Większość procesów przetwarzania danych osobowych to procesy, które nie zaczną się po 25 maja, a będą kontynuowane. - Trzeba brać pod uwagę zasady RODO w fazie projektowania procesów zamówieniowych, które będą trwały po 25 maja – zaznacza dr Marlena Sakowska-Baryła, radca prawny partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych sp.p., zajmująca się problematyką ochrony danych osobowych.
Konieczna weryfikacja przyszłego wykonawcy
Należy przede wszystkim zweryfikować przyszłego wykonawcę, czy daje gwarancję działania zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO). Leży to po stronie zamawiającego, w przypadku gdy w zakres usługi wchodzi powierzenie wykonawcy przetwarzania danych osobowych.
- W tym przypadku RODO wymaga od administratora, czyli w praktyce od zamawiającego, aby wybrał takiego wykonawcę, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą – wyjaśniła ekspertka.
Prywatność w fazie projektowania
Należy jednak zastanowić także, na ile polskie przepisy i wypracowane na ich podstawie procedury zamówieniowe odpowiadają rozporządzeniu.
Pierwsza kwestia to przemyślenie przez zamawiającego, jak stosować rozporządzenie już na etapie kreowania zamówień publicznych. – Może się okazać, że kiedy staramy się na etapie wykonania umowy wykazywać stosowanie rozporządzenia, jest już za późno, albo zwyczajnie jest to niemożliwe – podkreśliła dr Marlena Sakowska-Baryła.
W rozporządzeniu znajduje się bardzo istotne założenie wynikające z art. 25 rozporządzenia o ochronie danych osobowych, czyli „prywatność w fazie projektowania”. Zakłada ono takie działanie administratora, czyli w przypadku zamówień publicznych zamawiającego, który od samego początku kreowania zadania, na etapie określania sposobów przetwarzania, i tego, czym się chce zająć, powinien brać pod uwagę prywatność osoby fizycznej i odpowiednie zabezpieczenie jej praw i wolności, jej danych osobowych, a co za tym idzie także gospodarowanie nimi.
- Jeżeli popatrzymy na zasady wynikające z RODO, to należy się zastanowić, jakie dane będą dla mnie danymi adekwatnymi i jakie informacje będą pozwalały nam uzyskać wiedzę o tym, że nasz wykonawca daje gwarancję spełnienia rozporządzenia – podkreśliła dr Marlena Sakowska-Baryła.
Warunki zamówienia
Kolejna kwestia to świadomość, jakie informacje czy dowody będą potrzebne, żeby uzyskać pewność, że wybierany wykonawca to taki, który dostarcza odpowiednich zasobów, systemów i daje gwarancje, o których mowa w RODO. Kiedy zamawiający wybiera usługodawcę, który dostarczy mu sprzęt czy usługę, powinien zastanowić się nad tym, jakie powinny być warunki zamówienia, żeby już na tym etapie wykonawcy biorący udział w przetargu mogli wykazywać się cechami pozwalającymi stwierdzić, że jest to wykonawca stosujący reguły wynikające z rozporządzenia.
- To już dzisiaj się dzieje, w momencie kiedy patrzymy na toczące się procesy zamówieniowe, możemy zaobserwować, który z zamawiających ma świadomość w zakresie rozporządzenia, a kto nie – zaznaczyła ekspertka. Widać to po wymogach, które są zaznaczone w SIWZ. Świadomy zamawiający stawia warunki lub zadaje pytania ofertowe, które pozwolą się zorientować, czy przyszły wykonawca jest podmiotem, który zastosował RODO, a co za tym idzie zapewnia odpowiedni poziom ochrony danych osobowych.
Przykłady pytań
Są to pytania dotyczące stosowanych zabezpieczeń, polityk, rozwiązań organizacyjnych, czy czasem bardzo ogólne pytania dotyczące wdrożenia rozporządzenia. Często koncentruje się to wokół pytań typu „czy już zastosowałeś środki opisane w RODO”, „czy masz inspektora ochrony danych osobowych”, „czy prowadzisz dokumentację z zakresu ochrony danych osobowych”, „czy do przetwarzania danych osobowych dopuszczasz odpowiednio wykwalifikowany i upoważniony personel”.
- Tak naprawdę na kolejnych etapach, kiedy wejdzie już w życie nowa ustawa o ochronie danych osobowych, nad którą prace trwają, pojawią się pytania dotyczące certyfikatów, czy wymogi dotyczące kodeksów postepowań – podkreśliła. Dodała, że obecnie jest na to za wcześnie, bo nie ma jeszcze tych elementów, w przyszłości trzeba je będzie jednak brać pod uwagę.
Świadomość w zakresie RODO widać także w projektach umów, które proponuje się w związku z procedurą zamówieniową. – Jeśli mamy usługę, która ewidentnie jest związana z powierzeniem przetwarzania danych zewnętrznemu podmiotowi, to w zakresie tej umowy powinny znaleźć się postanowienia odpowiadające art. 28, który dotyczy podmiotu przetwarzającego i wykonywania przez niego przetwarzania na rzecz administratora – wyjaśniła dr Marlena Sakowska-Baryła.
Jej zdaniem jeśli takich postanowień nie ma, to można mieć podejrzenie, że mamy do czynienia z podmiotem, który jeszcze nie wdrożył systemu ochrony danych osobowych zgodnego z RODO, albo nawet nie zaczął do niego przygotowań.
Przegląd prawa
Jeśli chodzi o stronę legislacyjną, należałoby dokonać przeglądu ustaw dotyczących zamówień publicznych pod kątem zawartości przepisów zgodnych z rozporządzeniem. – Jest tam np. zasada minimalizacji przetwarzanych danych, trzeba się więc zastanowić, czy szerokie informowanie w ramach dokumentów składanych przez wykonawcę o podwykonawcach, osobach wykonujących czynności i doświadczeniu to informacje, które odpowiadają rozporządzeniu – zauważyła.
Ekspertka przyznała, że jesteśmy obecnie w bardzo ważnym momencie oczekiwania, kiedy nastąpią zmiany w ustawach w związku z RODO. W praktyce najważniejsze jest, żeby zamawiający przygotował się do stosowania tego rozporządzenia.
- Tak naprawdę powinien rozpocząć od uważnej lektury tekstu rozporządzenia i wziąć pod uwagę art. 24-32, a zwłaszcza wspomniany art. 28 i zastanowić się nad tym, jak ma wyglądać usługa, która ma być na jego rzecz realizowana, z punktu widzenia tych przepisów – podkreśliła ekspertka. Jak dodała, są to konkretne wymogi, które trzeba spełnić i potem tym się wykazać np. przed organem nadzorczym, czyli obecnie przed GIODO, a w przyszłości - być może – przed Prezesem Urzędu Ochrony Danych Osobowych