GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Ochrona danych osobowych w nowej ustawie Prawo zamówień publicznych

Mężczyzna w żółtym kasku z zeszytem w ręku na tle maszyn budowlanych

Nowe prawo zamówień publicznych

1 stycznia 2021 r. weszła w życie zupełnie nowa ustawa Prawo zamówień publicznych (PZP), która  wywołała spore zamieszenie na rynku zamówień publicznych. Zamawiający jak i wykonawcy muszą sprostać wielu zmianom, które zaserwował im ustawodawca. Ponad roczne vacatio legis mogło być niewystarczające, aby wszyscy zainteresowani zdążyli zapoznać się z nowymi przepisami, w taki sposób, aby bez wątpliwości zastosować je w praktyce. W tej nowej rzeczywistości zamówieniowej nie możemy jednak zapomnieć o chronieniu danych osobowych w postępowaniach o udzielenie zamówienia publicznego, które odbywać się będą pod rządami nowej ustawy PZP.

Postępowanie o udzielenie zamówienia – udostępnienie danych osobowych

Naczelną zasadą prawa zamówień publicznych jest zasada jawności postępowania. Oznacza ona, że wszelkie informacje czy też dane pojawiające się w trakcie postępowania są jawne i każdy może uzyskać do nich dostęp. Zasada ta nie jest jednak bezwzględna i w niektórych przypadkach zamawiający może nie ujawnić niektórych informacji. Mianowicie, zgodnie z art. 18 ust. 5 PZP, jeżeli jest to uzasadnione ochroną prywatności lub interesem publicznym, zamawiający może nie ujawniać danych osobowych (w przypadku udzielenia zamówienia w trybie zamówienia z wolnej ręki na podstawie art. 214 ust. 1 pkt 1 lit. b PZP) lub informacji dotyczących wysokości wynagrodzenia (w przypadku udzielenia zamówienia w trybie zamówienia z wolnej ręki na podstawie art. 214 ust. 1 pkt 2 PZP), w zakresie działalności kulturalnej i archiwalnej, o ile wykonawca, przed zawarciem umowy w sprawie zamówienia publicznego zastrzegł, że dane te nie mogą być udostępniane. Ponadto zasada jawności postępowania zostaje ograniczona w zakresie danych osobowych, o których mowa w art. 10 RODO. Stosownie bowiem do treści art. 18 ust. 6 PZP, zamawiający udostępnia dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa jedynie w celu umożliwienia korzystania ze środków ochrony prawnej (np. wniesienie odwołania do Krajowej Izby Odwoławczej) oraz do upływu terminu na ich wniesienie.

Realizacja obowiązków informacyjnych

Zgodnie z art. 19 ust. 1 PZP zamawiający może realizować obowiązki informacyjne, wynikające z art. 13 ust. 1-3 RODO, przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu lub w dokumentach zamówienia. Realizacja obowiązku informacyjnego poprzez zamieszczenie odpowiednich informacji w ww. dokumentach jest fakultatywna. Należy jednak pamiętać, że zamawiający są zobowiązani do przestrzegania przepisów dotyczących ochrony danych osobowych. Z tego względu, jeżeli zrezygnują z realizacji obowiązku informacyjnego w sposób wskazany w art. 19 ust. 1 PZP, muszą go zrealizować w innej formie, zgodnej z postanowieniami RODO.

Ograniczenia praw osób, których dane dotyczą

Zgodnie z art. 16 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. W art. 19 ust. 2 PZP ograniczono powyższe uprawnienie. Ustawodawca zastrzegł, iż skorzystanie przez podmiot danych z ww. prawa nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia ani zmianą postanowień umowy w sprawie zamówienia publicznego w zakresie niezgodnym z ustawą PZP.

W nowej ustawie PZP ograniczono również możliwość skorzystania z uprawnienia wynikającego z art. 18 ust. 1 RODO. Stosownie do treści art. 19 ust. 3 PZP w postępowaniu o udzielenie zamówienia, zgłoszenie żądania ograniczenia przetwarzania nie ogranicza przetwarzania danych osobowych do czasu zakończenia tego postępowania. Jednakże zamawiający jest zobowiązany poinformować o powyższych ograniczeniach stosowania przepisów RODO w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób dostępny dla osoby, której dane osobowe dotyczą. Dodatkowo musi on przetwarzać dane osobowe zebrane w postępowaniu o udzielenie zamówienia w sposób gwarantujący zabezpieczenie przed ich bezprawnym rozpowszechnianiem (art. 19 ust. 4 i ust. 5 PZP). Dodać również należy, iż zgodnie z art. 68 PZP zamawiający musi zapewnić, aby przekazywanie wszelkich dokumentów odbywało się przy użyciu środków komunikacji elektronicznej, zapewniających zachowanie integralności, autentyczności, nienaruszalności danych i ich poufności w ramach wymiany i przechowywania informacji, w tym zapewniających możliwość zapoznania się z ich treścią wyłącznie po upływie terminu na ich składanie.

Prawo dostępu do danych osobowych oraz sprostowania

Zgodnie z art. 15 RODO osoba, której dane dotyczą, uprawniona jest m.in. do uzyskania od administratora dostępu do jej przetwarzanych danych osobowych. Art. 75 PZP wprowadza uprawnienie dla zamawiającego do żądania, od osoby korzystającej z powyższego prawa, wskazania dodatkowych informacji, mających na celu sprecyzowanie nazwy lub daty zakończonego postępowania o udzielenie zamówienia. W przypadku danych osobowych zamieszczonych przez zamawiającego w Biuletynie Zamówień Publicznych, realizacja praw osób, których dane dotyczą, do dostępu do danych oraz ich sprostowania, jest wykonywana
w drodze żądania skierowanego do zamawiającego
. Prezes Urzędu Zamówień Publicznych jest zobligowany do określenia okresu przechowywania danych osobowych zamieszczanych w Biuletynie.

Dane pochodzące z protokołu postępowania

Protokół postępowania jest jawny oraz zostaje udostępniony wraz z załącznikami przez zamawiającego na wniosek zainteresowanego podmiotu. Zasadą jest, iż udostępnia się wszystkie dane osobowe zebrane w toku postępowania o udzielenie zamówienia. Jednakże ta pełna jawność została ograniczona na mocy art. 74 ust. 3 i ust. 4 PZP.

W sytuacji, gdy skorzystanie przez podmiot danych z przysługującego mu na mocy art. 18 ust. 1 RODO prawa do ograniczenia przetwarzania danych spowoduje ograniczenie przetwarzania danych osobowych zawartych w protokole postępowania lub załącznikach do tego protokołu, od dnia zakończenia postępowania o udzielenie zamówienia zamawiający nie udostępnia tych danych. Ustawodawca jednakże dopuszcza możliwość udostępnienia takiego protokołu  za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. Ponadto, bezwzględnie nie udostępnia się danych, o których mowa w art. 9 ust. 1 RODO.

Istotny jest również fakt, iż w przypadku skorzystania przez osobę, której dane osobowe są przetwarzane przez zamawiającego, z prawa do sprostowania lub uzupełnienia danych, jego realizacja nie może naruszać integralności zarówno protokołu, jak i załączników.