RODO w zamówieniach publicznych – 5 najważniejszych wskazówek UZP
Urząd Zamówień Publicznych opublikował na swojej stronie WWW bardzo istotne – z punktu widzenia zamawiających i wykonawców – informacje związane z ochroną danych osobowych w postępowaniach o udzielenie zamówień publicznych. W poniższym artykule znajdziesz zestawienie 5 praktycznych wskazówek koniecznych do zastosowania w każdej procedurze. Dowiedz się m.in., czy wskazane regulacje musisz uwzględnić jedynie w nowych czy także we wszczętych już postępowaniach oraz sprawdź, jak w praktyce realizować obowiązek dbałości o dane osobowe i których konkretnie osób on dotyczy.
Dnia 25 maja br. weszły w życie przepisy unijnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w skrócie tzw. RODO. Tego dnia zaczęła także obowiązywać nowa polska ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000). Przed nami jeszcze odpowiednie zmiany Prawa zamówień publicznych, nad którymi trwają prace legislacyjne. UZP udostępnił na swojej stronie WWW najważniejsze na dziś informacje związane z ochroną danych osobowych w postępowaniach zamówieniowych.
1. Wobec których osób należy zastosować przepisy o ochronie danych osobowych w postępowaniach o udzielenie zamówień publicznych?
W prowadzonym postępowaniu zamawiający jest zobowiązany przetwarzać dane osobowe podlegające ochronie zgodnie z RODO, jeśli dotyczą one m.in.:
- wykonawcy – osoby fizycznej,
- wykonawcy będącego osobą fizyczną prowadzącą działalność gospodarczą,
- pełnomocnika wykonawcy będącego osobą fizyczną,
- osób, które wykonawca wykazuje w ofercie, aby potwierdzić spełnianie warunków udziału w postępowaniu, brak podstaw wykluczenia i spełnianie wymogów dotyczących przedmiotu zamówienia,
- członka organu zarządzającego wykonawcy, będącego osobą fizyczną (np. dane osobowe zamieszczone w informacji z KRK),
- osoby fizycznej skierowanej do przygotowania i przeprowadzenia postępowania o udzielenie zamówienia publicznego.
2. W jakiej dacie musi być wszczęte postępowanie, aby przepisy RODO miały do niego zastosowanie?
Nowe regulacje nie odnoszą się jedynie do procedur rozpoczętych począwszy od 25 maja br. Należy je odpowiednio zastosować także do postępowań wszczętych wcześniej, ale toczących się po tej dacie. Tutaj zamawiający ma obowiązek uwzględnić nowe przepisy przy pierwszej czynności podejmowanej w trwającej procedurze np. przy okazji wymiany korespondencji z wykonawcą.
UZP wskazuje też, że przepisy RODO „mają zastosowanie do umów zawartych w wyniku przeprowadzenia postępowań i konkursów oraz do dokumentacji zgromadzonej w związku z przeprowadzeniem postępowań i konkursów”, a więc procedur już zakończonych.
3. Jak stosować RODO w przypadku szczególnie newralgicznych danych, jakimi są informacje o karalności?
Urząd Zamówień Publicznych podsuwa 3 wskazówki związane z ujawnianiem tego rodzaju informacji:
a) informacje z KRK a także związane z procedurą „self-cleaning” zaleca się udostępniać tylko tym podmiotom, którym przysługuje prawo do korzystania ze środków ochrony prawnej (np. odwołania do KIO),
b) należy zobowiązać osoby, które pozyskują te dane, do zachowania ich w poufności,
c) zamawiający nie może zamieszczać na stronie WWW kopii otrzymanych ofert, wniosków o dopuszczenie do udziału w postępowaniu oraz dokumentów podmiotowych, które zawierają dane osobowe.
4. Jakie konkretnie obowiązki zamawiający musi w praktyce zrealizować, aby prowadzić postępowanie o udzielenie zamówienia w zgodzie z regulacjami RODO?
Zamawiający jest administratorem danych osobowych w postępowaniu o udzielenie zamówienia publicznego. W związku z tym ma określone obowiązki informacyjne wobec osób fizycznych, których dane pozyskuje i przetwarza (zgodnie z art. 13 RODO). W tym celu UZP zaleca:
a) umieszczenie odpowiedniej klauzuli w specyfikacji istotnych warunków zamówienia, ogłoszeniu o zamówieniu lub konkursie, dokumentacji postępowania lub w regulaminie konkursu; jeśli procedura jest w toku, zamawiający powinien zrealizować obowiązek informacyjny w korespondencji z wykonawcami po otwarciu ofert lub niezwłocznie w inny sposób; UZP opublikował przykładową klauzulę informacyjną na swojej stronie WWW;
b) aby w celu wypełnienia obowiązku informacyjnego wobec osób trzecich (których dane zamawiający uzyskuje np. od wykonawców) zamawiający żądał od wykonawców wraz z ofertą określonego oświadczenia; także wzór tego pisma UZP udostępnia na stronie WWW.
Informacje, o których mowa w art. 13 RODO, muszą być zamieszczone w łatwo dostępnej formie i opisane zwięzłym, przejrzystym, zrozumiałym, jasnym i prostym językiem. Obowiązek informacyjny wynikający z art. 13 RODO nie będzie miał zastosowania, w takim zakresie w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.
5. Jak nowe regulacje związane z ochroną danych osobowych oddziaływują na wykonawców?
Administratorem danych osobowych w związku z prowadzonym postępowaniem w sprawie zamówienia publicznego jest nie tylko zamawiający, ale również wykonawca względem danych:
- osoby fizycznej skierowanej do realizacji zamówienia,
- podwykonawcy/podmiotu trzeciego będącego osobą fizyczną,
- podwykonawcy/podmiotu trzeciego będącego osobą fizyczną, prowadzącą jednoosobową działalność gospodarczą,
- pełnomocnika podwykonawcy/podmiotu trzeciego będącego osobą fizyczną (np. dane osobowe zamieszczone w pełnomocnictwie),
- członka organu zarządzającego podwykonawcy/podmiotu trzeciego, będącego osobą fizyczną (np. dane osobowe zamieszczone w informacji z KRK);
a także podwykonawca oraz podmiot trzeci wobec:
- osób fizycznych, od których bezpośrednio pozyskał dane osobowe.
Wówczas obowiązek informacyjny wynikający z art. 13 RODO spoczywa na wykonawcy lub podwykonawcy. Jak wskazuje UZP: „Wykonawca, podwykonawca, podmiot trzeci będzie musiał podczas pozyskiwania danych osobowych na potrzeby konkretnego postępowania o udzielenie zamówienia wypełnić obowiązek informacyjny wynikający z art. 13 RODO względem osób fizycznych, których dane osobowe dotyczą, i od których dane te bezpośrednio pozyskał”.
Źródło: www.uzp.gov.pl
Opracowanie:
