Spór o RODO w zamówieniach publicznych

Z listu p. Agnieszki Stec

Mecenas Mazurek (skróty od redakcji) lansuje tezę, jakoby zamawiający pełnił funkcję procesora w ramach prowadzonego zamówienia publicznego. (...) Składając ofertę, dokumenty przedmiotowe lub podmiotowe czy wyjaśnienia zawierające dane osobowe, wykonawca będący ich administratorem udostępnia je zamawiającemu także jako administratorowi. Mamy tu klasyczny przykład ujawnienia danych na linii administrator–administrator. Cóż stało za pomysłem mec. Mazurka, jakoby zamawiający był w tym układzie procesorem, który – z definicji – działa w imieniu administratora. Przyjmując taki punkt widzenia, należy uznać, że wykonawca narzucałby zamawiającemu sposoby i cele przetwarzania danych, a zamawiający byłby zobowiązany do przestrzegania udokumentowanych poleceń wykonawcy w tym temacie. 

Odpowiedź mecenasa Grzegorza Mazurka 

Uzasadnienie dla występowania zamawiającego na etapie realizacji zamówienia publicznego w roli podmiotu przetwarzającego, a nie administratora:

1. Może być konieczne zagwarantowanie wykonawcy, że będzie miał wpływ na losy powierzonych zamawiającemu w trakcie postępowania oraz później danych osobowych. W szczególności chodzi o zagwarantowanie kontroli nad dalszym przekazywaniem tych danych podmiotom trzecim, które przetwarzają dane osobowe dla zamawiającego. Co do zasady, możliwość taka jest wyłączona na podstawie art. 28 ust. 2 RODO. W takich przypadkach bardziej adekwatna jest relacja administrator – podmiot przetwarzający, gdzie zamawiający przetwarza dane na polecenie i w zakresie wskazanym przez wykonawcę – na podstawie porozumienia, o którym mowa w art. 28 ust. 3 RODO, gdzie wykonawca może ewentualnie zezwolić na przekazywanie danych przez zamawiającego podmiotom trzecim (dalszym podmiotom przetwarzającym). 
2. W przypadkach zamówień, gdzie dochodzi do przekazania znacznej ilości danych osobowych, np. osób fizycznych zatrudnionych u wykonawcy, których dane – często szczegółowe i istotne – są przekazywane różnym podmiotom w strukturze zamawiającego, relacja administrator – podmiot przetwarzający może być bardziej operatywna dla zamawiającego. W takim przypadku przetwarzanie powierzonych zamawiającemu danych osobowych odbywa się na podstawie zgód wyrażonych przez pracowników wykonawcy – osoby fizyczne oraz w celach właściwych dla wykonawcy (art. 6 i 9 ust. 2 RODO), przy jednoczesnym zwolnieniu zamawiającego z obowiązku uzyskania zgód tych osób. Wydaje się, że konieczność uzyskania zgód przez zamawiającego od pracowników wykonawcy byłaby problematyczna. Identycznie jest w przypadku realizowania obowiązków wynikających z zagwarantowanych w art. 11–22 RODO praw osób, których dane ulegają przetwarzaniu. Z punktu widzenia zamawiającego korzystniejszym rozwiązaniem jest, by ewentualne roszczenia pracowników wykonawcy kierowane były wyłącznie do wykonawcy jako administratora danych osobowych.
3. Należy zwrócić uwagę na mniejszy zakres odpowiedzialności odszkodowawczej podmiotu przetwarzającego niż administratora – zgodnie z art. 82 ust. 2 RODO ten pierwszy ponosi odpowiedzialność wyłącznie wtedy, gdy nie dopełni obowiązków wynikających z RODO bezpośrednio dla podmiotów przetwarzających oraz gdy będzie działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. 
4. Zamawiający – jako jednostka publiczna – może mieć status podmiotu przetwarzającego w świetle definicji legalnej z art. 4 pkt 8 RODO.

Z listu p. Agnieszki Stec

Nie mniej przykre było doświadczenie związane z artykułem dr Olszewskiej-Stompel, która przekonuje, że do złożenia oferty konieczne jest wyrażenie zgody osób, których dane pojawiają się w składanych dokumentach. Teza ta jest następnie łagodzona poprzez stwierdzenie, że nie ma potrzeby uzyskania zgody na przetwarzanie danych osobowych dla celów postępowania przetargowego w zakresie samych wykonawców. Problem polega jednak na tym, że Autorka błędnie powołuje tutaj podstawę prawną przetwarzania, wskazując na art. 6 ust. 1 lit. e RODO – niezbędność realizacji zadania w interesie publicznym lub wykonywanie władzy publicznej powierzonej administratorowi. Tematyka zamówień publicznych, choć z pogranicza prawa cywilnego i publicznego, z wykonywaniem władzy publicznej nie ma nic wspólnego. Właściwą podstawą jest tu art. 6 ust. 1 lit. c RODO – realizacja obowiązku prawnego wynikającego z przepisu prawa, tj. w tym przypadku Pzp i rozporządzeń wydanych na jego podstawie. 

Nic też bardziej mylnego, jak chodzi o zgody osób, których dane wykonawca podaje w związku z zamówieniem publicznym, np. dane podmiotów trzecich, podwykonawców etc. 

Tu zgoda będzie wyłącznie ostatecznością. Zwykle podstawą jest uzasadniony interes administratora, zwłaszcza gdy wykonawcę łączy z podwykonawcami czy podmiotami trzecimi umowa współpracy. Twierdzenie, że zgoda jest w tych wypadkach bezwzględnie wymagana, jest kompletnym nieporozumieniem. 

Odpowiedź dr Justyny Olszewskiej-Stompel

Opinia UZP zamieszczona na stronie www.uzp.gov.pl: Analogiczny obowiązek informacyjny jak w przypadku pozyskiwania danych osobowych bezpośrednio od wykonawców powstanie, gdy zamawiający uzyska od wykonawcy dane osobowe dotyczące innych osób (np. osób, których dane służą do wykazania spełniania przez wykonawcę warunków udziału w postępowaniu, osób kierowanych do realizacji zamówienia, osób fizycznych prowadzących działalność gospodarczą, które zostaną wskazane jako podwykonawca). Obowiązek ten jest uregulowany w art. 14 RODO. Zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób, w przypadkach, o których mowa w art. 14 ust. 5 RODO, np. w sytuacji gdy osoba ta dysponuje już tymi informacjami albo gdy wymagałoby to ze strony zamawiającego niewspółmiernie dużego wysiłku. W związku z powyższym przypominamy, że obowiązek informacyjny określony przepisami RODO spoczywa także na wykonawcach, którzy pozyskują dane osobowe osób trzecich w celu przekazania ich zamawiającym w ofertach¹.

Podkreślenia wymaga, że również wykonawca, podwykonawca, podmiot trzeci będzie musiał podczas pozyskiwania danych osobowych na potrzeby konkretnego postępowania o udzielenie zamówienia wypełnić obowiązek informacyjny wynikający z art. 13 RODO względem osób fizycznych, których dane osobowe dotyczą i od których dane te bezpośrednio pozyskał. 

Wykonawca – stwierdziłam to w dalszej części artykułu – nie jest ani uprawniony, ani świadomy tego, w jakim celu i w jaki sposób zamawiający będzie przetwarzał dane osobowe. Wykonawca musi zrealizować swoje obowiązki wynikające z faktu złożenia przez niego oferty w postępowaniu i w tym zakresie zadbać o stosowne zgody osób, których dane będą znajdować się w jego ofercie. Dalsze kwestie, gdy dane te będzie przetwarzał zamawiający, dotyczą zamawiającego i to on musi je samodzielnie uregulować. 

Z listu p. Agnieszki Stec

Fatalne jest także stwierdzenie dotyczące osób prowadzących działalność gospodarczą – przywołany wyrok NSA dotyczył bowiem stanu prawnego, w którym dane z CEIDG były wyłączone spod ochrony ustawy o ochronie danych osobowych. Później i ta regulacja uległa zmianie. RODO nie różnicuje tymczasem ochrony osób fizycznych prowadzących działalność gospodarczą i osób nieprowadzących działalności. Zasady przetwarzania i ochrony danych obu kategorii osób są identyczne (patrz odpowiedź 1 – przyp. red.).  

Kolejnym błędem jest stwierdzenie, że dane zanonimizowane to także dane osobowe. Już z samej definicji wynika, że dane zanonimizowane to takie informacje, w oparciu o które nie można ustalić tożsamości osób, których te dane dotyczą (patrz odpowiedź 2 – przyp. red.). Skoro tak, to dane zanonimizowane nie są danymi osobowymi. Wszak anonimizacja jest jedną z form realizacji prawa do bycia zapomnianym. Autorce zapewne chodziło o pseudonimizację danych (…). 

I kolejne błędy:

• Zmiana treści SIWZ lub ogłoszenia w przypadku postępowań wszczętych przed 25 maja 2018 r. wcale nie jest wymagana. Ochrona danych osobowych, w tym realizacja obowiązku informacyjnego, istniała także na gruncie ustawy o ochronie danych osobowych. Zgodnie z wytycznymi Grupy Roboczej do art. 29 (aktualna EROD), realizacja rozszerzonego obowiązku informacyjnego wynikającego z RODO nie jest konieczna w przypadku, gdy taki obowiązek był zrealizowany zgodnie z poprzednimi wymogami prawa. Konkluzja jest więc taka, że zamawiający będą musieli zrealizować obowiązek informacyjny wynikający z RODO tylko wówczas, gdy nie dopełnili takiego obowiązku z uodo. Czyli pewnie 99% zamawiających, ale nie w tym rzecz – chodzi o zasadę. 
• Nie „można”, ale trzeba (wymóg) w ramach obowiązku informacyjnego z art. 13 RODO zamieścić informację o celu i podstawie przetwarzania danych osobowych.
• Miejsce urodzenia, imię matki, ojca, a nawet informacja o skazaniu nie są danymi wrażliwymi na gruncie RODO. Katalog art. 9 RODO jest w tym zakresie zamknięty i nie obejmuje wyroków skazujących, w przeciwieństwie do poprzednio obowiązującej uodo (patrz odpowiedź 3 – przyp. red.) 

Wreszcie, nie jest jasne, czy według Autorki wykonawca może żądać realizacji prawa do bycia zapomnianym, przeniesienia danych osobowych oraz czy może wnieść sprzeciw. W ramach jednego artykułu, w dwóch kolejno następujących po sobie jednostkach redakcyjnych tekstu są bowiem sprzeczne stanowiska w tym zakresie (patrz odpowiedź 4 – przyp. red.)

Odpowiedź dr Justyny Olszewskiej-Stompel

1. Odnośnie do osób prowadzących działalność gospodarczą napisałam wyraźnie: Zasada ta doznaje ograniczenia w stosunku do osób prowadzących działalność gospodarczą, których wybrane dane są jawne i znajdują się w ogólnodostępnych bazach danych. Chodzi o to, że pewne dane są dostępne, a na pewno nie da się wyprowadzić wniosku o tym, że różnicują sytuację osób prowadzących działalność i takich, które jej nie prowadzą.
2. Anonimizacja polega na pozbawieniu danych osobowych informacji, które umożliwiają na ich podstawie zidentyfikowanie konkretnej osoby fizyczne – zob. //www.pb.pl/przedsiebiorstwa-niewiele-wiedza-o-anonimizacji-906634. RODO ma zastosowanie zarówno do postępowań o udzielenie zamówienia publicznego wszczętych od 25 maja br., jak i do postępowań, które zostały wszczęte przed tą datą i pozostają nadal w toku. RODO ma zastosowanie do każdego postępowania o udzielenie zamówienia publicznego, niezależnie od zastosowanego trybu udzielania zamówienia. Podobnie regulacje RODO mają zastosowanie do innych, szczególnych procedur przewidzianych w ustawie Pzp, jak np. procedura udzielania zamówienia na usługi społeczne i inne szczególne usługi – zob. opinia UZP; przedruk zob. //samorzad.pap.pl/depesze/wiadomosci_pap/183399/RODO-w-przetargach--UZP-przygotowal-instrukcje-dot--stosowania-RODO-w-zamowieniach-publicznych. Podobnie komentarz do opinii UZP zob. //www.portalzp.pl/nowosci/rodo-w-zamowieniach-publicznych-5- najwazniejszych-wskazowek-uzp-8682.html.
3. W artykule wyraźnie odniosłam się do opinii UZP pt. „Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO”. Jak wskazuje UZP, niestety wyprzedzając zapisy ustawowe, które nie zostały jeszcze wdrożone, szczególne zasady rozporządzenia dotyczące ograniczeń w przetwarzaniu danych osobowych, głównie w odniesieniu do wyroków skazujących i naruszeń prawa, wymagają wprowadzenia ograniczeń w przetwarzaniu tych danych, zwłaszcza w ich udostępnianiu. Wiele bowiem danych zawartych w zaświadczeniach o niekaralności jest zbędnych w postępowaniu o udzielenie zamówienia publicznego, z punktu widzenia jego celu (takie dane jak np. miejsce urodzenia, imię ojca, matki), a jednocześnie stanowi dane wrażliwe. Udostępnianie danych dotyczących niektórych informacji z KRK, a także informacji złożonych przez wykonawców (…).
4. To jest wyraźnie zaznaczone w artykule: „W przypadku postępowania o udzielenie zamówienia publicznego również należy wskazać konsekwencje niepodania danych lub zrealizowania ww. uprawnień przez daną osobę, z tym że oznacza to rezygnację z ubiegania się o zamówienie publiczne, bądź wprost zaznaczyć, że takie prawo (do usunięcia danych osobowych) nie przysługuje w zw. z art. 17  ust. 3 lit. b, d lub e rozporządzenia. Dotyczy to także prawa do przenoszenia danych osobowych, o którym mowa w art. 20 rozporządzenia, oraz – zgodnie z art. 21 rozporządzenia – prawa sprzeciwu wobec przetwarzania danych osobowych, gdyż podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. e rozporządzenia.