Prawo zamówień

Zamówienia regulaminowe a RODO — co musi wiedzieć urząd?

Realizacja zamówień regulaminowych — jak każda relacja umowna między podmiotem publicznym a firmą — może wiązać się z przetwarzaniem danych osobowych. Zarówno zamawiający (urząd), jak i wykonawca (firma) mają w tym zakresie określone obowiązki wynikające z RODO.

Kiedy dochodzi do przetwarzania danych osobowych?

Do przetwarzania danych dochodzi w szczególności, gdy:

  • firma realizuje usługę kadrową, szkoleniową lub doradczą i przetwarza dane pracowników urzędu,
  • usługa IT wiąże się z dostępem do systemów zawierających dane osobowe mieszkańców lub pracowników,
  • w ramach zamówienia tworzone są rejestry lub bazy danych.

Umowa powierzenia przetwarzania danych

Jeśli wykonawca będzie miał dostęp do danych osobowych, konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych (art. 28 RODO). Umowa ta musi zawierać m.in.:

  • cel i zakres przetwarzania,
  • czas przetwarzania,
  • zobowiązanie do zachowania poufności,
  • prawo do audytu przez administratora.

Obowiązek informacyjny

Urząd jako administrator danych jest zobowiązany do poinformowania osób, których dane będą przetwarzane w ramach zamówienia, zgodnie z art. 13 lub 14 RODO.

Rejestr czynności przetwarzania

Każde zamówienie, w ramach którego przetwarza się dane osobowe, powinno być odnotowane w rejestrze czynności przetwarzania prowadzonym przez Inspektora Ochrony Danych (IOD).

Artykuł ma charakter informacyjny i nie stanowi porady prawnej. W sprawach RODO rekomendujemy kontakt z Inspektorem Ochrony Danych Twojej jednostki.