RODO w zamówieniach publicznych
Nowe obowiązki informacyjne, klauzule dotyczące danych osobowych w dokumentacji przetargowej minimalizacja danych w załącznikach do ofert w postępowaniach – to zmiany, które czekają strony postępowań, jeśli zamawiający prawidłowo wdrożą wymogi RODO w zamówieniach publicznych. Zmienia sposób przygotowania dokumentacji przetargowej i ofert.
Wejście w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólnego rozporządzenia o ochronie danych (RODO) oznacza dla wykonawców i zamawiających pewne zmiany w sposobie przygotowania dokumentacji przetargowej i ofert. W tym zakresie bardzo pomocny, acz niepełny zbiór wytycznych postępowania dla zamawiających opublikował Urząd Zamówień Publicznych (Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO).
OBOWIĄZKI ZAMAWIAJĄCYCH
Na zamawiającym spoczywa obowiązek informacyjny względem:
- wykonawców którzy udostępniają swoje dane osobowe poprzez przekazywanie ofert czy wniosków o dopuszczenie do udziału w postępowaniu (art. 13 RODO);
- oraz osób trzecich (art. 14 RODO), których dane uzyska od wykonawcy (np. osób wymienionych w celu wykazania spełniania przez wykonawcę warunków udziału w postępowaniu, osób kierowanych do realizacji zamówienia, czy podwykonawców będących osobami fizycznymi prowadzącymi działalność gospodarczą).
Odnośnie wykonawców, Zamawiający może uniknąć konieczności informowania każdego wykonawcy z osobna, zamieszczając stosowną klauzulę informacyjną dokumentacji postępowania (najlepiej SIWZ lub ogłoszeniu czy zaproszeniu do składania ofert). W przypadku postępowań lub konkursów będących w toku, informacja ta powinna być podana w korespondencji kierowanej bezpośrednio do takich wykonawców po otwarciu ofert albo wniosków o dopuszczenie do udziału w postępowaniu, ewentualnie w przypadku postępowań lub konkursów w toku – niezwłocznie.
Odnośnie uzyskanych danych osobowych osób trzecich, Zamawiający może zostać zwolniony od obowiązku informacyjnego względem ww. osób, jeśli zostały już one powiadomione, że ich dane są przetwarzane w postępowaniu. Dla potwierdzenia, że te osoby dysponują już informacjami o przetwarzaniu ich danych, zamawiający może wymagać od wykonawcy złożenia stosownego oświadczenia. Może się wydawać, że pozyskiwanie powyższego oświadczenia ma na celu niejako przerzucenie obowiązku informacyjnego wobec osób trzecich z zamawiających na wykonawców, jest to jednak uzasadnione nie tylko ze względów technicznych i organizacyjnych. Aby skontaktować się z osobami trzecimi zamawiający musiałby mieć ich bezpośrednie dane kontaktowe, a nie jest konieczne podawanie takich danych dla realizacji postępowania (np. potwierdzenia warunków udziału) i wyboru oferty. Wobec tego nakaz spełniania przez zamawiajacych obowiązku informacyjnego bezpośrednio wobec tych osób powodowałby konieczność żądania od wykonawców podania takich danych tych osób, które nie są niezbędne w postępowaniu. To z kolei byłoby sprzeczne z zasadą minimalizacji wyrażoną w RODO.
Zamawiający nie będzie również musiał spełniać obowiązku informacyjnego wobec osób trzecich, jeśli udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, lub dane osobowe tych osób muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej oraz z ustawowym obowiązkiem zachowania tajemnicy.
Zamawiający powinni także unikać zbierania danych niepotrzebnych w postępowaniu i ograniczyć do niezbędnego minimum ilość danych osobowych, które mogą być wymagane od wykonawców do przedłożenia w ofertach lub w trakcie realizacji zamówienia. Zamawiający może zawrzeć w dokumentacji postępowania wskazówki dotyczące ograniczenia przekazywanych danych przez oferentów.
W związku z tym, że zamawiającemu przysługuje uprawnienie do pozyskiwania od wykonawców informacji o wyrokach skazujących i naruszeniach prawa, UZP zaleca udostępnianie przez zamawiających takich danych tylko podmiotom, którym przysługuje prawo korzystania ze środków ochrony prawnej. UZP podkreśla również, że brak podstaw do zamieszczania na stronie internetowej postępowania kopii ofert, wniosków o dopuszczenie do udziału w postępowaniu, a także wszelkich zawierających dane osobowe dokumentów podmiotowych uzyskanych w toku postępowań.
PRZYGOTOWANIE OFERT PRZEZ WYKONAWCÓW
Na wykonawcach spoczywać będzie zwykle wspomniany wyżej obowiązek przekazania stosownych informacji osobom, których dane podają w toku ofertowania, lub realizacji zamówienia oraz obowiązek złożenia zamawiającemu odpowiednich oświadczeń. Sam obowiązek informacyjny wobec takich osób można wypełnić poprzez zawarcie zawczasu właściwych klauzul informacyjnych w umowach o pracę czy podwykonawstwo. Dotychczasowym pracownikom i współpracownikom warto stosowne informacje rozesłać.
Kolejnym obowiązkiem wykonawców powinno być możliwie jak najpełniejsze ograniczenie ilości danych osobowych w dokumentach złożonych w ofertach, a właściwy sposób dokonania tego powinny określać wymogi zamawiającego w tym zakresie, zawarte w dokumentacji przetargowej.
POSTĘPOWANIA ROZPOCZĘTE PRZED 25 MAJA 2018 R.
RODO ma zastosowanie zarówno do postępowań o udzielenie zamówienia publicznego wszczętych od dnia 25 maja 2018 r., jak i do postępowań, które zostały wszczęte przed tą datą i pozostają nadal w toku. RODO ma zastosowanie do każdego postępowania, niezależnie od zastosowanego trybu udzielania zamówienia.
W przypadku postępowań o udzielenie zamówienia publicznego wszczętych przed dniem 25 maja 2018 r., obowiązki wynikające z RODO powinny być zrealizowane przez zamawiającego przy pierwszej podejmowanej czynności związanej z przetwarzaniem danych osobowych.
Masz pytania odnośnie wdrożenia RODO w zamówieniach publicznych lub w innych aspektach działalności?
Zapraszamy do kontaktu z Kancelarią.