Dołącz do czytelników
Brak wyników

Aktualności

25 czerwca 2018

NR 163 (Maj 2018)

RODO – wyzwanie dla zamawiających i wykonawców

0 293

W dniu 25 maja 2018 r. zacznie obowiązywać rozporządzenie o ochronie danych (RODO)1, określające nowe ramy prawne przetwarzania danych osobowych w całej Wspólnocie Europejskiej. Wpłynie to również na proces udzielania i realizacji zamówień publicznych.

Zarówno zamawiający, jak i wykonawcy zmuszeni będą podjąć szereg działań organizacyjnych, technicznych i prawnych, związanych z wdrożeniem RODO. Część tych działań, mimo że będzie wspólna dla zamawiających i wykonawców, z uwagi jednak na ich rolę w procesie przetwarzania danych osobowych i procesie udzielania zamówienia, będą musieli prowadzić odrębnie.

Ochrona danych

Art. 25 RODO wprowadza dwie nowe zasady przetwarzania danych osobowych, tj. privacy by design – ochrona danych osobowych w fazie projektowania oraz privacy by default – domyślna ochrona danych osobowych. Mają one również zastosowanie w sektorze zamówień publicznych, co wynika wprost z motywu 78 preambuły RODO. W konsekwencji oznacza to, iż zamawiający od samego początku postępowania o udzielenie zamówienia publicznego powinien brać pod uwagę prywatność osób fizycznych oraz jej należyte zabezpieczenie.

Zabezpieczenie danych osobowych, zasady ich przetwarzania, w tym zakres danych, rodzaj, okres ich przechowywania, a także uprawnienia danych osobowych podmiotów powinny być „wpisane w projekt” i znaleźć odzwierciedlenie w warunkach udziału w postępowaniu i kryterium oceny ofert. Zapisy zapewniające realizację powyższych zasad powinny zostać również uwzględnione w opisie przedmiotu zamówienia oraz we wzorze umowy o udzielenie zamówienia.

Wybór wykonawcy

Podstawowym obowiązkiem administratora danych osobowych jest wybór właściwego podmiotu przetwarzającego, który zapewni należytą i zgodną z RODO ochronę powierzonych mu danych osobowych. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, zgodnie z art. 28 ust. 1 RODO, ma on obowiązek korzystać wyłącznie z usług podmiotów przetwarzających, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających, że przetwarzanie będzie zgodne z RODO i tym samym prawa podmiotów danych będą należycie chronione. Niedopełnienie przez zamawiającego obowiązku doboru właściwego podmiotu przetwarzającego (wykonawcy) zagrożone jest dotkliwą kara pieniężną. 

Certyfikaty

Zamawiający, aby uniknąć odpowiedzialności, już na etapie postępowania w sprawie zamówienia publicznego, powinien wprowadzić odpowiednie postanowienia zapewniające należytą weryfikację wykonawców. Uważa się, iż najlepszym sposobem weryfikacji wykonawców będą certyfikaty świadczące o zgodności z RODO operacji przetwarzania danych osobowych. Zgodnie z projektowanymi przepisami ustawy o ochronie danych osobowych (druk sejmowy 2410), certyfikaty będą wydawane na wniosek przedsiębiorcy, przez Prezesa Urzędu (nowy organ nadzoru, który ma zastąpić GIODO) oraz akredytowane przez Polskie Centrum Akredytacji podmioty prywatne.

W opinii UZP stwierdzono, że jeżeli przedmiot zamówienia publicznego będzie ściśle wiązał się z przetwarzaniem danych osobowych (np. wykonanie czy serwisowanie systemów IT służących do przetwarzania danych osobowych), obowiązek posiadania certyfikatu może być brany pod uwagę zarówno jako warunek udziału w postępowaniu, jak i kryteria oceny ofert. W pozostałych przypadkach taki wymóg UZP ocenia jako nadmierny i zbyt daleko idący.

Umowy powierzenia – przetwarzania danych osobowych

Jeżeli przedmiotem zamówienia będą usługi, w ramach których dochodzić będzie do powierzenia przetwarzania danych osobowych, zamawiający powinien zadbać o prawidłowe skonstruowanie umowy powierzenia przetwarzania danych osobowych, uwzględniające wymogi określone w RODO.

Zgodnie z art. 28 ust. 3 RODO umowy powinny precyzyjnie określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. 

Umowy powinny jednoznacznie wskazywać, iż dane osobowe przetwarzane są wyłącznie na udokumentowane polecenie administratora i zapewniać właściwe, stosowne do postanowień art. 32 RODO, środki ochrony danych stosowane przez wykonawcę – podmiot przetwarzający. 

Zamawiający powinien zapewnić sobie prawo do pomocy wykonawcy w realizacji obowiązków spoczywających na nim, jako administratorze danych osobowych. W umowach powierzenia należy również określić prawo i waru...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Monitor Zamówień Publicznych"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Roczny dostęp do filmów instruktażowych
  • Cykl szkoleń online
  • Indywidualne konsultacje
  • ...i wiele więcej!
Sprawdź

Przypisy