Czy każda inwestycja musi się kończyć procesem?

04.06.2018
Anna Goslawska
artImg

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nałożyło na administratorów danych osobowych wiele nowych obowiązków, w tym informacyjnych wobec osób, których dane dotyczą. Wymagają tego zasady rzetelnego i przejrzystego przetwarzania danych. Od teraz więc zamawiający muszą uwzględniać RODO w zamówieniach publicznych.

Wytyczne co do uwzględnienia RODO w zamówieniach publicznych

25 maja 2018 r. na stronie internetowej Urzędu Zamówień Publicznych pojawiły się wytyczne dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO w zamówieniach publicznych oraz przykładowe klauzule informacyjne, które może stosować Zamawiający. W postępowaniach o udzielenie zamówienia publicznego przetwarzane są dane osobowe, które podlegają ochronie, czyli dotyczące informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Przykładowo mogą to być dane samego wykonawcy będącego osobą fizyczną, jego pełnomocnika, pracowników, czy innych osób.

Obowiązek informacyjny

RODO w zamówieniach publicznych będziemy widzieć przede wszystkim po stosowaniu się przez zamawiających do obowiązków informacyjnych, które zostały uregulowane w art. 13 oraz 14 RODO.  Zgodnie z tymi przepisami osobom, których dane dotyczą powinny zostać przekazane informacje o:

  •  tożsamości administratora i jego danych kontaktowych,
  • danych kontaktowych inspektora ochrony danych (jeśli inspektor został wyznaczony),
  • celach przetwarzania danych osobowych, oraz podstawie prawnej przetwarzania – we wzorze umieszczonym na stronie UZP wskazano przykładowo „Pani/Pana dane osobowe przetwarzane będą na podstawie art. 6 ust. 1 lit. c RODO w celu związanym z postępowaniem o udzielenie zamówienia publicznego” czyli wskazano jako podstawę obowiązek prawny ciążący na administratorze. W przypadku tej podstawy przetwarzania danych powinno się również podać konkretną podstawę prawną stanowiącą źródło tego obowiązku. Podstawy przetwarzana wymienione są w art. 6 RODO i 9 RODO (w przypadku danych szczególnych kategorii),
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją – przykładowo takimi odbiorcami mogą być podmioty, którym zostanie udostępniona dokumentacja postępowania, podmioty doradzające Zamawiającemu w toku postępowania,
  • gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu – w tym miejscu należy wskazać, że zgodnie z art. 97 ust 1 ustawy Prawo zamówień publicznych Zamawiający przechowuje protokół wraz z załącznikami przez okres 4 lat od dnia zakończenia postępowania o udzielenie zamówienia, w sposób gwarantujący jego nienaruszalność. Jeżeli czas trwania umowy przekracza 4 lata, zamawiający przechowuje umowę przez cały czas trwania umowy,
  • o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeśli przetwarzanie danych odbywa się na podstawie zgody informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (należy pamiętać, że zgodnie z RODO zgoda jest dobrowolna, co oznacza, że może zostać cofnięta, wobec tego gdy istnieją inne podstawy przetwarzania danych osobowych, nie należy wprowadzać osób w błąd i odbierać od nich zgody na przetwarzanie danych),
  • o prawie wniesienia skargi do organu nadzorczego,
  • o tym, czy  podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, przykładowo we wzorze zamieszczonym przez Urząd Zamówień Publicznych zaproponowano takie pouczenie: „obowiązek podania przez Panią/Pana danych osobowych bezpośrednio Pani/Pana dotyczących jest wymogiem ustawowym określonym w przepisach ustawy Pzp, związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego; konsekwencje niepodania określonych danych wynikają z ustawy Pzp”,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,

W przypadku gdy dane nie pochodzą bezpośrednio od osoby której dotyczą, dodatkowo należy poinformować ją o:

  •  kategoriach odnośnych danych osobowych,
  •  źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

Wszystkie informacje muszą być zamieszczone w łatwo dostępnej formie i opisane zwięzłym, przejrzystym, zrozumiałym, jasnym i prostym językiem.

Odstąpienie przez obowiązku indywidualnego informowania

Zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób, w przypadkach, o których mowa w art. 14 ust. 5 RODO np. w sytuacji, gdy osoba ta dysponuje już tymi informacjami albo gdy wymagałoby to ze strony zamawiającego niewspółmiernie dużego wysiłku. W tym celu może zostać nałożony na Wykonawców biorących udział w postępowaniu obowiązek przekazania wymaganych informacji osobom, których dane przykładowo zawarł w ofercie oraz przekazanie Zamawiającemu oświadczeń w tym zakresie. Urząd Zamówień Publicznych w wydanych wskazówkach zwrócił przy tym uwagę, że „aby uniknąć konieczności kierowania informacji związanych z ochroną danych osobowych do poszczególnych wykonawców, obowiązek indywidualnego informowania wykonawców może być zapewniony przez zamieszczenie stosownych informacji w ogłoszeniu o zamówieniu albo ogłoszeniu o konkursie, w specyfikacji istotnych warunków zamówienia (SIWZ), dokumentacji postępowania albo w regulaminie konkursu. Alternatywnie, zwłaszcza w przypadku postępowań lub konkursów będących w toku, informacja ta powinna być podana w korespondencji kierowanej bezpośrednio do takich wykonawców po otwarciu ofert albo wniosków o dopuszczenie do udziału w postępowaniu, ewentualnie w przypadku postępowań lub konkursów w toku – niezwłocznie” (zob. Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO, www.uzp.gov.pl).

Podsumowanie

Nowe zasady dotyczące ochrony danych osobowych właśnie weszły w życie i stanowią, zwłaszcza na początku, duże wyzwanie dla wielu administratorów danych osobowych. RODO w zamówieniach publicznych wymusza na zamawiających zmianę myślenia o gromadzonych przez nich danych osobowych m.in. przez nałożenie na administratorów danych odpowiednie obowiązki administracyjne. I choć nie są to obowiązki szczególnie dotkliwe dla zamawiających, to jednak należy o nich pamiętać.

Radca prawny

Anna Gosławska

autor name

Anna Goslawska

Anna Gosławska
Absolwentka Wydziału Prawa , Administracji i Ekonomii Uniwersytetu Wrocławskiego, aplikację radcowską odbywała w Okręgowej Izbie Radców Prawnych we Wrocławiu, radca prawny od 2013 r., z kancelarią CASUS IURIS związana od 2008 r

Czy każda inwestycja musi się kończyć procesem? Casus Iuris Radca Prawny Wrocław

Casus Iuris 2018Korzystanie ze strony oznacza akceptację wykorzystywania plików "cookies".