rodo

Czy ogłoszenie unijne musi wskazywać kwestie RODO w postępowaniu o udzielenie zamówienia publicznego?

Pytanie:

Zamawiający ma zamiar wszcząć postępowanie na usługi ochrony osób i mienia. Dostępny na stronie https://enotices.ted.europa.eu Formularz 21 Usługi socjalne i inne szczególne usługi – zamówienia publiczne nie zawiera sekcji/pozycji odnoszącej się do informacji RODO, tak jak to jest w formularzu ogłoszenia o zamówienia publikowanym na Platformie e-Zamówienia (Sekcja III.3.15 i 16).

Czy zamawiający ma obowiązek (np. pod groźbą naruszenia przepisów ustawy Pzp lub dyscypliny finansów publicznych) umieszczać informacje o RODO w ogłoszeniach unijnych, mimo, że nie ma na nie wskazanego miejsca w formularzach ogłoszeń? Czy wystarczy zamieszczenie takiej informacji tylko w SWZ? Artykuł 19 ust.4 ustawy Pzp stanowi, że zamawiający informuje o stosowaniu RODO w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób a art. 87 ust. 1 ustawy Pzp mówi, że zamawiający przygotowuje ogłoszenie zgodnie z wzorami standardowych formularzy określonymi w rozporządzeniu wykonawczym Komisji (UE). Jeżeli zamawiający nie zamieścił informacji o stosowaniu przepisów RODO w ogłoszeniu o zamówieniu w procedurze unijnej (np. w formularzu 02 i 21), to powinien bezwzględnie dokonać zmiany ogłoszenia i w sekcji VI.3 pierwotnego ogłoszenia dodać informację dotyczącą ochrony danych osobowych?

Jakie obowiązki spoczywają na zamawiającym w związku z wymogami RODO?

Jakie obowiązki spoczywają na zamawiającym w związku z wymogami RODO?

Zamawiający jest administratorem danych osobowych, które wykonawcy udostępniają w toku postępowania o udzielenie zamówienia. Musi zatem w związku z tym wypełnić wymogi określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.Urz. UE L 119 z 4 maja 2016 r. – dalej: RODO. Zakres obowiązków spoczywających na zamawiających, w tym sposób przetwarzania danych osobowych podanych przez wykonawcę w toku postępowania, należy ustalić zarówno na podstawie wytycznych RODO, jak i przepisów krajowych. Sprawdź, o czym należy pamiętać w związku z koniecznością ochrony danych osobowych w postępowaniu o udzielenie zamówienia publicznego. Przeczytaj także, jak podchodzić do ochrony danych osobowych w procedurach pozaustawowych – na zamówienia o wartościach niższych niż 130.000 zł.

Rada

W tym artykule przeczytasz:

  • Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z RODO
  • Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z Pzp
  • Jak wypełnić obowiązki wynikające z RODO w procedurach realizowanych poza ustawą Pzp?

Regulacje dotyczące ochrony danych osobowych w zamówieniach publicznych zawierają art. 18 ust. 6, art. 19, art. 74 ust. 3 i 4, art. 75 i 76 ustawy Pzp.

Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z RODO

Zamawiający musi przede wszystkim wypełnić obowiązek informacyjny, o którym stanowi art. 13 ust. 1–3 RODO. Jego realizacja, jak mówi art. 19 ust. 1 ustawy Pzp, odbywa się przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu lub w dokumentach zamówienia tj. w szczególności w treści SWZ w formie stosownego załącznika.

Obowiązek informacyjny

Ponad to zamawiający ma obowiązek wraz z ogłoszeniem o zamówieniu przekazać wykonawcom następujące informacje:

  • Zamawiający udostępnia dane osobowe, o których mowa w art. 10 RODO (dane osobowe dotyczące wyroków skazujących i czynów zabronionych), aby umożliwić  korzystanie ze środków ochrony prawnej, o których mowa w dziale IX, do upływu terminu na ich wniesienie.
  • Zamawiający udostępnia protokół i załączniki do niego z przekazaniem wszystkich danych osobowych zebranych w toku postępowania o udzielenie zamówienia. Wyjątek obejmuje dane, o których mowa w art. 9 ust. 1 RODO tj. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  • Osoba, której dane osobowe zamawiający przetwarza, może skorzystać z uprawnienia, o którym mowa w art. 15 ust. 1–3 RODO. Jest to prawo uzyskania od administratora (zamawiającego):

– potwierdzenia, czy przetwarzane są dane osobowe dotyczące tej osoby,

– bycia poinformowanym o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem jej danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

– kopii danych osobowych podlegających przetwarzaniu.

Zamawiający może żądać, aby osoba, która stawia powyższe żądania, sprecyzowała nazwę lub datę zakończonego postępowania o udzielenie zamówienia.

  • Skorzystanie przez osobę, której dane osobowe dotyczą, z uprawnienia do sprostowania lub uzupełnienia danych osobowych, nie może naruszać integralności protokołu postępowania oraz jego załączników.
  • W postępowaniu o udzielenie zamówienia zgłoszenie żądania ograniczenia przetwarzania, o którym mowa w art. 18 ust. 1 RODO, nie ogranicza przetwarzania danych osobowych do czasu zakończenia tego postępowania.
  • W przypadku gdy wniesienie żądania dotyczącego prawa, o którym mowa w art. 18 ust. 1 RODO ograniczy przetwarzanie danych osobowych zawartych w protokole postępowania lub załącznikach do tego protokołu, od dnia zakończenia postępowania zamawiający nie udostępnia tych danych. Wyjątek stanowią przesłanki, o których mowa w art. 18 ust. 2 RODO.
RODO w postępowaniach o zamówienia publiczne

RODO w postępowaniach o zamówienia publiczne (cz. II)

Każdy zamawiający, udzielając zamówienia publicznego, musi przestrzegać zapisów rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: RODO) i należycie chronić danych osobowych przekazywanych przez wykonawców w toku postępowania. W artykule przeczytasz m.in. o:

  • udostępnianiu danych osobowych i ich przetwarzaniu w trakcie postępowania,
  • zasadach postępowania z danymi tzw. wrażliwymi – które są zawarte np. w zaświadczeniach z KRK,
  • przetwarzaniu danych osobowych w zamówieniach poniżej 30.000 euro.
  1. Jeżeli wykonywanie zamówienia wiąże się bezpośrednio z przetwarzaniem danych osobowych, zamawiający określa warunki przedmiotowe, których spełnienie zapewni mu korzystanie z usług podmiotu zapewniającego wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Zamawiający może z całą pewnością zażądać przedstawienia przez wykonawcę certyfikatu RODO.
  2. Wszelkie informacje o karalności wykonawcy, dotyczące wykonawców i przekazywane zamawiającemu w postępowaniu o udzielenie zamówienia celem wykazania braku podstaw do wykluczenia na podstawie art. 24 ust. 1 pkt 13, 14 oraz art. 24 ust. 5 pkt 5 i 6 ustawy Pzp, mogą zostać udostępnione podmiotom zainteresowanym, wyłącznie do upływu terminu na wniesienie odwołania do KIO. Nie ma przy tym znaczenia, czy informacja ta potwierdza karalność wykonawcy, czy też jego niekaralność.
  3. Wszystkie dane, które identyfikują pełnomocnika, niebędące jednocześnie danymi „ogólnodostępnymi”, mogą być przekazywane jako element dokumentacji postępowania/umowy, po uprzednim ich zanonimizowaniu.
  4. Podstawę prawną przetwarzania danych osobowych wykonawców składających oferty w postępowaniach prowadzonych na podstawie art. 4 pkt 8 ustawy Pzp jest ustawa o finansach publicznych.  W doktrynie nie ma jednoznaczności co do tego, czy informacje zawarte w ofercie składanej w „postępowaniu bagatelnym” stanowią informację publiczną i mogą być przekazywane podmiotom zainteresowanym w trybie ustawy o dostępie do informacji publicznej.
RODO w postępowaniach o zamówienia publiczne

RODO w postępowaniach o zamówienia publiczne (cz. I)

Od 25 maja 2018 r. dane osobowe muszą być chronione w sposób opisany w rozporządzeniu Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: RODO). Przepisy te obowiązują już prawie 2 lata, ale ich stosowanie nadal budzi liczne wątpliwości. Nie zmieniła tego w sposób istotny nowelizacja ustawy Pzp, w której uregulowano m.in. materię stosowania RODO w zamówieniach publicznych. Tymczasem każdy zamawiający, udzielając zamówienia publicznego, musi zmierzyć się z problematyką należytej ochrony danych osobowych przekazywanych przez wykonawców w toku postępowania. W artykule znajdziesz odpowiedzi na pytania:

  • Kiedy należy uznać, że w postępowaniu przetwarzane są dane osobowe?
  • O jakich czynnościach w związku z RODO należy pamiętać, przygotowując podstawowe dokumenty zamówienia?
  • Jakich 10 informacji należy zawrzeć w klauzuli informacyjnej przekazywanej wykonawcom?
  • O czym pamiętać w związku z RODO, formułując zapisy projektowanej umowy z wykonawcą?

W kolejnej części artykułu przeczytasz m.in. o:

  • udostępnianiu danych osobowych i ich przetwarzaniu w trakcie postępowania,
  • zasadach postępowania z danymi tzw. wrażliwymi – które są zawarte np. w zaświadczeniach z KRK,
  • przetwarzaniu danych osobowych w zamówieniach poniżej 30.000 euro.

Zgodnie z RODO, prawo do ochrony danych osobowych osób fizycznych nie ma charakteru absolutnego i ulega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes osób trzecich.

Zgodnie z artykułem 6 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

1)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2)      przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

3)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

4)      przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5)      przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

6)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Na zamawiającym, który prowadzi postępowanie o udzielenie zamówienia w sposób opisany w ustawie Pzp, z całą pewnością ciąży szereg prawnych obowiązków, do których realizacji niezbędne jest przetwarzanie danych osobowych przekazanych w ofertach.

Pod pojęciem przetwarzania należy rozumieć nie tylko udostępnianie danych, ale również wszelkie tak prozaiczne czynności, jak zbieranie, utrwalanie, przeglądanie czy przechowywanie danych (art. 4 RODO).

Zamawiający jest upoważniony do przetwarzania danych osobowych zawartych w treści oferty, w sposób, w zakresie i w celu opisanym w ustawie Pzp, bez względu na to, czy uzyskał na to bezpośrednią zgodę osoby, której dane te dotyczą. Innymi słowy, wykonawca, który bierze udział w postępowaniu o udzielenie zamówienia, musi się liczyć z tym, że jego dane będą przetwarzane. Przetwarzanie danych osobowych odbywa się wówczas na podstawie przepisów prawa, a podstawą przetwarzania jest przesłanka niezbędności wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Podstawa prawna i sposób przetwarzania danych są tożsame dla wszystkichkategorii wykonawców wymienionych w art. 2 pkt 11 ustawy Pzp, tj. zarówno osób fizycznych, osób prawnych, jak i jednostek organizacyjnych nieposiadających osobowości prawnej, które ubiegają się o udzielenie zamówienia publicznego, złożyły ofertę lub zawarły umowę w sprawie zamówienia publicznego.

Ustawodawca nie wprowadził zatem wymogu, by każdy wykonawca był jednocześnie przedsiębiorcą, a osoba fizyczna może ubiegać się o udzielenie zamówienia zarówno w ramach prowadzonej przez nią działalności gospodarczej, jak i jako osoba fizyczna takiej działalności nieprowadząca. Miarkowanie ochrony danych osobowych, w zależności od kręgu wykonawców, stałoby bowiem w oczywistej sprzeczności z zasadą równego traktowania wykonawców, wyrażoną w art. 7 ust. 1 ustawy Pzp.

Ogłoszenia w postępowaniach – reguły związane z RODO oraz zmianą ogłoszenia, cz. I

Ogłoszenia w postępowaniach – reguły związane z RODO oraz zmianą ogłoszenia, cz. II

W poniższym artykule omawiamy reguły zmiany ogłoszeń (oraz siwz) a także wymogi dotyczące klauzul RODO w ogłoszeniach i zasadach postępowania z danymi osobowymi ujawnianymi w treści ogłoszeń. Sprawdź, o czym musisz wiedzieć w związku z publikacją ogłoszenia, aby dopełnić wszelkich formalności.

  • W przypadku zmiany treści ogłoszenia o zamówieniu zamieszczonego w Biuletynie Zamówień Publicznych lub opublikowanego w Dzienniku Urzędowym Unii Europejskiej ma obowiązek przedłużyć termin składania wniosków o dopuszczenie do udziału w postępowaniu lub termin składania ofert o czas niezbędny do wprowadzenia zmian we wnioskach lub ofertach, jeżeli jest to konieczne.
  • Zamawiający ma uprawnienie do przekazania Urzędowi Publikacji Unii Europejskiej lub zamieszczenia na stronie internetowej w miejscu wyodrębnionym dla zamówień, tak zwanym „profilu nabywcy”, wstępnego ogłoszenia informacyjnego o zamówieniach planowanych w terminie następnych 12 miesięcy.
  • W praktyceogłoszenie o zamówieniu powinno wskazywać, że administrator danych, jakim staje się zamawiający podczas pozyskiwania danych osobowych, podaje osobie, której dane dotyczą, wszystkie następujące informacje zgodne z art. 6 ust. 1 lit. a–f rozporządzenia 2016/679, tzw. RODO.
  • Korzystanie z uprawnienia do sprostowania lub uzupełnienia danych osobowych nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą Pzp.