Przepisy RODO, które są stosowane wprost od 25 maja 2018 r. w całej UE, mają bezpośrednie przełożenie na udzielanie zamówień publicznych, organizację konkursów i zawieranie umów koncesji na roboty budowlane i usługi. Zamawiający i wykonawcy muszą uwzględnić liczne nowe obowiązki, narzucone przez unijne rozporządzenie.
Wśród nich jest m.in. konieczność zachowania większej ostrożności w przetwarzaniu informacji o skazaniach konkretnych osób i o innych naruszeniach prawa przez konkretne osoby, niż wynika to z obecnego brzmienia prawa zamówień publicznych. Muszą też wypełnić obowiązki informacyjne, a także inne obowiązki związane z realizacją praw osób fizycznych w związku z przetwarzaniem danych osobowych. Mnożą się wątpliwości, jak je realizować, zwłaszcza że opóźniają się prace legislacyjne nad ustawą wdrażającą RODO do polskiego prawa. Przedstawiamy wybrane wątpliwości oraz zamieszczamy wskazówki Urzędu Zamówień Publicznych, który w odpowiedzi na napływające do niego pytania opublikował je w pierwszym dniu stosowania unijnego rozporządzenia.
Chociaż oczywiste jest, że w ramach postępowań o udzielenie zamówienia publicznego dochodzi do przetwarzania danych osobowych, to do tej pory zagadnienie ich ochrony najczęściej umykało uwadze zarówno zamawiających, jak i wykonawców. Rozpoczęcie stosowania przepisów RODO, czyli unijnego rozporządzenia nr 2016/679 o ochronie danych, które wprowadza we wszystkich krajach członkowskich Unii Europejskiej jednolite zasady dotyczące ochrony i bezpieczeństwa danych osobowych, jest dobrą okazją, aby odpowiednie zasady zacząć uwzględniać w ramach prowadzonych postępowań zamówieniowych.
PRZETARGI A DANE OSOBOWE
Przepisy prawa zamówień publicznych w obecnym brzmieniu nie regulują niemal w ogóle kwestii przetwarzania danych osobowych oraz ochrony tych danych w postępowaniach o udzielenie zamówienia publicznego, z jednym wyjątkiem. Dotyczy on specyficznego zagadnienia kwestii ochrony danych osobowych w postępowaniach z wolnej ręki w dziedzinie działalności kulturalnej.
Tymczasem, co istotne, zamówienia publiczne zostały wprost wspomniane w ramach RODO. Motyw 78 preambuły RODO wskazuje, że „zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy brać pod uwagę także w przetargach publicznych”.
Z punktu widzenia RODO postępowanie o udzielenie zamówienia publicznego jest jedną z czynności przetwarzania danych osobowych.
O JAKIE INFORMACJE CHODZI
Zakres danych osobowych przetwarzanych w ramach zamówień publicznych nie jest zbyt obszerny. Będą to zazwyczaj:
● dane osobowe członków komisji przetargowej oraz innych osób reprezentujących zamawiającego,
● dane osobowe znajdujące się w ofertach i innych dokumentach składanych w toku postępowania – dane wykonawców, dane członków organów spółek, konsorcjantów, podwykonawców, osób trzecich udostępniających swój potencjał, dane pełnomocników ww. osób, dane kluczowego personelu.
Co więcej, dane te obejmować będą zazwyczaj skromny zakres informacji: imię, nazwisko, stanowisko, czasami opis doświadczenia zawodowego.
Kategorią danych, która wymaga szczególnej uwagi z punktu widzenia RODO, są dane znajdujące się w zaświadczeniach dotyczących karalności. RODO wprowadza ograniczenia w przetwarzaniu informacji o skazaniach konkretnych osób i o innych naruszeniach prawa przez konkretne osoby.
DANE O (NIE)KARALNOŚCI
Rzecz w tym, że obecnie zgodnie z art. 24 ust. 1 ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (t.j. Dz.U. z 2017 r. poz. 1579 ze zm.; dalej: p.z.p.) z postępowania wyklucza się wykonawcę będącego osobą fizyczną, którego prawomocnie skazano za jedno z enumeratywnie wymienionych w przepisie przestępstw, a także m.in. wykonawcę, u którego urzędujący członek jego organu zarządzającego lub nadzorczego albo prokurent został prawomocnie skazany za takie przestępstwo. Ponadto zamawiający może wprowadzić do konkretnego postępowania tzw. fakultatywne przesłanki wykluczenia, wśród których znajduje się możliwość wykluczenia wykonawcy będącego osobą fizyczną, którego prawomocnie skazano za wykroczenie przeciwko prawom pracownika lub wykroczenie przeciwko środowisku, a także m.in. wykonawcy, którego urzędującego członka jego organu zarządzającego lub nadzorczego lub prokurenta prawomocnie skazano za takie wykroczenie.
Zamawiający jest zatem zobowiązany zweryfikować, czy dany wykonawca nie podlega wykluczeniu z wyżej wskazanych powodów, a robi to, żądając od wykonawcy przede wszystkim informacji z Krajowego Rejestru Karnego w zakresie obejmującym przestępstwa wymienione w p.z.p. lub w specyfikacji istotnych warunkach zamówienia (SIWZ). Dla potwierdzenie braku podstaw wykluczenia odnośnie do przesłanek fakultatywnych zamawiający może żądać także oświadczenia wykonawcy o niewydaniu wobec niego prawomocnego wyroku sądu skazującego na karę ograniczenia wolności lub grzywny. W rezultacie zamawiający będzie przetwarzał dane osobowe zawarte w zaświadczeniach wydanych przez Krajowy Rejestr Karny oraz w oświadczeniach wykonawców, które stanowią szczególną kategorię danych: dane dotyczące wyroków skazujących oraz naruszeń prawa, których przetwarzanie jest uregulowane w art. 10 RODO.
Pojawia się pytanie, czy rzeczywiście w praktyce zamawiający będzie przetwarzał takie dane, skoro dla wykazania niepodlegania wykluczeniu z postępowania konieczne jest dostarczenie dokumentów potwierdzających brak skazania (w praktyce zatem wykonawca, który musiałby złożyć dokument potwierdzający wyrok skazujący na jedno z przestępstw z katalogu wskazanego w p.z.p., zazwyczaj oferty w ogóle nie złoży). Jednak zamawiający nie może z góry wykluczyć możliwości, że zostaną złożone dokumenty zawierające dane o wyrokach skazujących. Po pierwsze, p.z.p. przewiduje, że wykonawca nie podlega wykluczeniu na ww. podstawie prawomocnego skazania za określone przestępstwa, jeśli udowodni, że podjął działania wystarczające dla wykazania jego rzetelności (art. 24 ust. 8 p.z.p.). Wykonawca może zatem złożyć informację z KRK potwierdzającą wydanie wobec niego wyroku skazującego z jednoczesnym dokonaniem self-cleaningu. Po drugie, wykonawcy zagraniczni dostarczają informacje z lokalnych odpowiedników KRK, które mogą np. zawierać dane o skazaniach za inne przestępstwa niż te wskazane w p.z.p. Taki wykonawca, skazany np. za przestępstwo przeciwko życiu i zdrowiu, nie może zostać wykluczony, jednak jego dane o wyrokach skazujących będą przetwarzane przez zamawiającego. W rezultacie należy założyć, że zamawiający będzie przetwarzał dane objęte art. 10 RODO.
ZGRZYT MIĘDZY ROZPORZĄDZENIEM A USTAWĄ
I tu powstaje kolejny problem: mianowicie art. 10 RODO zezwala na przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Natomiast p.z.p. pozwala na przetwarzanie takich danych w ramach weryfikacji podstaw wykluczenia, a jednocześnie pozwala na swobodne udostępnianie załączników do protokołu postępowania (art. 96 ust. 2 p.z.p.). Każdy ma zatem w zasadzie nieograniczony dostęp do danych o wyrokach skazujących zawartych w dokumentacji postępowania. Trudno to uznać za odpowiednie zabezpieczenie praw i wolności, o którym mowa w art. 10 RODO.
Konieczny rejestr przetwarzania
Każdy zamawiający powinien uwzględnić przetwarzanie danych osobowych w ramach prowadzonego rejestru czynności przetwarzania zgodnie z art. 30 ust. 1 RODO. Warto podkreślić, że do zamawiających podmiotów publicznych nie ma zastosowania wyłączenie z obowiązku prowadzenia rejestru wymienione w art. 30 ust. 5 RODO (które wyłącza z obowiązku stosowania rejestru podmioty zatrudniające mniej niż 250 osób), a to dlatego, że w ramach postępowań dochodzi do przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Każdy zamawiający powinien zatem prowadzić taki rejestr.
KONIECZNA ZMIANA PRZEPISÓW
Bez zmiany przepisów p.z.p. wydaje się zatem, że zamawiający udostępniający swobodnie takie dane narażają się na odpowiedzialność z tytułu naruszenia przepisów o ochronie danych osobowych. Projektowane przepisy wprowadzające ustawę o ochronie danych osobowych przewidują na szczęście wprowadzenie odpowiednich zmian do p.z.p., m.in. poprzez wprowadzenie ograniczenia w udostępnianiu danych o skazaniach. Dane takie będą udostępniane jedynie w celu umożliwienia korzystania ze środków ochrony prawnej oraz tylko do upływu terminu na ich wniesienie. W praktyce oznacza to istotne ograniczenie kręgu osób, które będą miały dostęp do takich danych i zrealizowanie wymagań wskazanych w art. 10 RODO. Dodatkowo wprowadzony ma być przepis zobowiązujący osoby upoważnione do przetwarzania danych o wyrokach skazujących do zachowania poufności w zakresie udostępnionych im informacji i danych.
W efekcie projektowane przepisy wypełnią wymagania RODO, aby przetwarzanie danych o wyrokach skazujących zabezpieczało prawa i wolności osób, których te dane dotyczą. Jedynie pomysł, aby dane te dostępne były tylko do upływu terminu na wniesienia odwołania, nie wydaje się trafny. Kwestie związane z obliczaniem terminu na wniesienie odwołania bywają w praktyce sporne i lepiej byłoby, aby zamawiający nie miał prawa decydowania o tym, czy dany termin upłynął, czy też nie.
ŁYŻKA DZIEGCIU
Projektowana zmiana w p.z.p. nie jest doskonała. Ograniczenia w udostępnianu dotyczyć będą tylko informacji o wyrokach skazujących – a więc jeśli dana osoba nie figuruje w rejestrze skazań, to można te dane udostępniać wszystkim. Moim zdaniem należałoby jednak zachować większą ostrożność. Jeśli bowiem spółka ma dwóch członków zarządu, a zamawiający udostępni informację z KRK tylko o jednym z nich, powołując się na RODO, wówczas w gruncie rzeczy ujawni informację, że ta druga osoba jest wpisana do rejestru skazań - nawet jeśli nie przekaże samego zaświadczenia. W takim przypadku, moim zdaniem, również nie należy zatem przekazywać informacji każdemu.
CO DO CZASU WEJŚCIA USTAWY WDRAŻAJĄCEJ
Powstaje jednak pytanie, co zamawiający mają robić do czasu wejścia w życie przepisów nowelizujących ustawę p.z.p. Ważąc ryzyka związane z naruszeniem przepisów p.z.p. i RODO, według mnie należy już teraz postępować w sposób zgodny z RODO. Przykładowo zamawiający mogą uzależniać udostępnienie danych o wyrokach skazujących od podpisania przez osobę, która chce uzyskać dostęp do dokumentacji, odpowiedniego zobowiązania do zachowania tych danych w poufności.
PODSTAWA PRZETWARZANIA
Z punktu widzenia zamawiającego najważniejszą podstawą przetwarzania danych zawartych w ofertach i innych dokumentach składanych przez wykonawców jest art. 6 ust. 1 lit. c RODO, który pozwala to robić bez konieczności uzyskiwania zgody, gdy „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. Nie jest zatem konieczne uzyskiwanie zgód na przetwarzanie danych od wykonawców.
Tu pojawia się jednak kolejna wątpliwość. Przepis RODO ogranicza przetwarzanie do sytuacji, gdy jest to niezbędne do „wypełnienia obowiązku prawnego”. W dotychczas obowiązującej ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) użyta był szersza formuła. Zgodnie z art. 23 ust. 1 pkt 2 przetwarzanie jest dopuszczalne, gdy jest ono niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tymczasem w art. 6 ust. 1 lit. c RODO mowa jest jedynie o obowiązku prawnym, a nie o uprawnieniu. Można na tej podstawie twierdzić, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy przepis wyraźnie mówi o przetwarzaniu danych osobowych lub wskazuje wprost czynności, dla których realizacji konieczne jest przetwarzanie danych osobowych.
Tymczasem p.z.p. daje zamawiającym dużą swobodę w formułowaniu warunków zamówienia, co widać dobrze na przywoływanym wyżej przykładzie danych o karalności. O ile wymaganie informacji z KRK dla weryfikacji niepodlegania wykluczeniu na podstawie obligatoryjnych przesłanek mieści się w ramach „wypełnienia obowiązku prawnego”, o tyle już wymaganie oświadczenia o skazaniu za wykroczenia jest fakultatywne i zależy od skorzystania przez zamawiającego z uprawnienia wynikającego z ustawy.
Kwestia ta nie jest dostrzeżona w projekcie ustawy wprowadzającej RODO. Moim zdaniem należałoby albo wpisać wyraźnie, że zamawiający może przetwarzać dane osobowe w ramach prowadzenia postępowań, albo przyjąć wykładnię, że wykonywanie obowiązków i praw wynikających z p.z.p. mieści się w podstawie przetwarzania danych wskazanej art. 6 ust. 1 pkt c RODO.
OBOWIĄZKI INFORMACYJNE
W toku postępowania zamawiający pozyskuje dane osobowe przede wszystkim za pośrednictwem wykonawcy. Jedynie w przypadku oferty składanej przez wykonawcę – osobę fizyczną – dochodzi do bezpośredniego pozyskania danych. Zastosowanie będzie miał zatem głównie art. 14 RODO, a art. 13 – dotyczący obowiązków informacyjnych, gdy dane zbierane są od osoby, której dane dotyczą - tylko czasami. Jednak zamawiający powinien taką możliwość przewidzieć.
Artykuł 13 ust. 4 RODO stanowi, że obowiązek informacyjny nie występuje, „gdy osoba, której dane dotyczą, dysponuje już tymi informacjami”. Osoba fizyczna, która przekazuje swoje dane bezpośrednio zamawiającemu w ramach oferty, działa w odpowiedzi na ogłoszenie o zamówieniu. Tym samym umieszczenie w ramach ogłoszenia i specyfikacji informacji spełniającej wymogi obowiązku informacyjnego powinno zwalniać zamawiającego z obowiązku odrębnego spełniania tego obowiązku wobec każdego wykonawcy – osoby fizycznej.
W tym kierunku idzie także proponowana nowelizacja p.z.p. Proponuje się w jej ramach wyraźne wskazanie, że zamawiający może realizować obowiązek informacyjny, o którym mowa w art. 13 ust. 1-3 RODO, poprzez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, w SIWZ lub w regulaminie konkursu. Zamawiający powinni zatem zadbać, aby już teraz w każdym nowym postępowaniu w ogłoszeniu i SIWZ umieszczone były informacje zgodne z art. 13 RODO.
Jednak zdecydowana większość danych osobowych przetwarzanych przez zamawiających to dane objęte obowiązkiem informacyjnym z art. 14 RODO, czyli obowiązkiem przekazania określonych informacji osobie, której dane dotyczą, jeśli danych osobowych nie pozyskano od tej osoby. Przepis ten nie ma jednak zastosowania w razie wystąpienia jednej z okoliczności wymienionych w art. 14 ust. 5 RODO. Wśród nich szczególnej uwagi wymaga okoliczność wskazana w lit. C, tj. okoliczność, że pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą.
Zamawiający mogą skorzystać z tego wyłączenia i nie wykonywać obowiązku informacyjnego, gdyż przetwarzanie danych w ramach prowadzenia postępowań o udzielenie zamówienia publicznego mieści się w ramach pozyskiwania lub ujawniania uregulowanego prawem państwa członkowskiego. Potrzebne jest jednak zastrzeżenie, że obecna treść p.z.p. nie pozwala na jasne potwierdzenie, że ustawa ta przewiduje „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”, szczególnie jeśli chodzi o przetwarzanie danych o wyrokach skazujących. Wydaje się jednak, że jest to przejściowa sytuacja, której położy kres nowelizacja p.z.p. w ramach ustawy wprowadzającej RODO. Do tego czasu zamawiający powinni zadbać o wprowadzenie takich „odpowiednich środków” we własnym zakresie, co także było już wcześniej omówione.
CO JESZCZE
Wykonawcy muszą zadbać, aby dane osób, które będą umieszczane w składanych ofertach, były pozyskane zgodnie z RODO – co sprowadza się do możliwości wskazania jednej z podstaw przetwarzania z art. 6 ust. 1 RODO. Muszą oni także spełnić wobec tych osób obowiązki informacyjne.
Wykonawcy, którzy skorzystali z prawa do uzyskania dokumentacji postępowania i ofert innych wykonawców, powinni pamiętać, że możliwość przetwarzania tych danych (a zatem także przechowywania) jest ograniczona do celów wynikających z prawnie uzasadnionych interesów wykonawców. Po upływie terminów na odwołanie nie powinni zatem przetwarzać danych osobowych zawartych w ofertach. Warto pamiętać o zasadzie minimalizacji danych, zgodnie z którą przetwarzanie danych powinno być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przechowywanie ofert konkurencji „na wszelki wypadek”, bez anonimizacji i dowolnie długo nie jest zatem dopuszczalne.
Zasada minimalizacji danych warta jest także uwagi zamawiających. Współgra ona zresztą z dobrze znanym zamawiającym art. 25 ust. 1 p.z.p., zgodnie z którym w postępowaniu o udzielenie zamówienia zamawiający może żądać od wykonawców wyłącznie oświadczeń lub dokumentów niezbędnych do przeprowadzenia postępowania. Warto zatem zastanowić się dobrze, zarówno czy dany dokument jest potrzebny do przeprowadzenia postępowania, jak i czy konkretne dane osobowe rzeczywiście potrzebne są do przeprowadzenia postępowania o udzielenie zamówienia publicznego.
Stanowisko Urzędu Zamówień Publicznych z 25 maja 2018 r.
Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO (wyciąg)
● RODO w przetargach
W postępowaniu o udzielenie zamówienia publicznego są przetwarzane dane osobowe podlegające ochronie zgodnie z przepisami RODO. Dane te mogą dotyczyć zarówno samego wykonawcy (osoby fizycznej prowadzącej działalność gospodarczą), jego pełnomocnika (osoby fizycznej), jak i informacji o osobach, które w swojej ofercie/wniosku o dopuszczenie do udziału w postępowaniu wykonawca przedkłada w celu wykazania spełniania warunków udziału w postępowaniu, braku podstaw do wykluczenia z postępowania, a także potwierdzenia wymogów zamawiającego dotyczących wykonania przedmiotu zamówienia.
RODO ma zastosowanie zarówno do postępowań o udzielenie zamówienia publicznego wszczętych od dnia 25 maja br., jak i do tych, które zostały wszczęte przed tą datą i pozostają nadal w toku. Ma też zastosowanie do każdego postępowania o udzielenie zamówienia publicznego, niezależnie od zastosowanego trybu udzielania zamówienia. Podobnie regulacje RODO mają zastosowanie do innych, szczególnych procedur przewidzianych w p.z.p., jak np. procedura udzielania zamówienia na usługi społeczne i inne szczególne usługi.
● Szczególnie chronione dane osobowe w postępowaniu o udzielenie zamówienia publicznego
Szczególne zasady RODO dotyczące ograniczeń w przetwarzaniu danych osobowych odnoszące się do wyroków skazujących i naruszeń prawa (informacje o skazaniach konkretnych osób i o innych naruszeniach prawa przez konkretne osoby) wymagają wprowadzenia ograniczeń w przetwarzaniu tych danych, a zwłaszcza w ich udostępnianiu.
Zalecamy udostępnianie przez zamawiających takich danych tylko tym podmiotom, którym przysługuje prawo do korzystania ze środków ochrony prawnej, a także zobowiązanie osób, które są uprawnione do przetwarzania takich danych (również po stronie zamawiającego), do zachowania poufności w zakresie uzyskanej w ten sposób wiedzy.
Jednocześnie przypominamy o braku podstaw prawnych do zamieszczania na stronie internetowej prowadzonego postępowania kopii ofert, wniosków o dopuszczenie do udziału w postępowaniu, a także wszelkich dokumentów podmiotowych, uzyskanych w toku postępowań o udzielenie zamówienia publicznego lub w konkursach, zawierających dane osobowe.
● Obowiązki informacyjne po stronie zamawiającego dotyczące danych osobowych wykonawców
Na zamawiającym, jako na administratorze danych osobowych, spoczywa szereg obowiązków informacyjnych względem osób, których dane pozyskuje on w toku prowadzonego postępowania (art. 13 RODO). Ponieważ przekazywanie ofert czy wniosków o dopuszczenie do udziału w postępowaniu przez wykonawców będących osobami fizycznymi łączy się z udostępnianiem danych osobowych, po stronie zamawiającego powstaje obowiązek informacyjny wobec takich wykonawców.
Aby uniknąć konieczności kierowania informacji związanych z ochroną danych osobowych do poszczególnych wykonawców, obowiązek indywidualnego informowania wykonawców może być zapewniony przez zamieszczenie stosownych informacji w ogłoszeniu o zamówieniu albo ogłoszeniu o konkursie, w specyfikacji istotnych warunków zamówienia (SIWZ), dokumentacji postępowania albo w regulaminie konkursu. Alternatywnie, zwłaszcza w przypadku postępowań lub konkursów będących w toku, informacja ta powinna być podana w korespondencji kierowanej bezpośrednio do takich wykonawców po otwarciu ofert albo wniosków o dopuszczenie do udziału w postępowaniu, ewentualnie w przypadku postępowań lub konkursów w toku – niezwłocznie.
UZP przygotowało również przykładową klauzulę, którą zamawiający może wykorzystać w postępowaniu o udzielenie zamówienia publicznego, wypełniając obowiązek informacyjny wobec wykonawcy, którego dane osobowe w danym postępowaniu będzie przetwarzał. Klauzula ta zawiera również stosowne objaśnienia, które mogą okazać się pomocne w zrozumieniu przez zamawiającego spoczywającego na nim obowiązku, stosownie do regulacji z art. 13 RODO.
● Klauzula umowna spełniająca obowiązek informacyjny wobec wykonawcy
Treść klauzuli informacyjnej w nowo wszczynanych postępowaniach o udzielenie zamówienia publicznego (począwszy od dnia 25 maja 2018 r.) zamawiający powinien zamieszczać w SIWZ. W tych trybach udzielenia zamówienia publicznego, w których w momencie wszczęcia postępowania SIWZ nie jest jeszcze udostępniana wykonawcom, powyższą klauzulę zamawiający powinien zamieścić w treści ogłoszenia o zamówieniu.
W trybach, w których zamawiający wszczyna postępowanie o udzielenie zamówienia publicznego poprzez skierowanie zaproszenia do negocjacji, treść klauzuli może być umieszczona w tym zaproszeniu. We wskazanych wyżej sytuacjach obowiązek informacyjny wynikający z art. 13 RODO, spoczywający na zamawiającym, indywidualizowany jest poprzez zamieszczenie właściwego pouczenia, dostępnego bezpośrednio wykonawcom będącym osobami fizycznymi, którzy zainteresowani są uzyskaniem zamówienia publicznego i których dane potencjalnie – w przypadku podjęcia przez nich decyzji o ubieganie się o zamówienie - mogą być przetwarzane przez zamawiającego.
Analogiczny obowiązek informacyjny, jak w przypadku pozyskiwania danych osobowych bezpośrednio od wykonawców, powstanie, gdy zamawiający uzyska od wykonawcy dane osobowe dotyczące innych osób (np. osób, których dane służą do wykazania spełniania przez wykonawcę warunków udziału w postępowaniu, osób kierowanych do realizacji zamówienia, osób fizycznych prowadzących działalność gospodarczą, które zostaną wskazane jako podwykonawca). Obowiązek ten jest uregulowany w art. 14 RODO.
Zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób, w przypadkach, o których mowa w art. 14 ust. 5 RODO, np. w sytuacji, gdy osoba ta dysponuje już tymi informacjami, albo gdy wymagałoby to ze strony zamawiającego niewspółmiernie dużego wysiłku.
W związku z powyższym przypominamy, że obowiązek informacyjny określony przepisami RODO spoczywa także na wykonawcach, którzy pozyskują dane osobowe osób trzecich w celu przekazania ich zamawiającym w ofertach.
Dla uzyskania przez zamawiającego potwierdzenia, że osoby, których dane osobowe są przekazywane zamawiającemu, dysponują już wskazanymi informacjami, jak również w celu właściwego zabezpieczenia i ochrony danych tych osób, z których wykonawca będzie korzystał, przekazanych przez wykonawcę w ofercie celem uzyskania danego zamówienia publicznego, przedstawiamy przykładowy wzór oświadczenia wymaganego przez zamawiającego od wykonawcy, a dotyczącego pozyskania przez wykonawcę danych osobowych od osób trzecich dla konkretnego postępowania o udzielenie zamówienia publicznego.
Wzór oświadczenia wymaganego od wykonawcy w zakresie wypełnienia obowiązków informacyjnych przewidzianych w art. 13 lub art. 14 RODO
„Oświadczam, że wypełniłem obowiązki informacyjne przewidziane w art. 13 lub art. 14 RODO wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskałem w celu ubiegania się o udzielenie zamówienia publicznego w niniejszym postępowaniu”.
Pełne stanowisko oraz wszystkie wzory:
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, RODO (Dz.Urz. UE z 2016 r. L 119, s. 1).
Tomasz Zalewski, partner zarządzający kancelarii prawnej Wierzbowski Eversheds Sutherland, szef praktyki technologii przemysłowych