Czytaj: RODO - nowe prawo o ochronie danych już obowiązuje>>
Najbliższy termin, istotny z punktu widzenia zmian, które wdrożyć muszą zamawiający, dotyczy obowiązków wynikających z wejścia w życie przepisów dotyczących RODO.
Dzisiaj zaczęło obowiązywać Ogólne Rozporządzenie o Ochronie Danych. RODO dotyczy wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością. Rozporządzenie rozszerza zakres obowiązków podmiotów przetwarzających dane, ale też wyposaża osoby fizyczne i organy nadzorujące
w skuteczne narzędzia reagowania w sytuacji naruszenia rozporządzenia.
Oferty, wnioski i inne oświadczenia składane przez wykonawców biorących udział w postępowaniu zawierają dane osobowe, zatem zamawiający zobowiązani są do stosowania tych przepisów w swoich jednostkach. Kary administracyjne nałożone na skutek złamania przepisów rozporządzenia mogą wynieść nawet 20 mln euro. Mogą być one szczególnie dotkliwe w przypadku instytucji publicznych, takich jak szpitale czy gminy - komentuje Anna Serpina-Forkasiewcz, prezes Zarządu Portal PZP.
5 najważniejszych zmian w instytucjach, jakie wymusza wejście w życie RODO w kontekście realizacji obowiązków zamawiających związanych z udzielaniem zamówień publicznych:
1. Rozszerzona formuła
Już na etapie pozyskiwania danych w przetargu od wykonawców administrator danych osobowych (ADO) będzie zobowiązany do podania informacji o prawie do ich przenoszenia, okresie przechowywania, etc.
2. Rejestr czynności przetwarzania
Po 25 maja pojawi się obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji.
3. Proaktywne podejście
Rozporządzenie wymaga przygotowania odpowiednich zabezpieczeń i procedur przez zamawiającego, zanim w ogóle zacznie się zbierać i przetwarzać dane. Chodzi tu zarówno o przeszkolenie i przygotowanie pracowników, którzy będą pracować z danymi, ale również rozwiązania technologiczne na odpowiednim poziomie (oprogramowanie i sprzęt, projektowanie oprogramowania i odpowiednie jego domyślne ustawienia).
4. Raportowanie wycieków danych
Rozporządzenie nakazuje zamawiającemu "donosić" na samego siebie, gdy dane osobowe wyciekną. W momencie, w którym sami przyznajemy się do popełnionego błędu możemy liczyć na łagodniejsze potraktowanie przez GIODO. Co więcej, w niektórych wypadkach trzeba będzie też poinformować o incydencie osoby, których dane wyciekły (np. klientów).
5. Kary
System kar został znacząco rozbudowany a ich górna granica to 20 000 000 euro. Wydaje się to być naprawdę solidną motywacją do zabezpieczenia danych osobowych.
W świetle zmian, jakie wprowadzana RODO celowym wydaje się wyposażenie zamawiających w takie oprogramowanie do udzielania zamówień publicznych, które wspiera ich w realizacji nowych obowiązków. Pozwoli to uniknąć części z możliwych błędów, a tym samym uchroni przed ewentualnymi karami - podsumowuje Anna Serpina-Forkasiewcz.
Jak wynika z raportu “The time is now. The Deloitte General Data Protection Regulation Benchmarking Survey”, opracowanego przez firmę doradczą Deloitte, tylko 15 proc. badanych firm szacuje, że spełni wymagania RODO do maja 2018 r. Wyniki badania pokazują, że pomimo dwuletniego okresu przygotowawczego, firmy wciąż wykazują opieszałość w spełnieniu wymogów rozporządzenia. Aż 1/3 badanych nie określiła jeszcze, ile dodatkowych pracowników będzie musiała zatrudnić do zarządzania danymi zgodnie z przepisami RODO a 45 proc. firm nie zweryfikowało jeszcze podstaw prawnych do przetwarzania danych.