RODO w zamówieniach publicznych – rekomendacje

Rekomendacje dotyczące udzielania zamówień przez Beneficjentów RPO WO 2014-2020 związane z wprowadzeniem przepisów RODO.

Udzielanie zamówień publicznych przez Beneficjentów RPO WO powinno odbywać się na zasadach i wg procedur przewidzianych w Wytycznych w zakresie kwalifikowalności wydatków w ramach Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego oraz Funduszu Spójności na lata 2014-2020 (dalej: Wytyczne).
Wytyczne nie regulują obecnie wprost kwestii dotyczących ochrony danych osobowych, natomiast m.in. w części dotyczącej oceny kwalifikowalności wydatków odnoszą się do zgodności z innymi przepisami prawa (patrz: Sekcja 6.2. pkt 2). Ocena kwalifikowalności poniesionego wydatku dokonywana jest przede wszystkim (…) w zakresie obowiązków nałożonych na Beneficjenta umową o dofinansowanie oraz wynikających z przepisów prawa, dalej pkt 3) Wydatkiem kwalifikowalnym jest wydatek spełniający łącznie następujące warunki: (…) b) jest zgodny z obowiązującymi przepisami prawa unijnego oraz prawa krajowego (…), co oznacza, że należy stosować wszystkie inne przepisy prawa, w tym ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018.1000).  Przedmiotowa ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW, (dalej: łącznie przepisy o ochronie danych osobowych – RODO).

25 maja 2018 r. weszły w życie przepisy RODO, które dotyczą również Beneficjentów wszystkich Programów Operacyjnych, na wielu płaszczyznach np. uczestników projektów czy też udzielania zamówień publicznych.
Tym samym każdy z Beneficjentów zobowiązany jest do stosowania RODO do przeprowadzania postępowań o udzielenie zamówienia publicznego.
Przedmiotowy obowiązek wynika z tego, że w postępowaniu o udzielenie zamówienia publicznego są/mogą być przetwarzane dane osobowe podlegające ochronie zgodnie z przepisami RODO. Dane te mogą dotyczyć tak samego wykonawcy (osoby fizycznej prowadzącej działalność gospodarczą), jego pełnomocnika (osoby fizycznej), jak też informacji o osobach, które w swojej ofercie/wniosku o dopuszczenie do udziału w postępowaniu wykonawca przedkłada celem wykazania spełniania warunków udziału w postępowaniu, braku podstaw do wykluczenia z postępowania, jak i potwierdzenia wymogów zamawiającego dotyczących wykonania przedmiotu zamówienia.
Ponieważ zamawiający (Beneficjent) nie może przewidzieć, w którym postępowaniu złożą mu zapytania/oferty osoby fizyczne albo, który z wykonawców nie będący osobą fizyczną będzie korzystał z zasobów innych podmiotów/podwykonawców będących osobami fizycznymi, regulacje wynikające z RODO należy zastosować na etapie wszczęcia każdego postępowania.

Przepisy te mają zastosowanie do każdej z procedur udzielania zamówień, m.in. prowadzonych wg:
– ustawy prawo zamówień publicznych,
– ustawy o umowie koncesji na roboty budowlane lub usługi,
– ustawy o partnerstwie publiczno-prywatnym,
– zasady konkurencyjności opisanej w Wytycznych,
– rozeznania rynku opisanego w Wytycznych,
– a także w przypadku, gdy na podstawie obowiązujących przepisów prawa innych niż PZP wyłącza się stosowanie PZP, Beneficjent, o którym mowa w art. 3 PZP, przeprowadza zamówienie z zastosowaniem tych przepisów (patrz: rozdział 6.5 pkt 6 Wytycznych) jak np. konkursy na podstawie ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych czy ustawy z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie,
– ponoszenia wydatków o wartościach poniżej 20 tys. zł netto, zgodnie z warunkami kwalifikowalności wydatków z Wytycznych (patrz: rozdz. 6.2 pkt 3 lit. g) został dokonany w sposób przejrzysty, racjonalny i efektywny, z zachowaniem zasad uzyskiwania najlepszych efektów z danych nakładów.
Należy podkreślić, że obowiązki wynikające z RODO, do których wypełnienia zobowiązany jest zamawiający (Beneficjent), powinny być zrealizowane również w odniesieniu do postępowań o udzielenie zamówienia publicznego wszczętych przed dniem 25 maja 2018 r., przy pierwszej podejmowanej czynności w postępowaniu o udzielenie zamówienia publicznego związanej z przetwarzaniem danych osobowych, niezwłocznie po wejściu w życie RODO.
Mając na uwadze właściwą realizację projektów finansowanych ze środków UE IZ przypomina o obowiązku stosowania RODO w udzielaniu wszystkich zamówień, które zostały wszczęte lub są kontynuowane po 25 maja 2018 r.
Jednocześnie, biorąc pod uwagę konieczność wsparcia Beneficjentów w aspekcie ochrony danych osobowych, IZ rekomenduje skorzystanie z opracowań dotyczących ochrony danych osobowych w zamówieniach publicznych przygotowanych przez Urząd Zamówień Publicznych, znajdujących się na stronie UZP pod linkiem: www.uzp.gov.pl/aktualnosci/rodo-w-zamowieniach-publicznych, obecna ścieżka dostępu Urząd Zamówień Publicznych / Aktualności / RODO w zamówieniach publicznych.
Są to m.in. zalecenia dla zamawiających i wykonawców dotyczące stosowania przepisów ustawy Prawo zamówień publicznych (ustawa PZP), które analogicznie należy zastosować we wszystkich innych niż zawartych w PZP procedurach udzielania zamówień publicznych.
Znajdziecie tam Państwo:
– wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO;
– obowiązek informacyjny wynikający z art. 13 RODO w przypadku zbierania danych osobowych bezpośrednio od osoby fizycznej, której dane dotyczą, w celu związanym z postępowaniem o udzielenie zamówienia publicznego;
– wzór oświadczenia wymaganego od wykonawcy w zakresie wypełnienia obowiązków informacyjnych wynikających z RODO.

W praktyce oznacza to zastosowanie obowiązków wynikających z RODO, np. stosowanie klauzul informacyjnych z powołaniem się w ich treści, zamiast na przepisy szczególne PZP, na inne szczególne przepisy udzielania zamówień np. zasadę konkurencyjności.
Adekwatnie do procedury udzielenia zamówienia np. zamieszczenie klauzuli informacyjnej będzie miało miejsce w ogłoszeniu zamieszczonym w bazie konkurencyjności, podobnie jak w ogłoszeniu o zamówieniu w Biuletynie Zamówień Publicznych, w zapytaniu ofertowym kierowanym do wykonawców lub zamieszczonym na stronie Beneficjenta, analogicznie jak w zaproszeniu do złożenia ofert w trybie zapytania o cenę / wg przepisów PZP, zapytaniu ofertowym na podstawie zasady konkurencyjności, podobnie jak w SIWZ sporządzanej na potrzeby PZP.
IZ zaleca również, aby wszystkie rozpoczynane postępowania o zamówienie po wydaniu niniejszych rekomendacji, zawierały wymagane RODO elementy na dzień wszczęcia postępowania, a w przypadku wszczętych przed wydaniem rekomendacji i trwających do nadal, były uzupełniane o wymagania wynikające z RODO poprzez odpowiednie zmiany w trakcie procedury, natomiast dla postępowań zakończonych po 25 maja 2018 r. (zawarcie umowy) ewentualne braki należy uzupełnić po dniu wprowadzenia niniejszych rekomendacji.