Dostępność Dostępność
Rejestracja
0 Koszyk
  1. Strona główna
  2. Temat numeru
  3. Kwestie najważniejsze…

Kwestie najważniejsze…

  • 13 min. czytania
  • Aktualizacja: 24 sierpnia 2024 17 lipca 2018
Temat numeru

Związane z wejściem w życie przepisów o RODO, z obowiązkami zamawiających i wykonawców, dotyczącymi ochrony danych osobowych w postępowaniach o udzielenie zamówienia publicznego.

Zdniem 25 maja 2018 r. przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L. 119/1 z 2016 r.) mają bezpośrednie zastosowanie w państwach członkowskich, zatem trzeba je również uwzględnić do udzielania zamówień publicznych, konkursów i do zawierania umów koncesji na roboty budowlane i usługi. 

POLECAMY

Dane osobowe i ich przetwarzanie

Definicje związane z tym, czym są dane osobowe i co stanowi przetwarzanie danych osobowych są bardzo pojemne. Zgodnie bowiem z art. 4 rozporządzenia dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), natomiast możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. 
W odniesieniu do wykonawców ubiegających się o zamówienie publiczne będą to zatem dane wszystkich tych wykonawców, którzy prowadzą działalność gospodarczą, pełnomocników wykonawców, również dane osób wchodzących w skład organów osób prawnych i prokurentów, a także podmiotów trzecich i podwykonawców (osób fizycznych, także w ramach organów tych osób prawnych) oraz osób fizycznych skierowanych przez wykonawcę do realizacji zamówienia publicznego i wskazanych w umowie o zamówienie publiczne do kontaktu z zamawiającym. 

Ważne!

W każdym przypadku, gdy dojdzie do przetwarzania tego typu danych, konieczna jest zgoda takiej osoby. 

Zasada ta doznaje ograniczenia w stosunku do osób prowadzących działalność gospodarczą, których wybrane dane są jawne i znajdują się w ogólnodostępnych bazach danych (np. CEiDG) – takie dane, jak np. PESEL osoby prowadzącej działalność gospodarczą, może być przetwarzany bez jej zgody. 
W tym zakresie można powołać się na wyrok Naczelnego Sądu Administracyjnego z dnia 28 listopada 2002 r. (sygn. akt: II SA 3389/01). NSA w odniesieniu do ochrony danych osobowych stwierdził: Nie odnosi się ona do danych indywidualnych, dających się powiązać z podmiotem gospodarczym albo inną osobą prawną lub jednostką organizacyjną niemającą osobowości prawnej, mimo że dane te tworzą wspólnie z danymi osobowymi jedną kategorię danych jednostkowych. W podobnym tonie wypowiedział się NSA w wyroku z dnia 15 marca 2010 r., 
sygn. akt: I OSK 756/09.

Ważne!

Jeśli chodzi o wykonawców, to przetwarzanie ich danych w celu udzielenia zamówienia publicznego jest zgodne z prawem, co wynika z art. 6 ust. 1 lit. e rozporządzenia, gdyż przetwarzanie to jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, którym jest zamawiający. Nie ma więc konieczności uzyskiwania odrębnej zgody samych wykonawców na przetwarzanie ich danych. 

Artykuł 4 rozporządzenia wskazuje, że „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. 

Ważne!

Zgodnie z art. 5 ust. 1 lit. c rozporządzenia obowiązuje zasada minimalizacji danych. Oznacza to, że przetwarzane dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Administrator danych

Administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie UE lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. 
Z powyższego jasno wynika, że administratorem danych w ramach prowadzonego postępowania o udzielenie zamówienia publicznego jest zamawiający i to on jest zobowiązany do określenia celów i sposobów przetwarzania danych osobowych, stąd wadliwe jest przyjęcie możliwości, by dokonać nałożenia obowiązku w postępowaniu o udzielenie zamówienia publicznego w tym zakresie na wykonawcę, aby ten zobowiązał się do pozyskania zgody osób fizycznych występujących po jego stronie w zastępstwie zamawiającego. 

Ważne!

Wykonawca nie jest ani uprawniony, ani świadomy tego, w jakim celu i w jaki sposób zamawiający będzie przetwarzał dane osobowe. Wykonawca musi zrealizować swoje obowiązki wynikające z faktu złożenia przez niego oferty w postępowaniu i w tym zakresie zadbać o stosowne zgody osób, których dane będą znajdować się w jego ofercie. Dalsze kwestie, gdy dane te będzie przetwarzał zamawiający, dotyczą zamawiającego i to on musi je samodzielnie uregulować. 

Dla jasności należy dodać, że dane zanonimizowane też są danymi osobowymi, a więc także wymagana jest zgoda osoby fizycznej na ich udostępnianie zamawiającemu, a wykonawca musi poinformować o tym fakcie te osoby. Aby wyłączyć ryzyko związane z rozporządzeniem w odniesieniu do danych osobowych osób fizycznych, zawsze trzeba ocenić, czy na podstawie tych zanonimizowanych danych można ustalić, których osób dotyczą, czy ktokolwiek byłby to w stanie zrobić. 
Według art. 4 pkt 11 rozporządzenia zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie przyzwolenia, w formie oświadczenia lub wyraźnego działania potwierdzającego, na przetwarzanie dotyczących jej danych osobowych. 
Obowiązek indywidualnego informowania wykonawców, określony w art. 13–14 rozporządzenia, może być zrealizowany przez zamawiającego w ogłoszeniu o zamówieniu albo ogłoszeniu o konkursie, w specyfikacji istotnych warunków zamówienia, dokumentacji postępowania lub w regulaminie konkursu.

Postępowania wszczęte przed 25 maja 2018 r. 

Jeśli chodzi o postępowania wszczęte przed 25 maja 2018 r., należy postulować o stosowną zmianę zapisów SIWZ lub ogłoszeń o zamówieniu czy konkursie, która musi być dokonana niezwłocznie. Zgodnie z komentarzem UZP treść klauzuli informacyjnej odnoszącej się do art. 13 i 14 roz-
porządzenia w nowo wszczynanych postępowaniach o udzielenie zamówienia publicznego (począwszy od 25 maja 2018 r.) zamawiający powinien zamieszczać w SIWZ. Natomiast w trybach udzielenia zamówienia publicznego, w których w momencie wszczęcia postępowania SIWZ nie jest jeszcze udostępniana wykonawcom, klauzulę taką zamawiający powinien zamieścić w treści ogłoszenia o zamówieniu. 
UZP zaproponował, w którym miejscu ogłoszenia o zamówieniu winna być umieszczona informacja, i tak: 

  • w przypadku ogłoszenia o zamówieniu publikowanego w BZP jest to sekcja IV.6. Informacje administracyjne, pkt IV.6.6. Informacje dodatkowe; 
  • w przypadku ogłoszenia o zamówieniu w dziedzinach obronności i bezpieczeństwa publikowanego w BZP jest to sekcja IV.7. Informacje administracyjne, pkt IV.7.3. Informacje dodatkowe; 
  • w przypadku ogłoszenia o konkursie publikowanego w BZP jest to sekcja IV.2. Informacje administracyjne, pkt IV.2.2. Informacje dodatkowe; 
  • w przypadku ogłoszenia o zamówieniu publikowanego w Dz. U. UE jest to sekcja VI. Informacje uzupełniające w pkt VI.3. Informacje dodatkowe; 
  • w przypadku ogłoszenia o zamówieniu w dziedzinach obronności i bezpieczeństwa publikowanego w Dz. U. UE jest to sekcja VI. Informacje uzupełniające w pkt VI.3. lub VI.2. Informacje dodatkowe;
  • w przypadku ogłoszenia o konkursie publikowanego w Dz. Urz. UE jest to sekcja VI. Informacje uzupełniające, pkt VI.3. Informacje dodatkowe1.

Tym samym zamawiający, realizując swoje obowiązki wobec wykonawców ubiegających się o zamówienie publiczne, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, dba o to, by podczas pozyskiwania tych danych podać jej wszystkie informacje, a zatem swoją tożsamość i dane kontaktowe oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe swojego przedstawiciela, a także – gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych. 

Obowiązki informacyjne

Obowiązki wynikające ze ww. uregulowań w odniesieniu do prowadzonego postępowania o udzielenie zamówienia publicznego sugerują, że można w dokumentacji postępowania także wskazać cel przetwarzania danych osobowych oraz podstawę prawną przetwarzania, czyli w przypadku prowadzonego postępowania warto zaznaczyć, że celem przetwarzania danych osobowych jest wyłonienie wykonawców i zawarcie z nimi umów. 
Należy także wskazać informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, nie zapominając o innych wykonawcach uczestniczących w postępowaniu o udzielenie zamówienia publicznego, doradcach i pozostałych podmiotach zewnętrznych, którym dane może zamawiający udostępniać, w tym organach kontroli. 

Ważne!

Obowiązki administratora danych osobowych dotyczą także wskazania okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu, co w przypadku zamówień publicznych finansowanych zarówno ze środków własnych, jak i zewnętrznych, jest dość łatwe do wskazania. 

W dokumentacji postępowania należy zawrzeć także informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania bądź o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych oraz w związku z tym, moim zdaniem, wskazania, w jaki sposób te osoby mogą swoje prawa zrealizować. 
W przypadku postępowania o udzielenie zamówienia publicznego również należy wskazać konsekwencje niepodania danych lub zrealizowania ww. uprawnień przez daną osobę, z tym że oznacza to rezygnację z ubiegania się o zamówienie publiczne, bądź wprost zaznaczyć, że takie prawo (do usunięcia danych osobowych) nie przysługuje w związku z art. 17 ust. 3 lit. b, d lub e rozporządzenia. 
Dotyczy to także prawa do przenoszenia danych osobowych, o którym mowa w art. 20 rozporządzenia, oraz – zgodnie z art. 21 rozporządzenia – prawa sprzeciwu wobec przetwarzania danych osobowych, gdyż podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. c rozporządzenia.
Zamawiający musi ponadto zawrzeć w dokumentacji postępowania informację, że wykonawcy mają prawo wniesienia skargi do organu nadzorującego przestrzeganie przepisów ochrony danych osobowych.

Minimalizacja

Ważną zasadą jest wspomniana już minimalizacja zakresu przetwarzanych danych osobowych, które także w przypadku ich udostępniania musi znaleźć swoje odzwierciedlenie w praktyce zamawiających. 
Jak wskazuje UZP, niestety wyprzedzając zapisy ustawowe, które nie zostały jeszcze wdrożone, szczególne zasady rozporządzenia dotyczące ograniczeń w przetwarzaniu danych osobowych, głównie w odniesieniu do wyroków skazujących i naruszeń prawa, wymagają wprowadzenia ograniczeń w przetwarzaniu tych danych, zwłaszcza w ich udostępnianiu. Wiele bowiem danych zawartych w zaświadczeniach o niekaralności jest zbędnych w postępowaniu o udzielenie zamówienia publicznego, z punktu widzenia jego celu (takie dane, jak, np. miejsce urodzenia, imię ojca, matki), a jednocześnie stanowi dane wrażliwe. Udostępnianie danych dotyczących niektórych informacji z KRK, a także informacji złożonych przez wykonawców w ramach instytucji tzw. self-cleaningu, powinno być realizowane w ograniczonym zakresie i wobec ograniczonej liczby podmiotów, z zachowaniem poufności w zakresie uzyskanej w ten sposób wiedzy.

Aneksy

Zgodnie z komentarzem UZP2 dotyczącym rozporządzenia ma ono zastosowanie zarówno do postępowań o udzielenie zamówienia publicznego wszczętych po 25 maja br., jak i do postępowań, które zostały wszczęte przed tą datą i pozostają nadal w toku. UZP zauważył także, że przepisy te mają zastosowanie do każdego postępowania o udzielenie zamówienia publicznego, niezależnie od zastosowanego trybu udzielania zamówienia. Podobnie regulacje rozporządzenia mają zastosowanie do innych, szczególnych procedur przewidzianych w ustawie Pzp, jak np. procedura udzielania zamówienia na usługi społeczne i inne szczególne usługi. Tym samym w zakresie już zawartych umów o zamówienie publiczne należy sporządzić aneksy uwzględniające wprowadzone przepisy. 

Certyfikaty

Należy także zwrócić uwagę na kwestię związaną z wymaganiem przez zamawiających stosownego certyfikatu przetwarzania danych osobowych od wykonawców na etapie prowadzonego postępowania o udzielenie zamówienia publicznego. Odwołując się do opinii UZP w tym zakresie, trzeba przypomnieć: Kwestie związane z wymaganiami RODO mogą stanowić podstawę konstruowania przez zamawiających zarówno warunków udziału w postępowaniu, jak i kryteriów oceny ofert, o ile mają związek z przedmiotem zamówienia i służą ustaleniu przez zamawiającego zdolności wykonawcy do realizacji zamówienia lub premiowaniu pożądanego przez zamawiającego, w aspekcie realizacji zamówienia, elementu jakościowego, stąd generalne wskazanie na możliwość formułowania przez zamawiających przy prowadzeniu postępowań o udzielenie zamówienia publicznego kryteriów oceny ofert czy warunków udziału w postępowaniu odnoszących się do posiadania przez wykonawców certyfikatów przetwarzania danych osobowych wydaje się zbyt daleko idące.

Rejestr czynności i ochrona

Ważnym obowiązkiem zamawiającego związanym z przetwarzaniem danych osobowych także przy okazji prowadzonych postępowań o udzielenie zamówienia publicznego jest prowadzenie rejestru czynności przetwarzania danych osobowych. Celem prowadzenia tego rejestru jest możliwość pełnienia nadzoru i monitorowanie procesów przetwarzania danych osobowych przez organ nadzoru. 
Obowiązki prowadzenia takiego rejestru mają ci administratorzy, którzy zatrudniają powyżej 250 osób, lub tacy, którzy przetwarzają określone kategorie danych lub przetwarzają dane z dużą częstotliwością, co związane jest z określonym ryzykiem, a zatem przetwarzają dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których dane dotyczą, gdy działanie to nie jest sporadyczne, ale ciągłe, oraz gdy przetwarzane są dane tzw. wrażliwe, w tym wyroki skazujące i dotyczące naruszeń prawa. 
W rejestrze tym zgodnie z art. 30 rozporządzenia zamieszcza się następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora i wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; 
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; 
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 
  • gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; 
  • jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych; 
  • jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia 

Przygotowując się do wdrożenia komercyjnych rozwiązań wspierających proces udzielania zamówień za pomocą środków komunikacji elektronicznej (systemów informatycznych), warto zwrócić także uwagę na to, czy system taki zawiera funkcjonalności związane z ww. obowiązkami związanymi z ochroną danych osobowych. Na przykład system Smart PZP zawiera: 

  • funkcjonalność identyfikowania załączników zawierających dane osobowe, co dotyczy formularzy aktywnych oraz skanów dokumentów;
  • funkcjonalność automatycznego rejestrowania każdego przetwarzania danych osobowych (w tym danych zawartych w skanowanych dokumentach) – generowanie raportów przetwarzania;
  • funkcjonalność obsługi pseudonimizowanego dokumentu w celu zminimalizowania ryzyka związanego z wyciekiem danych osobowych;
  • funkcjonalność logowania każdego dostępu administratora bazy danych do zbioru danych zawierających również załączniki (dostęp administracyjny).

Podsumowanie

Obowiązki związane z wymogami rozporządzenia dotyczą zarówno wykonawców, jak i zamawiających. Wykonawcy zobligowani są do uzyskania zgody osób fizycznych na przetwarzanie ich danych osobowych w chwili, gdy składają ofertę w postępowaniu o udzielenie zamówienia publicznego. Zamawiający powinni natomiast zrealizować obowiązki informacyjne wynikające z art. 13 i 14 rozporządzenia i przestrzegać regulacji związanych z zasadą minimalizacji przetwarzanych danych oraz zachowaniem poufności w stosunku do danych wrażliwych. 
Ważnym obowiązkiem zamawiającego związanym z przetwarzaniem danych osobowych, także przy okazji prowadzonych postępowań o udzielenie zamówienia publicznego, jest prowadzenie rejestru czynności przetwarzania danych osobowych, zawierającego informacje wymienione w rozporządzeniu.

 

Przypisy

    Poprzedni wpis

    Nowy standard komunikacji

    Następny wpis

    Projekt ustawy o zmianie ustawy – Prawo zamówień publicznych

    Udostępnij:

    Podobne artykuły:

    Spór o RODO w zamówieniach publicznych

    Umowa powierzenia przetwarzania danych

    RODO – wyzwanie dla zamawiających i wykonawców

    Ochrona danych osobowych w zamówieniach publicznych według RODO

    Zamknij