RODO a zamówienia publiczne

W ciągu ostatnich kliku dni skrót RODO[1] był chyba najczęściej padającym słowem w sieci.  Możemy przeczytać o RODO dla przedsiębiorcy, RODO w kancelarii, RODO dla księgowego. Skrzynka mailowa wręcz „ugina się” od wiadomości wysyłanych przez administratorów danych.

W tej ogólnej wrzawie także Urząd Zamówień Publicznych postanowił umieścić na swojej  stronie internetowej „Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO” (dostępne tutaj). Urząd przekazuje także wzorcowe dokumenty w postaci klauzuli informacyjnej z art. 13 RODO dla zamawiającego oraz wzoru oświadczenia, które należy uzyskać od wykonawcy, w zakresie spełniania wymogów art. 13 RODO lub art. 14 RODO.

Z publikacji UZP wynika przede wszystkim, że:

  • zamawiający jest administratorem danych osobowych pozyskiwanych w toku prowadzonego postępowania od wykonawcy i tego wykonawcy dotyczących. Przekazywanie ofert czy wniosków o dopuszczenie do udziału w postępowaniu przez wykonawców będących osobami fizycznym łączy się z udostępnieniem ich danych osobowych.

W związku z powyższym, na zamawiającym ciąży szereg obowiązków, przede wszystkim obowiązek informacyjny wskazany w art. 13 RODO. Obowiązek ten obejmuje w szczególności konieczność poinformowania o podstawie prawnej przetwarzania danych, celach tego przetwarzania czy o odbiorcach danych osobowych, jeżeli takowi istnieją. UZP we Wskazówkach sugeruje, aby zamiast przekazywać powyższe informacje do poszczególnych wykonawców, zamieszczać odpowiednie klauzule w ogłoszeniu o zamówieniu albo w SIWZ.

  • Zamawiający oprócz uzyskiwania danych osobowych w sposób bezpośredni danych osobowych wykonawcy będącego osobą fizyczną od tego wykonawcy, może uzyskiwać od wykonawcy dane osobowe w sposób pośredni tj. od wykonawcy dane osobowe dotyczące innych osób (np. osób, które są wskazywane choćby w wykazie osób, osób kierowanych do realizacji zamówienia czy też osób fizycznych prowadzących działalność gospodarczą będących podwykonawcami).

Wówczas, w ocenie UZP,  na zamawiającym ciąży obowiązek informacyjny uregulowany w art. 14 RODO. Warto zaznaczyć, że przepis ten dotyczy obowiązków ciążących na administratorze danych (a nie innym podmiocie), zatem także w tym przypadku UZP uznaje zamawiającego za administratora danych osobowych.

UZP wskazuje jednak, że w takiej sytuacji, zamawiający może skorzystać z wyłączenia zawartego w art. 14 ust. 5 RODO (np. powołując się na fakt, że udzielenie wymaganych informacji wymagałoby niewspółmiernie dużego wysiłku). Co do zasady bowiem zamawiający nie dysponuje danymi umożliwiającymi mu skontaktowanie się z ww. osobami, jednak powołanie się na przesłankę wyłączającą z art. 14 ust. 5 RODO wymaga analizy przeprowadzonej dla danego przypadku.

  • Oprócz powyższych obowiązków ciążących na zamawiającym, UZP dodatkowo zaleca, aby zamawiający zobowiązał wykonawcę do złożenia w postępowaniu o udzielenie zamówienia publicznego oświadczenia o wypełnieniu przez niego obowiązków informacyjnych przewidzianych w art. 13 lub art. 14 RODO.

 Dotyczy to przypadków takich jak pozyskanie przez wykonawcę danych osobowych osoby fizycznej skierowanej do realizacji zamówienia czy też podwykonawcy bądź podmiotu trzeciego będącego osobą fizyczną. Jak wskazano wyżej, zarówno obowiązki wskazane w art. 13 jak i w art. 14 RODO dotyczą administratora danych osobowych. Zatem UZP przyjmuje, że administratorem takich danych jest również wykonawca.

Na gruncie powyższego wymogu pojawia się kluczowe pytanie o status dokumentu w postaci ww. oświadczenia, a co za tym idzie konsekwencje jego niezłożenia? Czy stosowne oświadczenie miałoby być wymagane na etapie składania ofert czy dopiero przy podpisaniu umowy, jako wymóg kontraktowy? Warto przypomnieć, że katalog dokumentów, jakich może żądać zamawiający w postępowaniu o udzielenie zamówienia określa Rozporządzenie w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia.

[1] Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych

Masz pytania?

SKONTAKTUJ SIĘ Z EKSPERTEM

Warning: Undefined variable $category in /home/users/gjip/public_html/gjw_new/wp-content/themes/GJW/single-blog.php on line 105
  • Paulina Meller-KmiecikRadca Prawny+48 669 66 44 99paulina.meller-kmiecik@gjw.pl