Przy organizowaniu przetargów trzeba zadbać o ochronę danych osobowych nie tylko wykonawców, lecz także podwykonawców i innych osób. Wymaga to skorelowania różnych ustaw i przepisów
Przepływ danych osobowych w relacji zamawiający – wykonawca na gruncie ustawy ‒ Prawo zamówień publicznych (dalej: p.z.p.) jest zróżnicowany i nie jest układem zamkniętym. Wynika to m.in. z tego, że zarówno na etapie składania ofert, jak i w trakcie realizacji umowy mogą pojawiać się podmioty trzecie, z którymi współpracują wykonawcy – np. podwykonawcy, w tym mający status osoby fizycznej prowadzącej działalność gospodarczą. Aby zapewnić bezpieczeństwo danych osobowych, w pierwszej kolejności ważne jest skatalogowanie możliwych ryzyk w toku procedury udzielania zamówienia publicznego oraz realizacji umowy. Należy je też powiązać z odpowiednimi środkami technicznymi i organizacyjnymi przewidzianymi w obowiązującym od 25 maja tego roku unijnym rozporządzeniu RODO. Materia ta łączy się również z kontrolą zarządczą (w tym zarządzaniem ryzykiem), do której zapewnienia zobowiązane są jednostki samorządu terytorialnego zgodnie z art. 68 ust. 1 pkt 7 ustawy o finansach publicznych. Dlatego tylko systemowe podejście i zachowanie ładu organizacyjnego da gwarancje zapewnienia bezpieczeństwa danych osobowych. Istotnym elementem dobrego zabezpieczania praw osób do ochrony ich danych będzie prawidłowe określenie charakteru, kontekstu, zakresu i celu przetwarzania, a także nazwanie ryzyk związanych z ewentualnymi naruszeniami czy czynami zabronionymi.
Niezbędne środki
Pierwszym obowiązkiem administratora danych osobowych (ADO) jest zgodnie z art. 1 RODO wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem. O ile jest to konieczne, ADO zobowiązany jest do wdrożenia odpowiednich polityk ochrony danych. Zgodnie z art. 5 RODO weryfikuje on zgodność przetwarzania danych z opisanymi w tych przepisach zasadami:
- legalności (zgodności z prawem), rzetelności i przejrzystości,
- ograniczenia celu,
- minimalizacji danych,
- prawidłowości (poprawności), w myśl której dane mają być prawidłowe,
- ograniczenia przechowywania,
- zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności.
Na podstawie art. 6 RODO administrator weryfikuje, czy dane przetwarza się po uprzednim uzyskaniu zgody, a na podstawie art. 7 weryfikuje poprawność wyrażenia tej zgody. Na podstawie art. 25 wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Zgodnie zaś z art. 28 powierza przetwarzanie danych osobowych podmiotowi przetwarzającemu i kontroluje jego poprawność. Z kolei art. 30 RODO nakłada na ADO obowiązek prowadzenia rejestru czynności przetwarzania danych z uwzględnieniem celu i podstawy przetwarzania, zawierającego informacje o ich profilowaniu i przetwarzaniu poza granicami Polski, kategoriach osób i odbiorców oraz okresie przetwarzania. ADO wyznacza też inspektora ochrony danych (IOD), gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 RODO). Warto zauważyć, że bardzo podobną rolę odgrywa podmiot przetwarzający, dbający z polecenia administratora o stosowanie odpowiednich zabezpieczeń przy uwzględnieniu ryzyk naruszenia danych. Najistotniejszą różnicą jest prowadzenie zamiast rejestru czynności przetwarzania rejestru wszystkich kategorii przetwarzania dokonywanych w imieniu administratora.
Objaśnienia:
Strzałki 1, 2 i 3 – przypadki powierzenia danych osobowych
1 – Dane osobowe pochodzą z zasobów własnych zamawiającego, tj. członków komisji przetargowej oraz osób odpowiedzialnych za nadzór nad realizacją umowy. Są to również dane osobowe klientów zamawiającego będące w jego posiadaniu i niezbędne do udostępnienia w celu wykonania umowy, np. dane osobowe podatników do bazy programu informatyczno-finansowego nabywanego na prawach licencji od wykonawcy.
2 – Dane osobowe (sensu stricto) dotyczą samego wykonawcy mającego status osoby fizycznej oraz osoby fizycznej prowadzącej jednoosobową działalność gospodarczą.
3 – Dane osobowe (sensu largo), które są podane przez wykonawcę w ofercie, tj. dane osób reprezentujących, pełnomocnika wykonawcy; dane osobowe podwykonawców/podmiotów trzecich przedkładane przez wykonawcę na potrzeby spełnienia warunków udziału w postępowaniu czy podstaw do wykluczenia; dane osobowe ujawnione w dokumentach składanych na wezwanie z art. 26 ust. 1 i 2 p.z.p. (m.in. z Krajowego Rejestru Sądowego, Krajowego Rejestru Karnego) oraz w dokumentach uzupełnianych czy wyjaśnianych, np. z tytułu podejrzenia rażąco niskiej ceny, oraz dane osób zatrudnianych w oparciu o umowę o pracę (art. 29 ust. 3a p.z.p.).
/>
Sytuacja 1
W pierwszej sytuacji zamawiający udostępnia wykonawcom własne dane osobowe (w tym pracowników do kontaktów odpowiedzialnych za nadzór nad realizacją umowy ze strony zamawiającego i dane osobowe członków komisji przetargowej), jak również dane osób (interesariuszy) niezbędne do udostępnienia w celu wykonania umowy będące w posiadaniu zamawiającego (np. dane mieszkańców będących płatnikami podatków i opłat lokalnych do zakupu bazy programu informatyczno-finansowego nabywanego na prawach licencji od wykonawcy). O ile w zakresie własnych danych osobowych udostępnianych wykonawcy nie jest wymagane sporządzenie umowy powierzenia (pracownicy danego JST czy członkowie komisji przetargowej mają upoważnienia do dokonywania czynności służbowych w zakresie przetwarzania danych osobowych), o tyle drugi wariant opisanej sytuacji wymaga już jej zawarcia między ADO (np. prezydentem miasta) a wykonawcą. Dodatkowo może się zdarzyć, że zarówno zamawiający, jak i wykonawca znajdą się w tej samej roli jako współadministratorzy danych osobowych. Może mieć to miejsce np. w przypadku zlecanych przez pracodawcę badań lekarskich pracowników w jednostce medycyny pracy, np. szpitalu miejskim. Pracodawca występuje to w roli administratora danych osobowych w stosunku do danych osobowych swoich pracowników. Z kolei wykonawca, tj. jednostka służby zdrowia, nie działa w imieniu i na rzecz pracodawcy jako klasyczny procesor, wykonuje bowiem swoje obowiązki wynikające z ustaw i ich aktów wykonawczych. Wchodzi tym samym w rolę administratora danych w stosunku do danych osób objętych umową o świadczenie usług w zakresie medycyny pracy zawartą pomiędzy pracodawcą a tą jednostką. Podstawą prawną takiego udostępnienia danych jednostce są art. 6 ust. 1 lit. c RODO w zw. z art. 11 ust. 1 i art. 12 ust. 2 pkt 1 ustawy o służbie medycyny pracy oraz par. 10 ust. 1 i par. 11 ust. 1 i 2 rozporządzenia ministra zdrowia w sprawie rodzajów dokumentacji medycznej służby medycyny pracy, sposobu jej prowadzenia i przechowywania oraz wzorów stosowanych dokumentów oraz art. 9 ust. 2 lit. h RODO. Powyższe przykłady ukazują złożoność relacji zachodzących pomiędzy zamawiającym a wykonawcą w kontekście spełnianych ról wobec obowiązków RODO, a ich charakter wskazuje na każdorazową konieczność ich weryfikacji w toku dokonywania ustaleń praw i obowiązków wypełnianych w związku ze stosowaniem RODO.
Sytuacje 2 i 3
Wskazane na rysunku sytuacje 2 i 3 mają już bardziej złożony charakter. Wykonawca mający status osoby fizycznej (w tym prowadzącej jednoosobową działalność gospodarczą) w procesie przetwarzania danych powinien mieć zapewnioną ochronę nie tylko swoich danych osobowych (zob. przypadek 2 rysunku), lecz także wszystkich osób uczestniczących w realizacji zamówienia (przypadek 3). W przypadku 3 wykonawca powinien poinformować o udostępnieniu tych danych zamawiającemu, wypełniając tym samym klauzulę informacyjną z art. 13 RODO wraz z jednoczesnym otrzymaniem zgody na przetwarzanie danych tych osób w związku z udzielonym zamówieniem publicznym. Obowiązkiem jest w takim przypadku podpisanie umowy powierzania przetwarzania danych osobowych, co wynika z art. 28 RODO. Dodatkowo np. podwykonawca może występować w roli podmiotu, któremu podpowierzono przetwarzanie danych, natomiast wykonawca w roli współadministratora danych osobowych, który w zakresie odpowiedzialności za bezpieczeństwo danych osobowych odpowiada za działania podwykonawcy jak za własne. Warto zaznaczyć, że administrator danych zobowiązany jest do prowadzenia rejestru czynności przetwarzania danych, a podmiot przetwarzający – rejestru wszystkich kategorii przetwarzania dokonywanych w imieniu administratora.
Oszacowanie ryzyka
Dla oszacowania ryzyka związanego z naruszeniami przetwarzanych informacji proponujemy podejście oparte na międzynarodowych standardach zarządzania, a konkretnie normie ISO 31000 – system zarządzania ryzykiem oraz ISO 27005 – systemie zarządzania ryzykiem w bezpieczeństwie informacji. Pierwsza z wymienionych norm określa sposób oceny ryzyka w zintegrowanym procesie zarządzania organizacją, a także w powiązaniu z jej strategią i planowaniem, zasadami raportowania, politykami, wartościami i kulturą. Druga jest modelem służącym ocenie ryzyka w ujęciu atrybutów informacji, takich jak poufność, integralność i dostępność (zasada PID).
Przyjmując jako podstawę analizy ryzyka normę ISO 31000, możemy łatwo umiejscowić wytyczne RODO w kontekście prawnym, regulacyjnym, technicznym, informatycznym, społecznym, finansowym czy walutowym. Znając wynikającą z art. 83 ust. 4 i 5 RODO wysokość kar finansowych za poszczególne naruszenia, bardzo łatwo będzie wskazać poszczególne wymagania związane z odpowiedzialnością ADO oraz podmiotu przetwarzającego wraz z ryzykiem wynikającym z funkcjonującego systemu kar. Przykładem takiej sytuacji może być brak umowy powierzania przetwarzania danych między oferentem – wykonawcą a zamawiającym (obowiązki wynikające z powierzania danych opisano w art. 28 RODO). Brak takiej umowy, jeśli chodzi o ochronę praw osób fizycznych, może skutkować nałożeniem maksymalnej kary w wysokości do 10 mln euro lub 2 proc. obrotów brutto dla oferenta lub do 100 tys. zł dla podmiotu publicznego. Rozpatrując ten konkretny przykład, możemy zwrócić uwagę na następujące kwestie:
a) brak umowy powierzania wiąże się z kontekstem prawnym wynikającym z RODO i regulacyjnym w zakresie podpisanej umowy łączącej zamawiającego i wykonawcę;
b) ewentualna kara za naruszenie związana jest z aspektem finansowym i przelicznikiem kar podanych w euro co do rozważań nad kontekstami finansowym i walutowym;
c) przetwarzanie danych odbywa się z użyciem środków technicznych i informatycznych, co wskazuje na konieczność rozważania tematu w ujęciu technicznym/IT;
d) zamówienie publiczne dotyczy realizacji prac na rzecz społeczności lokalnej i wydatkowania środków publicznych w sposób celowy i gospodarny, dlatego powinniśmy uwzględnić kontekst społeczny;
e) w przypadku wykonawcy przy ewentualnej karze musielibyśmy dodatkowo wskazać kontekst konkurencyjny.
Odpowiednie nadanie wag przy rozważeniu ryzyk pozwoli stwierdzić, jak istotnym elementem procesu zamówień publicznych jest szacowanie ryzyka. Aby w sposób skuteczny rozważyć ryzyka związane z omawianym procesem, należy wziąć pod uwagę również obowiązki zamawiającego dotyczące zabezpieczenia informacji na etapie ofertowania ‒ w postaci zachowania poufności ofert przy jednoczesnym rozważeniu ryzyk w momencie upubliczniania informacji związanych z toczącym się postępowaniem przetargowym. Powinniśmy na tym etapie przyjrzeć się ryzykom związanym z zachowaniem zasady PID:
a) poufności przetwarzanych danych – tu mamy do czynienia z ryzykami związanymi z dostępem do informacji osób nieuprawnionych działających bez upoważnienia ADO lub podmiotu przetwarzającego, co wynika z art. 29 RODO,
b) integralności przetwarzania danych, tu możemy rozpatrywać brak oświadczeń oferentów o spełnieniu wymagań zamawiającego przez upoważnienie własnych pracowników czy odebrania zgód na przetwarzanie danych osobowych od osób, których dane znajdą się w ofercie, oraz poinformowania ich o udostępnianiu danych na potrzeby konkretnego zamówienia,
c) dostępności przetwarzanych danych, gdzie musimy być w stanie udowodnić, iż jako ADO dołożyliśmy wszelkich starań, aby zabezpieczyć dane zastosowanymi środkami technicznymi czy organizacyjnymi.
Nie należy przy tym zapominać o możliwości zastrzeżenia przez wykonawcę informacji stanowiących tajemnicę przedsiębiorstwa w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji. Wynika to z art. 8 ust. 3 p.z.p. Nieuprawnione ujawnienie takich informacji naraża osoby odpowiedzialne na surowe sankcje.
Taki sposób powiązań ryzyk jest niezbędny, aby w pełni zrealizować wymagania RODO. Brak analizy ryzyka nie pozwala bowiem na stosowanie właściwych zabezpieczeń i naraża organizacje nie tylko na kary finansowe, lecz także na utratę zachowania ciągłości działania czy uszczerbku w wizerunku organizacji.
Warto zauważyć, że w RODO nie znajdziemy konkretnych zabezpieczeń, a jedynie pewne wytyczne do stosowania. To ADO i podmiot przetwarzający, znając kontekst przetwarzanej informacji, zakres i cel przetwarzania danych oraz ryzyka naruszeń, wskazują odpowiednie zabezpieczenia.
Zinwentaryzowanie i aneksowanie umów
RODO ma szerokie zastosowanie w stosunku do aktualnych i planowanych postępowań zarówno wszczynanych w trybach określonych p.z.p., jak i udzielanych poza ustawą na podstawie art. 4 pkt 8 p.z.p. Dotyczy również postępowań, w wyniku których umowa została zawarta przed wejściem w życie przepisów (25 maja 2018 r.) z mocą obowiązująca po tej dacie (tak też opinia UZP https://www.uzp.gov.pl/aktualnosci/rodo-w-zamowieniach-publicznych). W tym przypadku zasadne staje się zinwentaryzowanie takich umów i ich aneksowanie w trybie zmian przewidzianych na etapie wszczęcia postępowania w ogłoszeniu o zamówieniu/specyfikacji istotnych warunków zamówienia w świetle okoliczności wskazanej w art. 144 ust. 1 pkt 1 p.z.p. Jeżeli ich nie przewidziano, to można posłużyć się art. 144 ust. 1 pkt 5 p.z.p. i wprowadzić zmiany o charakterze nieistotnym, niepowodujące zachwiania konkurencyjności na etapie przeprowadzenia postępowania. Analogicznie w stosunku do zamówień nieobjętych p.z.p. zmiany również mogą zostać wprowadzone aneksem.
Wzajemne obowiązki
W zależności od kierunku przepływu powierzania danych osobowych zarówno zamawiający, jak i wykonawca będą odgrywać wzajemnie rolę administratora danych osobowych i podmiotu przetwarzającego. To z kolei będzie sprowadzać się do wypełnienia innych obowiązków, głównie w zakresie publikowania klauzul informacyjnych, zbierania zgód na przetwarzanie danych od osób fizycznych, których te faktycznie dotyczą, oraz odbierania upoważnień do ich przetwarzania. Relacje występujące między zamawiającym a wykonawcą pokazujmy na schemacie.
Prawidłowe klauzule
Poniżej pokazujemy, jak należy postępować, by zamawiający prawidłowo wypełnił obowiązki RODO przy udzielaniu zamówień publicznych. Po pierwsze należy sprawdzić, czy w ramach planowanego zamówienia (dostawy, usługi i roboty budowlane) dochodzi do powierzenia danych osobowych przez zamawiającego i tym samym konieczności wypełnienia przez jego kierownika obowiązków informacyjnych z art. 13 RODO. Po drugie, w przypadku gdy mamy do czynienia z powierzeniem, należy zastosować odpowiednią klauzulę informacyjną.
Co powinno się w niej znaleźć, by prawidłowo wypełnić obowiązki ADO w kontekście zamówień publicznych, pokazujemy poniżej. [tabela 1]Klauzula, o której mowa, powinna zostać umieszczona w ogłoszeniu o zamówieniu, specyfikacji istotnych warunków zamówienia czy zaproszeniu do składania ofert w sposób umożliwiający zapoznanie się z jej treścią.
Tabela. Co należy podać w klauzuli informacyjnej
Co w klauzuli informacyjnej (zgodnie z art. 13 RODO) | Jakie dane są potrzebne przy zamówieniach publicznych(na przykładzie gminy będącej zamawiającym) |
Tożsamość i dane kontaktowe administratora danych osobowych (ADO) | Wójt/burmistrz/prezydent wraz z podaniem danych kontaktowych (numer telefonu/faks/mail) |
Dane kontaktowe inspektora ochrony danych | Osoba wyznaczona przez ADO wraz z podaniem danych kontaktowych (numer telefonu/faks/mail) |
Cele przetwarzania danych osobowych | Przetwarzanie danych osobowych jest niezbędne do realizacji ustawowych zadań nałożonych na gminę na zasadach określonych w przepisach o zamówieniach publicznych w związku z art. 44 ust. 4 ustawy o finansach publicznych poprzez doprowadzenie do wyboru wykonawcy w oparciu o: a) przepisy p.z.p., b) regulacje wewnętrzne w zakresie zamówień publicznych (zarządzenia, instrukcje) – dotyczy zamówień nie objętych reżimem p.z.p. (art. 4 pkt 8), c) wytyczne w zakresie kwalifikowalności wydatków w ramach Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego oraz Funduszu Spójności na lata 2014‒2020 zwanych dalej „wytycznymi” (o ile zamówienie jest dofinansowane ze środków unijnych w ramach programów operacyjnych). |
Podstawa prawna przetwarzania | Klauzula informacyjna będzie miała podstawę przetwarzania danych zawartą w katalogu art. 6 RODO uzależnioną od wartości zamówienia publicznego, tj. w przypadku: a) zamówień objętych p.z.p. będzie to art. 6 ust. 1 lit. c, w świetle którego przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, co w analizowanym przypadku wynika z mocy p.z.p.,b) zamówień nieobjętych p.z.p. (w tym dofinansowanych środkami unijnymi) podstawę przetwarzania będzie stanowił art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi), powołując się na zwolnienie ustawowe z art. 4 pkt 8 p.z.p. i wewnętrzne regulacje w zakresie zamówień publicznych (zarządzenia, instrukcje) wraz z ww. wytycznymi (o ile zamówienie jest dofinansowane środkami unijnymi w ramach programów operacyjnych, o których mowa). |
Informacje o odbiorcach danych osobowych | Odbiorcami danych osobowych będą osoby lub podmioty, którym w przypadku zamówień objętych p.z.p. zostanie udostępniona dokumentacja postępowania w oparciu o art. 8 oraz art. 96 ust. 3 p.z.p., oraz tym, którym na podstawie odrębnych przepisów przysługuje prawo kontroli, jak również zostaną udostępnione w oparciu o przepisy o dostępie do informacji publicznej. |
Okres przechowywania danych | Dane osobowe będą przechowywane:a) w stosunku do zamówień objętych p.z.p., zgodnie z art. 97 ust. 1 przez 4 lata od dnia zakończenia postępowania o udzielenie zamówienia, a jeżeli czas trwania umowy przekracza 4 lata, okres przechowywania obejmuje cały czas trwania umowy; zgodnie z rozporządzeniem prezesa Rady Ministrów z 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz.U. z 2011 r. nr 67) teczki aktowe będą przechowywane w archiwum zakładowym przez 5 lat w przypadku dokumentacji zamówień publicznych oraz 10 lat w przypadku umów zawartych w wyniku postępowania udzielanego w trybach zamówień publicznych, b) w stosunku do zamówień nieobjętych p.z.p. okres przechowywania danych osobowych wynika z ww. rozporządzenia, któremu podlega ADO. |
Pouczeniu o prawie do sprostowania, usunięcia, ograniczenia przetwarzania i sprzeciwu wobec przetwarzania i prawie do przenoszenia danych | Posiada Pani/Pan:na podstawie art. 15 RODO prawo dostępu do danych osobowych Pani/Pana dotyczących;na podstawie art. 16 RODO prawo do sprostowania Pani/Pana danych osobowych *;na podstawie art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych osobowych z zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO **. Nie przysługuje Pani/Panu:w związku z art. 17 ust. 3 lit. b, d lub e RODO prawo do usunięcia danych osobowych;prawo do przenoszenia danych osobowych, o którym mowa w art. 20 RODO;na podstawie art. 21 RODO prawo sprzeciwu, wobec przetwarzania danych osobowych, gdyż podstawą prawną przetwarzania Pani/Pana danych osobowych jest art. 6 ust. 1 lit. c, e RODO. * Skorzystanie z prawa do sprostowania nie może skutkować zmianą wyniku zamówienia publicznego ani zmianą postanowień umowy (dotyczy zamówień poza p.z.p.). ** Prawo do ograniczenia przetwarzania nie ma zastosowania w odniesieniu do przechowywania, w celu zapewnienia korzystania ze środków ochrony prawnej lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego. |
Pouczenie o prawie do wniesienia skargi do organu nadzorczego | Posiada Pani/Pan prawo do wniesienia skargi do prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, że przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO. |
Konsekwencje niepodania danych | Obowiązek podania przez Panią/Pana danych osobowych bezpośrednio Pani/Pana dotyczących jest dla zamówień:a) objętych p.z.p wymogiem ustawowym określonym w ustawie p.z.p., związanym z udzielonym zamówieniem publicznym; konsekwencje niepodania określonych danych wynikają z p.z.p., b) nieobjętych p.z.p. (w tym dofinansowanych środkami unijnymi) ‒ wymogiem wynikającym z postanowień zarządzenia, związanym z udzielonym zamówieniem publicznym oraz wynikającym z postanowień zarządzenia i wytycznych, związanym z udzielonym zamówieniem publicznym (dotyczy zamówień dofinansowanych). |
Informacje o zautomatyzowanym podejmowaniu decyzji | W odniesieniu do Pani/Pana danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany (w tym nie podlegają profilowaniu) stosownie do art. 22 RODO. |
Źródło: opracowanie własne na podstawie art. 13 RODO |
Kodeks dobrych praktyk pilnie potrzebny
Obecnie w większości zamawiający wdrażają RODO, współpracując z powołanym przez ADO inspektorem danych osobowych i wdrożone dokumenty, w tym polityki bezpieczeństwa, oraz bazują głównie na opinii Urzędu Zamówień Publicznych dostępnej na jego stronie internetowej. Zdaniem autorów stopień uszczegółowienia wprowadzanych do specyfikacji istotnych warunków zamówienia zapisów dotyczących RODO jest zróżnicowany. Są tacy, którzy oczekują od IOD praktycznych wskazówek, i tacy, którzy wręcz przepisują RODO, wprowadzając kolejne obowiązki wobec wykonawcy. Wydaje się, że żywiołowe działania w zakresie RODO przy zamówieniach publicznych pozwolą w niedługim czasie wypracować wnioski właściwe z punktu widzenia zabezpieczenia danych osobowych w tych postępowaniach. Dlatego należałoby na poziomie rządowym stworzyć „Kodeks dobrych praktyk” lub „Kodeks postępowania” w tym zakresie.
Podstawa prawna
Art. 4 pkt 8, art. 6 ust. 1 lit. c i e, art. 8 ust. 3, art. 22a, art. 26 ust. 1 i 2, art. 29 ust. 3a, art. 96 ust. 3, art. 97 ust. 1, art. 144 ust. 1 pkt 1 i 5 ustawy z 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz.U. z 2017 r. poz. 1579 ze zm.).
Art. 1, 5‒7, art. 9 ust. 2 lit. h, art. 13, 15, 16, art. 17 ust. 3 lit. b, d, e, art. 18, 20‒22, 25, 28‒30, 37, art. 83 ust. 4 i 5 rozporządzenia PE i Rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, RODO (Dz.Urz. UE z 2016 r. L 119, s. 1).
Art. 44 ust. 4, art. 68 ust. 1 pkt 7 ustawy z 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2017 r. poz. 2077 ze zm.).
Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2018 r. poz. 419).
Art. 11 ust. 1 i art. 12 ust. 2 pkt 1 ustawy z 27 czerwca 1997 r. o służbie medycyny pracy (t.j. Dz.U. z 2018 r. poz. 1155).
Par. 10 ust. 1 i par. 11 ust. 1 i 2 rozporządzenia ministra zdrowia z 19 lipca 2010 r. w sprawie rodzajów dokumentacji medycznej służby medycyny pracy, sposobu jej prowadzenia i przechowywania oraz wzorów stosowanych dokumentów (Dz.U. nr 149, poz. 1002).