Rozporządzenie Parlamentu Europejskiego i Rady (UE)
RODO – czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) to akt prawny, który odcisnął swoje piętno w praktycznie każdym sektorze życia społecznego.
Wywołało ono szereg kontrowersji m.in. w przypadku nieujawnienia nazwisk sędziów popierających kandydatów do nowej Krajowej Rady Sądownictwa, problemów z dostępem do informacji publicznej czy nawet uzyskania wiedzy o stanie zdrowia dzieci poszkodowanych w wypadku w miejscowości Tenczyn, na popularnej zakopiance.
25 maja 2023 roku minęło dokładnie pięć lat od rozpoczęcia obowiązywania unijnego rozporządzenia na terenie całej Unii Europejskiej. Nowe przepisy o ochronie danych osobowych miały również nieodparty wpływ na zamówienia publiczne. W dzisiejszym artykule postaram się przybliżyć Państwu kluczowe elementy, o których powinien pamiętać każdy zamawiający – czy to sektora prywatnego, czy publicznego.
Zamawiający jako Administrator Danych Osobowych
Podstawowym elementem wprowadzającym do zagadnień związanych z ochroną danych osobowych jest poprawne wyznaczenie Administratora Danych Osobowych. Jego status w ujęciu RODO przysługuje, osobie fizycznej lub prawnej, organowi publicznemu, jednostce lub innemu podmiotowi.
Administrator danych osobowych może być dla przykładu: spółką akcyjną, związkiem wyznaniowym, stowarzyszeniem, przedsiębiorstwem, spółdzielnią, fundacją, spółką jawną lub osobą prowadzącą jednoosobową działalność gospodarczą. W przypadku postępowań ofertowych będzie to zawsze zamawiający nawet wówczas, kiedy korzysta on z dedykowanego narzędzia do obsługi przetargów (takim narzędziem jest np. Platforma zakupowa Open Nexus).
Należy jednak pamiętać, że w tej sytuacji zamawiający tj. Administrator Danych Osobowych zobowiązany jest zawrzeć umowę powierzenia danych z podmiotem przetwarzającym dane w jego imieniu, czyli w tym przypadku z Platformą Zakupową Open Nexus.
DOWIEDZ się WIĘCEJ! ZOBACZ odcinek: Cyberbezpieczeństwo w PRZETARGACH. Zabezpiecz ZAMÓWIENIA publiczne! i subskrybuj kanał PRZETARGowa na YouTube! 👇
Obowiązki Administratora Danych Osobowych
Wyznaczenie Administratora Danych Osobowych niesie za sobą szereg obowiązków, które jest zobowiązana wykonywać organizacja, która przetwarza dane osobowe. RODO wprowadziło bowiem szereg zmian w obszarze zapewnienia bezpieczeństwa tych danych. Administratorzy danych osobowych, którymi są jednostki publiczne czy przedsiębiorstwa zostały zobowiązane do spełnienia dość rozległego katalogu zobowiązań, wynikających
z unijnego rozporządzenia. Należą do nich m.in.:
- pobieranie zgody na przetwarzanie zwykłych danych osobowych (art. 6. ust. 1 RODO);
- pobieranie zgody na przetwarzanie szczególnej kategorii danych (ar. 9. ust. 2 RODO);
- spełnienie obowiązku informacyjnego (art. 13 ust. 1 RODO);
- zawieranie umów powierzenia z podmiotami przetwarzającymi (art. 20 RODO);
- wdrażanie stosownej dokumentacji, w tym polityki ochrony danych (art. 24 ust. 2 RODO);
- prowadzenie rejestru czynności przetwarzania danych osobowych (art. 30 ust. 1 RODO);
- zapewnienie środków bezpieczeństwa (art. 32 ust. 1 RODO);
- dokumentowanie naruszeń (art. 33 ust. 5 RODO);
- wyznaczenie inspektora ochrony danych. (art. 37 RODO).
Należy jednocześnie pamiętać, że ogólne rozporządzenie o ochronie danych jest dokumentem o dużym stopniu ogólności, co w połączeniu z faktem, że zobowiązane do jego stosowania są skrajnie różne organizacje, daje szerokie pole interpretacyjne przepisów, które są w nim zawarte, co widać przy okazji różnego rodzaju audytów czy kontroli realizowanych zarówno przez Urząd Ochrony Danych Osobowych, jednostki nadrzędne czy przeprowadzanych na zalecenie samych organizacji wewnętrznych kontroli.
Ryzyka związane z przetwarzaniem danych osobowych płynące z zamówień publicznych
Ogólną koncepcją stojącą u podstaw norm RODO jest realizacja tzw. zasady risk based-approach – czyli podejścia opartego na ryzyku. W toku prac nad rozporządzeniem za niezbędne uznano bowiem wprowadzenie takiego rozwiązania, ponieważ zdaniem unijnego prawodawcy zapewniłoby ono dynamiczny charakter środków zabezpieczających stosowanych przez administratora.
W literaturze podejście oparte na ryzyku opiniuje się jako stosowanie środków adekwatnych do zlokalizowanych zagrożeń, nie zaś standardowych rozwiązań wdrażanych bez analizy konkretnych procesów przetwarzania. Zastosowanie zasady podejścia opartego na ryzyku możemy znaleźć m.in. w art. 24 ust. 1, który mówi o wdrażaniu środków technicznych i organizacyjnych, aby przetwarzanie odbywało się z uwzględnieniem ryzyka naruszenia praw lub wolności osób fizycznych czy też w art. 32 ust. 1, odnoszącym się do wdrażania środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, występującemu w danym przypadku (operacji przetwarzania).
Realizacja tej zasady w praktyce obrazuje konieczność większego zaangażowania administratorów oraz podmiotów przetwarzających w sam proces zapewnienia skutecznej ochrony danych osobowych. Wynika to bowiem z faktu, że RODO nie wprowadza żadnych gotowych rozwiązań w obszarze wymaganej dokumentacji, poza nielicznymi wyjątkami,
tj. rejestru czynności przetwarzania (art. 30 ust. 1 RODO), rejestru wszystkich kategorii czynności przetwarzania (art. 30 ust. 2 RODO) czy też wymogu dokumentacji naruszeń (art. 33 ust. 5 RODO). Tym samym unijne rozporządzenia daje dużą swobodę administratorom w wykazywaniu zgodności czynności przetwarzania z obowiązującym prawem, jednakże należy pamiętać, że środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko naruszenia praw i wolności osób fizycznych.
PRZEGAPIŁEŚ Święto Zamówień Publiczych – POZAP? Szkoda, że Cię nie było! OBEJRZYJ retransmisję pierwszego dnia! 👇 A następnym razem koniecznie pamiętaj, by świętować z nami! 😉
Realizacja postępowań przetargowych
Realizacja postępowań przetargowych (zarówno tych na dedykowanych platformach jak i za pomocą przesłania oferty drogą mailową) niesie za sobą dodatkowe ryzyka związane
z operacjami na danych osobowych. Konieczność ich identyfikacji, a także zapewnienie bezpieczeństwa przetwarzanych danych (art. 32 RODO) spoczywa na Administratorze Danych Osobowych. Poniżej przedstawiam kilka głównych ryzyk, które mogą wynikać
z przetwarzania danych osobowych w ramach zamówień publicznych:
- ataki hakerskie – cyberprzestępcy mogą atakować różnego rodzaju systemy przetargowe m.in. w celu: kradzieży danych (osobowych, finansowych, osób fizycznych czy prawnych), fałszowania dokumentów, zaszyfrowania systemów dla okupu, czy zmiany warunków przetargu,
- brak szyfrowania ofert – stanowi poważne ryzyko dla ochrony danych osobowych. W takich procesach przedstawiciele wykonawców zamieszczają często dokumenty (np. certyfikaty, zaświadczenia o niekaralności czy pełnomocnictwa lub dokumenty stanowiące tajemnicę przedsiębiorstwa), które bez odpowiedniego zabezpieczenia, mogą zostać ujawnione lub skradzione, co prowadzi do poważnych konsekwencji zarówno dla podmiotów uczestniczących w przetargu, jak
i dla osób, których dane są objęte ofertą, - brak procedur związanych z przechowywaniem danych osobowych (retencja danych) – może stanowić ryzyko dla ochrony danych osobowych w postępowaniach przetargowych. Jeśli nie jest ona odpowiednio zaplanowana, przestrzegana i zarządzana. Procedura odnosi się do okresu, przez który dane osobowe są przechowywane po zakończeniu konkretnego procesu, do którego można zaliczyć zapytania ofertowe czy przetargi,
- obowiązek informacyjny – to jeden z kluczowych obowiązków w ochronie danych osobowych w postępowaniach przetargowych, dlatego istotne jest, aby wszystkie osoby biorące udział w przetargu miały świadomość, w jaki sposób ich dane osobowe będą przetwarzane i wykorzystywane,
- umowa powierzenia – to drugi z fundamentalnych aspektów w ochronie danych osobowych w postępowaniach przetargowych, dlatego Administratorzy Danych Osobowych, czyli Zamawiający muszą każdorazowo rozważyć zawarcie dodatkowej umowy jeśli dochodzi do powierzenia danych osobowych.
Podsumowanie
Dziś po pięciu latach stosowania RODO jesteśmy mądrzejsi o nowe doświadczenia. Nie zmienia to jednak stanu rzeczy, że unijnego rozporządzenia cały czas się uczymy. Sukcesywnie powstają kodeksy branżowe, nowe wytyczne Prezesa Urzędu Ochrony Danych Osobowych czy comiesięczne newslettery dla Inspektorów Ochrony Danych. Być może wreszcie czas na stworzenie kodeksu branżowego w zakresie zamówień publicznych. Z pewnością pomógłby on zamawiającym dostosować postępowania do wymogów RODO? Jako Open Nexus jesteśmy gotowi na tego rodzaju wyzwanie. A Wy? Co o tym myślicie?
DOWIEDZ się WIĘCEJ! ZOBACZ odcinek: RODO w ZAMÓWIENIACH publicznych. Jak dbać o BEZPIECZEŃSTWO DANYCH osobowych? i subskrybuj kanał PRZETARGowa na YouTube! 👇