Z samego faktu wejścia w życie RODO nie wynika bezpośredni obowiązek wprowadzenia jakichkolwiek zmian do wszystkich umów o zamówienie publiczne wykonywanych (kontynuowanych) od 25 maja 2018 roku.
Mając na względzie RODO, Zamawiający winien dokonać analizy umów o zamówienie publiczne wykonywanych nadal po 24 maja 2018 roku przez pryzmat tego, czy w ramach tychże umów dochodzi lub dojdzie do przetwarzania przez Wykonawcę powierzonych przez Zamawiającego danych osobowych osób fizycznych. Obowiązek zapewnienia zgodności z wymogami RODO odnosić się będzie w szczególności do tych umów o zamówienie publiczne – wykonywanych (kontynuowanych) po 24 maja 2018 roku, w ramach których dochodzić będzie do przetwarzania danych osobowych przez Wykonawcę, jako podmiotu przetwarzającego dane osobowe w imieniu administratora (Zamawiającego).
W sytuacji, w której realizacja konkretnej umowy o zamówienie publiczne od 25 maja 2018 roku, wiązać się będzie z przetwarzaniem przez Wykonawcę danych osobowych powierzonych przez Zamawiającego jako administratora, Strony tejże umowy o zamówienie publiczne, w myśl art. 28 ust. 3 RODO zobligowane będą zawrzeć, co do zasady odrębną – w stosunku do zawartej umowy o zamówienie publiczne – umowę o powierzeniu przetwarzania danych osobowych.
Wykonywanie tego typu umowy o zamówienie publiczne po zawarciu przez Zamawiającego i Wykonawcę stosownej dodatkowej umowy o powierzenie przetwarzania danych osobowych, winno odbywać się przy uwzględnieniu regulacji tej umowy, niezależnie od ewentualnych klauzul umowy o zamówienie publiczne, odnoszących się do zasad przetwarzania danych osobowych wywodzonych z uprzednio obowiązującej ustawy o ochronie danych osobowych.
Jedynie nieliczne umowy o zamówienie publiczne – niezależnie od zawarcia przez Zamawiającego i Wykonawcę umowy o przetwarzanie danych osobowych, uwzględniającej wymagania RODO – wymagać będą dodatkowego aneksu.
Na wstępie należy nadmienić, że na tak ogólnie sformułowane pytanie nie sposób udzielić jednoznacznej i wyczerpującej odpowiedzi.
W związku z wejściem w życie w dniu 25 maja 2018 roku Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – zwanego dalej RODO – na administratorach danych osobowych – w tym w szczególności na Zamawiających – spoczywa szereg nowych obowiązków w zakresie ochrony danych osobowych. Nie ulega wątpliwości, że nowe regulacje RODO mają istotny wpływ, zarówno na proces udzielania, jak i sposób realizacji zamówień publicznych – tych udzielonych od 25 maja 2018 roku, a także tych zamówień, które zostały udzielone przed wspomnianą datą, jednak ich wykonywanie odbywa się również po 24 maja 2018 roku.
Dokonując oceny wpływu regulacji RODO na sposób wykonywania umów o zamówienie publiczne zawartych przed 25 maja 2018 roku i wykonywanych nadal od tej daty, przede wszystkim należy mieć na względzie brzmienie art. 28 ust. 3 RODO, zgodnie z którym przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Mając powyższe regulacje RODO na względzie Zamawiający w pierwszej kolejności winien dokonać analizy umów o zamówienie publiczne wykonywanych nadal po 24 maja 2018 roku przez pryzmat tego, czy w ramach ich wykonywania dochodzi lub dojdzie do przetwarzania przez Wykonawcę powierzonych danych osobowych. Zgodnie z art. 4 pkt. 2 RODO pod pojęciem przetwarzania należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Natomiast w myśl art. 4 pkt. 1 RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zgodnie z RODO możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Zgodnie zaś z art. 4 pkt. 8 RODO podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora tj. osoby fizycznej lub prawnej, organu publicznego, jednostki lub innego podmiotu, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Warto w tym miejscu zaakcentować, że nie każda umowa o zamówienie publiczne wykonywana po 24 maja 2018 roku wiązać się będzie z powierzeniem Wykonawcy przetwarzania danych osobowych przez Zamawiającego jako administratora. Jednakże część umów o zamówienie publiczne – w szczególności umowy o świadczenie usług związane z obsługą np. pracowników lub petentów Zamawiającego lub też umowy, których istota bezpośrednio związana jest z przetwarzaniem danych osobowych przez Wykonawcę, w związku z ich szczególnym charakterem wymagać będzie – od 25 maja 2018 roku – ich wykonywania przy zachowaniu zgodności z RODO. Obowiązek zapewnienia zgodności z wymogami RODO odnosić się będzie w szczególności do tych umów o zamówienie publiczne – wykonywanych (kontynuowanych) po 25 maja 2018 roku, w ramach których dochodzić będzie do przetwarzania danych osobowych przez Wykonawcę, jako podmiotu przetwarzającego dane osobowe w imieniu administratora.
W ocenie Eksperta z samego faktu wejścia w życie RODO nie wynika bezpośredni obowiązek wprowadzenia zmian do wszystkich umów o zamówienie publiczne wykonywanych (kontynuowanych) od 25 maja 2018 roku. W większości przypadków – w sytuacji w które realizacja konkretnej umowy o zamówienie publiczne od 25 maja 2018 roku – wiązać się będzie z przetwarzaniem przez Wykonawcę danych osobowych powierzonych przez Zamawiającego jako administratora – wówczas Strony tejże umowy o zamówienie publiczne w myśl art. 28 ust. 3 RODO zobligowane będą zawrzeć co do zasady odrębną – w stosunku do zawartej umowy o zamówienie publiczne – umowę o powierzeniu przetwarzania danych osobowych, określającą m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Taka umowa ponadto winna również zapewniać zachowanie dodatkowych warunków wskazanych odpowiednio w art. 28 ust. 3 lit. a-h RODO. Wykonywanie umowy o zamówienie publiczne związanej z przetwarzaniem przez Wykonawcę powierzonych danych osobowych, po zawarciu przez Zamawiającego i Wykonawcę stosownej dodatkowej umowy o powierzenie przetwarzania danych osobowych, winno odbywać się przy uwzględnieniu regulacji zawartej umowy o przetwarzanie danych osobowych, niezależnie od ewentualnych klauzul umowy o zamówienie publiczne, odnoszących się do zasad przetwarzania danych osobowych wywodzonych z uprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
W ocenie Eksperta jedynie nieliczne umowy o zamówienie publiczne – niezależnie od zawarcia przez Zamawiającego i Wykonawcę umowy o przetwarzanie danych osobowych uwzględniającej wymagania RODO – wymagać będą dodatkowego aneksu. Konieczność dostosowania treści wykonywanych od 25 maja 2018 roku umów o zamówienie publiczne do regulacji RODO dotyczyć będzie w szczególności tego rodzaju umów, które w swej treści zawierają tego rodzaju liczne postanowienia, rzutujące na sposób wykonania całej umowy o zamówienie, pozostające w oczywistej sprzeczności z RODO.
Takiego rodzaju umowy o zamówienie publiczne co do zasady będą mogły zostać zmienione odpowiednio na podstawie art. 144 ust. 1 pkt. 1 PZP – jeśli możliwość wprowadzenia tego rodzaju zmian została przewidziana w ogłoszeniu o zamówieniu lub specyfikacji istotnych warunków zamówienia w postaci jednoznacznych postanowień umownych, które określają ich zakres i charakter oraz warunki wprowadzenia zmian, bądź też w oparciu o regulację art. 144 ust. 1 pkt. 5 PZP (zmiany nieistotne). Ustalenie prawidłowej podstawy prawnej dla dokonania konkretnych zmian w umowach o zamówienia publiczne związanych z wejściem w życie RODO wymagać będzie każdorazowo analizy treści wykonywanej umowy oraz zakresu i charakteru planowanych zmian.
Podsumowując – to które z wykonywanych umowy o zamówienie publiczne wymagać będą wprowadzenia zmian (w związku z wejściem w życie RODO), zależeć będzie od wyników analizy ich indywidualnej treści, charakteru oraz powiązania zakresu zasadniczych obowiązków Wykonawcy z koniecznością przetwarzania powierzonych Wykonawcy danych osobowych.
Bartosz Kozłowski,
radca prawny, wspólnik w kancelarii Wielkopolska Grupa Prawnicza
