BDAR reikalavimai viešuosiuose pirkimuose

Ar organizuodami viešuosius pirkimus laikotės Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų? Pateikiame 10 patarimų, kurie padės jums įsivertinti savo atitiktį BDAR reikalavimams bei poreikį pokyčiams. Galbūt, jau laikas peržiūrėti bei atnaujinti savo asmens duomenų tvarkymą reglamentuojančius dokumentus?

10 patarimų perkančiosioms organizacijoms 

  1. Perkančioji organizacija (PO) turi užtikrinti, kad pirkimo procedūrų metu iš tiekėjų būtų prašoma tik tiek asmens duomenų, kiek jų yra būtina konkrečiam tikslui pasiekti. Todėl kiekvieno pirkimo metu reikia įvertinti, ar pirkimo dokumentuose nėra prašoma pateikti ar nurodyti perteklinių asmens duomenų. Pvz., kai iš pateiktų asmens duomenų (vardo, pavardės) negalima identifikuoti konkretaus asmens, tokiu atveju rekomenduotina prašyti, kad tiekėjas pateiktų šio asmens gimimo datą, bet ne asmens kodą.
  2. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena teisėto asmens duomenų tvarkymo sąlyga, nustatyta BDAR 6 str. 1 d. (asmuo davė sutikimą, būtina tvarkyti duomenis siekiant įvykdyti sutartį arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį ir pan.). Pirkimo procedūrose specialių kategorijų asmens duomenys neturėtų būti teikiami. Visgi, jeigu tokie duomenys būtų tvarkomi, toks duomenų tvarkymas turi būti pagrįstas bent viena teisėto asmens duomenų tvarkymo sąlyga, numatyta BDAR 9 str. 2 d. (tvarkyti duomenis būtina siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus, asmuo davė sutikimą ir pan.).
  3. Pirkimo dokumentuose rekomenduotina nurodyti, kad tiekėjai, teikdami pasiūlymus, uždengtų (paslėptų) fizinių asmenų duomenis, jeigu tie duomenys nėra būtini, siekiant įsitikinti tiekėjo atitiktimi pirkimo dokumentuose keliamiems reikalavimams. Pvz., juridinių asmenų registro išplėstinio išrašo kopijoje gali būti nurodyti fizinių asmenų vardai ir pavardės, tačiau turi būti uždengti jų asmens kodai, arba verslo liudijime ar kituose dokumentuose, kur nurodyta tiekėjo (fizinio asmens) vykdoma veikla, turi būti nurodyti tiekėjo (fizinio asmens) vardas ir pavardė, bet kiti šio fizinio asmens duomenys (asmens kodas, gimimo data, asmens tapatybę įrodančio dokumento numeris, gyvenamoji vieta) turi būti uždengti.
  4. PO turi pareigą informuoti duomenų subjektus (pvz., darbuotojus ar kitus fizinius asmenis) apie jų asmens duomenų tvarkymą (vadovaujantis BDAR 13 str., kai asmens duomenys renkami iš duomenų subjekto, arba BDAR 14 str., kai asmens duomenys yra gauti ne iš duomenų subjekto), išskyrus atvejus, kai prievolė informuoti duomenų subjektus nėra taikoma minėtuose BDAR straipsniuose.
  5. PO duomenų apsaugos politikoje reikia nepamiršti nurodyti, kiek laiko bus saugomi su pirkimu ir pirkimo sutarčių vykdymu susiję dokumentai, taip pat kur jie bus saugomi (laikomi), kas gali su jais susipažinti ir pan. Bendrųjų dokumentų saugojimo terminų rodyklė šiuos terminus apibrėžia. Pavyzdžiui, viešųjų pirkimų dokumentai (paraiškos ir pasiūlymai, jų nagrinėjimo ir vertinimo dokumentai, protokolai ir kiti susiję dokumentai) privalo būti saugomi 5 metus po pirkimo pabaigos.
  6. PO, kartu su pirkimo dokumentais skelbdami techninius projektus, neturėtų prisegamuose dokumentuose (įsakymuose, įgaliojimuose, kvalifikacijos atestatuose ir kt.) viešinti asmens gimimo datos, asmens kodo, parašo ar kitų asmens duomenų, t. y. juos turėtų paslėpti.
  7. Pirkimo dokumentuose PO turi nurodyti, kad, jei tiekėjas, vykdydamas pirkimo sutartį, netvarkys asmens duomenų PO vardu, tiekėjas bus laikomas duomenų valdytoju, kuris turi teises ir pareigas, nustatytas BDAR. Jei tiekėjas, vykdydamas sutartį, tvarkys asmens duomenis PO vardu, jis bus laikomas duomenų tvarkytoju. Tokiu atveju pirkimo dokumentuose būtina nurodyti, kad tiekėjas, laimėjęs pirkimą, turės pasirašyti duomenų tvarkymo sutartį.
  8. Kiekvieno pirkimo atveju PO turi pareigą objektyviai įvertinti tiekėjo argumentus apie jo pasiūlymą sudarančios informacijos konfidencialumą. Atsižvelgdama į tai, PO, gavusi kandidato ar dalyvio raštu pateiktą prašymą susipažinti su galimo laimėtojo pasiūlymu, turi pateikti tik tuos duomenis, kurių tiekėjas nenurodė kaip konfidencialių, ir teikiant juos reikėtų įsitikinti, ar uždengti pertekliniai fizinio asmens duomenys, tokie kaip asmens kodas, gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas, banko sąskaitos numeris ir pan.
  9. Skelbiant CVP IS laimėjusio dalyvio pasiūlymą pertekliniai asmens duomenys turėtų būti taip pat uždengiami. Pavyzdžiui, jei tiekėjas yra fizinis asmuo, gali būti rodoma tik to asmens vardas, pavardė, individualios veiklos pažymėjimo ar verslo liudijimo numeris, tačiau visi kiti šio asmens duomenys turėtų būti uždengti (asmens kodas, gimimo data, gyvenamoji vieta, telefono numeris, banko sąskaita ir pan.). Tas pats galioja ir apie fizinių asmenų parašams ant dokumentų – jie taip pat turėtų būti uždengiami. Taip įsitikinama, kad dokumentai yra pasirašyti, bet neatskleidžiami pertekliniai asmens duomenys.
  10. Asmens duomenys, kurie tvarkomi, vykdant viešuosius pirkimus, negali būti tvarkomi su šiuo tikslu nesuderinamais būdais. Išimtis taikoma tolimesniam duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais.

Mūsų patirtis