Dołącz do czytelników
Brak wyników

Temat numeru

25 maja 2018

NR 159 (Styczeń 2018)

Ochrona danych osobowych w zamówieniach publicznych według RODO

0 89

Od 25 maja 2018 r. wszystkie podmioty, które przetwarzają dane osobowe (przedsiębiorcy, osoby fizyczne czy podmioty publiczne), będą musiały wdrożyć nowe zasady przetwarzania danych osobowych. 

 Od tego dnia bowiem zastosowanie będą miały przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Nowe obowiązki po stronie administratorów danych, w tym w zakresie powierzenia danych osobowych podmiotom trzecim, szersze prawa podmiotów danych osobowych, a także nowe uprawnienia organu nadzoru, w szczególności w zakresie możliwości nakładania wysokich kar (do 20 mln euro) za naruszenie zasad przetwarzania danych osobowych, powodują konieczność dostosowania procedur oraz podejścia do ochrony danych w każdej organizacji. Nadchodzące zmiany w zakresie ochrony danych osobowych nie ominą również zamówień publicznych.

Z uwagi na skalę zmian, jakie niesie ze sobą ogólne rozporządzenie o ochronie danych osobowych, przedstawione w niniejszym artykule rozważania dotyczą jedynie wybranych aspektów ochrony danych osobowych, z uwzględnieniem specyfiki zamówień publicznych.

Ochrona danych w fazie projektowania oraz domyślna ochrona danych

Całkowicie nowym rozwiązaniem w zakresie ochrony danych osobowych, jakie wprowadza ogólne rozporządzenie o ochronie danych, są zasady privacy by design (ochrona danych osobowych w fazie projektowania) oraz privacy by default (domyślna ochrona danych osobowych).

Nie ulega wątpliwości, że obie te zasady będą również znajdować zastosowanie w sektorze zamówień publicznych, co wynika bezpośrednio z motywu 78 preambuły RODO, w którym wprost zaznaczono, iż zasady te należy brać pod uwagę także w przetargach publicznych.

Ważne!

Zasadę privacy by design należy rozumieć jako zapewnienie należytej ochrony danych już na etapie projektowej. Administrator (zamawiający) powinien zaplanować odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie danych odbywało się zgodnie z przepisami RODO, a prawa osób, których dane będą przetwarzane, były skutecznie zabezpieczone.

Dokonując wyboru środków zabezpieczenia, należy kierować się przede wszystkim aktualnym stanem wiedzy technicznej. Zasada domyślnej ochrony danych powinna być natomiast odczytywana na dwóch płaszczyznach. Po pierwsze, należy zapewnić możliwie najszersze zabezpieczenie danych osobowych w ustawieniach domyślnych (początkowych) danego systemu czy urządzenia, a więc bez konieczności zmiany ustawień przez użytkownika (podmiotu danych) w chwili rozpoczynania korzystania. Po drugie, domyślna ochrona danych osobowych powinna przejawiać się w ograniczeniu przetwarzania wyłącznie tych danych, które są niezbędne dla celu przetwarzania.

Stosowanie tych zasad powinno zatem przełożyć się na uwzględnianie kwestii ochrony danych osobowych w dokumentacji postępowania w sprawie udzielenia zamówienia publicznego, w szczególności w specyfikacji istotnych warun

ków zamówienia oraz wzorze umowy, która będzie zawarta z wybranym wykonawcą.

Stosowanie obu wskazanych powyżej zasad ochrony danych osobowych jest obowiązkowe. Organ nadzoru będzie mógł sprawdzić, czy na etapie projektu (wyłonienia wykonawcy) uwzględnione zostały odpowiednie środki ochrony danych. Niezastosowanie się do nich będzie zagrożone wysoką karą pieniężną (do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).

Udostępnienie dokumentacji postępowania

Zasada jawności postępowania o udzielenie zamówienia publicznego jest jedną z podstawowych zasad zamówień publicznych. Wynika z niej obowiązek udostępniania wszelkich dokumentów dotyczących postępowania, jako dokumentów mających walor informacji publicznej. Zebranie, a następnie przechowywanie i udostępnianie danych osobowych wymagane jest dla dokonania oceny przesłanek wykluczenia w postępowaniach o udzielenie zamówienia publicznego.

Ważne!

Zasada jawności postępowania nie ma charakteru nieograniczonego. Zamawiający prowadzący postępowanie o udzielenie zamówienia publicznego i przetwarzający dane osobowe znajdujące się w ofertach ma obowiązek chronić te dane. Jednocześnie jest zobowiązany udostępniać informacje publiczne, ale w taki sposób, by nie naruszało to prawa do prywatności osoby fizycznej, w tym zasad ochrony danych osobowych.

Jeżeli zamawiający dysponuje odpowiednią zgodą osoby fizycznej na przetwarzanie danych osobowych zawartych w ofertach, może te dane bez przeszkód przetwarzać. Regulacje ustawy – Prawo zamówień publicznych nie dają jednak zamawiającemu podstaw do żądania takiej zgody jako załącznika do oferty. Nawet gdyby zamawiający zażądał dołączenia do oferty takiej zgod...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Monitor Zamówień Publicznych"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Roczny dostęp do filmów instruktażowych
  • Cykl szkoleń online
  • Indywidualne konsultacje
  • ...i wiele więcej!
Sprawdź

Przypisy