Dołącz do czytelników
Brak wyników

Spór o RODO w zamówieniach publicznych

Artykuły | 30 października 2018 | NR 167
204

Po opublikowaniu w numerze lipcowo-sierpniowym MZP z br. trzech artykułów dotyczących RODO w praktyce zamówieniowej otrzymaliśmy list od naszej Czytelniczki, pani Agnieszki Stec – praktyka z dziedziny zamówień publicznych i ochrony danych osobowych, która nie zgadza się z przedstawioną interpretacją zawartą w artykułach mecenasa Grzegorza Mazurka oraz dr Justyny Olszewskiej-Stompel. W związku z tym zwróciliśmy się do autorów wymienionych artykułów o próbę analizy listu w zakresie merytorycznym i odniesienie się do twierdzeń w nim sformułowanych. Poniżej cytujemy fragmenty listu pani Agnieszki Stec wyłącznie dotyczące meritum sprawy i odpowiedzi autorów artykułów. Naszych Czytelników zapraszamy do dyskusji, by wspólnie rozwiązać problem stosowania RODO w praktyce zamówieniowej. 

Z listu p. Agnieszki Stec

Mecenas Mazurek (skróty od redakcji) lansuje tezę, jakoby zamawiający pełnił funkcję procesora w ramach prowadzonego zamówienia publicznego. (...) Składając ofertę, dokumenty przedmiotowe lub podmiotowe czy wyjaśnienia zawierające dane osobowe, wykonawca będący ich administratorem udostępnia je zamawiającemu także jako administratorowi. Mamy tu klasyczny przykład ujawnienia danych na linii administrator–administrator. Cóż stało za pomysłem mec. Mazurka, jakoby zamawiający był w tym układzie procesorem, który – z definicji – działa w imieniu administratora. Przyjmując taki punkt widzenia, należy uznać, że wykonawca narzucałby zamawiającemu sposoby i cele przetwarzania danych, a zamawiający byłby zobowiązany do przestrzegania udokumentowanych poleceń wykonawcy w tym temacie. 

Odpowiedź mecenasa Grzegorza Mazurka 

Uzasadnienie dla występowania zamawiającego na etapie realizacji zamówienia publicznego w roli podmiotu przetwarzającego, a nie administratora:

  1. Może być konieczne zagwarantowanie wykonawcy, że będzie miał wpływ na losy powierzonych zamawiającemu w trakcie postępowania oraz później danych osobowych. W szczególności chodzi o zagwarantowanie kontroli nad dalszym przekazywaniem tych danych podmiotom trzecim, które przetwarzają dane osobowe dla zamawiającego. Co do zasady, możliwość taka jest wyłączona na podstawie art. 28 ust. 2 RODO. W takich przypadkach bardziej adekwatna jest relacja administrator – podmiot przetwarzający, gdzie zamawiający przetwarza dane na polecenie i w zakresie wskazanym przez wykonawcę – na podstawie porozumienia, o którym mowa w art. 28 ust. 3 RODO, gdzie wykonawca może ewentualnie zezwolić na przekazywanie danych przez zamawiającego podmiotom trzecim (dalszym podmiotom przetwarzającym). 
  2. W przypadkach zamówień, gdzie dochodzi do przekazania znacznej ilości danych osobowych, np. osób fizycznych zatrudnionych u wykonawcy, których dane – często szczegółowe i istotne – są przekazywane różnym podmiotom w strukturze zamawiającego, relacja administrator – podmiot przetwarzający może być bardziej operatywna dla zamawiającego. W takim przypadku przetwarzanie powierzonych zamawiającemu danych osobowych odbywa się na podstawie zgód wyrażonych przez pracowników wykonawcy – osoby fizyczne oraz w celach właściwych dla wykonawcy (art. 6 i 9 ust. 2 RODO), przy jednoczesnym zwolnieniu zamawiającego z obowiązku uzyskania zgód tych osób. Wydaje się, że konieczność uzyskania zgód przez zamawiającego od pracowników wykonawcy byłaby problematyczna. Identycznie jest w przypadku realizowania obowiązków wynikających z zagwarantowanych w art. 11–22 RODO praw osób, których dane ulegają przetwarzaniu. Z punktu widzenia zamawiającego korzystniejszym rozwiązaniem jest, by ewentualne roszczenia pracowników wykonawcy kierowane były wyłącznie do wykonawcy jako administratora danych osobowych.
  3. Należy zwrócić uwagę na mniejszy zakres odpowiedzialności odszkodowawczej podmiotu przetwarzającego niż administratora – zgodnie z art. 82 ust. 2 RODO ten pierwszy ponosi odpowiedzialność wyłącznie wtedy, gdy nie dopełni obowiązków wynikających z RODO bezpośrednio dla podmiotów przetwarzających oraz gdy będzie działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. 
  4. Zamawiający – jako jednostka publiczna – może mieć status podmiotu przetwarzającego w świetle definicji legalnej z art. 4 pkt 8 RODO.

 

Z listu p. Agnieszki Stec

Nie mniej przykre było doświadczenie związane z artykułem dr Olszewskiej-Stompel, która przekonuje, że do złożenia oferty konieczne jest wyrażenie zgody osób, których dane pojawiają się w składanych dokumentach. Teza ta jest następnie łagodzona poprzez stwierdzenie, że nie ma potrzeby uzyskania zgody na przetwarzanie danych osobowych dla celów postępowania przetargowego w zakresie samych wykonawców. Problem polega jednak na tym, że Autorka błędnie powołuje tutaj podstawę prawną przetwarzania, wskazując na art. 6 ust. 1 lit. e RODO – niezbędność realizacji zadania w interesie publicznym lub wykonywanie władzy publicznej powierzonej administratorowi. Tematyka zamówień publicznych, choć z pogranicza prawa cywilnego i publicznego, z wykonywaniem władzy publicznej nie ma nic wspólnego. Właściwą podstawą jest tu art. 6 ust. 1 lit. c RODO – realizacja obowiązku prawnego wynikającego z przepisu prawa, tj. w tym przypadku Pzp i rozporządzeń wydanych na jego podstawie. 

Nic też bardziej mylnego, jak chodzi o zgody osób, których dane wykonawca podaje w związku z zamówieniem publicznym, np. dane podmiotów trzecich, podwykonawców etc. 

Tu zgoda będzie wyłącznie ostatecznością. Zwykle podstawą jest uzasadniony interes administratora, zwłaszcza gdy wykonawcę łączy z podwykonawcami czy podmiotami trzecimi umowa współpracy. Twierdzenie, że zgoda jest w tych wypadkach bezwzględnie wymagana, jest kompletnym nieporozumieniem. 

Odpowiedź dr Justyny Olszewskiej-Stompel

Opinia UZP zamieszczona na stronie www.uzp.gov.pl: Analogiczny obowiązek informacyjny jak w przypadku pozyskiwania danych osobowych bezpośrednio od wykonawców powstanie, gdy zamawiający uzyska od wykonawcy dane osobowe dotyczące innych osób (np. osób, których dane służą do wykazania spełniania przez wykonawcę warunków udziału w postępowaniu, osób kierowanych do realizacji zamówienia, osób fizycznych prowadzących działalność gospodarczą, które zostaną wskazane jako podwykonawca). Obowiązek ten jest uregulowany w art. 14 RODO. Zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób, w przypadkach, o których mowa w art. 14 ust. 5 RODO, np. w sytuacji gdy osoba ta dysponuje już tymi informacjami albo gdy wymagałoby to ze strony zamawiającego niewspółmiernie dużego wysiłku. W związku z powyższym przypominamy, że obowiązek informacyjny określony przepisami RODO spoczywa także na wykonawcach, którzy pozyskują dane osobowe osób trzecich w celu przekazania ich zamawiającym w ofertach1.

Podkreślenia wymaga, że również wykonawca, podwykonawca, podmiot trzeci będzie musiał podczas pozyskiwania danych osobowych na potrzeby konkretnego postępowania o udzielenie zamówienia wypełnić obowiązek informacyjny wynikający z art. 13 RODO względem osób fizycznych, których dane osobowe dotyczą i od których dane te bezpośrednio pozyskał. 

Wykonawca – stwierdziłam to w dalszej części artykułu – nie jest ani uprawniony, ani świadomy tego, w jakim celu i w jaki sposób zamawiający będzie przetwarzał dane osobowe. Wykonawca musi zrealizować swoje obowiązki wynikające z faktu złożenia przez niego oferty w postępowaniu i w tym zakresie zadbać o stosowne zgody osób, których dane będą znajdować się w jego ofercie. Dalsze kwestie, gdy dane te będzie przetwarzał zamawiający, dotyczą zamawiającego i to on musi je samodzielnie uregulować

Z listu p. Agnieszki Stec

Fatalne jest także stwierdzenie dotyczące osób prowadzących działalność gospodarczą – przywołany wyrok NSA dotyczył bowiem stanu prawnego, w którym dane z CEIDG były wyłączone spod ochrony ustawy o ochronie danych osobowych. Później i ta regulacja uległa zmianie. RODO nie różnicuje tymczasem ochrony osób fizycznych prowadzących działalność gospodarczą i osób nieprowadzących działalności. Zasady przetwarzania i ochrony danych obu kategorii osób są identyczne (patrz odpowiedź 1 – przyp. red.).  

Kolejnym błędem jest stwierdzenie, że dane zanonimizowane to także dane os...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Monitor Zamówień Publicznych"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Roczny dostęp do filmów instruktażowych
  • Cykl szkoleń online
  • Indywidualne konsultacje
  • ...i wiele więcej!
Sprawdź

Przypisy