Zamawiający obowiązany jest w treści dokumentacji przetargowej zawrzeć informacje wymagane przez przepisy RODO.

Nie ulega wątpliwości, że w postępowaniu o udzielenie zamówienia publicznego przez zamawiającego są przetwarzane dane osobowe osób fizycznych. W szczególności mogą to być dane osobowe samego wykonawcy, jego pełnomocników oraz innych osób fizycznych, których dane wykonawca przedkłada celem wykazania spełniania warunków udziału w postępowaniu, braku podstaw do wykluczenia z postępowania lub potwierdzenia wymogów zamawiającego dotyczących wykonania przedmiotu zamówienia. Dane osobowe tych osób podlegają ochronie na gruncie RODO[1], które obowiązuje od dnia 25 maja 2018 r.

Obowiązki informacyjne z art. 13 RODO

RODO nakłada na administratorów danych (a więc również zamawiających) szereg obowiązków. Wśród nich znajdują się między innymi obowiązki informacyjne, które zostały uregulowany w art. 13 ust. 1 – 3 RODO. Zgodnie z nowym art.8a ust. 1 p.z.p.[2], wprowadzonym Nowelizacją z dnia 21 lutego 2019 r.[3], ww. obowiązki informacyjne powinny być realizowane przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy. W określony wyżej sposób zamawiający powinien zatem w szczególności przekazać informacje w zakresie:

1. tożsamości i danych kontaktowych administratora (tj. zamawiającego);
2. danych kontaktowych inspektora ochrony danych (jeżeli po stronie zamawiającego istnieje obowiązek wyznaczenia inspektora ochrony danych osobowych);
3. celów przetwarzania danych osobowych, oraz podstawy prawnej przetwarzania;
4. informacji o odbiorcach danych osobowych lub o kategoriach odbiorców;
5. okresu przez który dane osobowe będą przechowywane;
6. informacji w zakresie prawa do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także informacji dotyczących prawa do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
7. informacji o prawie wniesienia skargi do organu nadzorczego;
8. informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Poniżej zostaną omówione poszczególne elementy, które powinna zawierać informacja przekazywana w postępowaniu o udzielenie zamówienia publicznego w zakresie ochrony danych osobowych.

Cel i podstawa prawna przetwarzania danych osobowych

O ile część obowiązków informacyjnych (np. dot. danych zamawiającego i  inspektora danych osobowych) nie powinna budzić wątpliwości, o tyle pozostałe mogą wymagać odniesienia do odpowiednich przepisów. Jeżeli chodzi o cel przetwarzania danych zamawiający powinien wskazać, iż będzie to cel związany z postępowaniem o udzielenie konkretnego zamówienia publicznego. Podstawy prawnej przetwarzania danych osobowych należy natomiast upatrywać, co do zasady, w art. 6 ust. 1 lit. c RODO. W myśl tego przepisu przetwarzanie jest zgodne z prawem, w szczególności gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Jednocześnie należy zauważyć, że w przypadku ww. podstawy przetwarzania danych, należy podać konkretną podstawę prawną stanowiącą źródło obowiązku ciążącego na administratorze (przyjąć przy tym należy, że w omawianym przypadku będą to przepisy ustawy p.z.p. oraz odpowiednich rozporządzeń do tej ustawy). Warto dodać, że również Urząd Zamówień Publicznych wskazuje powyższą podstawę przetwarzania danych osobowych – tj. określoną w art. 6 ust. 1 lit. c RODO – jako właściwą w postępowaniach o udzielenie zamówienia publicznego[4].

Odbiorcy danych osobowych

Przepisy p.z.p. stanowią, że zarówno postępowanie o udzielenie zamówienia publicznego, jak i protokół postępowania wraz załącznikami, co do zasady są jawne dla wszystkich zainteresowanych. Odbiorcami danych osobowych będą więc wszelkie osoby i podmioty, którym udostępniona zostanie dokumentacja postępowania na gruncie art. 8 oraz art. 96 ust. 3 p.z.p. Warto przy tym zaznaczyć, że zasada jawności doznaje pewnych ograniczeń, zwłaszcza w kontekście nowy przepisów wprowadzonych przez Nowelizację.

Okres przechowywania danych osobowych

Co do zasady, zamawiający przechowuje protokół wraz z załącznikami przez okres 4 lat od dnia zakończenia postępowania o udzielenie zamówienia. Jeżeli jednak czas trwania umowy będzie przekraczać 4 lata, zamawiający przechowuje umowę przez cały czas trwania umowy. Należy jednak przyjąć, że w omawianym przypadku, zamawiający powinien przechowywać również protokół postępowania oraz wszystkie pozostałe załączniki, przez cały czas trwania umowy. Wskazany okres przechowywania dokumentacji zawierającej dane osobowe, powinien być wyszczególniony w ramach obowiązku informacyjnego zamawiającego wynikającego z art. 13 RODO.

Obowiązek podania danych osobowych

Obowiązek podania danych osobowych jest wymogiem ustawowym określonym p.z.p., związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego. Konsekwencją niepodania danych osobowych może być brak możliwości udzielenia zamówienie publicznego. W szczególności niepodanie stosownych danych osobowych może skutkować odrzuceniem oferty takiego wykonawcy. Okoliczności te powinny być podane przez zamawiającego w ramach obowiązku informacyjnego.

Prawa przysługujące osobie, której dane są przetwarzane

Jak już wyżej wspominano, w ramach obowiązku informacyjnego zamawiający powinien przekazać informacje w zakresie prawa do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania. Należy także przekazać informacje dotyczące prawa do wniesienia sprzeciwu wobec przetwarzania i prawa do przenoszenia danych. Zamawiający powinien podać również informację o prawie wniesienia skargi do organu nadzorczego.

W związku z powyższym należy przyjąć, że zamawiający powinien co najmniej przekazać informację, iż osobie, której dane są przetwarzane, przysługuje na podstawie odpowiednich przepisów prawo dostępu do danych osobowych jej dotyczących, prawo do sprostowania danych osobowych  oraz prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto zamawiający powinien zawrzeć informację, o przysługującym prawie żądania od administratora ograniczenia przetwarzania danych osobowych, z zastrzeżeniem, iż jeżeli przetwarzanie zostało ograniczone, to zamawiający może przetwarzać dane osobowe, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Przyjąć jednocześnie należy, że w przypadku postępowania o udzielenie zamówienia publicznego, zainteresowanym nie będzie przysługiwać prawo do usunięcia danych osobowych, prawo do przenoszenia danych osobowych oraz prawo sprzeciwu, wobec przetwarzania danych osobowych (gdy podstawą prawną przetwarzania danych osobowych będzie ww. art. 6 ust. 1 lit. c RODO). Przekazywana przez zamawiającego informacja powinna wskazywać na te ograniczenia.

Obowiązki informacyjne wykonawcy i innych podmiotów

Należy także zauważyć, że nie tylko na zamawiającym ciąży obowiązek informacyjny z art. 13 RODO. Obowiązanym do spełnienia obowiązku informacyjnego będzie również wykonawca, podwykonawca oraz podmiot trzeci udostępniający potencjał - względem osób fizycznych, od których dane osobowe bezpośrednio pozyskał. Ponadto wykonawca musi wypełnić obowiązek informacyjny wynikający z art. 14 RODO względem osób fizycznych, których dane przekazuje zamawiającemu i których dane pośrednio pozyskał, chyba że ma zastosowanie co najmniej jedno z włączeń, o których mowa w art. 14 ust. 5 RODO. Należy przy tym zaznaczyć, że zamawiający, przetwarzając dane osobowe, które pośrednio pozyskał w celu związanym z postępowaniem o udzielenie zamówienia publicznego (np. dot. danych osób fizycznych skierowanych do wykonania zamówienia przez wykonawcę), nie będzie obowiązany do wypełniania obowiązku informacyjnego, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami. Tym samym w celu zapewnienia, że wykonawca wypełnił obowiązki informacyjne wynikające z art. 13 i 14 RODO, wskazane jest  zobowiązanie wykonawcy do złożenia w postępowaniu o udzielenie zamówienia publicznego stosownego oświadczenia o wypełnieniu przez niego ww. obowiązków informacyjnych, wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskał w celu ubiegania się o udzielenie zamówienia publicznego. Wzór takiego oświadczenia może być zawarty przez zamawiającego bezpośrednio w treści formularza ofertowego lub jako oddzielne oświadczenie. W przeciwnym przypadku to na zamawiającym będzie ciążył obowiązek informacyjny określony w art. 14 RODO względem osób, których dane pośrednio uzyskał od wykonawcy. Należy dodać, że   w przypadku gdy wykonawca nie przekazuje danych osobowych innych niż bezpośrednio jego dotyczących (lub zachodzi wyłączenie stosowania obowiązku informacyjnego, stosownie do art. 13 ust. 4 lub art. 14 ust. 5 RODO) ww. oświadczenia wykonawca nie powinien składać.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

[2] Ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jednolity Dz.U. z 2018 r. poz. 1986 z późn. zm.).

[3] Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730).

[4] Zob. Przykładowa klauzula informacyjna z art. 13 RODO do zastosowania przez zamawiających w celu związanym z postępowaniem o udzielenie zamówienia publicznego dostępna pod adresem: https://www.uzp.gov.pl/baza-wiedzy/wzorcowe-dokumenty/rozporzadzenie-o-ochronie-danych-osobowych-rodo