spalio 27, 2021 / Duomenų apsauga, Viešieji pirkimai

BDAR reikalavimai viešuosiuose pirkimuose

Ar organizuodami viešuosius pirkimus laikotės Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų? Pateikiame 10 patarimų, kurie padės jums įsivertinti savo atitiktį BDAR reikalavimams bei poreikį pokyčiams.

10 patarimų perkančiosioms organizacijoms

Perkančioji organizacija (PO) turi užtikrinti, kad pirkimo procedūrų metu iš tiekėjų būtų prašoma tik tiek asmens duomenų, kiek jų yra būtina konkrečiam tikslui pasiekti. Todėl kiekvieno pirkimo metu reikia įvertinti, ar pirkimo dokumentuose nėra prašoma pateikti ar nurodyti perteklinių asmens duomenų. Pvz., kai iš pateiktų asmens duomenų (vardo, pavardės) negalima identifikuoti konkretaus asmens, tokiu atveju rekomenduotina prašyti, kad tiekėjas pateiktų šio asmens gimimo datą, bet ne asmens kodą.
Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena teisėto asmens duomenų tvarkymo sąlyga, nustatyta BDAR 6 str. 1 d. (asmuo davė sutikimą, būtina tvarkyti duomenis siekiant įvykdyti sutartį arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį ir pan.). Pirkimo procedūrose specialių kategorijų asmens duomenys neturėtų būti teikiami. Visgi, jeigu tokie duomenys būtų tvarkomi, toks duomenų tvarkymas turi būti pagrįstas bent viena teisėto asmens duomenų tvarkymo sąlyga, numatyta BDAR 9 str. 2 d. (tvarkyti duomenis būtina siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus, asmuo davė sutikimą ir pan.).
Pirkimo dokumentuose rekomenduotina nurodyti, kad tiekėjai, teikdami pasiūlymus, uždengtų (paslėptų) fizinių asmenų duomenis, jeigu tie duomenys nėra būtini, siekiant įsitikinti tiekėjo atitiktimi pirkimo dokumentuose keliamiems reikalavimams. Pvz., juridinių asmenų registro išplėstinio išrašo kopijoje gali būti nurodyti fizinių asmenų vardai ir pavardės, tačiau turi būti uždengti jų asmens kodai, arba verslo liudijime ar kituose dokumentuose, kur nurodyta tiekėjo (fizinio asmens) vykdoma veikla, turi būti nurodyti tiekėjo (fizinio asmens) vardas ir pavardė, bet kiti šio fizinio asmens duomenys (asmens kodas, gimimo data, asmens tapatybę įrodančio dokumento numeris, gyvenamoji vieta) turi būti uždengti.
PO turi pareigą informuoti duomenų subjektus (pvz., darbuotojus ar kitus fizinius asmenis) apie jų asmens duomenų tvarkymą (vadovaujantis BDAR 13 str., kai asmens duomenys renkami iš duomenų subjekto, arba BDAR 14 str., kai asmens duomenys yra gauti ne iš duomenų subjekto), išskyrus atvejus, kai prievolė informuoti duomenų subjektus nėra taikoma minėtuose BDAR straipsniuose.
PO duomenų apsaugos politikoje reikia nepamiršti nurodyti, kiek laiko bus saugomi su pirkimu ir pirkimo sutarčių vykdymu susiję dokumentai, taip pat kur jie bus saugomi (laikomi), kas gali su jais susipažinti ir pan. Bendrųjų dokumentų saugojimo terminų rodyklė šiuos terminus apibrėžia. Pavyzdžiui, viešųjų pirkimų dokumentai (paraiškos ir pasiūlymai, jų nagrinėjimo ir vertinimo dokumentai, protokolai ir kiti susiję dokumentai) privalo būti saugomi 5 metus po pirkimo pabaigos.
PO, kartu su pirkimo dokumentais skelbdami techninius projektus, neturėtų prisegamuose dokumentuose (įsakymuose, įgaliojimuose, kvalifikacijos atestatuose ir kt.) viešinti asmens gimimo datos, asmens kodo, parašo ar kitų asmens duomenų, t. y. juos turėtų paslėpti.
Pirkimo dokumentuose PO turi nurodyti, kad, jei tiekėjas, vykdydamas pirkimo sutartį, netvarkys asmens duomenų PO vardu, tiekėjas bus laikomas duomenų valdytoju, kuris turi teises ir pareigas, nustatytas BDAR. Jei tiekėjas, vykdydamas sutartį, tvarkys asmens duomenis PO vardu, jis bus laikomas duomenų tvarkytoju. Tokiu atveju pirkimo dokumentuose būtina nurodyti, kad tiekėjas, laimėjęs pirkimą, turės pasirašyti duomenų tvarkymo sutartį.
Kiekvieno pirkimo atveju PO turi pareigą objektyviai įvertinti tiekėjo argumentus apie jo pasiūlymą sudarančios informacijos konfidencialumą. Atsižvelgdama į tai, PO, gavusi kandidato ar dalyvio raštu pateiktą prašymą susipažinti su galimo laimėtojo pasiūlymu, turi pateikti tik tuos duomenis, kurių tiekėjas nenurodė kaip konfidencialių, ir teikiant juos reikėtų įsitikinti, ar uždengti pertekliniai fizinio asmens duomenys, tokie kaip asmens kodas, gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas, banko sąskaitos numeris ir pan.
Skelbiant CVP IS laimėjusio dalyvio pasiūlymą pertekliniai asmens duomenys turėtų būti taip pat uždengiami. Pavyzdžiui, jei tiekėjas yra fizinis asmuo, gali būti rodoma tik to asmens vardas, pavardė, individualios veiklos pažymėjimo ar verslo liudijimo numeris, tačiau visi kiti šio asmens duomenys turėtų būti uždengti (asmens kodas, gimimo data, gyvenamoji vieta, telefono numeris, banko sąskaita ir pan.). Tas pats galioja ir apie fizinių asmenų parašams ant dokumentų – jie taip pat turėtų būti uždengiami. Taip įsitikinama, kad dokumentai yra pasirašyti, bet neatskleidžiami pertekliniai asmens duomenys.
Asmens duomenys, kurie tvarkomi, vykdant viešuosius pirkimus, negali būti tvarkomi su šiuo tikslu nesuderinamais būdais. Išimtis taikoma tolimesniam duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais.

Galbūt, jau laikas peržiūrėti bei atnaujinti savo asmens duomenų tvarkymą reglamentuojančius dokumentus? Kreipkitės dėl BDAR paslaugų į mūsų specialistus, kurie Jums padės.

Susijusios įžvalgos

Visos įžvalgos

Raminta Girtavičiūtė

Skaitmeninio pasaulio šerifas – Skaitmeninių paslaugų aktas. Kokių naujovių galime tikėtis?

balandžio 16, 2024

Europos Parlamento narė Christel Schaldemose yra pasakiusi, kad „skaitmeninis pasaulis tapo laukiniais vakarais, kuriuose taisykles nustato didžiausi ir stipriausi“. Su tuo būtų sunku nesutikti. Turbūt kiekvienas iš mūsų vienaip ar kitaip esame susidūrę su nelegaliu turiniu internete: galbūt tai buvo internetinėje parduotuvėje parduodamos garsių prekės ženklų klastotės, gal nelegaliai platinami filmai, o galbūt tiesiogiai socialiniuose tinkluose transliuojama neteisėta veika ar skleidžiama dezinformacija.

Skaityti daugiau

Raminta Stravinskaitė

Kodėl duomenų apsaugos reikalavimų Lietuvoje galima ir nepaisyti?

balandžio 10, 2024

Lietuva išlieka viena iš tų retų valstybių, kuriose duomenų apsaugų reikalavimų pažeidimai praktiškai nieko nekainuoja.

Skaityti daugiau

Raminta Stravinskaitė

Ką apima teisė gauti asmens duomenų „kopiją“?

sausio 29, 2024

Įsivaizduokime, kad turite „šeštą jausmą“, jog darbdavys renka informaciją apie jus, jūsų šeimyninį gyvenimą ar jūsų artimuosius. Nuolat „seka“ jus socialiniuose tinkluose, „kamantinėja“ apie vaikų mokymosi įstaigas, sutuoktinio pareigas, atostogas ir pan. Vėliau ši apibendrinta informacija naudojama, vertinant tolimesnio jūsų darbo užmokesčio augimo tendencijas, o jums paprašius didesnio darbo užmokesčio, atsakymų variantai būna orientuoti ne į darbo rezultatus, o į jūsų gyvenimo būdą.

Skaityti daugiau

Visos įžvalgos

Pavadinimas	Valdytojas	Aprašymas	Trukmė
rc::a	google.com	This cookie is used to distinguish between humans and bots. This is beneficial for the website, in order to make valid reports on the use of their website.	Persistent
rc::b	google.com	This cookie is used to distinguish between humans and bots.	Session
rc::c	google.com	This cookie is used to distinguish between humans and bots.	Session

Pavadinimas	Valdytojas	Aprašymas	Trukmė
_ga	google.com	Registers a unique ID that is used to generate statistical data on how the visitor uses the website.	2 years
_gat	google.com	Used by Google Analytics to throttle request rate.	1 day
_gid	google.com	Registers a unique ID that is used to generate statistical data on how the visitor uses the website.	1 day
_fbp	facebook.com	Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.	3 months
bcookie	linkedin.com	Used by the social networking service, LinkedIn , for tracking the use of embedded services.	2 years
bscookie	linkedin.com	Used by the social networking service, LinkedIn, for tracking the use of embedded services.	2 years
d/px	adsymptotic.com	Collects data on visitors' preferences and behaviour on the website. This information is u sed make content and advertisement more relevant to the specific visitor.	Session
fr	facebook.com	Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.	3 years
lidc	linkedin.com	Used by the social networking service, LinkedIn , for tracking the use of embedded services.	1 day
lissc	linkedin.com	Used by the social networking service, LinkedIn, for tracking the use of embedded services.	1 year
NID	google.com	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.	6 months
tr	facebook.com	Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.	Session
UserMatchHistory	linkedin.com	Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.	29 days
lang	linkedin.com	Remembers the user's selected language version of a website.	Session
lang	linkedin.com	Set by LinkedIn when a web page contains an embedded "Follow us" panel.	Session