Dołącz do czytelników
Brak wyników

Spór o RODO w zamówieniach publicznych

Artykuły | 30 października 2018 | NR 167
26

Po opublikowaniu w numerze lipcowo-sierpniowym MZP z br. trzech artykułów dotyczących RODO w praktyce zamówieniowej otrzymaliśmy list od naszej Czytelniczki, pani Agnieszki Stec – praktyka z dziedziny zamówień publicznych i ochrony danych osobowych, która nie zgadza się z przedstawioną interpretacją zawartą w artykułach mecenasa Grzegorza Mazurka oraz dr Justyny Olszewskiej-Stompel. W związku z tym zwróciliśmy się do autorów wymienionych artykułów o próbę analizy listu w zakresie merytorycznym i odniesienie się do twierdzeń w nim sformułowanych. Poniżej cytujemy fragmenty listu pani Agnieszki Stec wyłącznie dotyczące meritum sprawy i odpowiedzi autorów artykułów. Naszych Czytelników zapraszamy do dyskusji, by wspólnie rozwiązać problem stosowania RODO w praktyce zamówieniowej. 

Z listu p. Agnieszki Stec

Mecenas Mazurek (skróty od redakcji) lansuje tezę, jakoby zamawiający pełnił funkcję procesora w ramach prowadzonego zamówienia publicznego. (...) Składając ofertę, dokumenty przedmiotowe lub podmiotowe czy wyjaśnienia zawierające dane osobowe, wykonawca będący ich administratorem udostępnia je zamawiającemu także jako administratorowi. Mamy tu klasyczny przykład ujawnienia danych na linii administrator–administrator. Cóż stało za pomysłem mec. Mazurka, jakoby zamawiający był w tym układzie procesorem, który – z definicji – działa w imieniu administratora. Przyjmując taki punkt widzenia, należy uznać, że wykonawca narzucałby zamawiającemu sposoby i cele przetwarzania danych, a zamawiający byłby zobowiązany do przestrzegania udokumentowanych poleceń wykonawcy w tym temacie. 

Odpowiedź mecenasa Grzegorza Mazurka 

Uzasadnienie dla występowania zamawiającego na etapie realizacji zamówienia publicznego w roli podmiotu przetwarzającego, a nie administratora:

  1. Może być konieczne zagwarantowanie wykonawcy, że będzie miał wpływ na losy powierzonych zamawiającemu w trakcie postępowania oraz później danych osobowych. W szczególności chodzi o zagwarantowanie kontroli nad dalszym przekazywaniem tych danych podmiotom trzecim, które przetwarzają dane osobowe dla zamawiającego. Co do zasady, możliwość taka jest wyłączona na podstawie art. 28 ust. 2 RODO. W takich przypadkach bardziej adekwatna jest relacja administrator – podmiot przetwarzający, gdzie zamawiający przetwarza dane na polecenie i w zakresie wskazanym przez wykonawcę – na podstawie porozumienia, o którym mowa w art. 28 ust. 3 RODO, gdzie wykonawca może ewentualnie zezwolić na przekazywanie danych przez zamawiającego podmiotom trzecim (dalszym podmiotom przetwarzającym). 
  2. W przypadkach zamówień, gdzie dochodzi do przekazania znacznej ilości danych osobowych, np. osób fizycznych zatrudnionych u wykonawcy, których dane – często szczegółowe i istotne – są przekazywane różnym podmiotom w strukturze zamawiającego, relacja administrator – podmiot przetwarzający może być bardziej operatywna dla zamawiającego. W takim przypadku przetwarzanie powierzonych zamawiającemu danych osobowych odbywa się na podstawie zgód wyrażonych przez pracowników wykonawcy – osoby fizyczne oraz w celach właściwych dla wykonawcy (art. 6 i 9 ust. 2 RODO), przy jednoczesnym zwolnieniu zamawiającego z obowiązku uzyskania zgód tych osób. Wydaje się, że konieczność uzyskania zgód przez zamawiającego od pracowników wykonawcy byłaby problematyczna. Identycznie jest w przypadku realizowania obowiązków wynikających z zagwarantowanych w art. 11–22 RODO praw osób, których dane ulegają przetwarzaniu. Z punktu widzenia zamawiającego korzystniejszym rozwiązaniem jest, by ewentualne roszczenia pracowników wykonawcy kierowane były wyłącznie do wykonawcy jako administratora danych osobowych.
  3. Należy zwrócić uwagę na mniejszy zakres odpowiedzialności odszkodowawczej podmiotu przetwarzającego niż administratora – zgodnie z art. 82 ust. 2 RODO ten pierwszy ponosi odpowiedzialność wyłącznie wtedy, gdy nie dopełni obowiązków wynikających z RODO bezpośrednio dla podmiotów przetwarzających oraz gdy będzie działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. 
  4. Zamawiający – jako jednostka publiczna – może mieć status podmiotu przetwarzającego w świetle definicji legalnej z art. 4 pkt 8 RODO.

 

Z listu p. Agnieszki Stec

Nie mniej przykre było doświadczenie związane z artykułem dr Olszewskiej-Stompel, która przekonuje, że do złożenia oferty konieczne jest wyrażenie zgody osób, których dane pojawiają się w składanych dokumentach. Teza ta jest następnie łagodzona poprzez stwierdzenie, że nie ma potrzeby uzyskania zgody na przetwarzanie danych osobowych dla celów postępowania przetargowego w zakresie samych wykonawców. Problem polega jednak na tym, że Autorka błędnie powołuje tutaj podstawę prawną przetwarzania, wskazując na art. 6 ust. 1 lit. e RODO – niezbędność realizacji zadania w interesie publicznym lub wykonywanie władzy publicznej powierzonej administratorowi. Tematyka zamówień publicznych, choć z pogranicza prawa cywilnego i publicznego, z wykonywaniem władzy publicznej nie ma nic wspólnego. Właściwą podstawą jest tu art. 6 ust. 1 lit. c RODO – realizacja obowiązku prawnego wynikającego z przepisu prawa, tj. w tym przypadku Pzp i rozporządzeń wydanych na jego podstawie. 

Nic też bardziej mylnego, j...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Monitor Zamówień Publicznych"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Roczny dostęp do filmów instruktażowych
  • Cykl szkoleń online
  • Indywidualne konsultacje
  • ...i wiele więcej!
Sprawdź

Przypisy