dane osobowe

Kiedy trzeba ukryć dane osobowe np. PESEL w udostępnianym protokole postępowania?

Pytanie:

Mam pytanie dotyczące udostępnienia protokołu z postępowania wraz z załącznikami. Wnioskujący powołuje się na art. 74 ust. 1 ustawy Pzp. Czy zamawiający udostępnia oferty w takiej postaci, jak otrzymał? Czy powinnyśmy je jakoś zanonimizować? Czy numer PESEL na pełnomocnictwie powinien być ukryty? Czy zamawiający może przesłać dokumenty za pomocą platformy, na której prowadzi postępowanie?

Jak ocenić zmianę administratora danych osobowych w umowie o zamówienie publiczne?

Pytanie:

W wyniku postępowania o udzielenie zamówienia na podstawie ustawy Pzp zawarto umowę na usługi, do której jednym z załączników w postępowaniu był wzór umowy powierzenia przetwarzania danych osobowych. Po wybraniu wykonawcy umowa została podpisana wraz z umową powierzenia według wzoru z postępowania. Obecnie na etapie realizacji prac okazało się, że zamawiający powinien zmienić umowę (na skutek błędnej oceny zamawiający wskazał siebie jako administratora danych, podczas gdy w danej sytuacji powinien określić się podmiotem przetwarzającym). W konsekwencji umowa powierzenia będzie umową dalszego powierzenia przetwarzania danych. Nie zmienią się natomiast obowiązki i środki techniczne które ma stosować wykonawca. Ponadto należy rozszerzyć zakres powierzanych danych. Czy taka zmiana będzie dopuszczalna na gruncie ustawy Pzp (brak jest przewidzenia takiej sytuacji w umowie) i czy będzie traktowana jako zmiana umowy o udzielenie zamówienia publicznego?

Przetwarzanie danych osobowych w zamówieniach do 130.000 zł

Przetwarzanie danych osobowych wykonawców w zamówieniach publicznych o wartości poniżej 130.000 zł

Zamawiający są związani w postępowaniach przetargowych tzw. regulacjami RODO. W przetargach pozyskiwanie i przetwarzanie danych osobowych musi odbywać się zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Podstawą i uzasadnieniem dla przetwarzania danych jest wówczas Prawo zamówień publicznych. Na jakiej zasadzie przetwarzać zaś dane w procedurach na zamówienia do 130.000 zł? Właściwą regulacją prawną będzie tutaj ustawa o finansach publicznych. Zamawiający nie może jednak na tej podstawie publikować danych dotyczących oferentów np. na swojej stronie WWW. Aby móc to robić zgodnie z prawem, powinien uzyskać od wykonawców zgodę na przetwarzanie danych. Dokumentację postępowania należy udostępniać z kolei zgodnie z przepisami ustawy o dostępie do informacji publicznej. Szczegóły omawiamy w artykule.

W tym artykule
  • Zgodnie z RODO, prawo do ochrony danych osobowych osób fizycznych jest ograniczone w przypadku, gdy realizowany jest interes publiczny lub usprawiedliwiony interes osób trzecich. Podstawę prawną dla przetwarzania takich danych są wówczas różnego rodzaju akty prawne. W przypadku przetargów podstawą będzie Prawo zamówień publicznych.
  • Podstawą prawną dla przetwarzania danych osobowych w procedurach do 130.000 zł będzie ustawa o finansach publicznych.
  • Aby zamawiający mógł upublicznić dane wykonawców na stronie WWW bądź przekazać je innym podmiotom biorącym udział w procedurze, zamawiający powinien pozyskać od wykonawców stosowną zgodę.
  • Podstawą udostępnienia protokołu postępowania dla zamówienia do 130.000 zł jest ustawa o dostępie do informacji publicznej.

Jeśli potrzebujesz informacji o RODO w zamówieniach publicznych, zajrzyj tutaj:

Czy wykonawca ma prawo utajnić dane osobowe zawarte w wykazie osób?

Pytanie:

Wykonawca na wykazie osób, które będą realizować zamówienie, dopisał notatkę o treści: „nie udostępniać danych osobowych innym uczestnikom przetargu/oferentom ani osobom postronnym”. Natomiast nie załączył informacji, że dane te stanowią tajemnicę przedsiębiorstwa oraz nie wykazał w żaden sposób tego faktu. Czy zamawiający może udostępniać te dane na takich samych zasadach jak niezastrzeżone dokumenty?

RODO w postępowaniach o zamówienia publiczne

RODO w postępowaniach o zamówienia publiczne (cz. I)

Od 25 maja 2018 r. dane osobowe muszą być chronione w sposób opisany w rozporządzeniu Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: RODO). Przepisy te obowiązują już prawie 2 lata, ale ich stosowanie nadal budzi liczne wątpliwości. Nie zmieniła tego w sposób istotny nowelizacja ustawy Pzp, w której uregulowano m.in. materię stosowania RODO w zamówieniach publicznych. Tymczasem każdy zamawiający, udzielając zamówienia publicznego, musi zmierzyć się z problematyką należytej ochrony danych osobowych przekazywanych przez wykonawców w toku postępowania. W artykule znajdziesz odpowiedzi na pytania:

  • Kiedy należy uznać, że w postępowaniu przetwarzane są dane osobowe?
  • O jakich czynnościach w związku z RODO należy pamiętać, przygotowując podstawowe dokumenty zamówienia?
  • Jakich 10 informacji należy zawrzeć w klauzuli informacyjnej przekazywanej wykonawcom?
  • O czym pamiętać w związku z RODO, formułując zapisy projektowanej umowy z wykonawcą?

W kolejnej części artykułu przeczytasz m.in. o:

  • udostępnianiu danych osobowych i ich przetwarzaniu w trakcie postępowania,
  • zasadach postępowania z danymi tzw. wrażliwymi – które są zawarte np. w zaświadczeniach z KRK,
  • przetwarzaniu danych osobowych w zamówieniach poniżej 30.000 euro.

Zgodnie z RODO, prawo do ochrony danych osobowych osób fizycznych nie ma charakteru absolutnego i ulega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes osób trzecich.

Zgodnie z artykułem 6 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

1)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2)      przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

3)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

4)      przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5)      przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

6)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Na zamawiającym, który prowadzi postępowanie o udzielenie zamówienia w sposób opisany w ustawie Pzp, z całą pewnością ciąży szereg prawnych obowiązków, do których realizacji niezbędne jest przetwarzanie danych osobowych przekazanych w ofertach.

Pod pojęciem przetwarzania należy rozumieć nie tylko udostępnianie danych, ale również wszelkie tak prozaiczne czynności, jak zbieranie, utrwalanie, przeglądanie czy przechowywanie danych (art. 4 RODO).

Zamawiający jest upoważniony do przetwarzania danych osobowych zawartych w treści oferty, w sposób, w zakresie i w celu opisanym w ustawie Pzp, bez względu na to, czy uzyskał na to bezpośrednią zgodę osoby, której dane te dotyczą. Innymi słowy, wykonawca, który bierze udział w postępowaniu o udzielenie zamówienia, musi się liczyć z tym, że jego dane będą przetwarzane. Przetwarzanie danych osobowych odbywa się wówczas na podstawie przepisów prawa, a podstawą przetwarzania jest przesłanka niezbędności wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Podstawa prawna i sposób przetwarzania danych są tożsame dla wszystkichkategorii wykonawców wymienionych w art. 2 pkt 11 ustawy Pzp, tj. zarówno osób fizycznych, osób prawnych, jak i jednostek organizacyjnych nieposiadających osobowości prawnej, które ubiegają się o udzielenie zamówienia publicznego, złożyły ofertę lub zawarły umowę w sprawie zamówienia publicznego.

Ustawodawca nie wprowadził zatem wymogu, by każdy wykonawca był jednocześnie przedsiębiorcą, a osoba fizyczna może ubiegać się o udzielenie zamówienia zarówno w ramach prowadzonej przez nią działalności gospodarczej, jak i jako osoba fizyczna takiej działalności nieprowadząca. Miarkowanie ochrony danych osobowych, w zależności od kręgu wykonawców, stałoby bowiem w oczywistej sprzeczności z zasadą równego traktowania wykonawców, wyrażoną w art. 7 ust. 1 ustawy Pzp.

Czyje dane wpisać w miniPortalu, składając ofertę – osoby fizycznej czy firmy wykonawcy?

Pytanie:

Mam pytanie odnośnie do korespondencji z zamawiającym i składania ofert za pomocą ePUAP (oraz miniPortal). W pewnym momencie należy wpisać „Dane nadawcy”. Korzystam z osobistego konta ePUAP, a z ramienia zarządu jestem upoważniony do składania ofert i dokonywania wszelkich innych czynności związanych z procedurą przetargową (poza podpisywaniem umów). Czy wobec tego mam uzupełnić dane firmy, którą reprezentuję (mimo, że loguję się przez swój ePUAP), czy wpisać swoje dane osobiste jako właściciela ePUAP (np. NIP, adres itp.)?

ochrona danych osobowych

Nowelizacja ustawy Pzp w zakresie praw i obowiązków wykonawcy i zamawiającego związanych z ochroną danych osobowych

Począwszy od 4 maja br. zamawiający, przygotowując postępowanie o udzielenie zamówienia, muszą pamiętać o dodatkowych koniecznych zapisach dokumentacji postępowania w temacie ochrony danych osobowych. Do ustawy Pzp wprowadzono także pewne obostrzenia związane z przetwarzaniem danych uzyskanych w toku prowadzonego postępowania. Poniżej skrót najważniejszych informacji na temat nowych przepisów Prawa zamówień publicznych z punktu widzenia zarówno wykonawcy jak i zamawiającego. Więcej istotnych wskazówek dotyczących nowelizacji znajdziesz w Temacie tygodnia już pojutrze.

Ustawa z 24 maja 2000 r. o Krajowym Rejestrze Karnym (tekst jedn.: Dz.U. z 2023 r., poz. 159)

Kontakt

Napisz do nas »
  • Infolinia
  • Tel: 22 518 29 29
  • Faks: 22 617 60 10
  • Adres do korespondencji
  • Wiedza i Praktyka Sp. z o.o.
  • ul. Paderewskiego 167
  • 05-070 Sulejówek

Wiedza i Praktyka Sp. z o. o.

  • Siedziba
  • ul. Łotewska 9a
  • 03-918 Warszawa
  • NIP: 526-19-92-256
  • REGON: 011235225
  • KRS: 0000098264
  • Nr rejestrowy BDO: 000008579

Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIV Wydział Gospodarczy Rejestrowy,
Kapitał Zakładowy: 200 000 zł.