Od tego dnia bowiem zastosowanie będą miały przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
POLECAMY
Nowe obowiązki po stronie administratorów danych, w tym w zakresie powierzenia danych osobowych podmiotom trzecim, szersze prawa podmiotów danych osobowych, a także nowe uprawnienia organu nadzoru, w szczególności w zakresie możliwości nakładania wysokich kar (do 20 mln euro) za naruszenie zasad przetwarzania danych osobowych, powodują konieczność dostosowania procedur oraz podejścia do ochrony danych w każdej organizacji. Nadchodzące zmiany w zakresie ochrony danych osobowych nie ominą również zamówień publicznych.
Z uwagi na skalę zmian, jakie niesie ze sobą ogólne rozporządzenie o ochronie danych osobowych, przedstawione w niniejszym artykule rozważania dotyczą jedynie wybranych aspektów ochrony danych osobowych, z uwzględnieniem specyfiki zamówień publicznych.
Ochrona danych w fazie projektowania oraz domyślna ochrona danych
Całkowicie nowym rozwiązaniem w zakresie ochrony danych osobowych, jakie wprowadza ogólne rozporządzenie o ochronie danych, są zasady privacy by design (ochrona danych osobowych w fazie projektowania) oraz privacy by default (domyślna ochrona danych osobowych).
Nie ulega wątpliwości, że obie te zasady będą również znajdować zastosowanie w sektorze zamówień publicznych, co wynika bezpośrednio z motywu 78 preambuły RODO, w którym wprost zaznaczono, iż zasady te należy brać pod uwagę także w przetargach publicznych.
Ważne!
Zasadę privacy by design należy rozumieć jako zapewnienie należytej ochrony danych już na etapie projektowej. Administrator (zamawiający) powinien zaplanować odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie danych odbywało się zgodnie z przepisami RODO, a prawa osób, których dane będą przetwarzane, były skutecznie zabezpieczone.
Dokonując wyboru środków zabezpieczenia, należy kierować się przede wszystkim aktualnym stanem wiedzy technicznej. Zasada domyślnej ochrony danych powinna być natomiast odczytywana na dwóch płaszczyznach. Po pierwsze, należy zapewnić możliwie najszersze zabezpieczenie danych osobowych w ustawieniach domyślnych (początkowych) danego systemu czy urządzenia, a więc bez konieczności zmiany ustawień przez użytkownika (podmiotu danych) w chwili rozpoczynania korzystania. Po drugie, domyślna ochrona danych osobowych powinna przejawiać się w ograniczeniu przetwarzania wyłącznie tych danych, które są niezbędne dla celu przetwarzania.
Stosowanie tych zasad powinno zatem przełożyć się na uwzględnianie kwestii ochrony danych osobowych w dokumentacji postępowania w sprawie udzielenia zamówienia publicznego, w szczególności w specyfikacji istotnych warun
ków zamówienia oraz wzorze umowy, która będzie zawarta z wybranym wykonawcą.
Stosowanie obu wskazanych powyżej zasad ochrony danych osobowych jest obowiązkowe. Organ nadzoru będzie mógł sprawdzić, czy na etapie projektu (wyłonienia wykonawcy) uwzględnione zostały odpowiednie środki ochrony danych. Niezastosowanie się do nich będzie zagrożone wysoką karą pieniężną (do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
Udostępnienie dokumentacji postępowania
Zasada jawności postępowania o udzielenie zamówienia publicznego jest jedną z podstawowych zasad zamówień publicznych. Wynika z niej obowiązek udostępniania wszelkich dokumentów dotyczących postępowania, jako dokumentów mających walor informacji publicznej. Zebranie, a następnie przechowywanie i udostępnianie danych osobowych wymagane jest dla dokonania oceny przesłanek wykluczenia w postępowaniach o udzielenie zamówienia publicznego.
Ważne!
Zasada jawności postępowania nie ma charakteru nieograniczonego. Zamawiający prowadzący postępowanie o udzielenie zamówienia publicznego i przetwarzający dane osobowe znajdujące się w ofertach ma obowiązek chronić te dane. Jednocześnie jest zobowiązany udostępniać informacje publiczne, ale w taki sposób, by nie naruszało to prawa do prywatności osoby fizycznej, w tym zasad ochrony danych osobowych.
Jeżeli zamawiający dysponuje odpowiednią zgodą osoby fizycznej na przetwarzanie danych osobowych zawartych w ofertach, może te dane bez przeszkód przetwarzać. Regulacje ustawy – Prawo zamówień publicznych nie dają jednak zamawiającemu podstaw do żądania takiej zgody jako załącznika do oferty. Nawet gdyby zamawiający zażądał dołączenia do oferty takiej zgody, w przypadku jej braku nie mógłby wyciągnąć na gruncie ww. ustawy negatywnych konsekwencji.
Jeśli zamawiający nie dysponuje zgodą osoby fizycznej na przetwarzanie jej danych osobowych zawartych w ofercie, podstawą do przetwarzania tych danych osobowych – w większości przypadków – będzie przesłanka niezbędności dla wypełnienia prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią.
Co istotne, w przypadku braku odpowiedniej zgody osoby, której dane dotyczą, zamawiający jako administrator każdorazowo przed udostępnieniem danych będzie musiał dokonać analizy przesłanek legalizujących przetwarzanie danych osobowych. W praktyce, co do zasady, nie ma podstaw do udostępnienia w postępowaniu o zamówienie publiczne danych osobowych, które są irrelewantne z punktu widzenia celu posługiwania się danymi w postępowaniu. Takimi danymi będą m.in. imię ojca, imię matki, data urodzenia, nazwisko rodowe matki, miejsce urodzenia, obywatelstwo oraz miejsce zamieszkania (znaczenie ma jedynie kraj zamieszkania). Wobec faktu, że pewne dane nie są niezbędne ani adekwatne dla realizacji celów udostępnienia danych w postępowaniu o udzielenie zamówienia publicznego, przy braku zgody osoby, której one dotyczą, dane te powinny być każdorazowo anonimizowane przed ich udostępnieniem osobom trzecim.
Powierzenie danych osobowych
RODO wprowadza również istotne zmiany w zakresie powierzenia przetwarzania danych osobowych. W przypadku zatem, gdy w wyniku wykonania przedmiotu zamówienia dochodzić będzie do powierzenia danych osobowych (np. wykonawca, wdrażając nowy system IT, będzie przetwarzał dane zamawiającego), należy uwzględnić nowe obowiązki i ryzyka wynikające z rozporządzenia.
Zmiany w określaniu nowych warunków udziału w postępowaniu wprowadza art. 24 ust. 1 RODO, zgodnie z którym administrator danych (zamawiający), uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać.
Podmiotem przetwarzającym dane w imieniu administratora (wykonawcą) może być natomiast – zgodnie z art. 28 ust. 1 RODO – jedynie podmiot, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą. Spełnienie przez podmiot przetwarzający wymogów w zakresie zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych lub organizacyjnych, zgodnie z RODO, będzie mogło zostać wykazane m.in. poprzez stosowanie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji.
Jak wynika ze wskazanych przepisów, to na zamawiającym ciąży obowiązek zagwarantowania, by wykonawca, któremu powierzy on dane w ramach wykonywania zamówienia publicznego, zapewniał prawidłowe przetwarzanie danych.
Przed powierzeniem danych zamawiający powinien zatem zbadać, czy podmiot, któremu powierzy dane osobowe, jest w stanie należycie je chronić i spełniać wymagania określone w RODO. W tym celu już w dokumentach przetargowych zamawiający powinien przewidzieć odpowiednie warunki udziału w postępowaniu poprzez np. postawienie wymogów spełniania wysokich standardów ochrony danych przez potencjalnych wykonawców.
Słuszne wydaje się zatem podawanie dodatkowych kryteriów oceny ofert i punktowanie wyższych standardów ochrony danych osobowych. RODO wyraźnie wskazuje, iż administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania (wiedza fachowa, wiarygodność, zasoby).
Wzory umów z wykonawcami
Bezpiecznym rozwiązaniem dla zamawiających jest – jeszcze przed wejściem w życie RODO – przygotowanie takich wzorów umów, które będą uwzględniały podstawowe zasady i obowiązki wynikające z RODO, oraz zapewnienie ich elastyczności w zakresie przetwarzania danych osobowych.
Korzystne dla zamawiających będzie zamieszczenie w umowie ogólnego zobowiązania wykonawcy do zapewniania zgodności przetwarzania danych ze wszelkimi, obecnymi oraz przyszłymi przepisami prawa dotyczącymi ochrony danych osobowych i prywatności.
Ponadto pomimo znacznego rozszerzenia możliwości dokonywania zmian umów w zamówieniach publicznych – przede wszystkim z uwagi na niejasność wielu postanowień RODO – zamawiający powinien przewidzieć możliwość zmiany umowy zgodnie z art. 144 ust. 1 pkt 1 Pzp, w przypadku zmiany przepisów prawa lub wydania przez odpowiednie organy nowych wytycznych lub interpretacji stosowania przepisów dotyczących ochrony i przetwarzania danych osobowych (np. „dobrych praktyk” opracowanych przez Prezesa Urzędu Danych Osobowych).
Ważne!
Zamawiający powinien także uregulować możliwość zmiany terminu realizacji zamówienia oraz żądania zwiększenia wynagrodzenia wykonawcy do wysokości niezbędnych kosztów poniesionych przez wykonawcę w związku ze zmianą przepisów prawa lub ich interpretacji.
Warto także wspomnieć, iż biorąc pod uwagę wysokie kary, które mogą zostać nałożone na podstawie RODO, zamawiający w treści umowy o udzielenie zamówienia publicznego powinni uwzględniać ich wysokość i ryzyko nałożenia kar. W przypadku bowiem, gdy wina za naruszenie przepisów dotyczących ochrony i przetwarzania danych osobowych spoczywa na wykonawcy, najbezpieczniejszym sposobem uzyskania rekompensaty od wykonawcy będą dla zamawiającego kary umowne.
Obowiązki wynikające z art. 29 ust. 3a i art. 36 ust. 2 pkt 8a Pzp
Zgodnie z nowym brzmieniem art. 29 ust. 3a Pzp zamawiający określa w opisie przedmiotu zamówienia na usługi lub roboty budowlane wymagania zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia, jeżeli wykonanie tych czynności polega na wykonywaniu pracy w rozumieniu Kodeksu pracy.
W przypadku gdy zamawiający w opisie przedmiotu zamówienia określi takie czynności, w SIWZ powinien również wskazywać na swoje uprawnienia w zakresie kontroli spełniania przez wykonawcę wymagań zatrudnienia osób wykonujących pracę w ramach umów o pracę. Pojawia się zatem pytanie o zakres możliwej kontroli w kontekście ochrony danych osobowych, w tym po wejściu w życie RODO.
Ważne!
Próbując rozwiać wątpliwości w tym zakresie, Prezes Urzędu Zamówień Publicznych i Generalny Inspektor Ochrony Danych Osobowych we wspólnym komunikacie z dnia 28 kwietnia 2017 r. poinformowali, iż wypracowane zostało wspólne stanowisko, zgodnie z którym dla realizacji celów określonych w art. 29 ust. 3a i art. 36 ust. 2 pkt 8a Pzp oraz z uwzględnieniem należytej ochrony danych osobowych, zamawiający jest uprawniony do żądania od wykonawców lub podwykonawców oświadczeń oraz dokumentów potwierdzających zatrudnienie na podstawie umowy o pracę.
Mając jednak na uwadze zasadę minimalizacji danych obowiązującą również na gruncie RODO, zamawiający może pozyskiwać wyłącznie takie dane osobowe pracowników, jak: imię i nazwisko, data zawarcia umowy, rodzaj umowy o pracę oraz wymiar etatu. Ponieważ stanowisko zostało przedstawione po wejściu w życie RODO, należy się spodziewać, że żądanie takich danych przez zamawiającego oraz udostępnianie ich przez wykonawcę nie będzie przez organ nadzoru traktowane jako naruszanie zasad przetwarzania danych po 25 maja 2018 r.
Odpowiedzialność za naruszenie danych osobowych
Najistotniejszą zmianą w zakresie odpowiedzialności w przypadku naruszenia zasad przetwarzania danych osobowych jest możliwość nakładania przez organ nadzoru surowych kar pieniężnych, które będą mogły sięgać kwoty 20 mln euro (lub w przypadku przedsiębiorstwa do 4% światowego obrotu za poprzedni rok obrotowy), a w przypadku spraw mniejszej wagi – do 10 mln euro (lub odpowiednio do 2% obrotu). Co jednak istotne,
Ważne!
każdy przypadek nałożenia kary będzie rozpatrywany indywidualnie przez organ nadzoru, który będzie brał pod uwagę w szczególności: skalę naruszenia, umyślność, podjęte działania zapobiegawcze, a także wcześniejsze przypadki naruszeń przez przedsiębiorcę. Kary mogą dotknąć zarówno zamawiających, jako administratorów danych, ale również wykonawców, będących podmiotami przetwarzającymi.
Całkowicie nowym rozwiązaniem w stosunku do obowiązujących przepisów jest również możliwość dochodzenia od administratora lub podmiotu przetwarzającego odszkodowania lub zadośćuczynienia za szkodę powstałą w wyniku naruszenia przepisów RODO.
Podsumowanie
RODO gruntownie zmienia podejście do ochrony danych osobowych, w szczególności w odniesieniu do bezpieczeństwa przetwarzania danych. Po wejściu w życie nowych przepisów na każdym administratorze danych, ale również podmiocie przetwarzającym, spoczywał będzie obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych oraz zgodność ich przetwarzania z wymogami rozporządzenia, a co najważniejsze – wykazania tej zgodności (zasada rozliczalności – accountability). Zmienią się zasady powierzania danych osobowych, a także dojdą nowe obowiązki wynikające np. z zasad privacy by design czy privacy by default.
Wszystkie zmiany będą miały znaczący wpływ na przygotowanie i przeprowadzenie postępowań o udzielenie zamówienia publicznego, jak również wykonanie umów zawartych na podstawie przepisów ustawy Pzp. Wiele obowiązków z pewnością nakreśli praktyka i interpretacje przepisów RODO. Niemniej jednak zamawiający już teraz powinni rozpocząć działania pozwalające jak najlepiej przygotować swoje organizacje do stosowania przepisów RODO. Bierni nie powinni pozostać również potencjalni wykonawcy.
