Prezentacja RODO w zamowieniach publicznych

RODO

w zamówieniach publicznych

Agata Smerd

17 maja 2018 r.

RODO – regulacje prawne

Rozporządzenie Ogólne

(GDPR - General Data Protection Regulation - RODO)

Parlamentu Europejskiego i Rady (UE) 2016/679 z 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w

związku z przetwarzaniem danych osobowych i w

sprawie swobodnego przepływu takich danych oraz

uchylenia dyrektywy 95/46/WE

www.PortalZP.pl

RODO – regulacje prawne

RODO

Wejście w życie 25.05.2018 r.

Wdrożone krajowe przepisy muszą od tego dnia zapewniać

skuteczne stosowanie przepisów RODO, nie powielając przy

tym jego rozwiązań ani nie będąc z nim sprzecznymi.

www.PortalZP.pl

RODO – regulacje prawne

UODO

Ustawa o Ochronie Danych Osobowych

05.04.2018 r. – skierowana do prac Sejmu

10.05.2018 r. - uchwalona po III czytaniu

Przekazana do prac Senatu

www.PortalZP.pl

RODO – regulacje prawne

UODO

Nie powielając rozwiązań RODO, UODO reguluje w

szczególności:

➢

proces wyznaczenia inspektora ochrony danych;

➢

warunki i tryb akredytacji podmiotu certyfikującego;

➢

zasady działania i współpracy z Urzędem Ochrony Danych Osobowych;

➢

postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych i
odpowiedzialność za naruszenie przepisów;

➢

kontrolę przestrzegania przepisów o ochronie danych osobowych;

www.PortalZP.pl

RODO – regulacje prawne

Motywy prawodawcy unijnego

(6, 7, 9)



Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie
ochrony danych osobowych.



Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i
globalnie - działania w internecie



Osoby fizyczne muszą mieć kontrolę nad własnymi danymi osobowymi, większe
poczucie pewności prawa i jego stosowania w praktyce.



Należy zapewnić spójne i jednolite w całej UE stosowanie przepisów o ochronie
podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych
osobowych.

www.PortalZP.pl

RODO – regulacje prawne

Motywy prawodawcy unijnego

(14, 18)



Ochrona ma zastosowanie do osób fizycznych - niezależnie od ich
obywatelstwa czy miejsca zamieszkania - w związku z przetwarzaniem
ich danych osobowych.



RODO nie dotyczy przetwarzania danych osobowych dotyczących osób
prawnych, w szczególności przedsiębiorstw będących osobami
prawnymi, w tym danych o firmie i formie prawnej oraz danych
kontaktowych osoby prawnej

www.PortalZP.pl

RODO – regulacje prawne

Motywy prawodawcy unijnego

(31)



Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym
obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy
celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne
czy organy rynków finansowych regulujące i nadzorujące rynki papierów
wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez
nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania
w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego.

www.PortalZP.pl

RODO – regulacje prawne

Motywy prawodawcy unijnego

(40, 42, 43, 44, 45)

ZGODA



Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła
zgodę na operację przetwarzania.



Zgoda dokonana w szczególności za pomocą pisemnego oświadczenia.



Oświadczenie musi mieć zrozumiałą i łatwo dostępną formę, być sformułowane
jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków.



Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać
przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych
osobowych.

www.PortalZP.pl

RODO – regulacje prawne

Motywy prawodawcy unijnego

(44, 45, 47)

UMOWA



Przetwarzanie powinno być zgodne z prawem, jeżeli jest ono niezbędne w związku z
zawarciem umowy lub zamiarem zawarcia umowy.

OBOWIĄZEK PRAWNY



Przetwarzanie niezbędne w celu wypełnienia obowiązku prawnego administratora
lub niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić
prawo Unii lub prawo państwa członkowskiego.

www.PortalZP.pl

RODO – regulacje prawne

Motywy prawodawcy unijnego

(47, 48)

INTERESY ADMINISTRATORA



Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy
administratora.



Prawnie uzasadniony interes np. gdy zachodzi istotny i odpowiedni rodzaj
powiązania między osobą, której dane dotyczą, a administratorem (klient
administratora lub działalność na rzecz administratora).



Prawnie uzasadniony interes administratora nie powinien mieć zastosowania
jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w
ramach realizacji swoich zadań.

www.PortalZP.pl

RODO – regulacje prawne

Motywy prawodawcy unijnego

(61)

KLAUZULA INFORMACYJNA



Informacje o przetwarzaniu danych osobowych dotyczących osoby,
której dane dotyczą, należy przekazać tej osobie w momencie
zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której
dane dotyczą, lecz z innego źródła - w rozsądnym terminie, zależnie od
okoliczności.

www.PortalZP.pl

RODO – definicje

Dane osobowe

Informacje

zidentyfikowanej

lub

możliwej

zidentyfikowania osobie fizycznej („osobie, której dane
dotyczą”).

www.PortalZP.pl

RODO – definicje

Możliwa do zidentyfikowania osoba

Osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w
szczególności na podstawie informacji takich jak:



imię i nazwisko,



numer identyfikacyjny,



dane o lokalizacji,



identyfikator internetowy.

www.PortalZP.pl

RODO – definicje

Możliwa do zidentyfikowania osoba

Osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności
na podstawie jednego bądź kilku szczególnych czynników określających:



fizyczną,



fizjologiczną,



genetyczną,



psychiczną,



ekonomiczną,



kulturową lub



społeczną

tożsamość tej osoby.

www.PortalZP.pl

RODO – definicje

Przetwarzanie

Oznacza operację (lub zestaw operacji)
wykonywaną na danych osobowych lub zestawach
danych osobowych w sposób zautomatyzowany lub
niezautomatyzowany, taką jak:



zbieranie,



utrwalanie,



organizowanie,



porządkowanie,



przechowywanie,



adaptowanie lub modyfikowanie,



pobieranie,



przeglądanie,



wykorzystywanie,



ujawnianie poprzez przesłanie,



rozpowszechnianie lub innego rodzaju udostępnianie,



dopasowywanie lub łączenie,



ograniczanie,



usuwanie lub niszczenie.

www.PortalZP.pl

RODO a zamówienia publiczne – przypadki przetwarzania

Po wejściu w życie przepisów RODO dane osobowe muszą być:



przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której
dotyczą („zgodność z prawem, rzetelność i przejrzystość”),



zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach („ograniczenie
celu”),



adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są
przetwarzane („minimalizacja danych”),



prawidłowe i w razie potrzeby uaktualniane – dane osobowe, które są nieprawidłowe w
świetle celów ich przetwarzania powinny zostać niezwłocznie usunięte lub sprostowane
(„prawidłowość”),



przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez
okres nie dłuższy, niż jest to niezbędne do celów, w których są one przetwarzane
(„ograniczenie przechowywania”),



przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych,
w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz
przypadkową utratą, zniszczeniem bądź uszkodzeniem, za pomocą odpowiednich
środków technicznych lub organizacyjnych („integralność i poufność”).

www.PortalZP.pl

RODO a zamówienia publiczne

www.PortalZP.pl

RODO a zamówienia publiczne – przypadki
przetwarzania

✓

Podmioty działające jako zamawiający będą przetwarzać dane osobowe
wykonawców (vs. MOTYW 14), np.:

•

dane ujawnione w ofertach - dane osób reprezentujących, dane kontaktowe

•

dane osobowe ujawnione w dokumentach składanych na wezwanie na mocy art. 26
ust. 1 i 2 ustawy Pzp takie jak: dane zawarte w dokumentach KRS, KRK, wykazach
osób, wykazach usług, dostaw, robót budowalnych (jeśli realizowane na rzecz osób
fiz.)

•

dane osobowe ujawnione w dokumentach uzupełnianych, jeśli inne niż w
pierwotnych

•

zanonimizowane (poza imieniem i nazwiskiem) dane dotyczące realizacji obowiązku
zatrudnienia na podstawie umowy o pracę (art. 29 ust. 3a pzp) –

MOTYW 26

www.PortalZP.pl

RODO a zamówienia publiczne – przypadki
przetwarzania

MOTYW 26

Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można
przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania
osobie fizycznej.

www.PortalZP.pl

RODO a zamówienia publiczne – przypadki
przetwarzania

✓

Podmioty działające jako zamawiający będą udostępniać wykonawcom
ich własne dane lub dane będące w ich posiadaniu, np.

•

dane osobowe członków komisji przetargowej,

•

dane osób do kontaktu w sprawie zamówienia i w sprawie realizacji zamówienia,

•

dane osób, niezbędne do udostępnienia w celu wykonania umowy, np. dane
pacjentów, obywateli, pracowników zamawiającego (w przypadku realizacji
zamówień na usługi ochrony, usługi zdrowotne, usługi hotelowe, budowę systemów
informatycznych, wdrożenia systemów, zamówienia na realizację swoistych baz
danych, zamówienia archiwizacyjne, wybór procesora itp.).

– Wykonawcy staną się podmiotami przetwarzającymi - UMOWA

www.PortalZP.pl

RODO a zamówienia publiczne – przypadki
przetwarzania

✓

Podmioty działające jako wykonawcy będą przetwarzać dane osobowe
podmiotów współpracujących w celu uzyskania i realizacji zamówienia,
np.

•

dane osobowe udostępnione przez podmioty trzecie, o których mowa w art. 22a
ustawy Pzp,

•

dane osobowe konsorcjantów,

•

dane osobowe podwykonawców.

www.PortalZP.pl

RODO a zamówienia publiczne – zgodność
przetwarzania z prawem

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim
zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:



osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub
większej liczbie określonych celów;



przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub
do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;



przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;



przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej;



przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi;



przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby,
której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.

(nie dotyczy organów publicznych, ostatni akapit, zgodnie z motywem 48

RODO)

www.PortalZP.pl

RODO a zamówienia publiczne – zgodność
przetwarzania z prawem

postępowań

związanych w

udzieleniem

zamówienia publicznego

zastosowanie ma w szczególności:



konieczność wykonania umowy, której stroną jest osoba, której dane dotyczą;



realizacja zadań w interesie publicznym lub sprawowania władzy publicznej;



obowiązek prawny administratora.

www.PortalZP.pl

RODO a zamówienia publiczne – zgodność
przetwarzania z prawem

OPINIA UZP „Dane osobowe wykonawców zamieszczane w
Biuletynie Zamówień Publicznych” (aktualna na dzień przed
dniem wejścia w życie RODO)

Podmioty deklarujące zamiar udziału w postępowaniu o udzielenie zamówienia
publicznego z założenia godzą się na określone prawem uwarunkowania
związane z ich udziałem w postępowaniu, w tym na upublicznienie informacji
zawierających ich dane osobowe w przypadku udzielenia im zamówienia, a w
przypadku trybów: negocjacji bez ogłoszenia oraz zamówienia z wolnej ręki
także przed udzieleniem zamówienia publicznego. Tym samym, dane takie w
odniesieniu do faktu publikacji nie podlegają ścisłej ochronie wynikającej z
ustawy o ochronie danych osobowych.

www.PortalZP.pl

RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne

www.PortalZP.pl

Rejestr czynności przetwarzania
(administrator)

Rejestr kategorii czynności przetwarzania
(podmiot przetwarzający)

a) nazwa oraz dane kontaktowe administratora oraz

wszelkich współadministratorów,

b) cele przetwarzania,
c) opis kategorii osób, których dane dotyczą, oraz

kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały

lub zostaną ujawnione, w tym odbiorców w
państwach trzecich lub w organizacjach
międzynarodowych,

e) gdy ma to zastosowanie, przekazania danych

osobowych do państwa trzeciego lub organizacji
międzynarodowej, w tym nazwa tego państwa
trzeciego lub organizacji międzynarodowej,

f) jeżeli jest to możliwe, planowane terminy usunięcia

poszczególnych kategorii danych,

g) jeżeli jest to możliwe, ogólny opis technicznych i

organizacyjnych środków bezpieczeństwa.

a) nazwa oraz dane kontaktowe podmiotu

przetwarzającego lub podmiotów przetwarzających
oraz każdego administratora, w imieniu którego
działa podmiot przetwarzający,

b) kategorie przetwarzań dokonywanych w imieniu

każdego z administratorów (np. cel i zakres usługi,
umowy powierzenia),

c) gdy ma to zastosowanie – przekazania danych

osobowych do państwa trzeciego,

d) jeżeli jest to możliwe, ogólny opis technicznych i

organizacyjnych środków bezpieczeństwa.

RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne

Rejestr czynności przetwarzania w przypadku zamawiającego obejmować będzie, w
szczególności:

www.PortalZP.pl

Nazwa

czynności

przetwarzania

Cel

przetwarzania

Kategorie osób

Kategorie

danych

Podstawa

prawna

Źródło danych

Planowany

termin

usunięcia

kategorii

danych

(jeżeli jest to

możliwe)

Nazwa

współadministr

atora

i dane

kontaktowe

(jeśli dotyczy)

Nazwa

podmiotu

przetwarzajace

i dane

kontakowe

(jeśli dotyczy)

Kategorie

odbiorców

(innych niż

podmiot

przetwarzajacy

)

Ogólny opis

technicznych i

organizacyjnyc

h srodków

bezpieczeństwa

zgodnie z art.

32 ust. 1

(jeżeli jest to

możliwe)

Transfer do kraju trzeciego lub org. międzynarodowej

Transfer do

kraju trzeciego
lub organizacji

międzynarodo

wej (nazwa

kraju i

podmiotu)

Jeśli transfer i

art. 49 ust. 1

akapit drugi -

dokumentacja

odpowiednich

zabezpieczeń

Art.. 30 ust. 1

pkt b

Art.. 30 ust. 1

pkt c

Art.. 30 ust. 1

pkt c

Art.. 30 ust. 1

pkt f

Art.. 30 ust. 1

pkt a

Art.. 30 ust. 1

pkt d

Art.. 30 ust. 1

pkt d

Art.. 30 ust. 1

pkt g

Art. 30 ust. 1

pkt e

Art. 30 ust. 1

pkt e

Przetwarzanie
danych osobowych
zawartych w
ofertach i
dokumentacji
wykonawców w
związku z
udzieleniem
zamówienia
publicznego

Udzielenie
zamówienia
publicznego

Osoby fizyczne
reprezentujące
wykonawców
(członkowie organu
nadzorczego,
zarządzającego,
prokurenci),
podmioty, o
których mowa w
art. 22a ust. 1 Pzp,
podwykonawców,
osoby do kontaktu
ze strony
wykonawcy, osoby
fizyczne zgłoszone
w ramach
wykazywania
spełnienia
warunku udziału w
postępowaniu,

Dane
identyfikacyjne,
dane teleadresowe,
dane o
wykształceniu,
stażu pracy,
uprawnieniach
zawodowych,
kwalifikacjach,

Konieczność
wykonania umowy
z osobą, której
dane dotyczą.
Prawne obowiązki
administratora,
interes publiczny
lub sprawowanie
władzy publicznej.
Przepis prawa.
Ustawa Prawo
zamówień
publicznych

Oferty i dokumenty
w postępowaniu

Po zakończeniu
okresu archiwizacji
danych związanych
z postępowaniami

Nie dotyczy lub
inny zamawiający
jeśli zamówienie
udzielne jest
wspólnie

UZP oragny
kontrolne w
sprawach
zamówień
współfinansowanyc
h itp.. (dokumenty
kierowane do
kontroli)

Dane nie są
przekazywane
innym podmiotom

Zamykane szafy w
pomieszczeniach
zamykanych,
dostępnych tylko
dla upoważnionych
osób. Kontrola
dostępu do
systemu
informatycznego,
dostęp tylko dla
osób
upoważnionych.

Nie dotyczy

RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne

Zmiany w dokumentacji zamawiającego, w szczególności:



w regulaminach udzielania zamówień publicznych



we wzorach umów – umowy powierzenia i podpowierzenia

www.PortalZP.pl

RODO a zamówienia publiczne – obowiązki zamawiającego i
wykonawców w świetle postępowań o zamówienie publiczne

Rejestrowanie przez zamawiającego żądań osoby, której dane
dotyczą – jeśli osobą jest wykonawca (art. 15-22 RODO):



uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane;



wniesienia sprzeciwu względem przetwarzanych danych osobowych osoby;



zgłoszenia interwencji przy automatycznym przetwarzaniu danych;



żądania wydania kopii danych osobowych;



żądania sprostowania danych osobowych;



żądania uzupełnienia danych osobowych;



żądania usunięcia danych osobowych (“prawo do bycia zapomnianym”);



żądania ograniczenia przetwarzania danych osobowych;



żądania przeniesienia danych osobowych;



uzyskania informacji o sprostowaniu, uzupełnieniu, usunięciu lub ograniczeniu przetwarzania danych.

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Wdrożenie

zasad

doboru

weryfikacji

podmiotów

przetwarzających dane

Zamawiający w relacji z wykonawcami a podmioty trzecie,
konsorcjanci i podwykonawcy w relacjach wzajemnych z wykonawcą
muszą

wdrożyć

zasady

doboru

weryfikacji

podmiotów

przetwarzających dane na jego rzecz opracowane w celu zapewnienia,
że

podmioty

przetwarzające

wdrożyły

odpowiednie

środki

organizacyjne i techniczne dla zapewnienia bezpieczeństwa danych
osobowych oraz realizacji praw jednostki.

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Zmiany w umowach. Umowy powierzenia i podpowierzenia.
Dotyczy zamawiających i wykonawców.

Przetwarzanie danych osobowych przez podmiot przetwarzający
odbywa się na podstawie umowy lub innego instrumentu prawnego,
które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą
podmiot przetwarzający i administratora, określają przedmiot i czas
trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych
osobowych oraz kategorie osób, których dane dotyczą, obowiązki i
prawa administratora. (art. 28 RODO).

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Umowy powierzenia i podpowierzenia. Najważniejsze regulacje

➢

Cele przetwarzania danych osobowych.

➢

Zakres danych osobowych, np. ich rodzaje i kategorie osób.

➢

Zastrzeżenie, że przed rozpoczęciem przetwarzania Przetwarzający musi podjąć środki
zabezpieczające dane osobowe, o których mowa w art. 32 RODO (środki techniczne
i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych), zapewnić, żeby
każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych
osobowych, przetwarzała je wyłącznie na polecenie Administratora; prowadzić ewidencję osób
upoważnionych do Przetwarzania danych osobowych.

➢

Zobowiązanie do współpracy przy wykonywaniu obowiązków określonych w art. 32-36 RODO –
szczegółowe regulacje wraz z podaniem terminu reakcji i wykonywania określonych czynności.

➢

Zapewnienie przez Przetwarzającego wdrożenia odpowiednich środków technicznych i
organizacyjnych, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane
dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO.

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Umowy powierzenia i podpowierzenia. Najważniejsze regulacje



Podpowierzenie danych – zasady i obowiązki z tego wynikające – należy
zagwarantować, aby postanowienie umowy podpowierzenia były nie mniej
restrykcyjne niż umowy powierzenia (np. wzór umowy podpowierzenia).



Wskazanie,

że

odpowiedzialność

wobec

Administratora

niewypełnienie

obowiązków wynikających z umowy podpowierzenia spoczywa na Przetwarzającym.



Postanowienia dotyczące kontroli przetwarzania (przez administratora lub podmiot
zewnętrzny).



Postanowienia dotyczące zakończenia realizacji umowy głównej – co z danymi
osobowymi (przekazanie kopii administratorowi i zniszczenie wszelkich kopii i
nośników).

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Weryfikacja wykonawców:



Warunki udziału w postępowaniu i kryteria oceny ofert - Żądanie certyfikatu
przetwarzania zgodnego z prawem (warunek zdolności technicznej lub zawodowej)



Opis przedmiotu zamówienia



Postanowienia umowne

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Warunek udziału w postępowaniu:

Żądanie certyfikatu przetwarzania zgodnego z prawem

Zgodnie z art. 28 ust. 5 RODO wystarczające gwarancje, jakie wynikałyby z umowy powierzenia i podpowierzenia
podmiot przetwarzający (wykonawca) może także wykazać m.in. poprzez stosowanie zatwierdzonego kodeksu
postępowania, o którym mowa w art. 40 RODO lub zatwierdzonego mechanizmu certyfikacji, o którym
mowa w art. 42 RODO.

Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty:



Certyfikacji dokonywać będzie prezes Urzędu Ochrony Danych Osobowych i akredytowany podmiot
certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu
wprowadzającego usługę lub produkt na rynek.



Tylko podmioty akredytowane, zgodnie z projektem ustawy o ochronie danych osobowych (Rozdział III) będą
mogły wydawać certyfikaty administratorom i podmiotom przetwarzającym. Komercyjne podmioty
certyfikujące mogą być akredytowane przez Polskie Centrum Akredytacji.

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Opis przedmiotu zamówienia:

▪

Należy brać pod uwagę prywatność osoby fizycznej i
odpowiednie zabezpieczenie jej praw i wolności, jej
danych osobowych na etapie sporządzania dokumentacji
przetargowej – ochrona danych w fazie projektowania –
motyw 78 RODO.

▪

Żądanie certyfikatu przetwarzania zgodnego z prawem –
jako warunek na mocy art. 30b ust. 1 Pzp.

www.PortalZP.pl

RODO a zamówienia publiczne – Wdrożenie zasad doboru i
weryfikacji podmiotów przetwarzających dane

Umowy:

▪

Zapewnienie zgodnego z prawem przetwarzania danych osobowych
(klauzule umowne, umowy powierzenia i podpowierzenia).

▪

Zapewnienie ciągłości posiadania certyfikatu RODO, o ile był
wymagany.

▪

Zapewnienie możliwości zmian umowy na mocy art. 144 ust. 1 Pzp
(przewidzenie

klauzul

przeglądowych

dotyczących

zmian

interpretacji przepisów prawa).

▪

Zmiany w umowach już zawartych! – aneksowanie umów, analiza
pod kątem przewidzenia w nich stosownych zapisów, szczególnie
jeśli mają wpływ na wartość (zmiana nieistotna?).

www.PortalZP.pl

RODO a zamówienia publiczne

Klauzula informacyjna

Art. 13 i 14 RODO – poinformowania wykonawców o przetwarzaniu
Postanowienie SIWZ, że wykonawcy są zobligowaniu do informowania
swoich podwykonawców itp.

www.PortalZP.pl

RODO a zamówienia publiczne

Pozyskiwanie danych dotyczących obowiązku zatrudnienia
na umowy o pracę (art. 29 ust. 3a Pzp):

Zgodnie z wspólnym stanowiskiem Prezesa UZP i Głównego Inspektora Ochrony
Danych Osobowych:
„Zamawiający może pozyskiwać takie dane osobowe pracowników, jak: imię i
nazwisko, data zawarcia umowy, rodzaj umowy o pracę oraz wymiar etatu.
Przyjęcie powyższego rozwiązania zapewni realną i efektywną kontrolę spełniania
wymogu zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy
o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie
realizacji zamówienia polegające na wykonywaniu pracy w rozumieniu art. 22 § 1
Kodeksu pracy”.

www.PortalZP.pl

RODO a zamówienia publiczne

Gromadzenie (przetwarzanie) danych z KRK i KRS:



KRS – jawne (na tym tle również numer PESEL osób tam ujawnionych).



KRK - art. 10 RODO. Przepis ten zezwala na przetwarzanie danych osobowych
dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych
środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO, ale:

•

wyłącznie pod nadzorem władz publicznych lub

•

jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa
członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności
osób, których dane dotyczą (art. 24 Pzp oraz § 5 rozporządzenia w sprawie
dokumentów określający możliwość żądania dokumentu w postaci informacji z
KRK).

www.PortalZP.pl

RODO a zamówienia publiczne

Przekazywanie kopii oferty i pozostałych dokumentów
innym wykonawcom:



Element postępowania – zastosowanie ma art. 6 ust. 1 RODO.



Zastrzeganie na szerszą skalę tajemnicy przedsiębiorstwa przez
wykonawców – wiążą ich obowiązki RODO, muszą wykazać
przetwarzanie zgodne z prawem.



KRK, KRS mogą być w świetle przepisów udostępniane (art. 10,
art. 6 RODO, art. 24 Pzp).



Zamawiający musi zadbać o właściwe poszanowanie praw
uczestników postępowania przez właściwe zapisy SIWZ i umowy
– jak zadbać o to na etapie postępowania.

www.PortalZP.pl

PYTANIA

www.PortalZP.pl

RODO a zamówienia publiczne

1. Czy mamy obowiązek usunąć dane osobowe wykonawcy, który złożył
ofertę w postępowaniu poniżej 30 tys. EUR, jeżeli dostaniemy taką
prośbę po zakończeniu postępowania?

Art. 15-22 RODO reguluje obsługę żądań jednostki. Osoba fizyczna ma prawo
zwrócić się z wnioskiem o usunięcie danych osobowych. Administrator usuwa te
dane niezwłocznie, gdy zachodzi co najmniej jedna z okoliczności, o których mowa
w art. 17 RODO (np. gdy nie są już niezbędne z punktu widzenia celu
przetwarzania). Jeśli są niezbędne, np. archiwizacja – nie ma obowiązku ich
usuwać. Należy poinformować o tym osobę, której dane dotyczą.
2. W jaki sposób należy chronić dane osobowe w zaświadczeniach o
niekaralności?

Zgodnie z art. 10 RODO możliwe jest przetwarzanie danych osobowych
dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków
bezpieczeństwa na podstawie art. 6 ust. 1 RODO. Anonimizacja, tajemnica
przedsiębiorstwa.

www.PortalZP.pl

RODO a zamówienia publiczne

3. Jakie dane powstałe w prowadzonym postępowaniu stanowią zbiory
podległe RODO?
Od wejścia z życie RODO nie ma obowiązku rejestrowania zbiorów danych, ale
dane można odnotowywać w pewnych specyficznych zbiorach. Danymi
przetwarzanymi w postępowaniu będę dane osób do kontaktu czy realizacji umowy
(zarówno po stronie wykonawcy, zamawiającego, jak i podmiotów trzecich i
podwykonawców), dane osobowe zawarte w wykazach osób lub w pozostałych
wykazach (np. wykaz robót, których wykonawcą była osoba fizyczna), dane zawarte
w KRS, KRK itp.

www.PortalZP.pl

RODO a zamówienia publiczne

4. Interesuje mnie kwestia wpisywania w ofercie danych personalnych
np. wymagany personel - posiadane uprawnienia, doświadczenie, itd.
Jak to się ma do RODO? Czy wykonawca musi mieć zgodę od
pracowników na wpisywanie tych danych do oferty? Czy ze względu na
RODO

tego

typu

informacje

powinny

być

objęte

tajemnicą

przedsiębiorstwa?

Wszelkie tego typu dane dotyczą osób fizycznych i pozwalają na jej
zidentyfikowanie. Dane dotyczące kwalifikacji, wykształcenia a także imię i
nazwisko są danymi osobowymi w myśl definicji RODO (art. 4 pkt 1).
Przetwarzanie jest zgodne z prawem na podstawie zgody lub na innej podstawie
wymienionej w art. 6 RODO.
Art. 6 pkt 1 lit f RODO mówi o legalnym przetwarzaniu w przypadku prawnie
uzasadnionych interesów administratora. Zgodnie z motywem 48 - prawnie
uzasadniony interes np. gdy zachodzi istotny i odpowiedni rodzaj powiązania
między osobą, której dane dotyczą, a administratorem (klient administratora lub
działalność na rzecz administratora).

www.PortalZP.pl

RODO a zamówienia publiczne

5. Czy Wykonawca wykazując spełnienie czy to warunków udziału w
postepowaniu, czy kryterium doświadczenia przedstawia dane
osób fizycznych, które skieruje do realizacji zamówienia, czy
obowiązek

poinformowania

przetwarzaniu

należy

Wykonawcy, czy do Zamawiającego?
Jeżeli osobą (wykonawcą) przekazującą dane osobowe będzie osoba fizyczna,
to w myśl art. 13 zamawiający będzie pozyskiwał dane bezpośrednio od osoby,
której dane dotyczą. Obowiązek informacyjny będzie leżał po stronie
zamawiającego

(administratora).

Zamawiający

nie

może

zrealizować

postanowień art. 14 (pozyskiwanie danych pośrednio-informowania osoby,
której dane dotyczą). Klauzula informacyjna powinna znaleźć się w SIWZ.
Obowiązek informacyjny ciąży na wykonawcy (w szczególności informacja o
odbiorcach danych).

www.PortalZP.pl

RODO a zamówienia publiczne

6. Czy żeby przesyłać wyjaśnienie rażąco niskiej ceny do Zamawiającego
zawierające m.in. oferty dostawców i PW muszę posiadać ich zgodę na
udostępnienie tych informacji Zamawiającemu a być może również
innym Wykonawcom jeżeli poproszą o wgląd w korespondencję?

Jeżeli oferty zawierają dane osobowe osób fizycznych – tak, zgoda na przetwarzanie (nie na
przesłanie) albo zastosowanie art. 6 pkt 1 lit f RODO.

7. Co ma zrobić mała firma, gdzie się tylko pracuje na komputerze,
budynek własny, dokumentacja w aktach osobowych-papier? Czy trzeba
informować kontrahentów kupujących u nas usługi projektowe?

Grupa Robocza skupiająca unijnych rzeczników ochrony danych osobowych, w tym GIODO,
przyjęła stanowisko, w którym wskazuje, że administratorzy lub podmioty przetwarzające
zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania,
tylko gdy przetwarzanie:



może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,



nie ma charakteru sporadycznego,



obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub
dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

www.PortalZP.pl

NOWOŚĆ!!!

Książka o RODO w zamówieniach publicznych

•

Najważniejsze założenia nowego unijnego rozporządzenia w
sprawie ochrony danych osobowych!

•

Praktyczne skutki reformy prawa ochrony danych osobowych
dla zamawiających i wykonawców!

•

RODO a zamówienia publiczne – 4 wybrane elementy
szczególnie ważne dla uczestników postępowań!

•

4 ważne pytania o stosowanie w praktyce przepisów
dotyczących ochrony danych osobowych zamawiających i
wykonawców!