RODO a ochrona danych osobowych wykonawców – na co zwrócić uwagę?

Błędy w kryteriach oceny ofert
Listopad 29, 2018
Najczęściej popełniane błędy przy przeprowadzaniu postępowania
Styczeń 4, 2019

RODO a ochrona danych osobowych wykonawców – na co zwrócić uwagę?

O ogólnych skutkach związanych z rozpoczęciem stosowania w sferze zamówień publicznych ogólnego rozporządzenia o ochronie danych osobowych (tzw. RODO), pisaliśmy już we wcześniejszych artykułach, dostępnych tutajtutaj. W dzisiejszym wpisie zostanie poruszona jedynie tematyka związana z ochroną i przetwarzaniem danych osobowych wykonawców.

 Nie ma wątpliwości co do tego, że zamawiający będzie administratorem danych osobowych powierzonych przez wykonawcę. Podstawą do przetwarzania danych przez zamawiającego w postępowaniu o udzielenie zamówienia publicznego będzie co do zasady art. 6 ust. 1 lit c RODO, wskazujący, iż administrator danych osobowych ma prawo do ich przetwarzania z uwagi na ciążący na nim obowiązek prawny. Co to oznacza w praktyce w zakresie ochrony danych osobowych wykonawców?

Zakres danych podlegających ochronie

Dane osobowe wykonawców będą podlegały przetwarzaniu w zakresie procedury przetargowej mającej na celu wyłonienie najlepszej oferty, a w efekcie zawarcia umowy, mocą której zostanie udzielone zamówienie publiczne. Oznacza to, że danymi chronionymi w zakresie procedury udzielania zamówienia będą wszelkie dane osobowe znajdujące się w ofertach i wszelkich innych dokumentach składanych w toku prowadzonego postępowania przez wykonawcę. Oczywiście, dotyczy to danych osobowych jedynie osób fizycznych, takich jak: dane osobowe samych wykonawców składających ofertę, w tym konsorcjantów, podwykonawców, osób trzecich udostępniających swój potencjał, ich pełnomocników, pracowników etc.

Wykonawca powinien przekazywać zamawiającemu jedynie te dane osobowe, których przedstawienia wymaga zamawiający. Przyjmuje się, że jeżeli wykonawca przekazał więcej danych niż było to wymagane, wyraził on tym samym dorozumianą zgodę na ich przetwarzanie. Należy jednak pamiętać, że nie dotyczy to przetwarzania szczególnych kategorii danych określonych w art. 9 RODO, zwanych „danymi wrażliwymi”. Dotyczy to m.in. danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe itp. Najczęściej przekazanie większej ilości danych niż jest to wymagane ma miejsce w sytuacji opisu kwalifikacji i doświadczenia ekspertów.

Na marginesie należy podkreślić, że powyższemu obowiązkowi odpowiada obowiązek zamawiającego, zgodnie z którym zamawiający powinien żądać danych osobowych rodzajowo i ilościowo odpowiadających celu przeprowadzenia postępowania o udzielenie zamówienia publicznego. Innymi słowy, zamawiający powinien żądać jedynie tych danych i informacji, które są niezbędne z uwagi na konieczność wyboru najkorzystniejszej oferty w toku postępowania.

Dobrą praktyką ze strony zamawiającego byłoby, aby podkreślał on każdorazowo w ogłoszeniu o zamówieniu lub SIWZ, iż wystarczające będzie wskazanie jedynie tych danych, których zamawiający wyraźnie żąda lub tych, które wprost potwierdzają spełnienie wymagań przez wykonawcę.

Obowiązki zamawiającego i wykonawcy jako administratora danych przekazanych przez wykonawcę

Na zamawiającym, jako administratorze danych ciążył będzie obowiązek informacyjny względem wykonawcy na podstawie art. 13 RODO, m.in. obligujący zamawiającego do podania wykonawcy m.in. informacji w zakresie swojej tożsamości i danych kontaktowych, celu przetwarzania danych osobowych, informacji o odbiorcach danych osobowych, okresu przetwarzania danych osobowych, informacji o prawie żądania dostępu do danych osobowych i prawie ich usunięcia. Tzw. ustawa wdrażająca RODO, tj. ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, która obecnie jest przedmiotem obrad Sejmu, przewiduje, że zamawiający realizuje obowiązek informacyjny, przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, w specyfikacji istotnych warunków zamówienia, w regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy.

Powyższe dotyczy danych osobowych pozyskanych bezpośrednio od wykonawcy. Przyjmuje się natomiast, że co do zasady z uwagi na regulację zawarta w art. 14 ust. 5 RODO, zamawiający nie będzie miał obowiązków informacyjnych w stosunku do osób, których dane uzyskał pośrednio, tj. osób, których dane przekazał wykonawca, a nie same osoby, których dane dotyczą, np. w sytuacji, gdy osoba, której dane zostały udostępnione, wie o przetwarzaniu jej danych przez zamawiającego. Zapatrywanie to podziela Urząd Zamówień Publicznych.

Należy zwrócić uwagę na to, że obowiązki administratora danych osobowych będą również ciążyć na wykonawcy czy też podwykonawcy, o ile bezpośrednio pozyskali dane osobowe osób fizycznych, takich jak osób skierowanych do realizacji zamówienia, osób będących podwykonawcami czy też podmiotami trzecimi, członków ich organów zarządzających, pełnomocników. W przypadku konsorcjum, wszyscy jego członkowie będą współadministratorami danych osobowych.

W celu należytego wykonania obowiązków wynikających z RODO, zamawiający powinien zobowiązać wykonawcę do złożenia przez niego oświadczenia o wypełnieniu przez niego obowiązków informacyjnych przewidzianych w RODO względem osób, których dane wykonawca pozyskał. Zamawiający powinien zadbać, aby takie oświadczenie znalazło się w formularzu ofertowym. Zdaniem Urzędu Zamówień Publicznych, zamawiający mogą żądać ponadto od wykonawców tzw. certyfikatów RODO – czyli zaświadczeń o zgodności z RODO istniejących w przedsiębiorstwie wykonawcy systemów przetwarzania danych osobowych, wydanego przez Prezesa UODO lub podmiot certyfikujący (art. 42 ust. 1 RODO w zw. z art. 15 i nast. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych). Obowiązek posiadania i przedłożenia certyfikatu może albo stanowić jedno z kryteriów oceny ofert albo warunek wzięcia udziału w postępowaniu o udzielenie zamówienia.

Termin przetwarzania danych

Należy pamiętać o tym, że termin, na wniesienie środka odwoławczego, o którym mowa w dziale VI PZP, jest ściśle określony. Z tego powodu wykonawcy, którym udostępniono oferty podmiotów konkurujących z nimi o udzielenie zamówienia publicznego, powinno pamiętać o tym, że możliwość przetwarzania i przechowywania danych osobowych zawartych w ofertach, jest ograniczona do celów wynikających z prawnie uzasadnionych interesów wykonawców, a więc do upływu terminu do wniesienia odwołania. Po tym czasie, dane nie mogą być przetwarzane przez wykonawcę.

Z kolei okres przechowywania danych przez zamawiającego w związku z postępowaniem o udzielenie zamówienia publicznego wynosi 4 lata od dnia zakończenia tego postępowania, chyba że czas trwania umowy jest dłuższy – w takim przypadku okres przechowywania danych obejmuje okres trwania umowy zawartej w trybie zamówień publicznych. Nie należy jednak zapominać o ogólnych terminach przedawnienia roszczeń związanym z realizacją umowy. Po stronie zamawiającego istnieć będą uzasadnione podstawy do tego, że po zakończeniu umowy o udzielenie zamówienia publicznego będzie on mógł nadal przechowywać dane wynikające z umów przez okres, po którym przedawniają się roszczenia wynikające z umów.

Przetwarzanie danych związanych z karalnością wykonawcy

O potrzebie przetwarzania przez zamawiającego danych o karalności wykonawcy, pisaliśmy już w jednym z poprzednim wpisów. Z tego powodu, wspomnę tylko o tym, że obecnie przeważa stanowisko, zgodnie z którym zamawiający może przetwarzać także dane o karalności, mogące powodować fakultatywne wykluczenie oferty na podstawie art. 24 ust. 5 PZP. Co więcej, w przypadku złożenia innych danych o karalności przez wykonawcę, w szczególności co do karalności za przestępstwa niewskazane w PZP a także w sytuacji zastosowania tzw. self-cleaningu (art. 25 ust. 8 PZP), zamawiający również ma prawo do przetwarzania tych danych. Ustawa wdrażająca RODO przewiduje, że zamawiający udostępnia dane osobowe, o których mowa w art. 10 RODO, w  celu umożliwienia korzystania ze środków ochrony prawnej, o których mowa w dziale VI PZP, do upływu terminu na ich wniesienia. Jednocześnie do przetwarzania danych osobowych, o których mowa w art. 10 RODO, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w poufności.

Podsumowanie

Obowiązywanie RODO z pewnością wpłynęło na udzielanie zamówień publicznych, nakładając zarówno na zamawiającego, jak i wykonawcę określone obowiązki. Wykonawca powinien pamiętać nie tylko o przysługujących mu uprawnieniach w związku z przetwarzaniem przez zamawiającego przekazanych mu danych, ale również o ciążących na wykonawcy obowiązkach wobec osób, których dane sam pozyskał. Zmian w ustawie PZP będzie można spodziewać się również w związku z uchwaleniem tzw. ustawy wdrażającej RODO. Zakończenie prac nad jej ostatecznym kształtem planowane jest jednak dopiero po nowym roku.

Patrycja Cegiełka

Aplikant radcowski

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *