rodo

Czy ogłoszenie unijne musi wskazywać kwestie RODO w postępowaniu o udzielenie zamówienia publicznego?

Pytanie:

Zamawiający ma zamiar wszcząć postępowanie na usługi ochrony osób i mienia. Dostępny na stronie https://enotices.ted.europa.eu Formularz 21 Usługi socjalne i inne szczególne usługi – zamówienia publiczne nie zawiera sekcji/pozycji odnoszącej się do informacji RODO, tak jak to jest w formularzu ogłoszenia o zamówienia publikowanym na Platformie e-Zamówienia (Sekcja III.3.15 i 16).

Czy zamawiający ma obowiązek (np. pod groźbą naruszenia przepisów ustawy Pzp lub dyscypliny finansów publicznych) umieszczać informacje o RODO w ogłoszeniach unijnych, mimo, że nie ma na nie wskazanego miejsca w formularzach ogłoszeń? Czy wystarczy zamieszczenie takiej informacji tylko w SWZ? Artykuł 19 ust.4 ustawy Pzp stanowi, że zamawiający informuje o stosowaniu RODO w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób a art. 87 ust. 1 ustawy Pzp mówi, że zamawiający przygotowuje ogłoszenie zgodnie z wzorami standardowych formularzy określonymi w rozporządzeniu wykonawczym Komisji (UE). Jeżeli zamawiający nie zamieścił informacji o stosowaniu przepisów RODO w ogłoszeniu o zamówieniu w procedurze unijnej (np. w formularzu 02 i 21), to powinien bezwzględnie dokonać zmiany ogłoszenia i w sekcji VI.3 pierwotnego ogłoszenia dodać informację dotyczącą ochrony danych osobowych?

RODO a wgląd w oferty Pzp

Pytanie:

Wykonawca, którego oferta nie została wybrana, zwrócił się o udostępnienie kopii wezwań oraz całej dokumentacji dotyczącej uzupełnień, w tym korespondencji z zamawiającym, złożonej przez firmy konkurencyjne biorące udział w postępowaniu. Żaden z wykonawców nie zastrzegł dokumentów jako tajemnicy przedsiębiorstwa, a w ich skład wchodzą m.in. oświadczenia KRK, gdzie mamy do czynienia z informacjami personalnymi. Czy zamawiający może udostępnić takie dokumenty? Nadmienię, iż w SWZ zawarta jest klauzula RODO o przetwarzaniu danych osobowych wykonawców przez zamawiającego.

Czy zamawiający może żądać od wykonawcy wypełnienia ankiety na temat RODO w przetargu?

Pytanie:

Czy zamawiający, aby zrealizować obowiązek art. 28 RODO, może wymagać od wykonawcy na etapie postępowania przetargowego (w przypadku postępowań, gdzie wymagana będzie umowa powierzenia przetwarzania danych osobowych) np. wypełnienia ankiety – ocena procesora i dołączenia jej do oferty? Jeśli tak, to na jakiej podstawie można żądać takiego dokumentu? Czy w przypadku braku dokumentu zamawiający może wezwać do jego uzupełnienia?

Jakie obowiązki spoczywają na zamawiającym w związku z wymogami RODO?

Jakie obowiązki spoczywają na zamawiającym w związku z wymogami RODO?

Zamawiający jest administratorem danych osobowych, które wykonawcy udostępniają w toku postępowania o udzielenie zamówienia. Musi zatem w związku z tym wypełnić wymogi określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.Urz. UE L 119 z 4 maja 2016 r. – dalej: RODO. Zakres obowiązków spoczywających na zamawiających, w tym sposób przetwarzania danych osobowych podanych przez wykonawcę w toku postępowania, należy ustalić zarówno na podstawie wytycznych RODO, jak i przepisów krajowych. Sprawdź, o czym należy pamiętać w związku z koniecznością ochrony danych osobowych w postępowaniu o udzielenie zamówienia publicznego. Przeczytaj także, jak podchodzić do ochrony danych osobowych w procedurach pozaustawowych – na zamówienia o wartościach niższych niż 130.000 zł.

Rada

W tym artykule przeczytasz:

  • Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z RODO
  • Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z Pzp
  • Jak wypełnić obowiązki wynikające z RODO w procedurach realizowanych poza ustawą Pzp?

Regulacje dotyczące ochrony danych osobowych w zamówieniach publicznych zawierają art. 18 ust. 6, art. 19, art. 74 ust. 3 i 4, art. 75 i 76 ustawy Pzp.

Obowiązki zamawiającego związane z ochroną danych osobowych wynikające z RODO

Zamawiający musi przede wszystkim wypełnić obowiązek informacyjny, o którym stanowi art. 13 ust. 1–3 RODO. Jego realizacja, jak mówi art. 19 ust. 1 ustawy Pzp, odbywa się przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu lub w dokumentach zamówienia tj. w szczególności w treści SWZ w formie stosownego załącznika.

Obowiązek informacyjny

Ponad to zamawiający ma obowiązek wraz z ogłoszeniem o zamówieniu przekazać wykonawcom następujące informacje:

  • Zamawiający udostępnia dane osobowe, o których mowa w art. 10 RODO (dane osobowe dotyczące wyroków skazujących i czynów zabronionych), aby umożliwić  korzystanie ze środków ochrony prawnej, o których mowa w dziale IX, do upływu terminu na ich wniesienie.
  • Zamawiający udostępnia protokół i załączniki do niego z przekazaniem wszystkich danych osobowych zebranych w toku postępowania o udzielenie zamówienia. Wyjątek obejmuje dane, o których mowa w art. 9 ust. 1 RODO tj. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  • Osoba, której dane osobowe zamawiający przetwarza, może skorzystać z uprawnienia, o którym mowa w art. 15 ust. 1–3 RODO. Jest to prawo uzyskania od administratora (zamawiającego):

– potwierdzenia, czy przetwarzane są dane osobowe dotyczące tej osoby,

– bycia poinformowanym o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem jej danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

– kopii danych osobowych podlegających przetwarzaniu.

Zamawiający może żądać, aby osoba, która stawia powyższe żądania, sprecyzowała nazwę lub datę zakończonego postępowania o udzielenie zamówienia.

  • Skorzystanie przez osobę, której dane osobowe dotyczą, z uprawnienia do sprostowania lub uzupełnienia danych osobowych, nie może naruszać integralności protokołu postępowania oraz jego załączników.
  • W postępowaniu o udzielenie zamówienia zgłoszenie żądania ograniczenia przetwarzania, o którym mowa w art. 18 ust. 1 RODO, nie ogranicza przetwarzania danych osobowych do czasu zakończenia tego postępowania.
  • W przypadku gdy wniesienie żądania dotyczącego prawa, o którym mowa w art. 18 ust. 1 RODO ograniczy przetwarzanie danych osobowych zawartych w protokole postępowania lub załącznikach do tego protokołu, od dnia zakończenia postępowania zamawiający nie udostępnia tych danych. Wyjątek stanowią przesłanki, o których mowa w art. 18 ust. 2 RODO.
4

Oświadczenie RODO – negocjacje z ogłoszeniem

Wzór oświadczenia wymaganego od wykonawcy w zakresie wypełnienia obowiązków informacyjnych przewidzianych w art. 13 lub art. 14 RODO udostępniony przez Urząd Zamówień Publicznych.

Na jakiej podstawie wolno upublicznić oferty w postępowaniu o udzielenie zamówienia publicznego zgodnie z RODO?

Pytanie:

Proszę o informację dotyczącą ujawnienia oferty, w której wykonawca podał swoje dane osobowe (imię, nazwisko, adres, nr dowodu i PESEL). Czy mogę upublicznić ofertę z tymi danymi, czy je wymazać i co w takim przypadku z ingerencją w treść oferty?

RODO w postępowaniach o zamówienia publiczne

RODO w postępowaniach o zamówienia publiczne (cz. II)

Każdy zamawiający, udzielając zamówienia publicznego, musi przestrzegać zapisów rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: RODO) i należycie chronić danych osobowych przekazywanych przez wykonawców w toku postępowania. W artykule przeczytasz m.in. o:

  • udostępnianiu danych osobowych i ich przetwarzaniu w trakcie postępowania,
  • zasadach postępowania z danymi tzw. wrażliwymi – które są zawarte np. w zaświadczeniach z KRK,
  • przetwarzaniu danych osobowych w zamówieniach poniżej 30.000 euro.
  1. Jeżeli wykonywanie zamówienia wiąże się bezpośrednio z przetwarzaniem danych osobowych, zamawiający określa warunki przedmiotowe, których spełnienie zapewni mu korzystanie z usług podmiotu zapewniającego wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Zamawiający może z całą pewnością zażądać przedstawienia przez wykonawcę certyfikatu RODO.
  2. Wszelkie informacje o karalności wykonawcy, dotyczące wykonawców i przekazywane zamawiającemu w postępowaniu o udzielenie zamówienia celem wykazania braku podstaw do wykluczenia na podstawie art. 24 ust. 1 pkt 13, 14 oraz art. 24 ust. 5 pkt 5 i 6 ustawy Pzp, mogą zostać udostępnione podmiotom zainteresowanym, wyłącznie do upływu terminu na wniesienie odwołania do KIO. Nie ma przy tym znaczenia, czy informacja ta potwierdza karalność wykonawcy, czy też jego niekaralność.
  3. Wszystkie dane, które identyfikują pełnomocnika, niebędące jednocześnie danymi „ogólnodostępnymi”, mogą być przekazywane jako element dokumentacji postępowania/umowy, po uprzednim ich zanonimizowaniu.
  4. Podstawę prawną przetwarzania danych osobowych wykonawców składających oferty w postępowaniach prowadzonych na podstawie art. 4 pkt 8 ustawy Pzp jest ustawa o finansach publicznych.  W doktrynie nie ma jednoznaczności co do tego, czy informacje zawarte w ofercie składanej w „postępowaniu bagatelnym” stanowią informację publiczną i mogą być przekazywane podmiotom zainteresowanym w trybie ustawy o dostępie do informacji publicznej.
RODO w postępowaniach o zamówienia publiczne

RODO w postępowaniach o zamówienia publiczne (cz. I)

Od 25 maja 2018 r. dane osobowe muszą być chronione w sposób opisany w rozporządzeniu Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: RODO). Przepisy te obowiązują już prawie 2 lata, ale ich stosowanie nadal budzi liczne wątpliwości. Nie zmieniła tego w sposób istotny nowelizacja ustawy Pzp, w której uregulowano m.in. materię stosowania RODO w zamówieniach publicznych. Tymczasem każdy zamawiający, udzielając zamówienia publicznego, musi zmierzyć się z problematyką należytej ochrony danych osobowych przekazywanych przez wykonawców w toku postępowania. W artykule znajdziesz odpowiedzi na pytania:

  • Kiedy należy uznać, że w postępowaniu przetwarzane są dane osobowe?
  • O jakich czynnościach w związku z RODO należy pamiętać, przygotowując podstawowe dokumenty zamówienia?
  • Jakich 10 informacji należy zawrzeć w klauzuli informacyjnej przekazywanej wykonawcom?
  • O czym pamiętać w związku z RODO, formułując zapisy projektowanej umowy z wykonawcą?

W kolejnej części artykułu przeczytasz m.in. o:

  • udostępnianiu danych osobowych i ich przetwarzaniu w trakcie postępowania,
  • zasadach postępowania z danymi tzw. wrażliwymi – które są zawarte np. w zaświadczeniach z KRK,
  • przetwarzaniu danych osobowych w zamówieniach poniżej 30.000 euro.

Zgodnie z RODO, prawo do ochrony danych osobowych osób fizycznych nie ma charakteru absolutnego i ulega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes osób trzecich.

Zgodnie z artykułem 6 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

1)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2)      przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

3)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

4)      przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5)      przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

6)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Na zamawiającym, który prowadzi postępowanie o udzielenie zamówienia w sposób opisany w ustawie Pzp, z całą pewnością ciąży szereg prawnych obowiązków, do których realizacji niezbędne jest przetwarzanie danych osobowych przekazanych w ofertach.

Pod pojęciem przetwarzania należy rozumieć nie tylko udostępnianie danych, ale również wszelkie tak prozaiczne czynności, jak zbieranie, utrwalanie, przeglądanie czy przechowywanie danych (art. 4 RODO).

Zamawiający jest upoważniony do przetwarzania danych osobowych zawartych w treści oferty, w sposób, w zakresie i w celu opisanym w ustawie Pzp, bez względu na to, czy uzyskał na to bezpośrednią zgodę osoby, której dane te dotyczą. Innymi słowy, wykonawca, który bierze udział w postępowaniu o udzielenie zamówienia, musi się liczyć z tym, że jego dane będą przetwarzane. Przetwarzanie danych osobowych odbywa się wówczas na podstawie przepisów prawa, a podstawą przetwarzania jest przesłanka niezbędności wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Podstawa prawna i sposób przetwarzania danych są tożsame dla wszystkichkategorii wykonawców wymienionych w art. 2 pkt 11 ustawy Pzp, tj. zarówno osób fizycznych, osób prawnych, jak i jednostek organizacyjnych nieposiadających osobowości prawnej, które ubiegają się o udzielenie zamówienia publicznego, złożyły ofertę lub zawarły umowę w sprawie zamówienia publicznego.

Ustawodawca nie wprowadził zatem wymogu, by każdy wykonawca był jednocześnie przedsiębiorcą, a osoba fizyczna może ubiegać się o udzielenie zamówienia zarówno w ramach prowadzonej przez nią działalności gospodarczej, jak i jako osoba fizyczna takiej działalności nieprowadząca. Miarkowanie ochrony danych osobowych, w zależności od kręgu wykonawców, stałoby bowiem w oczywistej sprzeczności z zasadą równego traktowania wykonawców, wyrażoną w art. 7 ust. 1 ustawy Pzp.

Ogłoszenia w postępowaniach – reguły związane z RODO oraz zmianą ogłoszenia, cz. I

Ogłoszenia w postępowaniach – reguły związane z RODO oraz zmianą ogłoszenia, cz. II

W poniższym artykule omawiamy reguły zmiany ogłoszeń (oraz siwz) a także wymogi dotyczące klauzul RODO w ogłoszeniach i zasadach postępowania z danymi osobowymi ujawnianymi w treści ogłoszeń. Sprawdź, o czym musisz wiedzieć w związku z publikacją ogłoszenia, aby dopełnić wszelkich formalności.

  • W przypadku zmiany treści ogłoszenia o zamówieniu zamieszczonego w Biuletynie Zamówień Publicznych lub opublikowanego w Dzienniku Urzędowym Unii Europejskiej ma obowiązek przedłużyć termin składania wniosków o dopuszczenie do udziału w postępowaniu lub termin składania ofert o czas niezbędny do wprowadzenia zmian we wnioskach lub ofertach, jeżeli jest to konieczne.
  • Zamawiający ma uprawnienie do przekazania Urzędowi Publikacji Unii Europejskiej lub zamieszczenia na stronie internetowej w miejscu wyodrębnionym dla zamówień, tak zwanym „profilu nabywcy”, wstępnego ogłoszenia informacyjnego o zamówieniach planowanych w terminie następnych 12 miesięcy.
  • W praktyceogłoszenie o zamówieniu powinno wskazywać, że administrator danych, jakim staje się zamawiający podczas pozyskiwania danych osobowych, podaje osobie, której dane dotyczą, wszystkie następujące informacje zgodne z art. 6 ust. 1 lit. a–f rozporządzenia 2016/679, tzw. RODO.
  • Korzystanie z uprawnienia do sprostowania lub uzupełnienia danych osobowych nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą Pzp.
Obowiązki wykonawcy związane z RODO w postępowaniu – 5 pytań i

Obowiązki wykonawcy związane z RODO w postępowaniu – 5 pytań i odpowiedzi

Jeśli bierzesz udział w przetargach, z pewnością spotykasz się z postanowieniami siwz, które zobowiązują Cię do realizacji tzw. obowiązku informacyjnego RODO. Dodatkowo wzór formularza oferty zazwyczaj zobowiązuje do tego, byś poświadczył zamawiającemu, że wypełniłeś obowiązek informacyjny RODO wobec osób fizycznych, których dane ujawniasz w ofercie. Co to w praktyce oznacza? Sprawdź, jak krok po kroku jako wykonawca działać zgodnie z RODO w przetargu.

tajemnica przedsiębiorstwa

Wykaz osób objęty tajemnicą przedsiębiorstwa – tak czy nie?

Składy orzekające KIO i przedstawiciele doktryny nie są zgodni co do tego, czy wykaz osób skierowanych do realizacji zamówienia składany z ofertą może być zastrzeżony jako tajemnica przedsiębiorstwa. Sprawdź 3 stanowiska zaprezentowane w wyrokach Krajowej Izby Odwoławczej i sam zdecyduj, które z nich jest najbardziej uzasadnione.

Jak zgodnie z RODO udostępnić projekt budowlany?

Pytanie:

Jesteśmy zamawiającym sektorowym i prowadzimy wszystkie postępowania poniżej progów unijnych bez stosowania ustawy Pzp. Przedmiot zamówienia − szczególnie w robotach budowlanych – jest określony w dokumentacji projektowej, którą umieszczamy na stronie naszej spółki. Znajdują się tam dane projektantów łącznie z ich datą urodzenia i adresem zamieszkania (np. zaświadczenie z Okręgowej Izby Inżynierów). Czy musimy anonimizować dokumentację techniczną? Czy udostępniając wykonawcy roboty budowlanej dokumentację techniczną wykonaną przez podmiot zewnętrzny, powinniśmy podpisywać z wykonawcą umowę powierzenia danych osobowych?

ochrona danych

Nowe przepisy ustawy Pzp związane z RODO – wszystko, o czym musi wiedzieć wykonawca i zamawiający

Ustawa Prawo zamówień publicznych została znowelizowana w związku z koniecznością dostosowania jej regulacji do unijnego rozporządzenia RODO odnoszącego się do ochrony danych osobowych. Większość zamawiających stosowało regulacje rozporządzenia w prowadzonych postępowaniach, starając się dostosować procedury do aktualnych wytycznych i obowiązujących w tym zakresie przepisów. Jednak dopiero teraz określone wymogi i uprawnienia wynikają wprost z ustawy Pzp. W artykule przeczytasz o obowiązkach informacyjnych związanych z wszczęciem postępowania odnoszących się do przetwarzania danych osobowych o udzielenie zamówienia, zapisach siwz w zakresie przetwarzania i ochrony danych oraz koniecznych postanowieniach umowy po 4 maja br.

bezpieczeństwo rodo

Nowe przepisy Prawa zamówień publicznych związane z RODO

Od 4 maja br. obowiązują znowelizowane przepisy ustawy Pzp związane z ochroną danych osobowych w postępowaniu o udzielenie zamówienia publicznego. Nowelizacja dotyczy m.in. kwestii związanych ze zbieraniem i udostępnianiem tzw. danych wrażliwych (np. w zakresie wyroków skazujących) oraz udostępnianiem protokołu postępowania. Wprowadza również przepis, który wprost zezwala zamawiającemu żądać od wykonawców określonych danych osób zatrudnianych przez wykonawcę na umowę o pracę. Poniżej przedstawiamy kilka najważniejszych nowych regulacji ustawy Pzp. Obszerny artykuł na temat nowych przepisów opublikujemy na łamach portalu w kolejnym tygodniu.   

dane osobowe zamawiającego

Kiedy wykonawca przetwarza dane osobowe w imieniu zamawiającego?

Pozyskanie danych osób takich jak członkowie zespołu kierowników lub projektantów oraz przedstawiciela wykonawcy nie stanowi powierzenia danych osobowych w celu ich przetwarzania w rozumieniu art. 28 ust. 3 RODO. Zamawiający pozyskuje bowiem dane osobowe osób wskazanych przez wykonawcę w umowie do realizacji zamówienia, nie przetwarza ich jednak w imieniu administratora, ale w imieniu własnym. W takim przypadku ciąży na nim jedynie obowiązek informacyjny wskazany w art. 14 RODO (wyrok z 30 lipca 2018 r., sygn. akt KIO 1380/18, KIO 1384/18).

Kontakt

Napisz do nas »
  • Infolinia
  • Tel: 22 518 29 29
  • Faks: 22 617 60 10
  • Adres do korespondencji
  • Wiedza i Praktyka Sp. z o.o.
  • ul. Paderewskiego 167
  • 05-070 Sulejówek

Wiedza i Praktyka Sp. z o. o.

  • Siedziba
  • ul. Łotewska 9a
  • 03-918 Warszawa
  • NIP: 526-19-92-256
  • REGON: 011235225
  • KRS: 0000098264
  • Nr rejestrowy BDO: 000008579

Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIV Wydział Gospodarczy Rejestrowy,
Kapitał Zakładowy: 200 000 zł.