RODO w zamówieniach publicznych – obowiązki i najlepsze praktyki
Wprowadzenie
Ochrona danych osobowych w zamówieniach publicznych jest elementem nadrzędnym w funkcjonowaniu zgodnie z przepisami RODO. W czasach galopującej wręcz cyfryzacji i digitalizacji i obaw obywateli związanych z wyciekiem danych, ich handlem czy nawet kradzieżą, ochrona danych osobowych staje się czymś, co powinien w pełnym zakresie zapewnić każdy zamawiający i wykonawca. W artykule omówimy, jakie obowiązki mają podmioty organizujące przetargi oraz przedstawimy najlepsze praktyki w tym zakresie.
RODO w zamówieniach publicznych
Podstawy prawne
RODO, czyli Ogólne rozporządzenie o ochronie danych osobowych, obowiązuje od 25 maja 2018 roku i nakłada szereg obowiązków na wszystkie podmioty przetwarzające dane osobowe. Dotyczy to również podmiotów zaangażowanych w zamówienia publiczne, które muszą przestrzegać zasad ochrony danych na każdym etapie procesu przetargowego. RODO definiuje dane osobowe jako wszelkie informacje, które mogą prowadzić do identyfikacji osoby fizycznej, co obejmuje nie tylko imię i nazwisko, ale także adresy, numery identyfikacyjne, dane o lokalizacji i inne identyfikatory online (art. 4 pkt. 1 Ustawy o ochronie danych osobowych).
Wymogi dotyczące ochrony danych
W zamówieniach publicznych konieczne jest zabezpieczenie danych osobowych oferentów, wykonawców oraz osób uczestniczących w postępowaniu przetargowym. Obejmuje to zarówno dane zbierane na etapie składania ofert, jak i późniejsze przetwarzanie danych w trakcie realizacji umowy. Zgodnie z zasadą minimalizacji, dane osobowe powinny być zbierane tylko w niezbędnym zakresie i przetwarzane wyłącznie w celach związanych z danym przetargiem. Ponadto, podmioty organizujące przetargi muszą zapewnić odpowiednie środki techniczne i organizacyjne, aby chronić dane przed nieautoryzowanym dostępem, utratą czy uszkodzeniem
Najczęstsze wyzwania i błędy
Mimo wiedzy, zaplecza merytorycznego i praktycznego, każdemu mogą zdarzyć się błędy. Dlatego tak ważne jest poznanie, na czym warto się skupić by ograniczyć ryzyko pomyłek i uniknąć związanych z nimi konsekwencji.
Brak świadomości
Jednym z najczęstszych problemów jest niedostateczna świadomość pracowników odpowiedzialnych za zamówienia publiczne na temat wymogów RODO. Często brakuje odpowiednich szkoleń i procedur, co prowadzi do naruszeń ochrony danych osobowych. Pracownicy mogą nie zdawać sobie sprawy z konieczności stosowania rygorystycznych zasad ochrony danych, co zwiększa ryzyko nieprawidłowego przetwarzania danych (Żmuda-Matan, 2023). Niewiedza ta nie zwalnia z konsekwencji, dlatego obowiązkiem odpowiedzialnego pracodawcy jest systematyczny plan poszerzania kompetencji pracowników oraz aktualizowania ich wiedzy. Wybór dostosowanego szkolenia u lidera na rynku szkoleń z ZP, KiP i pokrewnych jest mądrą i strategiczną decyzją.
Przykłady błędów
Do typowych błędów należą niewłaściwe zabezpieczenie danych osobowych, np. przechowywanie dokumentacji zawierającej dane osobowe w łatwo dostępnych miejscach, brak wyznaczenia inspektora ochrony danych (IOD) w organizacji, oraz niewłaściwe zarządzanie zgodami na przetwarzanie danych osobowych. Ponadto, często spotyka się przypadki nieaktualizowania polityk ochrony danych osobowych, co może prowadzić do niezgodności z przepisami RODO (PortalZP.pl, 2023). Dlatego tak ważne jest wypracowanie w swojej organizacji schematu postępowania mającego na celu najlepszą ochronę danych.
Najlepsze praktyki
Audyt i analiza danych
Regularne przeprowadzanie audytów ochrony danych oraz analiz ryzyka jest nieodzownym elementem zapewnienia zgodności z RODO. Audyty powinny obejmować wszystkie aspekty przetwarzania danych osobowych, w tym procedury, polityki oraz stosowane środki techniczne i organizacyjne. Inspektor ochrony danych powinien aktywnie monitorować zgodność procesów z przepisami, identyfikować potencjalne zagrożenia i rekomendować działania naprawcze. Analiza ryzyka powinna obejmować ocenę potencjalnych zagrożeń dla praw i wolności osób fizycznych, związanych z przetwarzaniem danych w ramach zamówień publicznych (Żmuda-Matan, 2023).
Szkolenia i świadomość pracowników
Kluczowym elementem zapewnienia zgodności z RODO jest edukacja i szkolenie pracowników odpowiedzialnych za zamówienia publiczne. Regularne szkolenia powinny obejmować podstawy ochrony danych osobowych, obowiązki wynikające z RODO oraz najlepsze praktyki w zakresie przetwarzania danych. Świadomość pracowników dotycząca znaczenia ochrony danych oraz znajomość procedur i polityk organizacji znacząco zmniejsza ryzyko naruszeń (Żmuda-Matan, 2023).
Wnioski
Podsumowanie
Ochrona danych osobowych w zamówieniach publicznych jest nie tylko obowiązkiem prawnym, ale także elementem budowania zaufania i transparentności. Niezmiernie ważne jest przestrzeganie najlepszych praktyk oraz stałe monitorowanie procesów przetwarzania danych. Dzięki regularnym audytom, analizom ryzyka oraz szkoleniom pracowników, instytucje publiczne mogą zapewnić zgodność z RODO oraz chronić dane osobowe uczestników postępowań przetargowych.
Organizacje powinny aktywnie dążyć do wdrażania najlepszych praktyk w zakresie ochrony danych osobowych, aby zapewnić zgodność z przepisami oraz ochronę prywatności uczestników postępowań przetargowych. Implementacja odpowiednich procedur i polityk, regularne szkolenia oraz audyty to kluczowe elementy skutecznego systemu ochrony danych.
FAQ
Odpowiedzi na pytania
- Czy każda jednostka musi mieć swojego IOD? Tak, zgodnie z RODO każdy podmiot przetwarzający dane osobowe musi wyznaczyć inspektora ochrony danych. Wyznaczenie IOD jest obowiązkowe w sektorze publicznym, co obejmuje także jednostki organizujące zamówienia publiczne.
- Jakie są najważniejsze obowiązki IOD? Inspektor ochrony danych ma obowiązek monitorowania zgodności z RODO, przeprowadzania audytów ochrony danych, prowadzenia szkoleń dla personelu oraz udzielania zaleceń dotyczących oceny skutków dla ochrony danych.
- Czy dane osobowe muszą być chronione na każdym etapie postępowania przetargowego? Tak, dane muszą być chronione od momentu ich pozyskania aż do zakończenia postępowania i archiwizacji dokumentacji. Obejmuje to zarówno etap składania ofert, jak i realizację umowy oraz ewentualne audyty i kontrole.
Bibliografia
- PortalZP.pl. (2023). RODO w zamówieniach publicznych – 5 najważniejszych wskazówek UZP.
- Samorzad.infor.pl. (2023). Obowiązki informacyjne w art. 13 RODO a zamówienia publiczne.
Żmuda-Matan, K. (2023). Zasady powierzenia samorządowej jednostce obsługującej zadań związanych z ochroną danych osobowych. Opublikowane w Roczniki Administracji i Prawa, XXIII, z. 2, s. 93-103.
Więcej odpowiedzi na ciekawe pytania do rzeczywistych sytuacji przeczytasz w tym artykule na naszym blogu.
Więcej informacji, faktów, ciekawostek znajdziesz na naszych portalach społecznościowych: facebooku, instagramie i youtubie.
WYBIERZ SZKOLENIE Z ZAMÓWIEŃ PUBLICZNYCH