Dołącz do czytelników
Brak wyników

Jak udzielać zamówień

30 października 2018

NR 167 (Październik 2018)

RODO w postępowaniach podprogowych

0 14

Swoistość zamówień podprogowych, wynikająca przede wszystkim z obniżonego poziomu regulowania tej kategorii zamówień normami prawnymi, uwidacznia się również odnośnie do ochrony danych osobowych.

Zagadnienia przynależące do sfery pogranicza zyskały na aktualności ze względu na obowiązywanie od 25 maja 2018 r. ogólnego rozporządzenia o ochronie danych (RODO) oraz wejście w życie, w tym samym terminie, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000). 

Dane osobowe a osoba fizyczna

Ochroną przewidzianą regulacjami RODO oraz ustawy o ochronie danych osobowych objęte są informacje kwalifikujące się do kategorii danych osobowych. Zgodnie z art. 4
pkt 1 RODO są to wszelkie informacje o osobie fizycznej:

  • zidentyfikowanej lub
  • możliwej do zidentyfikowania (czyli osoby, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej). 

Z powyższego wywieść można m.in. że poza zakresem ochrony właściwej dla danych osobowych pozostają inne kategorie informacji, w szczególności dotyczące osób prawnych. Znajduje to odzwierciedlenie w motywie 14 RODO, w którym wskazano, że: rozporządzenie nie dotyczy przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Ważne!

Zastrzeżenie zawarte w motywie 14 RODO nie powinno być interpretowane w sposób rozszerzający klasyfikację informacji dotyczących osób prawnych oraz naruszający interesy powiązanych z osobami prawnymi osób fizycznych.

 

Rozgraniczenie przypadków, w których dane osoby fizycznej dotyczą wyłącznie osoby fizycznej, od tych, w których współtworzą również informacje dotyczące osoby prawnej (nie są nimi wyłącznie informacje o osobie prawnej) bywa problematyczne i wymaga uwzględnienia kontekstu sytuacyjnego. 

Na przykład informacja, że Z. jest prezesem spółki Y., w zależności od kontekstu oraz celu wykorzystania informacji, może stanowić identyfikator osoby prawnej – informację, kto jest prezesem spółki – a także informacje o osobie fizycznej – 
iż Z. jest prezesem spółki1. Każdorazowo powstające wątpliwości należy oceniać z uwzględnieniem aspektów funkcjonalnych, w tym celów ustanowienia RODO – ochrony danych osobowych przy jednoczesnym poszanowaniu swobód przepływu informacji. 

Uzupełniająco warto przytoczyć fragment opinii Grupy Roboczej ds. Ochrony Danych, w którym wskazano, że: (…) informacje o osobach prawnych można również uznać, w niektórych przypadkach, za dotyczące osób fizycznych indywidualnie, zgodnie z kryteriami przedstawionymi w niniejszym dokumencie. Może tak być, jeśli nazwa osoby prawnej pochodzi od nazwiska osoby fizycznej. Innym przypadkiem może być poczta elektroniczna firmy, używana zazwyczaj przez pewnego pracownika, lub też informacje o małym przedsiębiorstwie (z punktu widzenia prawa chodzi tu raczej o rzecz niż o osobę prawną), które mogą opisywać zachowanie jego właściciela. We wszystkich tych przypadkach, jeżeli kryteria – treść, cel lub skutek – pozwalają na uznanie informacji o osobie prawnej lub o przedsiębiorstwie za dotyczącą osoby fizycznej, należy uznać je za dane osobowe i stosować przepisy dotyczące ochrony danych2.

Kontekstem sytuacyjnym wykorzystywania informacji przez zamawiających jest przede wszystkim udzielanie oraz realizacja zamówień. Poza tymi procesami występują również czynności o charakterze pobocznym, związane z archiwizowaniem zebranych informacji, ich udostępnianiem
czy usuwaniem. 

Informacje o osobach fizycznych związanych z osobami prawnymi (np. osobach uprawnionych do reprezentowania wykonawcy), wykorzystywane zgodnie z celami przyświecającymi ich pozyskaniu (nakaz takiego działania wynika z art. 5 ust. 1 lit. b RODO) są informacjami dotyczącymi osoby prawnej, a przez to niepodlegającymi ochronie wynikającej z RODO. 

Nie oznacza to jednak, że dane osobowe w ogóle nie występują w obszarze zamówień publicznych. W przypadku relacji na linii zamawiający – inne podmioty, w szczególności wykonawcy, danymi osobowymi podlegającymi ochronie będą przede wszystkim informacje o osobach fizycznych lub prowadzących jednoosobową działalność gospodarczą – występujących w charakterze wykonawcy, podwykonawcy, podmiotu udzielającego wykonawcy wsparcia poprzez udostępnienie potencjału, udzielających referencji, posiadających wymagane uprawnienia, realizujących zamówienie itd. W związku z tym kwestia ochrony danych osobowych może zostać zaktualizowana zarówno w sytuacji, w której wykonawca jest osobą fizyczną, jak i prawną.

Zamawiający jako przetwarzający dane osobowe

Zarówno na etapie przedkontraktowym, jak i w trakcie wykonywania umowy zamawiający podejmuje czynności (w języku RODO operacje), które mieszczą się w zakresie pojęcia przetwarzania. Zważając na specyfikę wskazanych procesów, w szczegó...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Monitor Zamówień Publicznych"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Roczny dostęp do filmów instruktażowych
  • Cykl szkoleń online
  • Indywidualne konsultacje
  • ...i wiele więcej!
Sprawdź

Przypisy