Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Ochrona danych osobowych w nowym pzp

12-05-2021 Autor: Andrzela Gawrońska-Baran

W obszarze zamówień publicznych niezbędne jest przestrzeganie wymagań w zakresie ochrony danych osobowych wynikających z przepisów rodo. Należy je jednak zrealizować zgodnie z zasadami określonymi w przepisach nowego prawa zamówień publicznych, które obowiązują od 1 stycznia 2021 r.

 

Przetwarzanie danych osobowych występuje na każdym etapie procesu udzielania zamówienia publicznego, korzystania ze środków ochrony prawnej, zawarcia oraz wykonywania umowy, w tym weryfikacji zatrudnienia na podstawie stosunku pracy osób skierowanych do realizacji zamówienia, a także podczas udostępniania przez zamawiających dokumentacji postępowania w jego trakcie oraz po zakończeniu. Zamawiający prowadzący postępowanie lub nadzorujący wykonywanie umowy może otrzymywać m.in. dane osobowe:

  • wykonawcy będącego osobą fizyczną;
  • podwykonawcy będącego osobą fizyczną;
  • osoby do kontaktu po stronie wykonawcy;
  • osoby kierowanej do realizacji zamówienia;
  • osoby fizycznej reprezentującej wykonawcę (np. członka organu, pełnomocnika).

Cel przetwarzania

Należy zwrócić uwagę na zagadnienia związane z ochroną danych osobowych w relacji do wynikającej z nowej ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (DzU z 2019 r., poz. 2019 ze zm.; dalej: nowe pzp) podstawowej zasady udzielania zamówień publicznych, czyli zasady jawności określonej w art. 18 ust. 1 nowego pzp. Prawodawca unijny w art. 6 rodo wskazuje, że przetwarzanie jest zgodne z prawem m.in. w sytuacji, w której osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Na gruncie zamówień publicznych takie żądanie byłoby raczej nieuprawnione i z tego względu, jak można założyć, do przetwarzania danych osobowych w przypadku niedysponowania zgodą osoby fizycznej zastosowanie znajdzie art. 6 ust. 1 lit. f rodo. Wymaga się w nim wykazania spełnienia łącznie dwóch okoliczności:

  • niezbędności przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią;
  • braku sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

Kluczowe znaczenie w kontekście ochrony danych osobowych i ograniczenia zasady jawności w zamówieniach publicznych ma art. 18 ust. 6 nowego pzp. Zgodnie z nim zamawiający udostępnia dane osobowe, o których mowa w art. 10 rodo, po to, aby móc korzystać ze środków ochrony prawnej, o których mowa w dziale IX, do upływu terminu na ich wniesienie. Dla przypomnienia, w art. 10 rodo zezwala się na przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa, jeżeli przetwarzanie to jest dozwolone prawem państwa członkowskiego, które przewiduje odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. W przepisach nowego pzp zabezpieczenie takie w odniesieniu do danych osobowych dotyczących wyroków i skazań polega zatem na ograniczeniu kręgu podmiotów, którym dane te będą udostępniane przez cel, jakim jest przysługujące tym podmiotom, na gruncie nowego pzp, prawo do korzystania ze środków ochrony prawnej, również opierające się na informacjach dotyczących wyroków i skazań.

Zgodnie z art. 505 ust. 1 nowego pzp środki ochrony prawnej przysługują wykonawcy, uczestnikowi konkursu oraz innemu podmiotowi, jeżeli ma on lub miał interes w uzyskaniu danego zamówienia oraz poniósł lub może ponieść szkodę w wyniku naruszenia przez zamawiającego przepisów pzp. Dodatkowo, stosownie do art. 505 ust. 2 nowego pzp, środki ochrony prawnej wobec ogłoszenia wszczynającego postępowanie o udzielenie zamówienia oraz dokumentów zamówienia przysługują również organizacjom wpisanym na listę, o której mowa w art. 469 pkt 15 nowego pzp, oraz Rzecznikowi Małych i Średnich Przedsiębiorców. Po upływie terminu na skorzystanie ze środków ochrony prawnej albo w przypadku, w którym o dostęp do dokumentów zawierających informacje o wyrokach skazujących i naruszeniach prawa ubiegają się podmioty, którym nie przysługuje prawo do korzystania ze środków ochrony prawnej, zamawiający udostępnia dane osobowe zawarte w dokumentach po ich odpowiednim spseudonimizowaniu. Jednocześnie należy przyjąć, że przywołane ograniczenia nie mają zastosowania do organów publicznych lub instytucji (np. kontroli czy organów ścigania) uprawnionych na mocy regulacji szczegółowych do żądania od zamawiającego udostępnienia dokumentacji postępowania.

Na gruncie zamówień publicznych dane osobowe dotyczące wyroków i skazań mogą zawierać informacje z Krajowego Rejestru Karnego, jednolity europejski dokument zamówienia (zwłaszcza rubryka dotycząca tzw. samooczyszczenia) i uzasadnienie odrzucenia oferty złożonej przez wykonawcę, który podlega wykluczeniu z postępowania (zob. art. 226 ust. 1 pkt 2 lit. a nowego pzp). Ograniczenie zasady jawności w odniesieniu do danych osobowych zawartych w informacji z KRK nie ma zastosowania w sytuacji, w której dana osoba nie figuruje w rejestrze skazań za przestępstwa lub wykroczenia.

 

Obowiązki informacyjne zamawiającego

Na zamawiającym, podobnie jak dotychczas, ciążą obowiązki informacyjne, o których mowa w art. 13 ust. 1–3 rodo. Wśród tych informacji znajdują się m.in.:

  • nazwa i dane kontaktowe administratora danych;
  • cele przetwarzania;
  • podstawy prawne przetwarzania;
  • okres przechowywania danych;
  • prawa przysługujące osobie, której dane dotyczą.

Na mocy art. 19 ust. 1 nowego pzp zamawiający może realizować obowiązki z art. 13 ust. 1–3 rodo przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu lub w dokumentach zamówienia (np. w specyfikacji warunków zamówienia). Sytuację, w której zamawiający realizuje obowiązek informacyjny w ogłoszeniu o zamówieniu, przewidziano wprost w załączniku do nowego rozporządzenia Ministra Rozwoju, Pracy i Technologii z dnia 23 grudnia 2020 r. w sprawie ogłoszeń zamieszczanych w Biuletynie Zamówień Publicznych (DzU z 2020 r., poz. 2439). Informacje, o których mowa w art. 13 ust. 1–3 rodo, docierają zatem do wykonawcy już na początku postępowania o udzielenie zamówienia. Co istotne, skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia z art. 16 rodo, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia ani zmianą postanowień umowy w sprawie zamówienia publicznego w zakresie niezgodnym z ustawą. Ponadto w postępowaniu o udzielenie zamówienia zgłoszenie żądania ograniczenia przetwarzania, o którym mowa w art. 18 ust. 1 rodo, nie ogranicza przetwarzania danych osobowych do czasu zakończenia tego postępowania. Zamawiający informuje o ograniczeniach stosowania przepisów rodo w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób dostępny dla osoby, której dane dotyczą.

Do obowiązków zamawiającego należy także przetwarzanie danych osobowych zebranych w postępowaniu o udzielenie zamówienia w sposób gwarantujący zabezpieczenie przed ich bezprawnym rozpowszechnianiem.

 

[...]

 

Autorka jest radcą prawnym, doktorem nauk prawnych, byłym wiceprezesem UZP oraz wieloletnim dyrektorem departamentu zamówień publicznych w  dużej jednostce sektora finansów publicznych, obecnie prowadzi AGB Kancelaria Radcy Prawnego.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.