Dołącz do czytelników
Brak wyników

Temat numeru

17 lipca 2018

NR 165 (Lipiec 2018)

Umowa powierzenia przetwarzania danych

0 537

W postępowaniach o udzielenie zamówienia publicznego od dnia 25 maja 2018 r. zastosowanie mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L. Nr 119, str. 1).

Urząd Zamówień Publicznych opublikował „Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO”, gdyż 
ww. rozporządzenie ma zastosowanie zarówno do postępowań o udzielenie zamówienia publicznego wszczętych 25 maja br., jak i do postępowań, które zostały wszczęte przed tą datą i pozostają w toku. 
Fakt, iż przepisom unijnym nadano formę rozporządzenia, a nie dyrektywy, nie jest bez znaczenia, bowiem zgodnie z art. 288 Traktatu o funkcjonowaniu Unii Europejskiej przepisy rozporządzeń unijnych – odmiennie niż jest to w przypadku dyrektyw – są skuteczne bezpośrednio. Należy jeszcze uzupełnić, że w orzecznictwie Trybunału Sprawiedliwości UE wywiedziono, iż chodzi o „pełny bezpośredni skutek”, tj. skuteczność nie tylko w stosunku na linii jednostka – państwo, lecz również na linii jednostka – jednostka (wyrok z dnia 14 grudnia 1971 r. w sprawie 43/71 Politi s.a.s.).

Ważne!

W konsekwencji od 25 maja 2018 r. możliwe jest powoływanie się przez podmioty indywidualne (osoby fizyczne) bezpośrednio na przepisy rozporządzenia, z pominięciem istniejących regulacji krajowych. 

Rozporządzenie nadało osobom fizycznym wiele uprawnień w zakresie kontroli nad przetwarzaniem ich danych osobowych (m.in. prawo dostępu, prawo do sprostowania, prawo do usunięcia czy prawo do przeniesienia). Z tymi uprawnieniami sprzężono szereg obowiązków po stronie podmiotów przetwarzających dane osobowe. Ponadto nałożono na nie powinności w zakresie zapewnienia należytego poziomu bezpieczeństwa przetwarzanych danych osobowych. 
Określony w ramach rozporządzenia system praw i obowiązków oraz bezpośrednia skuteczność jego przepisów powodują, że przepisy te mają również znaczenie przy udzielaniu i realizowaniu zamówień publicznych. Chronione są dane osobowe nie tylko osób fizycznych, lecz również osób fizycznych prowadzących działalność gospodarczą oraz osób fizycznych – pracowników zatrudnionych u osób fizycznych prowadzących działalność gospodarczą oraz zatrudnionych/działających w strukturze osób prawnych. Równie szeroko rozumiane są terminy „przetwarzanie danych osobowych” (może chodzić o zbieranie, utrwalanie, przeglądanie, organizowanie, zmienianie, przekazywanie czy niszczenie danych osobowych) i „dane osobowe” (w zakres wchodzą takie dane, jak imiona, nazwiska, numery dowodów tożsamości, dane adresowe, numery telefonu, informacje związane z podstawą dysponowania, numery uprawnień do wykonywania określonej działalności czy zdjęcia obejmujące wizerunek). 
Tak szeroki zakres zastosowania przepisów rozporządzenia oznacza, że obejmuje ono dane osobowe udostępniane zamawiającemu w ramach postępowania o udzielenie zamówienia publicznego (np. jako element oferty, dokumentów podmiotowych i przedmiotowych czy wyjaśnień składanych wraz z dowodami), jak również dane w związku z realizacją umowy w sprawie zamówienia publicznego (np. dane szczegółowe, dane osób skierowanych do realizacji zamówienia ze strony wykonawcy ze wskazaniem stanowisk, danych kontaktowych tych osób, charakterystyki). Przekazywanie tych danych osobowych oznacza, że:

Ważne!

na gruncie przepisów rozporządzenia zamawiający ma status podmiotu przetwarzającego powierzone mu dane osobowe (art. 28 rozporządzenia), a wykonawca – status administratora udostępniającego dane osobowe (art. 24 rozporządzenia). 

Taka kwalifikacja zamawiającego i wykonawcy powoduje, że zgodnie z art. 28 ust. 3 rozporządzenia podmioty przekazujące tak szczegółowe dane, co do zasady, powinny przeanalizować kwestię zawarcia umowy powierzenia przetwarzania danych osobowych, w której określa się przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, wreszcie obowiązki i prawa administratora i podmiotu przetwarzającego. 
Poniżej przedstawiamy przykładowy wzór umowy obejmujący najważniejsze kwestie z punktu widzenia przepisów rozporządzenia i ochrony interesów zamawiającego. 

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta dnia …………… r. w …………… pomiędzy następującymi stronami:
…………………………………………………………………………...................... 
dalej jako „Podmiot przetwarzający”
reprezentowany przez:
…………………………………………………………………………......................
…………………………………………………………………………......................
a
…………………………………………………………………………......................
…………………………………………………………………………......................
dalej jako „Administrator”
reprezentowany przez:
…………………………………………………………………………......................
…………………………………………………………………………......................
– dalej razem jako „Strony”.
W związku z zawarciem dnia …………… r. w …………… umowy w sprawie zamówienia publicznego nr ……………, której przedmiotem jest realizacja zadania pn. ………………………………………………………………………………………………………………… (dalej jako „Umowa zasadnicza”) – co związane będzie z przetwarzaniem danych osobowych osób fizycznych zaangażowanych w wykonanie zadania – Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych (dalej jako „Umowa”) w celu zapewnienia należytego bezpieczeństwa danych osobowych oraz wywiązania się z obowiązków wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE
L. 119, str. 1; dalej jako „Rozporządzenie’’).

§ 1. Postanowienia ogólne
Działając na podstawie art. 28 ust. 3 Rozporządzenia Administrator powierza Podmiotowi przetwarzającemu – na zasadach i w celu określonym w Umowie – przetwarzanie danych osobowych wskazanych w § 2 Umowy. 
Podmiot przetwarzający oświadcza, że będzie przetwarzać powierzone mu dane osobowe wyłącznie na zasadach 
i w celu określonym przez Administratora w Umowie oraz zgodnie z Rozporządzeniem i innymi powszechnie obowiązującymi przepisami prawa.
Podmiot przetwarzający oświadcza, że posiada środki właściwe do przetwarzania powierzonych mu danych osobowych w zgodzie z Umową, Rozporządzeniem oraz innymi powszechnie obowiązującymi przepi-
sami prawa.

§ 2. Zakres danych 
osobowych podlegających udostępnieniu
Administrator powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe udostępnione w trakcie postępowania o udzielenie zamówienia publicznego wskazanego w Umowie zasadniczej oraz w ramach realizacji Umowy zasadniczej – w następującym zakresie: 

  • imiona i nazwiska;
  • numery dowodów tożsamości;
  • dane adresowe;
  • dane kontaktowe;
  • informacje związane z podstawą dysponowania;
  • numery uprawnień do prowadzenia działalności;
  • fotografie obejmujące wizerunek.

Dane osobowe wskazane w ust. 1 dotyczą następującej kategorii osób zaangażowanych w realizację Umowy zasadniczej: 

  • osób fizycznych zatrudnionych u Administratora; 
  • osób fizycznych prowadzących działalność gospodarczą; 
  • osób fizycznych zatrudnionych przez osoby prowadzące działalność gospodarczą;
  • osób fizycznych zatrudnionych w strukturze osób prawnych, na których zasoby Administrator powołał się w ofercie lub przy pomocy których wykonuje Umowę zasadniczą.

§ 3. Cel i zasady przetwarzania danych osobowych
Dane osobowe udostępnione Podmiotowi przetwarzającemu przez Administratora przetwarzane będą wyłącznie w celu realizacji Umowy zasadniczej.
Administrator uprawnia Podmiot przetwarzający do wykonywania operacji obejmujących powierzone dane osobowe w szczególności poprzez – zbieranie, utrwalanie, przeglądanie, organizowanie, przechowywanie, zmienianie, wykorzystywanie, usuwanie lub niszczenie. 
Administrator uprawnia Podmiot przetwarzający do wykonywania operacji, o których mowa w ust. 1 w formie elektronicznej, w systemach informatycznych Podmiotu przetwarzającego oraz w formie papierowej. 
Podmiot przetwarzający przetwarza dane osobowe na polecenie Administratora. 

§ 4. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający przy przetwarzaniu danych osobowych podejmuje środki zapewniające bezpieczeństwo przetwarzanych danych osobowych, w szczególności środki przewidziane w art. 32 Rozporządzenia. 
Podmiot przetwarzający zobowiązuje osoby przez siebie upoważnione do przetwarzania danych osobowych do zachowania tajemnicy.
Podmiot przetwarzający pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia.
Podmiot przetwar...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Monitor Zamówień Publicznych"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Roczny dostęp do filmów instruktażowych
  • Cykl szkoleń online
  • Indywidualne konsultacje
  • ...i wiele więcej!
Sprawdź

Przypisy