statystyki

Jak prawidłowo stosować RODO przy zamówieniach publicznych

autor: dr Jarosław Rokicki, Przemysław Bańko25.07.2018, 09:43; Aktualizacja: 25.07.2018, 10:32
RODO

RODOźródło: ShutterStock

Przy organizowaniu przetargów trzeba zadbać o ochronę danych osobowych nie tylko wykonawców, lecz także podwykonawców i innych osób. Wymaga to skorelowania różnych ustaw i przepisów

Przepływ danych osobowych w relacji zamawiający – wykonawca na gruncie ustawy ‒ Prawo zamówień publicznych (dalej: p.z.p.) jest zróżnicowany i nie jest układem zamkniętym. Wynika to m.in. z tego, że zarówno na etapie składania ofert, jak i w trakcie realizacji umowy mogą pojawiać się podmioty trzecie, z którymi współpracują wykonawcy – np. podwykonawcy, w tym mający status osoby fizycznej prowadzącej działalność gospodarczą. Aby zapewnić bezpieczeństwo danych osobowych, w pierwszej kolejności ważne jest skatalogowanie możliwych ryzyk w toku procedury udzielania zamówienia publicznego oraz realizacji umowy. Należy je też powiązać z odpowiednimi środkami technicznymi i organizacyjnymi przewidzianymi w obowiązującym od 25 maja tego roku unijnym rozporządzeniu RODO. Materia ta łączy się również z kontrolą zarządczą (w tym zarządzaniem ryzykiem), do której zapewnienia zobowiązane są jednostki samorządu terytorialnego zgodnie z art. 68 ust. 1 pkt 7 ustawy o finansach publicznych. Dlatego tylko systemowe podejście i zachowanie ładu organizacyjnego da gwarancje zapewnienia bezpieczeństwa danych osobowych. Istotnym elementem dobrego zabezpieczania praw osób do ochrony ich danych będzie prawidłowe określenie charakteru, kontekstu, zakresu i celu przetwarzania, a także nazwanie ryzyk związanych z ewentualnymi naruszeniami czy czynami zabronionymi.

Niezbędne środki

Pierwszym obowiązkiem administratora danych osobowych (ADO) jest zgodnie z art. 1 RODO wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem. O ile jest to konieczne, ADO zobowiązany jest do wdrożenia odpowiednich polityk ochrony danych. Zgodnie z art. 5 RODO weryfikuje on zgodność przetwarzania danych z opisanymi w tych przepisach zasadami:

  • legalności (zgodności z prawem), rzetelności i przejrzystości,
  • ograniczenia celu,
  • minimalizacji danych,
  • prawidłowości (poprawności), w myśl której dane mają być prawidłowe,
  • ograniczenia przechowywania,
  • zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności.

Na podstawie art. 6 RODO administrator weryfikuje, czy dane przetwarza się po uprzednim uzyskaniu zgody, a na podstawie art. 7 weryfikuje poprawność wyrażenia tej zgody. Na podstawie art. 25 wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Zgodnie zaś z art. 28 powierza przetwarzanie danych osobowych podmiotowi przetwarzającemu i kontroluje jego poprawność. Z kolei art. 30 RODO nakłada na ADO obowiązek prowadzenia rejestru czynności przetwarzania danych z uwzględnieniem celu i podstawy przetwarzania, zawierającego informacje o ich profilowaniu i przetwarzaniu poza granicami Polski, kategoriach osób i odbiorców oraz okresie przetwarzania. ADO wyznacza też inspektora ochrony danych (IOD), gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 RODO). Warto zauważyć, że bardzo podobną rolę odgrywa podmiot przetwarzający, dbający z polecenia administratora o stosowanie odpowiednich zabezpieczeń przy uwzględnieniu ryzyk naruszenia danych. Najistotniejszą różnicą jest prowadzenie zamiast rejestru czynności przetwarzania rejestru wszystkich kategorii przetwarzania dokonywanych w imieniu administratora.

Objaśnienia:

Strzałki 1, 2 i 3 – przypadki powierzenia danych osobowych


Pozostało jeszcze 80% treści

Czytaj wszystkie artykuły na gazetaprawna.pl oraz w e-wydaniu DGP
Zapłać 97,90 zł Kup abonamentna miesiąc
Mam kod promocyjny
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Reklama

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Galerie

Polecane