Ochrona danych osobowych w zamówieniach publicznych

Przeczytaj także: Ochrona danych osobowych kontra przedsiębiorca

W postępowaniu na udzielenie zamówienia publicznego mogą być przetwarzane dane zarówno wykonawcy, jeżeli jest nim osoba fizyczna prowadząca działalność gospodarczą, dane pełnomocnika wykonawcy, a także dane innych osób fizycznych, które wykonawca wymienia w celu wykazania spełniania warunków wzięcia udziału w postępowaniu bądź spełnienia wymogów dotyczących wykonania przedmiotu zamówienia. Informacje te bez wątpienia są objęte definicją danych osobowych, którą znajdziemy w preambule RODO, w związku z tym podlegają ochronie przewidzianej rozporządzeniem.

Pierwszą bardzo ważną kwestią, przy której należy się zatrzymać, jest określenie podstawy prawnej przetwarzania danych osobowych osób biorących udział w postępowaniu. Przetwarzanie tych danych będzie odbywało się w ramach wypełnienia obowiązków prawnych ciążących na Administratorze, przewidzianych w ustawie Pzp, w związku z tym podstawą prawną do przetwarzania danych osób biorących udział w postępowaniu będzie art. 6 ust. 1 lit. c, a co za tym idzie, nie będzie wymagane uzyskiwanie zgód na przetwarzanie danych osobowych w ramach toczącego się postępowania.

Bez znaczenia czy przetwarzanie odbywa się na podstawie wypełnienia obowiązku prawnego, czy jakiejkolwiek innej przesłanki, Administrator jest zobowiązany do wypełnienia obowiązku informacyjnego, o którym mowa w art. 13 Rozporządzenia. Obowiązek informacyjny polega na informowaniu osób, których dane dotyczą o przysługujących im prawach oraz na precyzyjnym określeniu, kto i w jakim celu będzie przetwarzał jego dane osobowe, ponieważ tylko osoba skutecznie poinformowana jest w stanie korzystać ze swoich uprawnień nadanych na podstawie rozporządzenia oraz reagować na wszelkie nieprawidłowości w tym zakresie. Projekt ustawy zmieniającej ustawy sektorowe przewiduje możliwość wypełnienia obowiązku informacyjnego poprzez umieszczenie go w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia lub w regulaminie konkursu, nie będzie więc konieczności informowania każdej z osób z osobna.

Drugim etapem przygotowania się do udzielenia zamówienia publicznego, przy którym należy rozważyć przepisy Rozporządzenia będzie określenie warunków udziału w postępowaniu. W sytuacji kiedy realizacja przedmiotu zamówienia będzie ściśle związana z przetwarzaniem danych osobowych, zamawiający może przewidzieć mechanizm weryfikacji przyszłego wykonawcy w kontekście tego, czy daje on gwarancje przestrzegania przepisów rozporządzenia. Przykładem mogą być zamówienia na usługi kadrowe, księgowe lub medyczne. RODO wskazuje wprost wymóg wyboru przez Administratora wykonawcy, dającego rękojmię stosowania takich środków technicznych i organizacyjnych aby przetwarzanie danych odbywało się na podstawie przepisów, zapewniając ochronę praw lub wolności osób, których dane dotyczą. Zamawiający na podstawie §13 ust. 1 pkt.2 rozporządzenia Ministra Rozwoju z dnia 26 lipca 2016 r. w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia, może za warunek udziału w postępowaniu określić wymóg posiadania certyfikatu zgodności z RODO jedynie w przypadku kiedy będzie to ściśle związane z przedmiotem zamówienia. Przykładowo, jeżeli określimy, że warunkiem wzięcia udziału w postępowaniu o udzielenie zamówienia na roboty budowlane będzie wymóg posiadania certyfikatu zdolności z RODO, uznamy, że warunek ten nie jest proporcjonalny do przedmiotu zamówienia, co może przysporzyć Zamawiającemu problemów na późniejszych etapach, z tego względu każdorazowo należy rozważyć czy wymóg posiadania tego certyfikatu nie będzie niewspółmierny do przedmiotu zamówienia.

Ostatnim etapem po wyborze oferty najkorzystniejszej będzie podpisanie umowy z Wykonawcą. W tym kontekście warto pamiętać o tym, że RODO obliguje Zamawiającego do zobowiązania Wykonawcy do m.in. przetwarzania danych osobowych wyłącznie na jego udokumentowane polecenie, zobowiązania do zachowania tajemnicy osób upoważnionych do przetwarzania danych, czy zapewnienia bezpieczeństwa przetwarzania danych. Pomocna w tym wypadku może okazać się dodatkowo zawarta umowa powierzenia przetwarzania danych osobowych, która będzie regulowała kwestie wymagane art. 28 RODO.

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, przewiduje ponadto ograniczenie zasady jawności przy udostępnianiu protokołów z udzielenia zamówienia publicznego. Proponowane zmiany wskazują na wyłączenie jawności dot. danych osobowych szczególnie chronionych, do których należą: informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. W praktyce oznacza to, że takie informacje, o ile znajdują się w protokole o udzielenie zamówienia publicznego powinny być zanonimizowane i dopiero po tym procesie udostępnione osobom trzecim, w ramach dostępu do informacji publicznej.
Wejście w życie Rozporządzenia bez wątpienia przysporzyło podmiotom przetwarzającym dane wielu kłopotów w prawidłowej interpretacji przepisów a także metod ich wdrażania. Pomocną przy prowadzeniu postępowaniu o udzielenie zamówienia publicznego może okazać się ustawa zmieniająca ustawy sektorowe, w tym ustawę prawo zamówień publicznych, a także orzecznictwo, na które prawdopodobnie jeszcze trochę będziemy musieli poczekać.