Uczestnicy rynku zamówień publicznych mają wprawdzie świadomość, że trzeba na zmienionych, bardziej rygorystycznych zasadach chronić dane osobowe, ale co do tego, kiedy i jak to zrobić, wiedza jest już znacznie mniejsza.
Przetwarzanie danych osobowych występuje praktycznie na każdym etapie procesu udzielania zamówienia publicznego (konkursu), korzystania ze środków ochrony prawnej, zawarcia oraz wykonywania umowy, w tym weryfikacji zatrudnienia osób skierowanych do realizacji zamówienia, podczas udostępniania przez zamawiających dokumentacji postępowania (jak również po zakończeniu postępowania w związku z przetwarzaniem i udostępnianiem dokumentacji archiwalnej). Z uwagi na to, że jest to ściśle powiązane z wymaganiami określonymi w przepisach Prawa zamówień publicznych, zamawiający nie tylko w trakcie postępowania o udzielenie zamówienia, ale również po jego zakończeniu, są zobowiązani do przetwarzania danych osobowych, w tym ich udostępniania, w sposób gwarantujący zabezpieczenie przed ich bezprawnym rozpowszechnianiem.
W celu „przełożenia” przepisów RODO na uprawnienia i obowiązki w zamówieniach publicznych pomocne powinny być udostępnione na stronie internetowej UZP wskazówki i przykładowe klauzule do stosowania w postępowaniu o udzielenie zamówienia publicznego związane z RODO.
POLECAMY
Ważne!
Dodatkowym elementem, który zwiększa poziom zrozumienia, jak stosować RODO w zamówieniach publicznych, są zmiany do Pzp, przewidziane w projekcie ustawy, przygotowywanym do skierowania do Sejmu, o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
Zakres zastosowania RODO
Przepisy RODO mają zastosowanie – w świetle komunikatu UZP – zarówno do postępowań o udzielenie zamówienia publicznego wszczętych po 25 maja 2018 r., jak i do postępowań, które zostały wszczęte przed tą datą i pozostają nadal w toku, do każdego postępowania o udzielenie zamówienia publicznego, niezależnie od zastosowanego trybu udzielania zamówienia, a także do innych, szczególnych procedur przewidzianych w ustawie Pzp, jak np. procedura udzielania zamówienia na usługi społeczne i inne szczególne usługi.
Obowiązki zamawiającego związane z RODO
Z uwagi na to, że przekazywanie ofert lub wniosków o dopuszczenie do udziału w postępowaniu przez wykonawców będących osobami fizycznym łączy się z udostępnianiem danych osobowych, po stronie zamawiającego powstaje obowiązek informacyjny wobec tych wykonawców. Aby uniknąć konieczności kierowania informacji związanych z ochroną danych osobowych do poszczególnych wykonawców, obowiązek indywidualnego informowania wykonawców może być zapewniony przez zamieszczenie stosownych informacji w ogłoszeniu o zamówieniu albo ogłoszeniu o konkursie, w specyfikacji istotnych warunków zamówienia, dokumentacji postępowania albo w regulaminie konkursu.
Alternatywnie, zwłaszcza w przypadku postępowań lub konkursów będących w toku, informacja ta powinna być podana w korespondencji kierowanej bezpośrednio do takich wykonawców po otwarciu ofert albo wniosków o dopuszczenie do udziału w postępowaniu, ewentualnie w przypadku postępowań lub konkursów w toku – niezwłocznie.
Dla zamawiających jedną z kluczowych klauzul informacyjnych jest przygotowana przez UZP przykładowa klauzula związana z art. 13 RODO, do zamieszczenia zwłaszcza w SIWZ (źródło www.uzp.gov.pl)
Przykład
Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L. 119 z 4 maja 2016 r.,
str. 1), dalej RODO, informuję, że:
- administratorem Pani/Pana danych osobowych jest ......... (nazwa i adres oraz dane kontaktowe zamawiającego);
- inspektorem ochrony danych osobowych w /nazwa zamawiającego/ jest Pani/Pan ........... (imię i nazwisko, kontakt: adres e-mail, telefon)
Uwaga: informacja w tym zakresie jest wymagana, jeżeli w odniesieniu do danego administratora lub podmiotu przetwarzającego istnieje obowiązek wyznaczenia inspektora ochrony danych osobowych; - Pani/Pana dane osobowe przetwarzane będą na podstawie art. 6 ust. 1 lit. c RODO w celu związanym z postępowaniem o udzielenie zamówienia publicznego .......... (dane identyfikujące postępowanie, np. nazwa, numer) prowadzonym w trybie ………………….;
- odbiorcami Pani/Pana danych osobowych będą osoby lub podmioty, którym udostępniona zostanie dokumentacja postępowania na podstawie art. 8 oraz art. 96 ust. 3 Pzp;
- Pani/Pana dane osobowe będą przechowywane, zgodnie z art. 97 ust. 1 Pzp, przez okres czterech lat od dnia zakończenia postępowania o udzielenie zamówienia, a jeżeli czas trwania umowy przekracza cztery lata, okres przechowywania obejmuje cały czas trwania umowy;
- obowiązek podania przez Panią/Pana danych osobowych bezpośrednio Pani/Pana dotyczących jest wymogiem ustawowym określonym w przepisach Pzp, związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego; konsekwencje niepodania określonych danych wynikają z Pzp;
- w odniesieniu do Pani/Pana danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany, stosownie do art. 22 RODO;
- posiada Pani/Pan:
- na podstawie art. 15 RODO prawo dostępu do danych osobowych Pani/Pana dotyczących,
- na podstawie art. 16 RODO prawo do sprostowania Pani/Pana danych osobowych (skorzystanie z prawa do sprostowania nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego ani zmianą postanowień umowy w zakresie niezgodnym z Pzp oraz nie może naruszać integralności protokołu oraz jego załączników),
- na podstawie art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych osobowych z zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO (prawo do ograniczenia przetwarzania nie ma zastosowania w odniesieniu do przechowywania, w celu zapewnienia korzystania ze środków ochrony prawnej lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego),
- prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, że przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO;
- nie przysługuje Pani/Panu:
- w związku z art. 17 ust. 3 lit. b, d lub e RODO prawo do usunięcia danych osobowych,
- prawo do przenoszenia danych osobowych, o którym mowa w art. 20 RODO,
- na podstawie art. 21 RODO prawo sprzeciwu wobec przetwarzania danych osobowych, gdyż podstawą prawną przetwarzania Pani/Pana danych osobowych jest art. 6 ust. 1 lit. c RODO.
Obowiązki dotyczące danych osób trzecich
Podobnie jak w przypadku pozyskiwania danych osobowych bezpośrednio od wykonawców obowiązek informacyjny powstaje, gdy zamawiający uzyska od wykonawcy dane oso-
bowe dotyczące innych osób (np. osób, których dane służą do wykazania spełniania przez wykonawcę warunków udziału w postępowaniu, osób kierowanych do realizacji zamówienia, osób fizycznych prowadzących działalność gospodarczą, które zostaną wskazane jako podwykonawcy).
Ważne!
Zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób w przypadkach, o których mowa w art. 14 ust. 5 RODO (np. w sytuacji gdy osoba ta dysponuje już tymi informacjami albo gdy wymagałoby to ze strony zamawiającego niewspółmiernie dużego wysiłku).
Obowiązki wykonawcy – oświadczenie
Należy pamiętać, że obowiązek informacyjny określony przepisami RODO spoczywa także – o czym UZP przypomina w ww. komunikacie – na wykonawcach, którzy pozyskują pośrednio dane osobowe osób trzecich w celu przekazania ich zamawiającym w ofertach. Zaleca się więc zobowiązanie wykonawcy do złożenia w postępowaniu o udzielenie zamówienia publicznego oświadczenia o wypełnieniu przez niego obowiązków informacyjnych przewidzianych w art. 13 lub art. 14 RODO. Oświadczenie takie, wymagane przez zamawiającego w SIWZ, ma być składane w ofercie, a konkretnie UZP proponuje, aby jego treść została zamieszczona przez zamawiającego we wzorze formularza ofertowego.
Przykład oświadczenia
Oświadczam, że wypełniłem obowiązki informacyjne przewidziane w art. 13 lub art. 14 RODO wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskałem w celu ubiegania się o udzielenie zamówienia publicznego w niniejszym postępowaniu.
Uwaga: w przypadku gdy wykonawca nie przekazuje danych osobowych innych niż bezpośrednio jego dotyczących lub zachodzi wyłączenie stosowania obowiązku informacyjnego, stosownie do art. 13 ust. 4 lub art. 14 ust. 5 RODO wykonawca nie składa oświadczenia (należy wtedy
usunąć treść oświadczenia, np. przez jego wykreślenie).
RODO a zasada jawności
Zgodnie z art. 8 Pzp postępowanie o zamówienie publiczne jest jawne, a zamawiający może ograniczyć dostęp do informacji z nim związanych tylko w przypadkach określonych w ustawie. Nasuwa się więc pytanie, jak pogodzić tę zasadę jawności z przepisami RODO. Nowe przepisy Pzp, w tym art. 8 ust. 5 Pzp, wprowadzają regulacje ograniczające zasadę jawności w zamówieniach publicznych w przypadku przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO. Kwestie te pojawiają się przede wszystkim przy oświadczeniach lub dokumentach składanych przez wykonawców ubiegających się o zamówienie publiczne w celu wykazania braku podstaw wykluczenia (np. informacji z KRK).
Istotne jest to, że RODO zezwala na przetwarzanie danych we wskazanym zakresie, jeżeli przetwarzanie to jest dozwolone prawem państwa członkowskiego, które przewiduje odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Dotychczas przepisy Pzp nie wyznaczały wprost, jaki jest dopuszczalny zakres przetwarzania danych dotyczących karalności (a więc szczególnej kategorii danych), kto ma do nich dostęp, na jakich zasadach i jak długo są one przechowywane. Zmieni się to na skutek przewidzianych, w przywołanym na wstępie projekcie ustawy, zmian.
Kwestie powyższe ma regulować art. 8 ust. 5 Pzp, zgodnie z którym zamawiający udostępnia dokumentację postępowania zawierającą dane osobowe dotyczącą wyroków skazujących i naruszeń prawa, wyłącznie w celu korzystania ze środków ochrony prawnej, a więc tylko podmiotom uprawnionym (zgodnie z art. 179 Pzp) oraz tylko w terminie na wniesienie środków ochrony prawnej.
Po upływie terminu na skorzystanie ze środków ochrony prawnej albo w przypadku, gdy o dostęp do dokumentów zawierających informacje o wyrokach skazujących i naruszeniach prawa ubiegają się podmioty, którym nie przysługuje prawo do korzystania ze środków ochrony prawnej, zamawiający będzie udostępniał dane osobowe zawarte w tych dokumentach po ich odpowiednim spseudonimizowaniu.
Przepis art. 8 ust. 5 Pzp nie będzie miał zastosowania do organów publicznych lub instytucji (kontroli czy ścigania), które są uprawnione na mocy innych regulacji szczegółowych do żądania od zamawiającego udostępnienia dokumentacji postępowania.
Ważne!
Ograniczenie zasady jawności w odniesieniu do danych osobowych zawartych w informacji z KRK nie będzie miało zastosowania w sytuacji, gdy dana osoba nie figuruje w rejestrze skazań za przestępstwa lub wykroczenia. Dane te będą dotyczyć braku karalności, a więc nie będą dotyczyć skazania i ukarania, stanowiąc „zwykłe” dane osobowe.
Dane osobowe w ogłoszeniach
Należy zauważyć, że dane osobowe pojawiają się także w ogłoszeniach publikowanych zgodnie z przepisami Pzp. Zamieszczają je w BZP zamawiający, a Prezes UZP „tylko” wydaje w formie elektronicznej. Dlatego zostaje do Pzp wprowadzona regulacja, z której wynika, że:
Ważne!
osoby, których dane osobowe dotyczą, chcąc korzystać z prawa do uzyskania informacji, o którym mowa w art. 15 RODO, będą zwracać się do zamawiającego, który zamieścił dane osobowe, a nie do Prezesa UZP zapewniającego obsługę techniczną BZP. Jego zadaniem będzie jednak określenie w wewnętrznych regulacjach okresów przechowywania danych osobowych zamieszczonych w BZP.
Udostępnianie protokołu i załączników a RODO
Prawie zawsze dane osobowe zawiera dokumentacja zebrana w toku postępowania o zamówienie publiczne lub konkursu, w tym załączniki do protokołu. Nowy przepis art. 96 ust. 3a Pzp (według projektu ustawy) przesądza, że w postępowaniu o udzielenie zamówienia publicznego lub w konkursie oraz przez okres czterech lat od dnia zakończenia postępowania lub konkursu, zamawiający ma prawo i obowiązek udostępniania wszystkich danych osobowych zawartych w protokole oraz w zgromadzonych załącznikach do protokołu, z wyjątkiem szczególnych kategorii danych osobowych (tzw. danych wrażliwych), o których mowa w art. 9 RODO. Regulacja ta nie będzie miała jednakże zastosowania do umów o zamówienie publiczne, które podlegają udostępnianiu na zasadach określonych w przepisach o dostępie do informacji publicznej.
Dokumentacja postępowania (tj. protokół oraz załączniki) przechowywana jest przede wszystkim w interesie publicznym, np. do celów kontroli, a więc nie jest możliwa jakakolwiek bezpośrednia ingerencja w treść przechowywanej dokumentacji postępowania. Wszelkie sprostowania lub uzupełnienia będą możliwe wyłącznie w postaci nowych dokumentów składanych jako załączniki do dokumentów, w których dane osobowe będą prostowane lub uzupełniane.
Ważne!
W przypadku gdy wykonanie obowiązku wynikającego z art. 15 ust. 1–3 RODO (tj. prawa dostępu przysługującego osobie, której dane dotyczą) wymaga niewspółmiernie dużego wysiłku, przyznaje się zamawiającemu (w nowym art. 97 ust. 1a Pzp) uprawnienie do żądania od osoby, której dane dotyczą, wskazania dodatkowych informacji mających w szczególności na celu sprecyzowanie nazwy lub daty zakończonego postępowania.
Wymóg dokumentacyjny zatrudnienia na umowę o pracę a RODO
Kluczowe jest powiązanie z wymaganiami RODO obowiązku wynikającego z art. 29 ust. 3a Pzp w zw. z art. 36 ust. 2 pkt 8a lit. a Pzp. W świetle bowiem art. 29 ust. 3a Pzp zamawiający określa w opisie przedmiotu zamówienia na usługi lub roboty budowlane wymagania zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia, jeżeli wykonanie tych czynności polega na wykonywaniu pracy w rozumieniu Kodeksu pracy. Jednocześnie na mocy art. 36 ust. 2 pkt 8a lit. a Pzp powinien w SIWZ wskazać sposób dokumentowania zatrudnienia takich osób, a z tym wiąże się przetwarzanie danych osobowych.
W dodawanym do Pzp art. 143e wskazuje się wprost (co dotychczas wynikało ze stanowiska UZP i GIODO),że w przypadku zastosowania art. 29 ust. 3a Pzp umowa o zamówienie publiczne powinna zawierać postanowienia dotyczące sposobu dokumentowania zatrudnienia oraz kontroli z tym związanej. W konsekwencji na gruncie przywołanego nowego przepisu możliwe jest zawarcie w umowie żądania przez zamawiającego kopii umowy o pracę zawierającej imię i nazwisko pracownika, datę zawarcia umowy, rodzaj umowy o pracę, wymiar etatu oraz zakres obowiązków pracownika. Pozostałe dane osobowe objęte są ochroną.
Ponadto zamawiający może żądać przedłożenia zaświadczenia właściwego oddziału ZUS potwierdzającego opłacanie składek na ubezpieczenia społeczne i zdrowotne z tytułu zatrudnienia na podstawie umów o pracę czy też kopii dowodu potwierdzającego zgłoszenie pracownika przez pracodawcę do ubezpieczeń, na której widnieje imię i nazwisko.
Umowy o zamówienie publiczne
Podstawowe zasady i obowiązki w zakresie przetwarzania danych osobowych nałożone przez RODO powinny być, o ile ma to zastosowanie w danym zamówieniu, zapewnione też przez postanowienia umowy o zamówienie publiczne. Nie zawsze jednak zamawiający jest w stanie od razu przewidzieć, że będzie potrzebne powierzenie danych osobowych. Dlatego zasadne wydaje się (być może na wszelki wypadek) zamieszczanie w SIWZ postanowienia określającego, że jeżeli na etapie realizacji umowy nastąpi taka konieczność, zamawiający będzie wymagał podpisania umowy powierzenia przetwarzania danych osobowych.
Powyższe jest wynikiem uwzględnienia art. 28 RODO, który dopuszcza powierzenie przez administratora przetwarzania danych osobowych innemu podmiotowi (wykonawcy) i określa minimalne standardy powierzenia tych danych.
Podsumowanie
Dane osób fizycznych mogą być powierzane tylko takim podmiotom, które dają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Z sytuacją powierzenia danych osobowych wykonawcy można mieć do czynienia m.in. przy umowie na wykonywanie usług ochrony (np. dane podawane na biurze przepustek przez osoby wchodzące na teren instytucji zamawiającego), wdrażanie i rozwój systemów informatycznych czy też usługi szkoleniowe (np. dane osób, które będą szkolone).
Wiele wątpliwości u zamawiających wywołuje to, czy powinni w związku z RODO dokonać zmian w umowach będących 25 maja 2018 r. już w trakcie realizacji. Wydaje się, że nie zachodzi tu automatyzm, ale należy odrębnie ocenić każdą umowę o zamówienie publiczne i potrzebę ewentualnego dostosowania jej zapisów do zasad powierzania przetwarzania danych osób fizycznych określonych w RODO. Nie wszystkie bowiem umowy – jak można założyć – dotyczą zamówień, w których z takim powierzeniem ma się do czynienia. W niektórych umowach o zamówienie publiczne przetwarzanie danych osobowych stanowi główny lub jeden z głównych przedmiotów zamówienia publicznego, a w innych ma wtórne lub dość ograniczone znaczenie.
