Pół roku minęło odkąd na polskim rynku zamówieniowym do ochrony danych osobowych osób fizycznych znajdują zastosowanie przepisy RODO[1]. W kilku słowach na temat obowiązków zamawiających w zakresie ochrony danych pisaliśmy we wpisie o “RODO a zamówienia publiczne”. Wskazywaliśmy wówczas, że zamawiający posiada status administratora danych osobowych pozyskiwanych w toku prowadzonego postępowania. W szczególności dotyczy to danych osobowych wykonawców biorących udział w postępowaniu, jak również danych osobowych osób trzecich, których zamawiający nie uzyskuje samodzielnie, lecz pośrednio od wykonawców (np. dane osobowe osób kierowanych do realizacji zamówienia czy będących podwykonawcami).
W związku z powyższym, to na zamawiającym, jako administratorze, ciążą obowiązki informacyjne wobec podmiotów danych przewidziane w art. 13 oraz art. 14 RODO. Pierwszy z nich dotyczy danych osobowych pozyskiwanych bezpośrednio przez zamawiającego, drugi – danych uzyskiwanych za pośrednictwem innej osoby np. wykonawcy. Co do obowiązku wynikającego z art. 13 RODO, UZP sugerował, aby zamieszczać odpowiednie klauzule informacyjne w ogłoszeniu o zamówieniu lub w SIWZ.
Jak natomiast powinien postąpić zamawiający w zakresie tych danych, których nie pozyskuje bezpośrednio od osób, których dane dotyczą? Zakładając, że w danym przypadku nie znajduje zastosowania wyłączenie przewidziane w art. 14 ust. 5 RODO, zamawiający może samodzielnie wypełnić obowiązek informacyjny wobec osób, których dane otrzymał od wykonawcy. Drugim rozwiązaniem, które wydaje się korzystniejsze, jest zobowiązanie wykonawcy do spełnienia obowiązku informacyjnego w imieniu zamawiającego.
Dopuszczalność takiego rozwiązania potwierdziła KIO w wyroku z dnia 26 lipca 2018 r., sygn. akt KIO 1374/18. W rozpatrywanej sprawie, odwołujący zakwestionował postanowienia SIWZ, które zakładały przerzucenie na niego obowiązku informacyjnego, o którym mowa w art. 14 RODO. Obowiązek ten miał dotyczyć danych osobowych osób fizycznych kierowanych przez wykonawcę do realizacji zamówienia oraz osób fizycznych wskazanych jako podwykonawcy. Zdaniem odwołującego zobowiązanie go do zrealizowania obowiązku informacyjnego w imieniu zamawiającego naruszało zasadę proporcjonalności oraz treść samego art. 14 RODO. Zamawiający argumentował jednak, że zarówno odwołujący, jak i pozostali wykonawcy są w stanie bez większych trudności przedstawić zatrudnionym przez siebie osobom oraz podwykonawcom, informacje, o których mowa w art. 14 RODO, a przepis ten nie wymaga osobistego wypełnienia obowiązku przez administratora danych. Powyższego obciążenia nie można uznawać za nadmierne, gdyż to od danego wykonawcy zależy, ile osób zaangażuje przy realizacji inwestycji, a co za tym idzie, ile z nich objętych będzie obowiązkiem informacyjnym.
Argumenty te potwierdziła także Izba, przyjmując, że nie jest nadmiernym obciążeniem zobowiązanie wykonawcy do przekazania obowiązku informacyjnego według wzoru przygotowanego przez zamawiającego i w jego imieniu, zwłaszcza, że każdy z wykonawców jest zobowiązany do spełnienia obowiązku informacyjnego także we własnym imieniu, jako administrator danych osób trzecich. Stanowisko Izby wpisuje się w dotychczasową praktykę biznesową, która ma miejsce nie tylko na rynku zamówieniowym.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.