Kontrast:
Komentarz
Prawo zamówień publicznych
Przedmowa do wydania II
Słowo wstępne
Przedmowa
Wykaz skrótów
Bibliografia

Dział I

Przepisy ogólne

Rozdział 2

Zasady udzielania zamówień

Art. 19

Obowiązki i uprawnienia związane z ochroną danych osobowych

1. Zamawiający może realizować obowiązki informacyjne, o których mowa w art. 13 ust. 1–3 rozporządzenia 2016/679, przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu lub w dokumentach zamówienia.

2. Skorzystanie przez osobę, której dane osobowe dotyczą, z uprawnienia do sprostowania lub uzupełnienia, o którym mowa w art. 16 rozporządzenia 2016/679, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia ani zmianą postanowień umowy w sprawie zamówienia publicznego w zakresie niezgodnym z ustawą.

3. W postępowaniu o udzielenie zamówienia zgłoszenie żądania ograniczenia przetwarzania, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie ogranicza przetwarzania danych osobowych do czasu zakończenia tego postępowania.

4. Zamawiający informuje o ograniczeniach stosowania przepisów rozporządzenia 2016/679, o których mowa w ust. 2 i 3, w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób dostępny dla osoby, której dane osobowe dotyczą.

5. Zamawiający przetwarza dane osobowe zebrane w postępowaniu o udzielenie zamówienia w sposób gwarantujący zabezpieczenie przed ich bezprawnym rozpowszechnianiem.

1. Przetwarzanie danych osobowych przez zamawiających. RODO od dnia 25 maja 2018 r. ma bezpośrednie zastosowanie w państwach członkowskich Unii Europejskiej. Na podstawie przepisów tego rozporządzenia każdy administrator danych osobowych jest odpowiedzialny za przestrzeganie zasad przetwarzania danych osobowych (art. 5 ust. 2 RODO).

Zgodnie z art. 4 pkt 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Zgodnie z art. 4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Przez przetwarzanie danych osobowych rozumie się przy tym właściwie każdą czynność dotyczącą tych danych, w tym: ich pozyskiwanie, przechowywanie w systemach informatycznych, okazywanie do wglądu, przekazywanie podmiotom trzecim czy usuwanie z baz danych.

Na administratora danych został nałożony ogólny obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie przez niego danych osobowych odbywało się zgodnie z RODO przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze (art. 24 ust. 1 RODO). Przepisy RODO mają zastosowanie także do postępowań o udzielenie zamówienia publicznego i do konkursów. Cele i sposoby takiego przetwarzania danych osobowych w postępowaniach i konkursach są określone w prawie Unii Europejskiej oraz w Pzp, ale także w ustawie o ochronie danych osobowych, a zamawiający na mocy tych przepisów jest administratorem danych osobowych gromadzonych w postępowaniu. Ponieważ Pzp uprawnia zamawiających do powierzania podmiotom trzecim prowadzenia postępowań o udzielenie zamówienia publicznego w ich imieniu i na ich rzecz w ramach pomocniczych działań zakupowych (art. 37 ust. 3 pkt 4 Pzp), warto podkreślić, że zamawiający nie tracą na skutek takiego powierzenia statusu administratora danych osobowych w odniesieniu do postępowań, których prowadzenie powierzyli innym podmiotom, ale podmioty, którym zostało powierzone prowadzenie postępowań stają się odpowiedzialnymi za te dane podmiotami przetwarzającymi dane osobowe w imieniu administratora (art. 4 pkt 8 RODO).

Zamawiający administrują danymi osobowymi osób fizycznych w związku z tym, że są im te dane przekazywane na mocy Pzp przez wykonawców albo uczestników konkursu. Warto zauważyć, że prawną podstawą przetwarzania danych osobowych przez zamawiających dla celów postępowań o udzielenie zamówienia publicznego i konkursów jest art. 6 ust. 1 lit c RODO, ponieważ przetwarzanie tych danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Zamawiający nie może pozyskiwać od wykonawców dokumentów i informacji w inny sposób niż na podstawie prawnej ściśle określonej w Pzp, czy to w związku ze składaniem przez wykonawców wniosków, ofert, prac konkursowych, czy w związku z żądaniem dopuszczonych przez Pzp dokumentów, czy w ramach domagania się wyjaśnień czy uzupełnień na podstawie określonej w przepisach Pzp. Bez znaczenia dla prawnej podstawy przetwarzania danych osobowych z art. 6 ust. 1 lit c RODO pozostaje ewentualne dostarczenie przez wykonawcę z własnej inicjatywy niewymaganych przez zamawiającego informacji, w szczególności informacji zawierających dane osobowe, związanych z prowadzonym przez zamawiającego postępowaniem. Zamawiający nadal jest uprawniony do przetwarzania tych danych na wyżej wskazanej podstawie jako informacji przekazanych w związku z postępowaniem i dla celów tego postępowania. Do przetwarzania danych osobowych przez zamawiających w postępowaniach o udzielenie zamówienia publicznego lub konkursach nie znajdzie przy tym zastosowania art. 21 RODO, który uprawnia osobę, której dane dotyczą do wniesienia sprzeciwu wobec przetwarzania dotyczących jej danych osobowych. Przepis ten nie ma bowiem zastosowania w przypadku przetwarzania danych osobowych na podstawie przesłanki wskazanej w art. 6 ust. 1 lit. c RODO, tj. gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

2. Ograniczenie obowiązku informacyjnego realizowanego na podstawie art. 13 RODO. Na administratorach danych osobowych, w tym na zamawiających, spoczywa szereg obowiązków informacyjnych wynikających z RODO. Jednym z tych obowiązków jest obowiązek przekazywania osobie, od której pozyskuje się dane osobowe (jej dotyczące), informacji dotyczących zarówno samego podmiotu, który stanie się administratorem jej danych osobowych, jak też podstawy i celu gromadzenia tych danych oraz informacji o prawach przysługujących tej osobie w związku z dysponowaniem jej danymi przez administratora danych. Szczegółowy wykaz tych informacji jest określony art. 13 RODO. Zamawiający byłby zobowiązany do przekazania informacji na podstawie art. 13 RODO, w sytuacji gdy oferta, wniosek, praca konkursowa lub inny dokument byłyby przekazywane przez wykonawcę będącego osobą fizyczną (w tym osobę fizyczną prowadzącą jednoosobowo działalność gospodarczą, wspólników spółki cywilnej, osoby fizyczne w ramach wspólnego ubiegania się o zamówienie itp.). Przepis art. 19 ust. 1 Pzp stanowi jednak ograniczenie w stosowaniu art. 13 RODO uzasadnione specyfiką zamówień publicznych i konkursów, które są udzielane i realizowane w interesie publicznym, zgodnie z narzuconymi prawem zasadami. Ograniczenie polega na dostosowaniu sposobu realizacji uprawnień wynikających z art. 13 RODO do uwarunkowań wynikających ze stosowania Pzp i ma na celu, w interesie publicznym, zapobieganie nadmiernemu przedłużaniu czasu udzielania zamówienia czy przeprowadzania konkursu w związku z wykonywaniem obowiązku informacyjnego. Na podstawie tego przepisu zamawiający uzyskał uprawnienie w zakresie dotyczącym spełnienia obowiązku, o którym mowa w art. 13 RODO, do zamieszczenia informacji wymaganych tym przepisem w ogłoszeniu o zamówieniu lub w dokumentach zamówienia. Dzięki temu jest zwolniony z obowiązku podjęcia czynności bezpośredniego przekazania tych informacji wykonawcy będącemu osobą fizyczną, po ustaleniu posiadania takich danych. W praktyce, gdy zamawiający skorzysta z art. 19 ust. 1 Pzp, wykonawca będący osobą fizyczną, zainteresowany udziałem w postępowaniu o udzielenie zamówienia publicznego, zapoznając się z treścią ogłoszenia o zamówieniu lub z dokumentami zamówienia, aby podjąć decyzję o udziale w postępowaniu lub konkursie, będzie zapoznawał się również z treścią klauzuli informacyjnej z art. 13 RODO. Oznacza to, że obowiązek informacyjny z art. 13 RODO, będzie realizowany przy pomocy narzędzi i sposobów wykorzystywanych do komunikacji z wykonawcami. Warto też pamiętać, że na podstawie art. 13 ust. 4 RODO obowiązki informacyjne z art. 13 ust. 1–3 RODO nie mają zastosowania w zakresie, w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami.

3. Ograniczenie skutków skorzystania z uprawnienia z art. 16 RODO. Na podstawie art. 16 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Ograniczenie wprowadzane w art. 19 ust. 2 Pzp ma na celu zapobieżenie ewentualnym próbom wykorzystywania uprawnienia z art. 16 RODO do dokonywania zmian rzutujących na wynik postępowania o udzielenie zamówienia publicznego. Przepis art. 19 ust. 2 Pzp nie wyłącza korzystania z uprawnienia wynikającego z art. 16 RODO, ale stanowi gwarancję dla postępowania, że np. sprostowanie danych osobowych wykonawcy, którego oferta została wybrana jako najkorzystniejsza w postępowaniu, nie będzie skutkować zmianą wykonawcy ani że sprostowanie danych osobowych osoby wskazywanej przez wykonawcę w wykazie osób, które będą uczestniczyć w realizacji uprawnienia i posiadają odpowiednie uprawnienia, będzie skutkować uwzględnieniem spełniania przez wykonawcę warunku udziału w postępowaniu i udzieleniem mu zamówienia. Skorzystanie przez osobę, której dane osobowe dotyczą, z uprawnienia do sprostowania lub uzupełnienia, o którym mowa w art. 16 RODO, nie może skutkować również zmianą postanowień umowy w sprawie zamówienia publicznego, np. w zakresie wskazania innego podmiotu trzeciego biorącego udział w realizacji zamówienia niż ten, który był wskazywany i weryfikowany na etapie prowadzonego postępowania.

Dopełnieniem regulacji z art. 19 ust. 2 Pzp jest art. 76 Pzp, który zastrzega, że skorzystanie przez osobę, której dane są przetwarzane przez zamawiającego, z uprawnienia z art. 16 RODO nie może naruszać integralności protokołu i załączników do protokołu. Ewentualne zmiany w danych osobowych są możliwe zatem technicznie jedynie poprzez dołączenie dodatkowych załączników do protokołu. Informacja o ograniczeniu wynikającym z art. 19 ust. 2 Pzp musi być zamieszczona przez zamawiającego w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób dostępny dla osoby, której dane osobowe dotyczą (art. 19 ust. 4 Pzp). Ten „inny sposób” może obejmować nie tylko bezpośrednie przekazanie takiej informacji w czasie negocjacji w trybie zamówienia z wolnej ręki, ale także np. telefonicznie, albo w inny sposób, który umożliwia uzyskanie potwierdzenia zapoznania się z tą informacją przez osobę, której dane osobowe przetwarza zamawiający. Ten wymóg odpowiada art. 23 ust. 2 lit. h RODO, który w przypadku wprowadzania ograniczenia w stosowaniu m.in. art. 18 RODO wymaga istnienia przepisu stanowiącego o prawie osób, których dane dotyczą, do uzyskania informacji o takich ograniczeniach. Czynności powiadamiania i generalnie informowania związane z ochroną danych osobowych nie są czynnościami w postępowaniu o udzielenie zamówienia publicznego, a zatem nie są objęte np. obowiązkiem komunikacji elektronicznej, ale mają służyć potwierdzeniu wypełnienia przez zamawiającego jako administratora danych obowiązków nałożonych RODO i przepisami art. 19 Pzp.

4. Ograniczenie działania art. 18 RODO. Przepis art. 18 ust. 1 RODO uprawnia osobę fizyczną, której dane dotyczą, do żądania od administratora ograniczenia przetwarzania jej danych123. Skutkiem takiego żądania jest albo wstrzymanie przetwarzania danych, albo możliwość ich przetwarzania tylko za wyraźną zgodą osoby zainteresowanej. Z uwagi na uwarunkowania postępowań o udzielenie zamówienia publicznego, w którym udział wykonawców w postępowaniu jest poddany zasadom równego traktowania i uczciwej konkurencji w postępowaniu, takie żądanie mogłoby stanowić potencjalne zagrożenie naruszenia tych zasad, nie wspominając o ewentualnych konsekwencjach przedłużania się postępowań. W skrajnym przypadku obowiązek wstrzymania lub ograniczenia przetwarzania danych przez zamawiającego związany ze skierowaniem do zamawiającego żądania z art. 18 ust. 1 RODO mógłby prowadzić do paraliżu postępowania o udzielanie zamówienia publicznego z uwagi na powiązany z tym uprawnieniem obowiązek wstrzymania lub ograniczenia przetwarzania danych przez zamawiającego. Przy czym należy pamiętać, że z uprawnienia, o którym mowa w art. 18 ust. 1 RODO, mogą skorzystać nie tylko wykonawcy, którzy dostarczyli swoje dane osobowe bezpośrednio zamawiającemu, ale także wszystkie inne osoby, których dane osobowe przetwarza zamawiający w związku z postępowaniem (podwykonawcy, pełnomocnicy, osoby, których dane zostały zawarte w wykazach osób mających brać udział w realizacji zamówienia po stronie wykonawcy, i inne osoby, których dane osobowe znalazły się w dokumentach i informacjach przekazanych zamawiającemu). Poprzez wprowadzenie ograniczenia, o którym mowa w art. 19 ust. 3 Pzp, ze względu na interes publiczny zostało dokonane ograniczenie w zakresie działania art. 18 RODO do czasu zakończenia prowadzonego postępowania, co pozwoli na wyeliminowanie potencjalnego zagrożenia przedłużaniem lub wręcz wstrzymaniem czynności w postępowaniu na skutek skorzystania z tego uprawnienia przez osoby uprawnione. Ograniczenie to nie znosi zatem samego uprawnienia, o którym mowa w art. 18 ust. 1 RODO, ale w sposób proporcjonalny dostosowuje konsekwencje skorzystania z niego do celów postępowań o udzielenie zamówienia publicznego. Sytuacja zmienia się po zakończeniu postępowania. Z art. 74 ust. 3 Pzp wynika, że w przypadku gdy zamawiający otrzyma zgłoszenie żądania, o którym mowa w art. 18 ust. 1 RODO, i spowoduje ono ograniczenie przetwarzania danych osobowych zawartych w protokole postępowania lub w załącznikach do tego protokołu, od dnia zakończenia postępowania nie udostępnia on tych danych, chyba że istnieją podstawy do przetwarzania określone w art. 18 ust. 2 RODO, np. na podstawie zgody osoby zainteresowanej. Informacja o ograniczeniu wynikającym z art. 19 ust. 3 Pzp musi być zamieszczana przez zamawiającego w ogłoszeniu o zamówieniu, w dokumentach zamówienia lub w inny sposób dostępny dla osoby, której dane osobowe dotyczą (art. 19 ust. 4 Pzp). Ten „inny sposób” może obejmować nie tylko bezpośrednie przekazanie takiej informacji w czasie negocjacji w trybie zamówienia z wolnej ręki, ale także telefonicznie albo w inny sposób, który umożliwia uzyskanie potwierdzenia zapoznania się z tą informacją przez osoby, których dane osobowe przetwarza zamawiający. Ten wymóg odpowiada art. 23 ust. 2 lit. h RODO, który w przypadku wprowadzania ograniczenia w stosowaniu m.in. art. 18 RODO wymaga istnienia przepisu stanowiącego o prawie osób, których dane dotyczą, do uzyskania informacji o takich ograniczeniach. Warto zaznaczyć, że czynności powiadamiania związane z ochroną danych osobowych nie są czynnościami w postępowaniu, a zatem nie są objęte np. obowiązkiem komunikacji elektronicznej, ale mają służyć potwierdzeniu wypełnienia przez zamawiającego jako administratora danych obowiązków nałożonych RODO i przepisami art. 19 Pzp.

5. Obowiązek zabezpieczenia danych osobowych przed bezprawnym rozpowszechnianiem. Przepis art. 19 ust. 5 Pzp nakazujący zastosowanie przez zamawiającego adekwatnych środków i zabezpieczeń w dostępie do danych osobowych zgromadzonych w postępowaniu o udzielenie zamówienia publicznego, by te dane osobowe nie były udostępnione osobom do tego nieuprawnionym wspiera przede wszystkim normę z art. 18 ust. 6 Pzp regulującą udostępnianie danych osobowych, o których mowa w art. 10 RODO (przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych) oraz w art. 74 ust. 4 Pzp, który wprowadza zakaz udostępniania danych, o których mowa w art. 9 ust. 1 RODO (dane szczególnie wrażliwe, jak np. pochodzenie rasowe, dane biometryczne, dane dotyczące zdrowia). Przepis art. 19 ust. 5 Pzp nie nakłada na zamawiających żadnych dodatkowych obowiązków poza wynikającymi z RODO, a zwłaszcza z art. 32 RODO. Wymaga on w szczególności, aby administrator danych z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania danych, a także ryzyka naruszenia praw lub wolności osób fizycznych, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Wywiązywanie się z tych obowiązków można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, lub zatwierdzonego mechanizmu certyfikacji. Ponadto administrator musi podjąć działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego (jak np. w przypadku udostępniania dokumentacji postępowania organom kontroli nie jest stosowane upoważnienie do przetwarzania danych wystawiane przez zamawiającego jako administratora danych, gdyż podmiotom tym przysługuje dostęp na podstawie przepisów prawa).

123 Art. 18 RODO: 1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach: a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych; b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania; c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń; d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. 2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. 3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.