Zamówienia publiczne

  • Zamówienia publiczneZamówienia publiczne
  • O portalu
    • Aktualności
    • Zamówienia w praktyce
    • Orzecznictwo
    • Zamówienia sektorowe
  • O autorach
  • Polityka Cookies
  • Szkolenia i doradztwo
    • Zamawiający
    • Wykonawca
    • Szkolenia
  • Kontakt
  • Search

rozporządzenie RODO

Ochrona danych osobowych w zamówieniach publicznych a Rozporządzenie RODO

2018-04-05Aktualności, Zamówienia w praktyceadministrator danych osobowych, certyfikat RODO, klauzule społeczne, kryteria oceny ofert, ochrona danych osobowych, opis przedmiotu zamówienia, RODO, rozporządzenie RODO, warunki udziału w postępowaniu, zmiana umowy o zamówienie publiczneMożliwość komentowania Ochrona danych osobowych w zamówieniach publicznych a Rozporządzenie RODO została wyłączona

W artykule „Nowe obowiązki administratorów danych osobowych w świetle Rozporządzenia RODO” omówione zostały obowiązki wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Rozporządzenie RODO), które wejdzie w życie z dniem 25 maja 2018 r. Nowe, rewolucyjne regulacje w zakresie ochrony danych osobowych będą miały niewątpliwie także istotny wpływ na proces udzielania i realizacji zamówień publicznych.

Poniżej wskazujemy kilka istotnych kwestii związanych z wejściem w życie Rozporządzenia RODO w odniesieniu do zamówień publicznych:

  1. Weryfikacja zdolności wykonawcy do przetwarzania danych osobowych na etapie postępowania

Art. 28 ust. 1 Rozporządzenia RODO stanowi, iż należy korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. W świetle art. 24 ust. 1 Rozporządzenia to zamawiający jako administrator danych ma obowiązek zagwarantowania, aby przetwarzanie odbywało się zgodnie z Rozporządzeniem. Zamawiający powinien zatem już na etapie postępowania przewidzieć odpowiednie zapisy pozwalające zweryfikować wykonawców przed podpisaniem umowy. Naruszenie tego obowiązku przez administratora danych zagrożone jest zgodnie z Art. 83 ust. 4 Rozporządzenia RODO dotkliwą karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W świetle regulacji ustawy PZP oraz Rozporządzenia RODO zamawiający jako administrator danych osobowych musi zatem ustalić warunki udziału w postępowaniu w taki sposób, aby z jednej strony zapewnić udział podmiotów o odpowiednim doświadczeniu, ale jednocześnie nie naruszyć zasad uczciwej konkurencji i proporcjonalności i nie ograniczyć w sposób nieuprawniony dostępu wykonawców do zamówienia.

Wydaje się, że najbardziej właściwym sposobem zweryfikowania prawidłowości oferowanych przez wykonawcę usług w świetle Rozporządzenia RODO będzie żądanie certyfikatów RODO, tzn. zaświadczeń o zgodności istniejących w przedsiębiorstwie systemów przetwarzania danych osobowych z Rozporządzeniem RODO. Certyfikaty te przewidziane są w art. 42 ust. 1 Rozporządzenia RODO, zawierającego zachętę dla państw członkowskich do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych. Certyfikacja taka nie będzie jednak obowiązkowa.

Zgodnie z planami Ministerstwa Cyfryzacji w Polsce takie certyfikaty ma wydawać Prezes Urzędu Ochrony Danych Osobowych (Urząd ma powstać po wejściu w życie Rozporządzenia RODO), a także firmy prywatne, akredytowane przez Polskie Centrum Akredytacji. W opinii resortu podmioty dysponujące certyfikatem RODO powinny być następnie korzystniej traktowane w postępowaniach przetargowych.

Kwestia ta budzi liczne wątpliwości. Niewątpliwie zamawiający może zażądać przedstawienia przez wykonawcę certyfikatu RODO. Jest to możliwe na podstawie § 13 ust. 1 pkt 2) Rozporządzenia w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia, zgodnie z którym zamawiający może w celu potwierdzenia, że oferowane roboty budowlane, dostawy lub usługi odpowiadają określonym wymaganiom, zażądać przedstawienia przez wykonawcę certyfikatu wydanego przez jednostkę oceniającą zgodność lub sprawozdania z badań przeprowadzonych przez tę jednostkę, jako środka dowodowego potwierdzającego zgodność z wymaganiami lub cechami określonymi w opisie przedmiotu zamówienia, kryteriach oceny ofert lub warunkach realizacji zamówienia.

W sprawie tej wypowiedział się Urząd Zamówień Publicznych, w dniu 15 lutego 2018 r. dla Gazety Prawnej. Zdaniem UZP certyfikaty RODO mogą być brane pod uwagę zarówno jako warunek udziału w postępowaniu, jak i kryteria oceny ofert, ale tylko wówczas, gdy przedmiot zamówienia ma związek z ochroną danych osobowych. W przeciwnym wypadku należy przyjąć, że przedsiębiorca w ramach własnej działalności gospodarczej i tak musi wypełniać obowiązki wynikające z RODO, a więc nie ma podstaw do stawiania dodatkowych warunków udziału w postępowaniu związanych z tymi kwestiami, szczególnie biorąc pod uwagę dobrowolność certyfikacji. UZP stwierdził, że w świetle treści art. 22 ust. 1a i 1b PZP, jeżeli przedmiot zamówienia nie dotyczy RODO, warunek udziału w postępowaniu odnoszący się do obowiązku wykazania się przez wykonawców certyfikatem RODO wydaje się nadmierny i może być uznany za ograniczający konkurencję i utrudniający dostęp do zamówienia, zwłaszcza podmiotom z sektora MŚP.

Podobnie należy ocenić kwestię kryteriów oceny ofert odnoszących się do certyfikacji RODO, ustanowienia inspektora ochrony danych osobowych czy też ukształtowania w przedsiębiorstwie wykonawcy procesów związanych z ochroną danych, które mogą być uznane za zasadne jedynie wówczas, gdy przedmiot zamówienia jest związany z przetwarzaniem danych osobowych.

  1. Odpowiednie zapisy w opisie przedmiotu zamówienia

Zamawiający dokonując opisu przedmiotu zamówienia związanego z przetwarzaniem danych osobowych, powinien już od samego początku tworzenia dokumentacji postępowania brać pod uwagę prywatność osoby fizycznej i odpowiednie zabezpieczenie jej praw i wolności, jej danych osobowych, a co za tym idzie także gospodarowanie nimi – już pod kątem zapisów Rozporządzenia RODO i wynikających z niego obowiązków administratora danych osobowych. Odpowiednie zapisy powinny znaleźć się nie tylko w warunkach udziału w postępowaniu i kryteriach oceny ofert, ale w szczególności w opisie przedmiotu zamówienia i we wzorze umowy.

Zgodnie z Motywem 78 preambuły Rozporządzenia RODO, jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. W Rozporządzeniu wskazano wprost, że zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.

Także Art. 25 Rozporządzenia zobowiązuje do uwzględniania ochrony danych w fazie projektowania oraz do domyślnej ochrony danych.

  1. Odpowiednie ukształtowanie treści wzorów umów/podstawowych postanowień umownych w nowo ogłaszanych postępowaniach

Wiele umów, w szczególności o świadczenie usług, wiąże się z powierzeniem wykonawcy przetwarzania danych osobowych – przykładowo mogą to być liczne usługi związane z systemami IT.

Zgodnie z art. 28 ust. 3 Rozporządzenia RODO przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Wszystkie umowy o zamówienie publiczne, które będą wiązały się z powierzeniem przetwarzania danych osobowych wykonawcy, muszą zawierać zatem stosowne zapisy gwarantujące spełnienie obowiązków wynikających z Rozporządzenia RODO. Dodatkowo – z uwagi na wspomnianą powyżej wysokość kar z tytułu naruszenia wymogów tego Rozporządzenia – zamawiający powinien przewidzieć w umowie stosowne kary umowne w przypadku naruszeń zasad ochrony danych osobowych z winy wykonawcy.

Należy też zwrócić uwagę, że ze względu na niejasność wielu zapisów Rozporządzenia RODO i możliwość pojawienia się nowych przepisów, interpretacji czy wytycznych, zamawiający powinien zapewnić elastyczność zawieranych umów, przy czym najbezpieczniejszym rozwiązaniem będzie przewidzenie zgodnie z art. 144 ust. 1 pkt 1) PZP możliwości zmiany zakresu świadczeń wykonawcy czy też zmiany sposobu realizacji umowy, w sytuacji nie tylko zmian przepisów prawa, ale też pojawienia się nowych interpretacji i wytycznych.

  1. Realizacja zawartych wcześniej umów związanych z powierzeniem przetwarzania danych osobowych

Wszystkie umowy zawarte przed dniem w życie Rozporządzenia RODO muszą zostać dostosowane do przepisów Rozporządzenia. Wynika to z Art. 99 ust. 2 Rozporządzenia, wskazującego na datę 25 maja 2018 r., od której Rozporządzenie ma być stosowane. Wprawdzie w Motywie 171 określono, iż „przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów”, jednak w piśmiennictwie podkreśla się, że okres przejściowy trwa jedynie do dnia 24 maja 2018 r. i od następnego dnia wszelkie działania związane z przetwarzaniem danych osobowych muszą być zgodne z nowymi regulacjami.

Jak wskazano wyżej, art. 28 ust. 3 Rozporządzenia RODO określa zakres obowiązków podmiotu, któremu powierzone zostało przetwarzanie danych osobowych. Jeśli zatem Zamawiający nie przewidział wcześniej w umowie nowych obowiązków wynikających z Rozporządzenia RODO, powinien taką umowę przeanalizować i w razie konieczności odpowiednio aneksować. Kwestię dopuszczalności zmiany umowy należy dodatkowo każdorazowo zweryfikować w świetle treści art. 144 PZP. Przesłankami potencjalnie umożliwiającymi aneksowanie umów mogą być m.in.:

  • przewidzenie zmiany w ogłoszeniu o zamówieniu lub w SIWZ zgodnie z art. 144 ust. 1 pkt 1) PZP,
  • konieczność zmiany umowy lub umowy ramowej spowodowana okolicznościami, których zamawiający, działając z należytą starannością, nie mógł przewidzieć, zgodnie z art. 144 ust. 1 pkt 3) PZP,
  • zmiana nieistotna w rozumieniu art. 144 ust. 1e) PZP (art. 144 ust. 1 pkt 5) PZP),
  • łączna wartość zmian mniejsza niż kwoty określone w przepisach wydanych na podstawie art. 11 ust. 8 i jest mniejsza od 10% wartości zamówienia określonej pierwotnie w umowie w przypadku zamówień na usługi lub dostawy albo, w przypadku zamówień na roboty budowlane – mniejsza od 15% wartości zamówienia określonej pierwotnie w umowie (art. 144 ust. 1 pkt 6) PZP).

  1. Dane osobowe w procedurze udzielenia zamówienia

W opinii „Dane osobowe wykonawców zamieszczane w Biuletynie Zamówień Publicznych” Urząd Zamówień Publicznych dokonał analizy zgodności z przepisami dotyczącymi ochrony danych osobowych (w wersji obowiązującej przed wejściem w życie Rozporządzenia RODO) podawania w oficjalnych publikatorach (w tym przypadku w Biuletynie Zamówień Publicznych) informacji o danych dotyczących wykonawcy, któremu zostało udzielone zamówienie.

UZP stwierdził, że przepisy ustawy PZP są przepisami szczególnymi w stosunku do ustawy o ochronie danych osobowych, co skutkuje brakiem obowiązku uzyskiwania zgody na przetwarzanie danych osobowych wykonawców biorących udział w postępowaniu o udzielenie zamówienia publicznego. UZP jest zatem uprawniony do przetwarzania danych, w tym danych osobowych, ze względu na wypełnianie w ten sposób obowiązku wynikającego z przepisu prawa tj. art. 11 ust. 1 pkt. 1 PZP oraz rozporządzenia wykonawczego w sprawie wzorów ogłoszeń zamieszczanych w Biuletynie Zamówień Publicznych narzucającego określony wzór ogłoszenia o udzieleniu zamówienia, prowadzący do ujawnienia danych osobowych wykonawcy zamówienia. UZP stwierdził ponadto, iż „Podmioty deklarujące zamiar udziału w postępowaniu o udzielenie zamówienia publicznego z założenia godzą się na określone prawem uwarunkowania związane z ich udziałem w postępowaniu, w tym na upublicznienie informacji zawierających ich dane osobowe w przypadku udzielenia im zamówienia, a w przypadku trybów: negocjacji bez ogłoszenia oraz zamówienia z wolnej ręki także przed udzieleniem zamówienia publicznego. Tym samym, dane takie w odniesieniu do faktu publikacji nie podlegają ścisłej ochronie wynikającej z ustawy o ochronie danych osobowych”.

Wydaje się, że opinia ta zachowa swoją aktualność także w świetle Art. 6 Rozporządzenia RODO, jednak należy oczekiwać dodatkowych interpretacji kwestii ograniczenia zasady jawności postępowania poprzez ochronę danych osobowych. Dotyczy to nie tylko informacji publikowanych w ogłoszeniach, ale też innych danych zawartych w ofertach, przykładowo w informacji z Krajowego Rejestru Karnego.

Podobna sytuacja ma miejsce w przypadku danych osobowych pozyskiwanych w związku z klauzulami społecznymi przewidzianymi w PZP. Zgodnie z art. 29 ust. 3a PZP zamawiający zobowiązany jest określić w opisie przedmiotu zamówienia na usługi lub roboty budowlane wymagania zatrudnienia osób wykonujących wskazane przez zamawiającego czynności na podstawie umowy o pracę. Należy zwrócić uwagę, że przepis ten ustanawia nie uprawnienie, a obowiązek zamawiającego, jeśli te czynności polegają na wykonywaniu pracy w sposób określony w art. 22 § 1 Kodeksu pracy.

Regulacja wywołała liczne dyskusje dotyczące możliwości praktycznej weryfikacji spełnienia w/w obowiązku przez wykonawcę, co zaowocowało wspólnym stanowiskiem Prezesa UZP i Głównego Inspektora Ochrony Danych Osobowych. Zgodnie z nim, w stanie prawnym obowiązującym do czasu wejścia w życie Rozporządzenia RODO, dla skutecznej weryfikacji spełnienia obowiązku z art. 29 ust. 3a PZP „zamawiający może pozyskiwać takie dane osobowe pracowników, jak: imię i nazwisko, data zawarcia umowy, rodzaj umowy o pracę oraz wymiar etatu. Przyjęcie powyższego rozwiązania zapewni realną i efektywną kontrolę spełniania wymogu zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia polegające na wykonywaniu pracy w rozumieniu art. 22 § 1 Kodeksu pracy”.

Wejście w życie Rozporządzenia RODO przyniesie z pewnością wiele nowych kwestii do rozważenia w procesie udzielania zamówień. Należy spodziewać się nowych opinii Urzędu Zamówień Publicznych, wytycznych czy interpretacji, a być może także zmian w przepisach z zakresu zamówień publicznych, o czym będziemy informować na bieżąco w portalu zamówienia.org.pl.

Autor: Katarzyna Dziąćko, Kancelaria Wawrzynowicz & Wspólnicy Sp.k.

Odwiedź też:

energia.edu.pl
prawo-naprawcze
Restrukturyzacja

Portal tworzony przez:

Menu

  • Strona główna
  • Aktualności
  • Zamówienia w praktyce
  • Orzecznictwo
  • Zamówienia sektorowe
  • Energetyka

UOKiK zaprasza:

W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Akceptuję Czytaj politykę cookies
Polityka Cookies

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT