Dołącz do czytelników
Brak wyników

Temat numeru

25 maja 2018

NR 159 (Styczeń 2018)

Ochrona danych osobowych w zamówieniach publicznych według RODO

0 291

Od 25 maja 2018 r. wszystkie podmioty, które przetwarzają dane osobowe (przedsiębiorcy, osoby fizyczne czy podmioty publiczne), będą musiały wdrożyć nowe zasady przetwarzania danych osobowych. 

 Od tego dnia bowiem zastosowanie będą miały przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Nowe obowiązki po stronie administratorów danych, w tym w zakresie powierzenia danych osobowych podmiotom trzecim, szersze prawa podmiotów danych osobowych, a także nowe uprawnienia organu nadzoru, w szczególności w zakresie możliwości nakładania wysokich kar (do 20 mln euro) za naruszenie zasad przetwarzania danych osobowych, powodują konieczność dostosowania procedur oraz podejścia do ochrony danych w każdej organizacji. Nadchodzące zmiany w zakresie ochrony danych osobowych nie ominą również zamówień publicznych.

Z uwagi na skalę zmian, jakie niesie ze sobą ogólne rozporządzenie o ochronie danych osobowych, przedstawione w niniejszym artykule rozważania dotyczą jedynie wybranych aspektów ochrony danych osobowych, z uwzględnieniem specyfiki zamówień publicznych.

Ochrona danych w fazie projektowania oraz domyślna ochrona danych

Całkowicie nowym rozwiązaniem w zakresie ochrony danych osobowych, jakie wprowadza ogólne rozporządzenie o ochronie danych, są zasady privacy by design (ochrona danych osobowych w fazie projektowania) oraz privacy by default (domyślna ochrona danych osobowych).

Nie ulega wątpliwości, że obie te zasady będą również znajdować zastosowanie w sektorze zamówień publicznych, co wynika bezpośrednio z motywu 78 preambuły RODO, w którym wprost zaznaczono, iż zasady te należy brać pod uwagę także w przetargach publicznych.

Ważne!

Zasadę privacy by design należy rozumieć jako zapewnienie należytej ochrony danych już na etapie projektowej. Administrator (zamawiający) powinien zaplanować odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie danych odbywało się zgodnie z przepisami RODO, a prawa osób, których dane będą przetwarzane, były skutecznie zabezpieczone.

Dokonując wyboru środków zabezpieczenia, należy kierować się przede wszystkim aktualnym stanem wiedzy technicznej. Zasada domyślnej ochrony danych powinna być natomiast odczytywana na dwóch płaszczyznach. Po pierwsze, należy zapewnić możliwie najszersze zabezpieczenie danych osobowych w ustawieniach domyślnych (początkowych) danego systemu czy urządzenia, a więc bez konieczności zmiany ustawień przez użytkownika (podmiotu danych) w chwili rozpoczynania korzystania. Po drugie, domyślna ochrona danych osobowych powinna przejawiać się w ograniczeniu przetwarzania wyłącznie tych danych, które są niezbędne dla celu przetwarzania.

Stosowanie tych zasad powinno zatem przełożyć się na uwzględnianie kwestii ochrony danych osobowych w dokumentacji postępowania w sprawie udzielenia zamówienia publicznego, w szczególności w specyfikacji istotnych warun

ków zamówienia oraz wzorze umowy, która będzie zawarta z wybranym wykonawcą.

Stosowanie obu wskazanych powyżej zasad ochrony danych osobowych jest obowiązkowe. Organ nadzoru będzie mógł sprawdzić, czy na etapie projektu (wyłonienia wykonawcy) uwzględnione zostały odpowiednie środki ochrony danych. Niezastosowanie się do nich będzie zagrożone wysoką karą pieniężną (do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).

Udostępnienie dokumentacji postępowania

Zasada jawności postępowania o udzielenie zamówienia publicznego jest jedną z podstawowych zasad zamówień publicznych. Wynika z niej obowiązek udostępniania wszelkich dokumentów dotyczących postępowania, jako dokumentów mających walor informacji publicznej. Zebranie, a następnie przechowywanie i udostępnianie danych osobowych wymagane jest dla dokonania oceny przesłanek wykluczenia w postępowaniach o udzielenie zamówienia publicznego.

Ważne!

Zasada jawności postępowania nie ma charakteru nieograniczonego. Zamawiający prowadzący postępowanie o udzielenie zamówienia publicznego i przetwarzający dane osobowe znajdujące się w ofertach ma obowiązek chronić te dane. Jednocześnie jest zobowiązany udostępniać informacje publiczne, ale w taki sposób, by nie naruszało to prawa do prywatności osoby fizycznej, w tym zasad ochrony danych osobowych.

Jeżeli zamawiający dysponuje odpowiednią zgodą osoby fizycznej na przetwarzanie danych osobowych zawartych w ofertach, może te dane bez przeszkód przetwarzać. Regulacje ustawy – Prawo zamówień publicznych nie dają jednak zamawiającemu podstaw do żądania takiej zgody jako załącznika do oferty. Nawet gdyby zamawiający zażądał dołączenia do oferty takiej zgody, w przypadku jej braku nie mógłby wyciągnąć na gruncie ww. ustawy negatywnych konsekwencji.

Jeśli zamawiający nie dysponuje zgodą osoby fizycznej na przetwarzanie jej danych osobowych zawartych w ofercie, podstawą do przetwarzania tych danych osobowych – w większości przypadków – będzie przesłanka niezbędności dla wypełnienia prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią.

Co istotne, w przypadku braku odpowiedniej zgody osoby, której dane dotyczą, zamawiający jako administrator każdorazowo przed udostępnieniem danych będzie musiał dokonać analizy przesłanek legalizujących przetwarzanie danych osobowych. W praktyce, co do zasady, nie ma podstaw do udostępnienia w postępowaniu o zamówienie publiczne danych osobowych, które są irrelewantne z punktu widzenia celu posługiwania się danymi w postępowaniu. Takimi danymi będą m.in. imię ojca, imię matki, data urodzenia, nazwisko rodowe matki, miejsce urodzenia, obywatelstwo oraz miejsce zamieszkania (znaczenie ma jedynie kraj zamieszkania). Wobec faktu, że pewne dane nie są niezbędne ani adekwatne dla realizacji celów udostępnienia danych w postępowaniu o udzielenie zamówienia publicznego, przy braku zgody osoby, której one dotyczą, dane te powinny być każdorazowo anonimizowane przed ich udostępnieniem osobom trzecim.

Powierzenie danych osobowych

RODO wprowadza również istotne zmiany w zakresie powierzenia przetwarzania danych osobowych. W przypadku zatem, gdy w wyniku wykonania przedmiotu zamówienia dochodzić będzie do powierzenia danych osobowych (np. wykonawca, wdrażając nowy system IT, będzie przetwarzał dane zamawiającego), należy uwzględnić nowe obowiązki i ryzyka wynikające z rozporządzenia.

Zmiany w określaniu nowych warunków udziału w postępowaniu wprowadza art. 24 ust. 1 RODO, zgodnie z którym administrator danych (zamawiający), uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać.

Podmiotem przetwarzającym dane w imieniu administratora (wykonawcą) może być natomiast – zgodnie z art. 28 ust. 1 RODO – jedynie podmiot, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą. Spełnienie przez podmiot przetwarzający wymogów w zakresie zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych lub organizacyjnych, zgodnie z RODO, będzie mogło zostać wykazane m.in. poprzez stosowanie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji.

Jak wynika ze wskazanych przepisów, to na zamawiającym ciąży obowiązek zagwarantowania, by wykonawca, któremu powierzy on dane w ramach wykonywania zamówienia publicznego, zapewniał prawidłowe przetwarzanie danych.

Przed powierzeniem danych zamawiający powinien zatem zbadać, czy podmiot, któremu powierzy dane osobowe, jest w stanie należycie je chronić i spełniać wymagania określone w RODO. W tym...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Monitor Zamówień Publicznych"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Roczny dostęp do filmów instruktażowych
  • Cykl szkoleń online
  • Indywidualne konsultacje
  • ...i wiele więcej!
Sprawdź

Przypisy