wadium

Bezpłatne szkolenia z zamówień publicznych

Kary umowne w zamówieniach publicznych

Kategorie

Subscribe2

Linki

Zamówienia Publiczne

Kategorie

Szkolenia

Zamówienia Publiczne - Kancelaria Radcy Prawnego Bernadeta Podraska