RODO
w zamówieniach publicznych
Agata Smerd
17 maja 2018 r.
RODO – regulacje prawne
Rozporządzenie Ogólne
(GDPR - General Data Protection Regulation - RODO)
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE
2
www.PortalZP.pl
RODO – regulacje prawne
RODO
Wejście w życie 25.05.2018 r.
Wdrożone krajowe przepisy muszą od tego dnia zapewniać
skuteczne stosowanie przepisów RODO, nie powielając przy
tym jego rozwiązań ani nie będąc z nim sprzecznymi.
3
www.PortalZP.pl
RODO – regulacje prawne
UODO
Ustawa o Ochronie Danych Osobowych
05.04.2018 r. – skierowana do prac Sejmu
10.05.2018 r. - uchwalona po III czytaniu
Przekazana do prac Senatu
4
www.PortalZP.pl
RODO – regulacje prawne
UODO
Nie powielając rozwiązań RODO, UODO reguluje w
szczególności:
➢
proces wyznaczenia inspektora ochrony danych;
➢
warunki i tryb akredytacji podmiotu certyfikującego;
➢
zasady działania i współpracy z Urzędem Ochrony Danych Osobowych;
➢
postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych i
odpowiedzialność za naruszenie przepisów;
➢
kontrolę przestrzegania przepisów o ochronie danych osobowych;
5
www.PortalZP.pl
RODO – regulacje prawne
Motywy prawodawcy unijnego
(6, 7, 9)
Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie
ochrony danych osobowych.
Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i
globalnie - działania w internecie
Osoby fizyczne muszą mieć kontrolę nad własnymi danymi osobowymi, większe
poczucie pewności prawa i jego stosowania w praktyce.
Należy zapewnić spójne i jednolite w całej UE stosowanie przepisów o ochronie
podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych
osobowych.
6
www.PortalZP.pl
RODO – regulacje prawne
Motywy prawodawcy unijnego
(14, 18)
Ochrona ma zastosowanie do osób fizycznych - niezależnie od ich
obywatelstwa czy miejsca zamieszkania - w związku z przetwarzaniem
ich danych osobowych.
RODO nie dotyczy przetwarzania danych osobowych dotyczących osób
prawnych, w szczególności przedsiębiorstw będących osobami
prawnymi, w tym danych o firmie i formie prawnej oraz danych
kontaktowych osoby prawnej
7
www.PortalZP.pl
RODO – regulacje prawne
Motywy prawodawcy unijnego
(31)
Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym
obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy
celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne
czy organy rynków finansowych regulujące i nadzorujące rynki papierów
wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez
nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania
w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego.
8
www.PortalZP.pl
RODO – regulacje prawne
Motywy prawodawcy unijnego
(40, 42, 43, 44, 45)
ZGODA
Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła
zgodę na operację przetwarzania.
Zgoda dokonana w szczególności za pomocą pisemnego oświadczenia.
Oświadczenie musi mieć zrozumiałą i łatwo dostępną formę, być sformułowane
jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków.
Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać
przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych
osobowych.
9
www.PortalZP.pl
RODO – regulacje prawne
Motywy prawodawcy unijnego
(44, 45, 47)
UMOWA
Przetwarzanie powinno być zgodne z prawem, jeżeli jest ono niezbędne w związku z
zawarciem umowy lub zamiarem zawarcia umowy.
OBOWIĄZEK PRAWNY
Przetwarzanie niezbędne w celu wypełnienia obowiązku prawnego administratora
lub niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić
prawo Unii lub prawo państwa członkowskiego.
10
www.PortalZP.pl
RODO – regulacje prawne
Motywy prawodawcy unijnego
(47, 48)
INTERESY ADMINISTRATORA
Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy
administratora.
Prawnie uzasadniony interes np. gdy zachodzi istotny i odpowiedni rodzaj
powiązania między osobą, której dane dotyczą, a administratorem (klient
administratora lub działalność na rzecz administratora).
Prawnie uzasadniony interes administratora nie powinien mieć zastosowania
jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w
ramach realizacji swoich zadań.
11
www.PortalZP.pl
RODO – regulacje prawne
Motywy prawodawcy unijnego
(61)
KLAUZULA INFORMACYJNA
Informacje o przetwarzaniu danych osobowych dotyczących osoby,
której dane dotyczą, należy przekazać tej osobie w momencie
zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której
dane dotyczą, lecz z innego źródła - w rozsądnym terminie, zależnie od
okoliczności.
12
www.PortalZP.pl
RODO – definicje
Dane osobowe
Informacje
o
zidentyfikowanej
lub
możliwej
do
zidentyfikowania osobie fizycznej („osobie, której dane
dotyczą”).
13
www.PortalZP.pl
RODO – definicje
Możliwa do zidentyfikowania osoba
Osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w
szczególności na podstawie informacji takich jak:
imię i nazwisko,
numer identyfikacyjny,
dane o lokalizacji,
identyfikator internetowy.
14
www.PortalZP.pl
RODO – definicje
Możliwa do zidentyfikowania osoba
Osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności
na podstawie jednego bądź kilku szczególnych czynników określających:
fizyczną,
fizjologiczną,
genetyczną,
psychiczną,
ekonomiczną,
kulturową lub
społeczną
tożsamość tej osoby.
15
www.PortalZP.pl
RODO – definicje
Przetwarzanie
Oznacza operację (lub zestaw operacji)
wykonywaną na danych osobowych lub zestawach
danych osobowych w sposób zautomatyzowany lub
niezautomatyzowany, taką jak:
zbieranie,
utrwalanie,
organizowanie,
porządkowanie,
przechowywanie,
adaptowanie lub modyfikowanie,
pobieranie,
przeglądanie,
wykorzystywanie,
ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie,
dopasowywanie lub łączenie,
ograniczanie,
usuwanie lub niszczenie.
16
www.PortalZP.pl
RODO a zamówienia publiczne – przypadki przetwarzania
Po wejściu w życie przepisów RODO dane osobowe muszą być:
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której
dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach („ograniczenie
celu”),
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
przetwarzane („minimalizacja danych”),
prawidłowe i w razie potrzeby uaktualniane – dane osobowe, które są nieprawidłowe w
świetle celów ich przetwarzania powinny zostać niezwłocznie usunięte lub sprostowane
(„prawidłowość”),
przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez
okres nie dłuższy, niż jest to niezbędne do celów, w których są one przetwarzane
(„ograniczenie przechowywania”),
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych,
w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz
przypadkową utratą, zniszczeniem bądź uszkodzeniem, za pomocą odpowiednich
środków technicznych lub organizacyjnych („integralność i poufność”).
17
www.PortalZP.pl
RODO a zamówienia publiczne
18
www.PortalZP.pl
RODO a zamówienia publiczne – przypadki
przetwarzania
✓
Podmioty działające jako zamawiający będą przetwarzać dane osobowe
wykonawców (vs. MOTYW 14), np.:
•
dane ujawnione w ofertach - dane osób reprezentujących, dane kontaktowe
•
dane osobowe ujawnione w dokumentach składanych na wezwanie na mocy art. 26
ust. 1 i 2 ustawy Pzp takie jak: dane zawarte w dokumentach KRS, KRK, wykazach
osób, wykazach usług, dostaw, robót budowalnych (jeśli realizowane na rzecz osób
fiz.)
•
dane osobowe ujawnione w dokumentach uzupełnianych, jeśli inne niż w
pierwotnych
•
zanonimizowane (poza imieniem i nazwiskiem) dane dotyczące realizacji obowiązku
zatrudnienia na podstawie umowy o pracę (art. 29 ust. 3a pzp) –
MOTYW 26
19
www.PortalZP.pl
RODO a zamówienia publiczne – przypadki
przetwarzania
MOTYW 26
Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można
przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania
osobie fizycznej.
20
www.PortalZP.pl
RODO a zamówienia publiczne – przypadki
przetwarzania
✓
Podmioty działające jako zamawiający będą udostępniać wykonawcom
ich własne dane lub dane będące w ich posiadaniu, np.
•
dane osobowe członków komisji przetargowej,
•
dane osób do kontaktu w sprawie zamówienia i w sprawie realizacji zamówienia,
•
dane osób, niezbędne do udostępnienia w celu wykonania umowy, np. dane
pacjentów, obywateli, pracowników zamawiającego (w przypadku realizacji
zamówień na usługi ochrony, usługi zdrowotne, usługi hotelowe, budowę systemów
informatycznych, wdrożenia systemów, zamówienia na realizację swoistych baz
danych, zamówienia archiwizacyjne, wybór procesora itp.).
– Wykonawcy staną się podmiotami przetwarzającymi - UMOWA
21
www.PortalZP.pl
RODO a zamówienia publiczne – przypadki
przetwarzania
✓
Podmioty działające jako wykonawcy będą przetwarzać dane osobowe
podmiotów współpracujących w celu uzyskania i realizacji zamówienia,
np.
•
dane osobowe udostępnione przez podmioty trzecie, o których mowa w art. 22a
ustawy Pzp,
•
dane osobowe konsorcjantów,
•
dane osobowe podwykonawców.
22
www.PortalZP.pl
RODO a zamówienia publiczne – zgodność
przetwarzania z prawem
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim
zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub
większej liczbie określonych celów;
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub
do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej;
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi;
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby,
której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.
(nie dotyczy organów publicznych, ostatni akapit, zgodnie z motywem 48
RODO)
23
www.PortalZP.pl
RODO a zamówienia publiczne – zgodność
przetwarzania z prawem
Do
postępowań
związanych w
z
udzieleniem
zamówienia publicznego
zastosowanie ma w szczególności:
konieczność wykonania umowy, której stroną jest osoba, której dane dotyczą;
realizacja zadań w interesie publicznym lub sprawowania władzy publicznej;
obowiązek prawny administratora.
24
www.PortalZP.pl
RODO a zamówienia publiczne – zgodność
przetwarzania z prawem
OPINIA UZP „Dane osobowe wykonawców zamieszczane w
Biuletynie Zamówień Publicznych” (aktualna na dzień przed
dniem wejścia w życie RODO)
Podmioty deklarujące zamiar udziału w postępowaniu o udzielenie zamówienia
publicznego z założenia godzą się na określone prawem uwarunkowania
związane z ich udziałem w postępowaniu, w tym na upublicznienie informacji
zawierających ich dane osobowe w przypadku udzielenia im zamówienia, a w
przypadku trybów: negocjacji bez ogłoszenia oraz zamówienia z wolnej ręki
także przed udzieleniem zamówienia publicznego. Tym samym, dane takie w
odniesieniu do faktu publikacji nie podlegają ścisłej ochronie wynikającej z
ustawy o ochronie danych osobowych.
25
www.PortalZP.pl
RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne
26
www.PortalZP.pl
Rejestr czynności przetwarzania
(administrator)
Rejestr kategorii czynności przetwarzania
(podmiot przetwarzający)
a) nazwa oraz dane kontaktowe administratora oraz
wszelkich współadministratorów,
b) cele przetwarzania,
c) opis kategorii osób, których dane dotyczą, oraz
kategorii danych osobowych,
d) kategorie odbiorców, którym dane osobowe zostały
lub zostaną ujawnione, w tym odbiorców w
państwach trzecich lub w organizacjach
międzynarodowych,
e) gdy ma to zastosowanie, przekazania danych
osobowych do państwa trzeciego lub organizacji
międzynarodowej, w tym nazwa tego państwa
trzeciego lub organizacji międzynarodowej,
f) jeżeli jest to możliwe, planowane terminy usunięcia
poszczególnych kategorii danych,
g) jeżeli jest to możliwe, ogólny opis technicznych i
organizacyjnych środków bezpieczeństwa.
a) nazwa oraz dane kontaktowe podmiotu
przetwarzającego lub podmiotów przetwarzających
oraz każdego administratora, w imieniu którego
działa podmiot przetwarzający,
b) kategorie przetwarzań dokonywanych w imieniu
każdego z administratorów (np. cel i zakres usługi,
umowy powierzenia),
c) gdy ma to zastosowanie – przekazania danych
osobowych do państwa trzeciego,
d) jeżeli jest to możliwe, ogólny opis technicznych i
organizacyjnych środków bezpieczeństwa.
RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne
Rejestr czynności przetwarzania w przypadku zamawiającego obejmować będzie, w
szczególności:
27
www.PortalZP.pl
Nazwa
czynności
przetwarzania
Cel
przetwarzania
Kategorie osób
Kategorie
danych
Podstawa
prawna
Źródło danych
Planowany
termin
usunięcia
kategorii
danych
(jeżeli jest to
możliwe)
Nazwa
współadministr
atora
i dane
kontaktowe
(jeśli dotyczy)
Nazwa
podmiotu
przetwarzajace
go
i dane
kontakowe
(jeśli dotyczy)
Kategorie
odbiorców
(innych niż
podmiot
przetwarzajacy
)
Ogólny opis
technicznych i
organizacyjnyc
h srodków
bezpieczeństwa
zgodnie z art.
32 ust. 1
(jeżeli jest to
możliwe)
Transfer do kraju trzeciego lub org. międzynarodowej
Transfer do
kraju trzeciego
lub organizacji
międzynarodo
wej (nazwa
kraju i
podmiotu)
Jeśli transfer i
art. 49 ust. 1
akapit drugi -
dokumentacja
odpowiednich
zabezpieczeń
Art.. 30 ust. 1
pkt b
Art.. 30 ust. 1
pkt c
Art.. 30 ust. 1
pkt c
Art.. 30 ust. 1
pkt f
Art.. 30 ust. 1
pkt a
Art.. 30 ust. 1
pkt d
Art.. 30 ust. 1
pkt d
Art.. 30 ust. 1
pkt g
Art. 30 ust. 1
pkt e
Art. 30 ust. 1
pkt e
Przetwarzanie
danych osobowych
zawartych w
ofertach i
dokumentacji
wykonawców w
związku z
udzieleniem
zamówienia
publicznego
Udzielenie
zamówienia
publicznego
Osoby fizyczne
reprezentujące
wykonawców
(członkowie organu
nadzorczego,
zarządzającego,
prokurenci),
podmioty, o
których mowa w
art. 22a ust. 1 Pzp,
podwykonawców,
osoby do kontaktu
ze strony
wykonawcy, osoby
fizyczne zgłoszone
w ramach
wykazywania
spełnienia
warunku udziału w
postępowaniu,
Dane
identyfikacyjne,
dane teleadresowe,
dane o
wykształceniu,
stażu pracy,
uprawnieniach
zawodowych,
kwalifikacjach,
Konieczność
wykonania umowy
z osobą, której
dane dotyczą.
Prawne obowiązki
administratora,
interes publiczny
lub sprawowanie
władzy publicznej.
Przepis prawa.
Ustawa Prawo
zamówień
publicznych
Oferty i dokumenty
w postępowaniu
Po zakończeniu
okresu archiwizacji
danych związanych
z postępowaniami
Nie dotyczy lub
inny zamawiający
jeśli zamówienie
udzielne jest
wspólnie
UZP oragny
kontrolne w
sprawach
zamówień
współfinansowanyc
h itp.. (dokumenty
kierowane do
kontroli)
Dane nie są
przekazywane
innym podmiotom
Zamykane szafy w
pomieszczeniach
zamykanych,
dostępnych tylko
dla upoważnionych
osób. Kontrola
dostępu do
systemu
informatycznego,
dostęp tylko dla
osób
upoważnionych.
Nie dotyczy
Nie dotyczy
RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne
Zmiany w dokumentacji zamawiającego, w szczególności:
w regulaminach udzielania zamówień publicznych
we wzorach umów – umowy powierzenia i podpowierzenia
28
www.PortalZP.pl
RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne
Rejestrowanie przez zamawiającego żądań osoby, której dane
dotyczą – jeśli osobą jest wykonawca (art. 15-22 RODO):
uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane;
wniesienia sprzeciwu względem przetwarzanych danych osobowych osoby;
zgłoszenia interwencji przy automatycznym przetwarzaniu danych;
żądania wydania kopii danych osobowych;
żądania sprostowania danych osobowych;
żądania uzupełnienia danych osobowych;
żądania usunięcia danych osobowych (“prawo do bycia zapomnianym”);
żądania ograniczenia przetwarzania danych osobowych;
żądania przeniesienia danych osobowych;
uzyskania informacji o sprostowaniu, uzupełnieniu, usunięciu lub ograniczeniu przetwarzania danych.
29
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Wdrożenie
zasad
doboru
i
weryfikacji
podmiotów
przetwarzających dane
Zamawiający w relacji z wykonawcami a podmioty trzecie,
konsorcjanci i podwykonawcy w relacjach wzajemnych z wykonawcą
muszą
wdrożyć
zasady
doboru
i
weryfikacji
podmiotów
przetwarzających dane na jego rzecz opracowane w celu zapewnienia,
że
podmioty
przetwarzające
wdrożyły
odpowiednie
środki
organizacyjne i techniczne dla zapewnienia bezpieczeństwa danych
osobowych oraz realizacji praw jednostki.
30
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Zmiany w umowach. Umowy powierzenia i podpowierzenia.
Dotyczy zamawiających i wykonawców.
Przetwarzanie danych osobowych przez podmiot przetwarzający
odbywa się na podstawie umowy lub innego instrumentu prawnego,
które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą
podmiot przetwarzający i administratora, określają przedmiot i czas
trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych
osobowych oraz kategorie osób, których dane dotyczą, obowiązki i
prawa administratora. (art. 28 RODO).
31
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Umowy powierzenia i podpowierzenia. Najważniejsze regulacje
➢
Cele przetwarzania danych osobowych.
➢
Zakres danych osobowych, np. ich rodzaje i kategorie osób.
➢
Zastrzeżenie, że przed rozpoczęciem przetwarzania Przetwarzający musi podjąć środki
zabezpieczające dane osobowe, o których mowa w art. 32 RODO (środki techniczne
i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych), zapewnić, żeby
każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych
osobowych, przetwarzała je wyłącznie na polecenie Administratora; prowadzić ewidencję osób
upoważnionych do Przetwarzania danych osobowych.
➢
Zobowiązanie do współpracy przy wykonywaniu obowiązków określonych w art. 32-36 RODO –
szczegółowe regulacje wraz z podaniem terminu reakcji i wykonywania określonych czynności.
➢
Zapewnienie przez Przetwarzającego wdrożenia odpowiednich środków technicznych i
organizacyjnych, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane
dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO.
32
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Umowy powierzenia i podpowierzenia. Najważniejsze regulacje
Podpowierzenie danych – zasady i obowiązki z tego wynikające – należy
zagwarantować, aby postanowienie umowy podpowierzenia były nie mniej
restrykcyjne niż umowy powierzenia (np. wzór umowy podpowierzenia).
Wskazanie,
że
odpowiedzialność
wobec
Administratora
za
niewypełnienie
obowiązków wynikających z umowy podpowierzenia spoczywa na Przetwarzającym.
Postanowienia dotyczące kontroli przetwarzania (przez administratora lub podmiot
zewnętrzny).
Postanowienia dotyczące zakończenia realizacji umowy głównej – co z danymi
osobowymi (przekazanie kopii administratorowi i zniszczenie wszelkich kopii i
nośników).
33
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Weryfikacja wykonawców:
Warunki udziału w postępowaniu i kryteria oceny ofert - Żądanie certyfikatu
przetwarzania zgodnego z prawem (warunek zdolności technicznej lub zawodowej)
Opis przedmiotu zamówienia
Postanowienia umowne
34
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Warunek udziału w postępowaniu:
Żądanie certyfikatu przetwarzania zgodnego z prawem
Zgodnie z art. 28 ust. 5 RODO wystarczające gwarancje, jakie wynikałyby z umowy powierzenia i podpowierzenia
podmiot przetwarzający (wykonawca) może także wykazać m.in. poprzez stosowanie zatwierdzonego kodeksu
postępowania, o którym mowa w art. 40 RODO lub zatwierdzonego mechanizmu certyfikacji, o którym
mowa w art. 42 RODO.
Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty:
Certyfikacji dokonywać będzie prezes Urzędu Ochrony Danych Osobowych i akredytowany podmiot
certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu
wprowadzającego usługę lub produkt na rynek.
Tylko podmioty akredytowane, zgodnie z projektem ustawy o ochronie danych osobowych (Rozdział III) będą
mogły wydawać certyfikaty administratorom i podmiotom przetwarzającym. Komercyjne podmioty
certyfikujące mogą być akredytowane przez Polskie Centrum Akredytacji.
35
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Opis przedmiotu zamówienia:
▪
Należy brać pod uwagę prywatność osoby fizycznej i
odpowiednie zabezpieczenie jej praw i wolności, jej
danych osobowych na etapie sporządzania dokumentacji
przetargowej – ochrona danych w fazie projektowania –
motyw 78 RODO.
▪
Żądanie certyfikatu przetwarzania zgodnego z prawem –
jako warunek na mocy art. 30b ust. 1 Pzp.
36
www.PortalZP.pl
RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane
Umowy:
▪
Zapewnienie zgodnego z prawem przetwarzania danych osobowych
(klauzule umowne, umowy powierzenia i podpowierzenia).
▪
Zapewnienie ciągłości posiadania certyfikatu RODO, o ile był
wymagany.
▪
Zapewnienie możliwości zmian umowy na mocy art. 144 ust. 1 Pzp
(przewidzenie
klauzul
przeglądowych
dotyczących
zmian
interpretacji przepisów prawa).
▪
Zmiany w umowach już zawartych! – aneksowanie umów, analiza
pod kątem przewidzenia w nich stosownych zapisów, szczególnie
jeśli mają wpływ na wartość (zmiana nieistotna?).
37
www.PortalZP.pl
RODO a zamówienia publiczne
Klauzula informacyjna
Art. 13 i 14 RODO – poinformowania wykonawców o przetwarzaniu
Postanowienie SIWZ, że wykonawcy są zobligowaniu do informowania
swoich podwykonawców itp.
38
www.PortalZP.pl
RODO a zamówienia publiczne
Pozyskiwanie danych dotyczących obowiązku zatrudnienia
na umowy o pracę (art. 29 ust. 3a Pzp):
Zgodnie z wspólnym stanowiskiem Prezesa UZP i Głównego Inspektora Ochrony
Danych Osobowych:
„Zamawiający może pozyskiwać takie dane osobowe pracowników, jak: imię i
nazwisko, data zawarcia umowy, rodzaj umowy o pracę oraz wymiar etatu.
Przyjęcie powyższego rozwiązania zapewni realną i efektywną kontrolę spełniania
wymogu zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy
o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie
realizacji zamówienia polegające na wykonywaniu pracy w rozumieniu art. 22 § 1
Kodeksu pracy”.
39
www.PortalZP.pl
RODO a zamówienia publiczne
Gromadzenie (przetwarzanie) danych z KRK i KRS:
KRS – jawne (na tym tle również numer PESEL osób tam ujawnionych).
KRK - art. 10 RODO. Przepis ten zezwala na przetwarzanie danych osobowych
dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych
środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO, ale:
•
wyłącznie pod nadzorem władz publicznych lub
•
jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa
członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności
osób, których dane dotyczą (art. 24 Pzp oraz § 5 rozporządzenia w sprawie
dokumentów określający możliwość żądania dokumentu w postaci informacji z
KRK).
40
www.PortalZP.pl
RODO a zamówienia publiczne
Przekazywanie kopii oferty i pozostałych dokumentów
innym wykonawcom:
Element postępowania – zastosowanie ma art. 6 ust. 1 RODO.
Zastrzeganie na szerszą skalę tajemnicy przedsiębiorstwa przez
wykonawców – wiążą ich obowiązki RODO, muszą wykazać
przetwarzanie zgodne z prawem.
KRK, KRS mogą być w świetle przepisów udostępniane (art. 10,
art. 6 RODO, art. 24 Pzp).
Zamawiający musi zadbać o właściwe poszanowanie praw
uczestników postępowania przez właściwe zapisy SIWZ i umowy
– jak zadbać o to na etapie postępowania.
41
www.PortalZP.pl
PYTANIA
42
www.PortalZP.pl
RODO a zamówienia publiczne
1. Czy mamy obowiązek usunąć dane osobowe wykonawcy, który złożył
ofertę w postępowaniu poniżej 30 tys. EUR, jeżeli dostaniemy taką
prośbę po zakończeniu postępowania?
Art. 15-22 RODO reguluje obsługę żądań jednostki. Osoba fizyczna ma prawo
zwrócić się z wnioskiem o usunięcie danych osobowych. Administrator usuwa te
dane niezwłocznie, gdy zachodzi co najmniej jedna z okoliczności, o których mowa
w art. 17 RODO (np. gdy nie są już niezbędne z punktu widzenia celu
przetwarzania). Jeśli są niezbędne, np. archiwizacja – nie ma obowiązku ich
usuwać. Należy poinformować o tym osobę, której dane dotyczą.
2. W jaki sposób należy chronić dane osobowe w zaświadczeniach o
niekaralności?
Zgodnie z art. 10 RODO możliwe jest przetwarzanie danych osobowych
dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków
bezpieczeństwa na podstawie art. 6 ust. 1 RODO. Anonimizacja, tajemnica
przedsiębiorstwa.
43
www.PortalZP.pl
RODO a zamówienia publiczne
3. Jakie dane powstałe w prowadzonym postępowaniu stanowią zbiory
podległe RODO?
Od wejścia z życie RODO nie ma obowiązku rejestrowania zbiorów danych, ale
dane można odnotowywać w pewnych specyficznych zbiorach. Danymi
przetwarzanymi w postępowaniu będę dane osób do kontaktu czy realizacji umowy
(zarówno po stronie wykonawcy, zamawiającego, jak i podmiotów trzecich i
podwykonawców), dane osobowe zawarte w wykazach osób lub w pozostałych
wykazach (np. wykaz robót, których wykonawcą była osoba fizyczna), dane zawarte
w KRS, KRK itp.
44
www.PortalZP.pl
RODO a zamówienia publiczne
4. Interesuje mnie kwestia wpisywania w ofercie danych personalnych
np. wymagany personel - posiadane uprawnienia, doświadczenie, itd.
Jak to się ma do RODO? Czy wykonawca musi mieć zgodę od
pracowników na wpisywanie tych danych do oferty? Czy ze względu na
RODO
tego
typu
informacje
powinny
być
objęte
tajemnicą
przedsiębiorstwa?
Wszelkie tego typu dane dotyczą osób fizycznych i pozwalają na jej
zidentyfikowanie. Dane dotyczące kwalifikacji, wykształcenia a także imię i
nazwisko są danymi osobowymi w myśl definicji RODO (art. 4 pkt 1).
Przetwarzanie jest zgodne z prawem na podstawie zgody lub na innej podstawie
wymienionej w art. 6 RODO.
Art. 6 pkt 1 lit f RODO mówi o legalnym przetwarzaniu w przypadku prawnie
uzasadnionych interesów administratora. Zgodnie z motywem 48 - prawnie
uzasadniony interes np. gdy zachodzi istotny i odpowiedni rodzaj powiązania
między osobą, której dane dotyczą, a administratorem (klient administratora lub
działalność na rzecz administratora).
45
www.PortalZP.pl
RODO a zamówienia publiczne
5. Czy Wykonawca wykazując spełnienie czy to warunków udziału w
postepowaniu, czy kryterium doświadczenia przedstawia dane
osób fizycznych, które skieruje do realizacji zamówienia, czy
obowiązek
poinformowania
o
przetwarzaniu
należy
do
Wykonawcy, czy do Zamawiającego?
Jeżeli osobą (wykonawcą) przekazującą dane osobowe będzie osoba fizyczna,
to w myśl art. 13 zamawiający będzie pozyskiwał dane bezpośrednio od osoby,
której dane dotyczą. Obowiązek informacyjny będzie leżał po stronie
zamawiającego
(administratora).
Zamawiający
nie
może
zrealizować
postanowień art. 14 (pozyskiwanie danych pośrednio-informowania osoby,
której dane dotyczą). Klauzula informacyjna powinna znaleźć się w SIWZ.
Obowiązek informacyjny ciąży na wykonawcy (w szczególności informacja o
odbiorcach danych).
46
www.PortalZP.pl
RODO a zamówienia publiczne
6. Czy żeby przesyłać wyjaśnienie rażąco niskiej ceny do Zamawiającego
zawierające m.in. oferty dostawców i PW muszę posiadać ich zgodę na
udostępnienie tych informacji Zamawiającemu a być może również
innym Wykonawcom jeżeli poproszą o wgląd w korespondencję?
Jeżeli oferty zawierają dane osobowe osób fizycznych – tak, zgoda na przetwarzanie (nie na
przesłanie) albo zastosowanie art. 6 pkt 1 lit f RODO.
7. Co ma zrobić mała firma, gdzie się tylko pracuje na komputerze,
budynek własny, dokumentacja w aktach osobowych-papier? Czy trzeba
informować kontrahentów kupujących u nas usługi projektowe?
Grupa Robocza skupiająca unijnych rzeczników ochrony danych osobowych, w tym GIODO,
przyjęła stanowisko, w którym wskazuje, że administratorzy lub podmioty przetwarzające
zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania,
tylko gdy przetwarzanie:
może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub
dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
47
www.PortalZP.pl
NOWOŚĆ!!!
Książka o RODO w zamówieniach publicznych
•
Najważniejsze założenia nowego unijnego rozporządzenia w
sprawie ochrony danych osobowych!
•
Praktyczne skutki reformy prawa ochrony danych osobowych
dla zamawiających i wykonawców!
•
RODO a zamówienia publiczne – 4 wybrane elementy
szczególnie ważne dla uczestników postępowań!
•
4 ważne pytania o stosowanie w praktyce przepisów
dotyczących ochrony danych osobowych zamawiających i
wykonawców!