RODO a zamówienia publiczne


Jednym z istotnych elementów nowej ustawy Prawo zamówień publicznych ma być uregulowanie kwestii ochrony danych osobowych gromadzonych w toku postępowań zamówieniowych. Zapowiadają się istotne wyjątki od zasad ogólnych wynikających z RODO. Na czym mają one polegać?

Specyficzne wyzwania

Organizacja postępowań o udzielenie zamówienia publicznego, podobnie jak udział w tych postępowaniach, wiąże się nieuchronnie z przetwarzaniem znacznej liczby danych osobowych. Są to m.in. dane dotyczące faktu niekaralności np. członków zarządów spółek składających oferty, ponieważ oferta bez załącznika w postaci zaświadczeń o niekaralności właściwych osób podlega zwykle odrzuceniu. Co więcej, aby udowodnić możliwość wykonywania określonych prac przez personel oferenta, składane są zaświadczenia dotyczące stanu zdrowia poszczególnych osób, które mają być zaangażowane w prace po udzieleniu zamówienia.

W praktyce pojawiają się pytania dotyczące optymalnych sposobów realizacji obowiązków informacyjnych przez zamawiających stających się administratorami przekazywanych im przez oferentów danych osobowych. Na późniejszym etapie problemem może się stać kwestia realizacji praw osób, których dane dotyczą, np. w zakresie sprostowania lub usunięcia przekazanych danych. To kluczowe kwestie, które reguluje opublikowany 24 stycznia 2019 r. projekt nowego Prawa zamówień publicznych.

Dostęp do zaświadczeń o niekaralności i danych medycznych

Zasadą jest, że postępowania o udzielenie zamówienia publicznego są jawne. Dotyczy to m.in. protokołu postępowania, a w niektórych wypadkach również załączników do protokołu.

Co prawda dane zawarte w zaświadczeniach o niekaralności pod rządami RODO nie są już traktowane jako dane wrażliwe. Niemniej jednak z uwagi na ich specyficzny charakter projektowana ustawa przewiduje ograniczenia w dostępie do danych osobowych odnoszących się do wyroków skazujących i naruszeń prawa. Dostęp do tego rodzaju danych osobowych ma być możliwy tylko w celu korzystania z przewidzianych w dziale IX projektowanej ustawy środków ochrony prawnej i to tylko do upływu terminu na ich wniesienie. Jeszcze dalej idąca ochrona ma być zapewniona w stosunku do danych o stanie zdrowia. Udostępnianie bowiem tego rodzaju danych ma w ogóle być zakazane.

Są to istotne wyjątki od zasady, że postępowania o udzielenie zamówienia publicznego są jawne. Ograniczenia w zakresie dostępu do danych osobowych mają mieć zastosowanie także do udostępniania załączników do protokołu – zarówno wykonawcom, jak i innym podmiotom uprawnionym do wnoszenia środków ochrony prawnej.

Realizacja praw podmiotów danych

Pełna realizacja praw podmiotów danych nie zawsze jest możliwa, ponieważ mogłoby to doprowadzić do paraliżu postępowań zamówieniowych i niemożliwości efektywnego przejścia do realizacji fazy realizacji zamówienia.

Projekt wskazuje, że:

  • skorzystanie przez osobę, której dane osobowe dotyczą, z uprawnienia do sprostowania lub uzupełnienia, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia ani zmianą postanowień umowy w sprawie zamówienia publicznego w zakresie niezgodnym z ustawą,
  • w postępowaniu o udzielenie zamówienia zgłoszenie żądania ograniczenia przetwarzania nie ogranicza przetwarzania danych osobowych do czasu zakończenia tego postępowania.

Projekt potwierdza, że zamawiający może realizować obowiązek informacyjny wobec podmiotów danych przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu lub w dokumentach zamówienia. Obowiązkiem zamawiającego jest poinformowanie o ograniczeniach realizacji praw podmiotów danych. Zgodnie z projektem może tego dokonać na swojej stronie internetowej, w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób dostępny dla osób, których dane dotyczą. Katalog sposobów przekazania informacji ma być więc otwarty.

Mozolne kształtowanie praktyki

Praktyka stosowania RODO w poszczególnych sektorach cały czas się kształtuje i tym samym ulega zmianom. Pozostaje mieć nadzieję, że projektowane przepisy nowej ustawy o zamówieniach publicznych przyczynią się do wyjaśnienia chociaż niektórych wątpliwości praktycznych i pomogą wypracować rozwiązania, które sprawdzą się w stosowaniu przepisów RODO na co dzień.

Joanna Krakowiak, radca prawny, praktyka life science i postępowań regulacyjnych oraz praktyka transakcji i prawa korporacyjnego kancelarii Wardyński i Wspólnicy