RODO a Prawo zamówień publicznych – praktyczne konsekwencje dla zamawiających i wykonawców

Relacja między Rozporządzenie 2016/679 (RODO) a Prawo zamówień publicznych (ustawa z 11 września 2019 r.) stanowi istotny element praktyki prowadzenia postępowań o udzielenie zamówienia publicznego. Procedury przetargowe obejmują przetwarzanie danych osobowych znajdujących się w dokumentacji składanej przez wykonawców oraz w dokumentach tworzonych przez zamawiającego. Dane te dotyczą w szczególności osób reprezentujących wykonawców, pełnomocników, członków organów spółek oraz osób wskazywanych do realizacji zamówienia.

W konsekwencji prowadzenie postępowania przetargowego podlega równolegle regulacjom dotyczącym ochrony danych osobowych oraz przepisom prawa zamówień publicznych określającym zasady prowadzenia postępowania i udostępniania jego dokumentacji.

Dane osobowe w postępowaniu o udzielenie zamówienia

Dane osobowe pojawiają się w dokumentacji postępowania przede wszystkim na etapie składania ofert i wniosków o dopuszczenie do udziału w postępowaniu. Wykonawcy przekazują wówczas informacje umożliwiające zamawiającemu ocenę spełniania warunków udziału w postępowaniu oraz brak podstaw wykluczenia.

Dokumentacja ta może obejmować między innymi:

• dane osób reprezentujących wykonawcę,
• dane pełnomocników ustanowionych do reprezentowania wykonawcy w postępowaniu,
• dane członków organów zarządzających podmiotów gospodarczych,
• dane osób wskazywanych jako personel przeznaczony do realizacji zamówienia,
• dane osób wystawiających referencje lub potwierdzających wykonanie wcześniejszych zamówień.

W zakresie danych osobowych zawartych w dokumentacji postępowania zamawiający działa jako administrator danych w rozumieniu art. 4 pkt 7 RODO.

Jaka jest podstawa prawna przetwarzania danych?

Przetwarzanie danych osobowych w postępowaniu o udzielenie zamówienia publicznego następuje przede wszystkim na podstawie art. 6 ust. 1 lit. c RODO, czyli w celu wykonania obowiązku prawnego ciążącego na administratorze. Obowiązek ten wynika z przepisów prawa zamówień publicznych oraz innych regulacji dotyczących gospodarowania środkami publicznymi.

W niektórych sytuacjach podstawą przetwarzania może być również art. 6 ust. 1 lit. e RODO, odnoszący się do wykonywania zadania realizowanego w interesie publicznym.

W konsekwencji przetwarzanie danych osobowych zawartych w ofertach i innych dokumentach postępowania nie wymaga uzyskania zgody osób, których dane dotyczą.

Jednocześnie zamawiający powinien stosować zasadę minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO. Oznacza to, że zakres danych wymaganych od wykonawców powinien pozostawać ograniczony do informacji niezbędnych do:

• weryfikacji spełniania warunków udziału w postępowaniu,
• oceny ofert,
• realizacji i rozliczenia umowy w sprawie zamówienia publicznego.

Zasada jawności postępowania a ochrona danych osobowych

Zgodnie z art. 18 ust. 1 Prawa zamówień publicznych postępowanie o udzielenie zamówienia publicznego jest jawne. Oznacza to możliwość udostępniania dokumentacji postępowania uczestnikom postępowania oraz – w określonym zakresie – innym podmiotom.

Jednocześnie art. 18 ust. 6 tej ustawy wskazuje, że jawność postępowania nie może prowadzić do naruszenia przepisów o ochronie danych osobowych.

W praktyce oznacza to konieczność każdorazowej oceny zakresu danych udostępnianych w dokumentacji postępowania. W przypadku gdy określone informacje nie są niezbędne dla realizacji zasady jawności, zamawiający może ograniczyć zakres ujawnianych danych, w szczególności poprzez ich anonimizację.

Dotyczy to zwłaszcza danych takich jak numery PESEL, adresy zamieszkania czy podpisy własnoręczne.

Czym jest obowiązek informacyjny?

Przetwarzanie danych osobowych w postępowaniu o udzielenie zamówienia publicznego wiąże się z obowiązkiem realizacji obowiązku informacyjnego określonego w art. 13 i art. 14 RODO.

Zamawiający spełnia obowiązek informacyjny wobec osób, których dane pozyskuje bezpośrednio, najczęściej poprzez zamieszczenie odpowiednich klauzul informacyjnych w dokumentacji postępowania, w szczególności w specyfikacji warunków zamówienia.

Natomiast wykonawca, który przekazuje zamawiającemu dane osobowe innych osób – na przykład personelu wskazanego do realizacji zamówienia – powinien zrealizować obowiązek informacyjny wobec tych osób zgodnie z art. 14 RODO.

Jaki jest okres przechowywania dokumentacji?

Okres przechowywania danych osobowych zawartych w dokumentacji postępowania wynika przede wszystkim z przepisów prawa zamówień publicznych. Zgodnie z art. 78 ust. 1 tej ustawy zamawiający przechowuje dokumentację postępowania przez okres 4 lat od dnia zakończenia postępowania o udzielenie zamówienia publicznego. Jeżeli czas trwania umowy przekracza 4 lata, dokumentację przechowuje się przez cały okres obowiązywania umowy.

W praktyce okres przechowywania dokumentacji może zostać dodatkowo wydłużony w przypadku projektów finansowanych ze środków publicznych podlegających kontroli lub szczególnym regulacjom archiwalnym.

RODO a Prawo zamówień publicznych – wnioski dla praktyki | Podsumowanie

Przepisy RODO i prawa zamówień publicznych regulują różne aspekty prowadzenia postępowania o udzielenie zamówienia publicznego. Prawo zamówień publicznych określa zasady przejrzystości i jawności postępowań, natomiast RODO wyznacza standardy ochrony danych osobowych przetwarzanych w toku tych procedur.

W praktyce prowadzenie postępowań wymaga uwzględnienia obu reżimów prawnych. Obejmuje to w szczególności:

• określenie zakresu danych wymaganych od wykonawców,
• prawidłowe spełnienie obowiązków informacyjnych,
• ocenę zakresu danych udostępnianych w ramach jawności postępowania,
• ustalenie okresu przechowywania dokumentacji zgodnie z przepisami prawa.

Takie podejście pozwala prowadzić postępowania przetargowe w sposób zgodny zarówno z zasadą transparentności wydatkowania środków publicznych, jak i z wymogami ochrony danych osobowych.

Najczęściej zadawane pytania