Zarówno zamawiający, jak i wykonawcy zmuszeni będą podjąć szereg działań organizacyjnych, technicznych i prawnych, związanych z wdrożeniem RODO. Część tych działań, mimo że będzie wspólna dla zamawiających i wykonawców, z uwagi jednak na ich rolę w procesie przetwarzania danych osobowych i procesie udzielania zamówienia, będą musieli prowadzić odrębnie.
POLECAMY
Ochrona danych
Art. 25 RODO wprowadza dwie nowe zasady przetwarzania danych osobowych, tj. privacy by design – ochrona danych osobowych w fazie projektowania oraz privacy by default – domyślna ochrona danych osobowych. Mają one również zastosowanie w sektorze zamówień publicznych, co wynika wprost z motywu 78 preambuły RODO. W konsekwencji oznacza to, iż zamawiający od samego początku postępowania o udzielenie zamówienia publicznego powinien brać pod uwagę prywatność osób fizycznych oraz jej należyte zabezpieczenie.
Zabezpieczenie danych osobowych, zasady ich przetwarzania, w tym zakres danych, rodzaj, okres ich przechowywania, a także uprawnienia danych osobowych podmiotów powinny być „wpisane w projekt” i znaleźć odzwierciedlenie w warunkach udziału w postępowaniu i kryterium oceny ofert. Zapisy zapewniające realizację powyższych zasad powinny zostać również uwzględnione w opisie przedmiotu zamówienia oraz we wzorze umowy o udzielenie zamówienia.
Wybór wykonawcy
Podstawowym obowiązkiem administratora danych osobowych jest wybór właściwego podmiotu przetwarzającego, który zapewni należytą i zgodną z RODO ochronę powierzonych mu danych osobowych. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, zgodnie z art. 28 ust. 1 RODO, ma on obowiązek korzystać wyłącznie z usług podmiotów przetwarzających, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających, że przetwarzanie będzie zgodne z RODO i tym samym prawa podmiotów danych będą należycie chronione. Niedopełnienie przez zamawiającego obowiązku doboru właściwego podmiotu przetwarzającego (wykonawcy) zagrożone jest dotkliwą kara pieniężną.
Certyfikaty
Zamawiający, aby uniknąć odpowiedzialności, już na etapie postępowania w sprawie zamówienia publicznego, powinien wprowadzić odpowiednie postanowienia zapewniające należytą weryfikację wykonawców. Uważa się, iż najlepszym sposobem weryfikacji wykonawców będą certyfikaty świadczące o zgodności z RODO operacji przetwarzania danych osobowych. Zgodnie z projektowanymi przepisami ustawy o ochronie danych osobowych (druk sejmowy 2410), certyfikaty będą wydawane na wniosek przedsiębiorcy, przez Prezesa Urzędu (nowy organ nadzoru, który ma zastąpić GIODO) oraz akredytowane przez Polskie Centrum Akredytacji podmioty prywatne.
W opinii UZP stwierdzono, że jeżeli przedmiot zamówienia publicznego będzie ściśle wiązał się z przetwarzaniem danych osobowych (np. wykonanie czy serwisowanie systemów IT służących do przetwarzania danych osobowych), obowiązek posiadania certyfikatu może być brany pod uwagę zarówno jako warunek udziału w postępowaniu, jak i kryteria oceny ofert. W pozostałych przypadkach taki wymóg UZP ocenia jako nadmierny i zbyt daleko idący.
Umowy powierzenia – przetwarzania danych osobowych
Jeżeli przedmiotem zamówienia będą usługi, w ramach których dochodzić będzie do powierzenia przetwarzania danych osobowych, zamawiający powinien zadbać o prawidłowe skonstruowanie umowy powierzenia przetwarzania danych osobowych, uwzględniające wymogi określone w RODO.
Zgodnie z art. 28 ust. 3 RODO umowy powinny precyzyjnie określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Umowy powinny jednoznacznie wskazywać, iż dane osobowe przetwarzane są wyłącznie na udokumentowane polecenie administratora i zapewniać właściwe, stosowne do postanowień art. 32 RODO, środki ochrony danych stosowane przez wykonawcę – podmiot przetwarzający.
Zamawiający powinien zapewnić sobie prawo do pomocy wykonawcy w realizacji obowiązków spoczywających na nim, jako administratorze danych osobowych. W umowach powierzenia należy również określić prawo i warunki kontroli przetwarzania danych powierzonych wykonawcy oraz obowiązek i zasady usunięcia danych osobowych po zakończeniu współpracy.
Zmiany umów
Zamawiający powinien również przewidzieć możliwość zmiany umowy zgodnie z art. 144 ust. 1 pkt 1 Pzp, w przypadku zmiany przepisów prawa lub wydania przez odpowiednie organy nowych wytycznych lub interpretacji dotyczących stosowania przepisów o ochronie danych osobowych. Ponieważ wiele postanowień RODO jest nieprecyzyjnych, a także pozostawiających pole do działania dla organów regulacyjnych, należy spodziewać się w przyszłości opracowania wytycznych czy rekomendacji dotyczących przetwarzania danych osobowych.
Obowiązki wykonawców
Z uwagi na to, iż przedmiot zamówienia ściśle związany jest z przetwarzaniem danych osobowych, kryterium wyboru oferty, a nawet warunkiem udziału w postępowaniu, może być posiadanie odpowiednich certyfikatów w rozumieniu art. 42 RODO. Ponieważ zasady wydawania certyfikatów aktualnie określają projektowane przepisy ustawy o ochronie danych osobowych (druk sejmowy 2410), konieczne jest monitorowanie procesu legislacyjnego oraz wystąpienie z wnioskiem o wydanie certyfikatu po ich wejściu w życie. Oczywiście dostosowując uprzednio zasady przetwarzania danych osobowych tak, aby spełnić warunki określone w RODO oraz kryteria certyfikacji, które powinien udostępnić Prezes Urzędu Ochrony Danych Osobowych na swojej stronie internetowej.
Pytania do zamawiającego
Zgodnie z art. 38 ust. 2 Pzp zamawiający udziela odpowiedzi na pytania dotyczące treści specyfikacji istotnych warunków zamówienia. W przypadku zatem wątpliwości, również w zakresie zasad przetwarzania danych osobowych i wymogów stawianych wykonawcy, można zwrócić się do zamawiającego o wyjaśnienie. Jeżeli przedmiot zamówienia będzie ściśle związany z przetwarzaniem danych osobowych, odpowiedzi i wyjaśnienia mogą mieć istotny wpływ na złożenie prawidłowej oferty. Wykonawcy nie mogą powoływać się na braki, czy niejasności w treści specyfikacji, kiedy z łatwością mogli je ustalić, zwracając na nie uwagę zamawiającemu.
Każdy z podmiotów, niezależnie czy jest wykonawcą, czy zamawiającym, powinien dostosować przetwarzanie danych osobowych w ramach swojej działalności do nowych wymogów stawianych przez RODO. Konieczne jest zatem w pierwszej kolejności przeprowadzenie audytu procesów przetwarzania danych osobowych i weryfikacja zgodności z RODO. W szczególności należy zweryfikować zakres przetwarzanych danych osobowych, okres ich przetwarzania oraz podstawę prawną legalizującą przetwarzanie danych osobowych. Konieczne będzie zbadanie wszystkich dokumentów związanych z przetwarzaniem danych osobowych (procedury, umowy, klauzule zgody, obowiązki informacyjne), jak również audyt bezpieczeństwa przetwarzania danych i wdrożenie odpowiednich i adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych oraz zgodność przetwarzania danych z wymogami rozporządzenia.
Należy również pamiętać, że w myśl nowych przepisów organ nadzoru ma możliwość nakładania kar pieniężnych, które będą mogły sięgać kwoty 20 mln euro (lub w przypadku przedsiębiorstwa do 4% światowego obrotu za poprzedni rok obrotowy), a w przypadku spraw mniejszej wagi do 10 mln euro (lub odpowiednio do 2% obrotu). Kary mogą dosięgnąć zarówno zamawiających, jako administratorów danych, jak również wykonawców, będących podmiotami przetwarzającymi.
