ochrona danych osobowych

Przetwarzanie danych osobowych w zamówieniach do 130.000 zł

Przetwarzanie danych osobowych wykonawców w zamówieniach publicznych o wartości poniżej 130.000 zł

Zamawiający są związani w postępowaniach przetargowych tzw. regulacjami RODO. W przetargach pozyskiwanie i przetwarzanie danych osobowych musi odbywać się zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Podstawą i uzasadnieniem dla przetwarzania danych jest wówczas Prawo zamówień publicznych. Na jakiej zasadzie przetwarzać zaś dane w procedurach na zamówienia do 130.000 zł? Właściwą regulacją prawną będzie tutaj ustawa o finansach publicznych. Zamawiający nie może jednak na tej podstawie publikować danych dotyczących oferentów np. na swojej stronie WWW. Aby móc to robić zgodnie z prawem, powinien uzyskać od wykonawców zgodę na przetwarzanie danych. Dokumentację postępowania należy udostępniać z kolei zgodnie z przepisami ustawy o dostępie do informacji publicznej. Szczegóły omawiamy w artykule.

Jakie obowiązki spoczywają na zamawiającym w związku z wymogami RODO?

Jakie obowiązki spoczywają na zamawiającym w związku z wymogami RODO?

Zamawiający jest administratorem danych osobowych, które wykonawcy udostępniają w toku postępowania o udzielenie zamówienia. Musi zatem w związku z tym wypełnić wymogi określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.Urz. UE L 119 z 4 maja 2016 r. – dalej: RODO. Zakres obowiązków spoczywających na zamawiających, w tym sposób przetwarzania danych osobowych podanych przez wykonawcę w toku postępowania, należy ustalić zarówno na podstawie wytycznych RODO, jak i przepisów krajowych. Sprawdź, o czym należy pamiętać w związku z koniecznością ochrony danych osobowych w postępowaniu o udzielenie zamówienia publicznego. Przeczytaj także, jak podchodzić do ochrony danych osobowych w procedurach pozaustawowych – na zamówienia o wartościach niższych niż 130.000 zł.

Rada

W tym artykule przeczytasz:

  • Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z RODO
  • Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z Pzp
  • Jak wypełnić obowiązki wynikające z RODO w procedurach realizowanych poza ustawą Pzp?

Regulacje dotyczące ochrony danych osobowych w zamówieniach publicznych zawierają art. 18 ust. 6, art. 19, art. 74 ust. 3 i 4, art. 75 i 76 ustawy Pzp.

Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z RODO

Zamawiający musi przede wszystkim wypełnić obowiązek informacyjny, o którym stanowi art. 13 ust. 1–3 RODO. Jego realizacja, jak mówi art. 19 ust. 1 ustawy Pzp, odbywa się przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu lub w dokumentach zamówienia tj. w szczególności w treści SWZ w formie stosownego załącznika.

Obowiązek informacyjny

Ponad to zamawiający ma obowiązek wraz z ogłoszeniem o zamówieniu przekazać wykonawcom następujące informacje:

  • Zamawiający udostępnia dane osobowe, o których mowa w art. 10 RODO (dane osobowe dotyczące wyroków skazujących i czynów zabronionych), aby umożliwić  korzystanie ze środków ochrony prawnej, o których mowa w dziale IX, do upływu terminu na ich wniesienie.
  • Zamawiający udostępnia protokół i załączniki do niego z przekazaniem wszystkich danych osobowych zebranych w toku postępowania o udzielenie zamówienia. Wyjątek obejmuje dane, o których mowa w art. 9 ust. 1 RODO tj. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  • Osoba, której dane osobowe zamawiający przetwarza, może skorzystać z uprawnienia, o którym mowa w art. 15 ust. 1–3 RODO. Jest to prawo uzyskania od administratora (zamawiającego):

– potwierdzenia, czy przetwarzane są dane osobowe dotyczące tej osoby,

– bycia poinformowanym o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem jej danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

– kopii danych osobowych podlegających przetwarzaniu.

Zamawiający może żądać, aby osoba, która stawia powyższe żądania, sprecyzowała nazwę lub datę zakończonego postępowania o udzielenie zamówienia.

  • Skorzystanie przez osobę, której dane osobowe dotyczą, z uprawnienia do sprostowania lub uzupełnienia danych osobowych, nie może naruszać integralności protokołu postępowania oraz jego załączników.
  • W postępowaniu o udzielenie zamówienia zgłoszenie żądania ograniczenia przetwarzania, o którym mowa w art. 18 ust. 1 RODO, nie ogranicza przetwarzania danych osobowych do czasu zakończenia tego postępowania.
  • W przypadku gdy wniesienie żądania dotyczącego prawa, o którym mowa w art. 18 ust. 1 RODO ograniczy przetwarzanie danych osobowych zawartych w protokole postępowania lub załącznikach do tego protokołu, od dnia zakończenia postępowania zamawiający nie udostępnia tych danych. Wyjątek stanowią przesłanki, o których mowa w art. 18 ust. 2 RODO.
RODO w postępowaniach o zamówienia publiczne

RODO w postępowaniach o zamówienia publiczne (cz. I)

Od 25 maja 2018 r. dane osobowe muszą być chronione w sposób opisany w rozporządzeniu Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: RODO). Przepisy te obowiązują już prawie 2 lata, ale ich stosowanie nadal budzi liczne wątpliwości. Nie zmieniła tego w sposób istotny nowelizacja ustawy Pzp, w której uregulowano m.in. materię stosowania RODO w zamówieniach publicznych. Tymczasem każdy zamawiający, udzielając zamówienia publicznego, musi zmierzyć się z problematyką należytej ochrony danych osobowych przekazywanych przez wykonawców w toku postępowania. W artykule znajdziesz odpowiedzi na pytania:

  • Kiedy należy uznać, że w postępowaniu przetwarzane są dane osobowe?
  • O jakich czynnościach w związku z RODO należy pamiętać, przygotowując podstawowe dokumenty zamówienia?
  • Jakich 10 informacji należy zawrzeć w klauzuli informacyjnej przekazywanej wykonawcom?
  • O czym pamiętać w związku z RODO, formułując zapisy projektowanej umowy z wykonawcą?

W kolejnej części artykułu przeczytasz m.in. o:

  • udostępnianiu danych osobowych i ich przetwarzaniu w trakcie postępowania,
  • zasadach postępowania z danymi tzw. wrażliwymi – które są zawarte np. w zaświadczeniach z KRK,
  • przetwarzaniu danych osobowych w zamówieniach poniżej 30.000 euro.

Zgodnie z RODO, prawo do ochrony danych osobowych osób fizycznych nie ma charakteru absolutnego i ulega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes osób trzecich.

Zgodnie z artykułem 6 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

1)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2)      przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

3)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

4)      przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5)      przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

6)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Na zamawiającym, który prowadzi postępowanie o udzielenie zamówienia w sposób opisany w ustawie Pzp, z całą pewnością ciąży szereg prawnych obowiązków, do których realizacji niezbędne jest przetwarzanie danych osobowych przekazanych w ofertach.

Pod pojęciem przetwarzania należy rozumieć nie tylko udostępnianie danych, ale również wszelkie tak prozaiczne czynności, jak zbieranie, utrwalanie, przeglądanie czy przechowywanie danych (art. 4 RODO).

Zamawiający jest upoważniony do przetwarzania danych osobowych zawartych w treści oferty, w sposób, w zakresie i w celu opisanym w ustawie Pzp, bez względu na to, czy uzyskał na to bezpośrednią zgodę osoby, której dane te dotyczą. Innymi słowy, wykonawca, który bierze udział w postępowaniu o udzielenie zamówienia, musi się liczyć z tym, że jego dane będą przetwarzane. Przetwarzanie danych osobowych odbywa się wówczas na podstawie przepisów prawa, a podstawą przetwarzania jest przesłanka niezbędności wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Podstawa prawna i sposób przetwarzania danych są tożsame dla wszystkichkategorii wykonawców wymienionych w art. 2 pkt 11 ustawy Pzp, tj. zarówno osób fizycznych, osób prawnych, jak i jednostek organizacyjnych nieposiadających osobowości prawnej, które ubiegają się o udzielenie zamówienia publicznego, złożyły ofertę lub zawarły umowę w sprawie zamówienia publicznego.

Ustawodawca nie wprowadził zatem wymogu, by każdy wykonawca był jednocześnie przedsiębiorcą, a osoba fizyczna może ubiegać się o udzielenie zamówienia zarówno w ramach prowadzonej przez nią działalności gospodarczej, jak i jako osoba fizyczna takiej działalności nieprowadząca. Miarkowanie ochrony danych osobowych, w zależności od kręgu wykonawców, stałoby bowiem w oczywistej sprzeczności z zasadą równego traktowania wykonawców, wyrażoną w art. 7 ust. 1 ustawy Pzp.

Ogłoszenia w postępowaniach – reguły związane z RODO oraz zmianą ogłoszenia, cz. I

Ogłoszenia w postępowaniach – reguły związane z RODO oraz zmianą ogłoszenia, cz. II

W poniższym artykule omawiamy reguły zmiany ogłoszeń (oraz siwz) a także wymogi dotyczące klauzul RODO w ogłoszeniach i zasadach postępowania z danymi osobowymi ujawnianymi w treści ogłoszeń. Sprawdź, o czym musisz wiedzieć w związku z publikacją ogłoszenia, aby dopełnić wszelkich formalności.

  • W przypadku zmiany treści ogłoszenia o zamówieniu zamieszczonego w Biuletynie Zamówień Publicznych lub opublikowanego w Dzienniku Urzędowym Unii Europejskiej ma obowiązek przedłużyć termin składania wniosków o dopuszczenie do udziału w postępowaniu lub termin składania ofert o czas niezbędny do wprowadzenia zmian we wnioskach lub ofertach, jeżeli jest to konieczne.
  • Zamawiający ma uprawnienie do przekazania Urzędowi Publikacji Unii Europejskiej lub zamieszczenia na stronie internetowej w miejscu wyodrębnionym dla zamówień, tak zwanym „profilu nabywcy”, wstępnego ogłoszenia informacyjnego o zamówieniach planowanych w terminie następnych 12 miesięcy.
  • W praktyceogłoszenie o zamówieniu powinno wskazywać, że administrator danych, jakim staje się zamawiający podczas pozyskiwania danych osobowych, podaje osobie, której dane dotyczą, wszystkie następujące informacje zgodne z art. 6 ust. 1 lit. a–f rozporządzenia 2016/679, tzw. RODO.
  • Korzystanie z uprawnienia do sprostowania lub uzupełnienia danych osobowych nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą Pzp.