25 maja 2018 r. rozpoczyna się stosowanie unijnego Rozporządzenie o Ochronie Danych Osobowych („RODO”)¹, które wprowadza wiele istotnych zmian w zakresie przetwarzania danych osobowych i nakłada nowe obowiązki na podmioty przetwarzające dane osobowe.
Z punktu widzenia administratora danych osobowych znaczenie będą miały m.in. przewidziane w RODO sankcje grożące za wybór niewłaściwego podmiotu przetwarzającego (procesora)
– w wysokości do 2% całkowitego rocznego obrotu administratora (lub do 10 mln euro
– w zależności od tego, która kwota jest wyższa).

Procesor to podmiot zewnętrzny, który przetwarza dane osobowe w imieniu i na zlecenie administratora, np. prowadzi księgowość lub obsługę kadrowo-płacową. RODO zobowiązuje administratorów do korzystania z usług wyłącznie takich procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi prawne.

Nakładając taki obowiązek, RODO nie precyzuje, co oznacza pojęcie „odpowiednie” środki.
Do tej pory przepisy polskiej ustawy o ochronie danych osobowych oraz wydane na jej podstawie rozporządzenie MSWiA zawierały listę środków, które każdy podmiot przetwarzający dane powinien stosować. Nowa regulacja wymaga od przedsiębiorców i podmiotów publicznych szukania takich rozwiązań technologicznych, aby ochrona danych osobowych była skuteczna.

Realizacja tak określonych wymogów będzie szczególne trudna dla podmiotów zobowiązanych do stosowania Prawa zamówień publicznych („PZP”)². Zamawiający powinien tak sformułować warunki przetargu, aby zapewnić, że o zamówienie będą ubiegać się wyłącznie podmioty dające rękojmię należytego wykonania zlecanych usług. Jednocześnie stawiane wykonawcom wymagania muszą być proporcjonalne i nie mogą ograniczać  zasady uczciwej konkurencji. Stąd też pojawia się pytanie, jakie działania powinien podjąć administrator przy wyborze ofert spełniających wymagania. Możliwe jest złożenie przez podmioty składające ofertę deklaracji o spełnieniu danego wymagania, przedstawienie odpowiedniej dokumentacji lub też samodzielne sprawdzenie przez administratora, czy np. środki zabezpieczające systemy informatyczne zostały faktycznie wdrożone. W tym zakresie RODO nie daje jednoznacznej odpowiedzi.

W naszej ocenie sprawdzenie przez administratora w praktyce, czy konkretne rozwiązania zostały wdrożone, stanowiłoby nadmierny obowiązek, z kolei poleganie wyłącznie na deklaracji oferentów może okazać się niewystarczające z uwagi na konieczność zapewnienia ochrony danych osobowych osób,
o których informacje są procesorowi przekazywane. Z tego względu niezbędne może okazać się wymaganie, aby procesor przedstawił odpowiednią dokumentację potwierdzającą realizację usług zgodnie z wymogami RODO.

Na gruncie PZP podstawa do wprowadzenia wymogu przedstawienia dokumentacji wynika z § 13 ust. 1 Rozporządzenia w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia³. Zgodnie z nim zamawiający może żądać od wykonawców przedstawienia np. próbek, opisów, fotografii, planów, certyfikatów lub odpowiednich zaświadczeń. Z uwagi na tak szeroki katalog, możliwe jest w ramach przetargu zażądanie również dokumentów, które pozwolą sprawdzić zgodność oferowanych usług z wymaganiami RODO, pod warunkiem, że wymaganie takich dokumentów będzie uzasadnione zasadą proporcjonalności oraz związane z przedmiotem zamówienia.

Zarówno przepisy RODO jak i PZP nie precyzują, jakie wymagania mogą być stawiane wykonawcom ubiegającym się o udzielenie zamówienia na usługi przetwarzania danych osobowych. We wpisie poruszamy jedynie jeden z wielu problemów, które postawią przed podmiotami stosującymi PZP nowe przepisy z zakresu ochrony danych, szerzej zagadnienia zostały omówione w naszym artykule „Powierzenie przetwarzania danych a nowe rozporządzenie o ochronie danych osobowych”, opublikowanym w miesięczniku „Zamówienia publiczne” (nr 246 z października 2017 r.) i dostępnym również w systemie Legalis (link).

 

____

Współautorem tekstu jest Karolina Miksa – adwokat w zespole prawa własności intelektualnej & TMT kancelarii WKB – która doradza klientom w sprawach związanych z ochroną danych osobowych,
w tym w zakresie wdrożenia nowego unijnego Rozporządzenia o Ochronie Danych Osobowych.

 

___

Przypisy:

¹ Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych.

² Ustawa z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2017 r. poz. 1579).

³ Rozporządzenie Ministra Rozwoju w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia z dnia 26 lipca 2016 r. (Dz.U. z 2016 r. poz. 1126).