Zamówienia publiczne w czasach RODO
Zamawiający muszą pamiętać, że w prowadzonych przez nich postępowaniach przetwarzane są dane osobowe podlegające ochronie. Dokumentacja postępowania musi być dostosowana do nowych przepisów wynikających z wejścia w życie RODO.
Od 25 maja 2018 r. obowiązuje nowa ustawa o ochronie danych osobowych oraz RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Przepisy te wymuszają zmianę nawyków stron w postępowaniach prowadzonych zgodnie z przepisami ustawy Prawo zamówień publicznych i nakładają na zamawiających obowiązki informacyjne.
Urząd Zamówień publicznych opublikował właśnie Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO. Na stronie Urzędu zamawiający mogą znaleźć również propozycję treści klauzuli informującej uczestników przetargu o zasadach przetwarzania danych wynikających z art. 13 RODO, a także wzór oświadczenia, jakie powinno być odebrane od wykonawcy.
Zasadnicze kwestie, o których należy pamiętać biorąc udział w przetargu, są następujące:
- ochronie podlegają dane osobowe zawarte w treści oferty, we wniosku o dopuszczenie do udziału w postępowaniu, w Jednolitym Europejskim Dokumencie Zamówienia, a także we wszelkich innych dokumentach składanych w postępowaniu, na przykład w pełnomocnictwach;
- nowe przepisy o ochronie danych osobowych mają zastosowanie do postępowań trwających w dniu 25 maja 2018 r. i wszczętych po tej dacie;
- w odniesieniu do postępowań trwających zamawiający powinien wypełnić obowiązki związane z RODO przy pierwszej czynności podejmowanej po 25 maja 2018 r.;
- informacje o wyrokach skazujących i naruszeniach prawa, jako podlegające szczególnej ochronie, powinny być udostępniane wyłącznie podmiotom, którym przysługuje prawo do korzystania ze środków ochrony prawnej, z jednoczesnym zobowiązaniem osób, które są uprawnione do przetwarzania takich danych, do zachowania ich poufności. Szczególny rygor nie dotyczy informacji o niekaralności, o czym pisaliśmy tutaj;
- na zamawiającym, jako na administratorze danych osobowych, spoczywają obowiązki uregulowane w art. 13 RODO: zostały one opisane w gotowym szablonie opracowanym przez Urząd Zamówień Publicznych;
- obowiązek informacyjny może zostać zrealizowany poprzez indywidualne kierowanie informacji do poszczególnych wykonawców bądź też poprzez wprowadzenie dodatkowej informacji w treści ogłoszenia lub SIWZ;
- jeżeli w toku postępowania dochodzi do przetwarzania danych osób trzecich, na przykład podmiotu udostępniającego potencjał, personelu kluczowego, pełnomocnika, podwykonawcy, to dane tych osób podlegają ochronie na tych samych zasadach; osoby te również należy poinformować o ich uprawnieniach;
- ponieważ dane osób trzecich uzyskiwane są dla celów postępowania przez wykonawcę, który wspiera się tymi osobami, biorąc udział w postępowaniu, to celowe jest wymaganie od wykonawców oświadczenia w przedmiocie wypełnienia obowiązków informacyjnych wynikających z art. 13 lub 14 RODO; wzór oświadczenia, które może stać się elementem postępowań trwających w bieżącym stanie prawnym, jest dostępny na stronie Urzędu Zamówień Publicznych.
Anna Prigan, radca prawny, praktyka infrastruktury, transportu, zamówień publicznych i PPP kancelarii Wardyński i Wspólnicy