RODO a umowa o zamówienie publiczne

W celu powierzenia realizacji zamówienia, które wiąże się z powierzeniem wykonawcy przetwarzania danych osobowych w imieniu zamawiającego, zamawiający już na etapie przygotowania postępowania jest zobowiązany do wprowadzenia odpowiednich postanowień do wzoru umowy.

Administrator danych (zamawiający) może bowiem powierzyć przetwarzanie danych osobowych wykonawcy wyłącznie na podstawie umowy lub innego instrumentu prawnego, podlegającego prawu UE lub prawu państwa członkowskiego. Umowa powierzenia obligatoryjnie określa:

  1. przedmiot i czas trwania przetwarzania,
  2. charakter i cel przetwarzania,
  3. rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  4. obowiązki i prawa administratora;
  5. obowiązki wykonawcy będącego podmiotem przetwarzającym.

Katalog obligatoryjnych obowiązków spoczywających na podmiocie przetwarzającym – wykonawcy został określony w art. 28 ust. 3 RODO. Zgodnie z treścią przytoczonej regulacji podmiot przetwarzający w szczególności:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki dotyczące bezpieczeństwa przetwarzania;
  4. przestrzega warunków korzystania z usług innego podmiotu (tu podwykonawcy), tj.
    1. nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora (art. 28 ust. 2 RODO);
    2. nakłada na inny podmiot przetwarzający te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym;
  5. pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;
  6. pomaga administratorowi wywiązać się z obowiązków w zakresie:
    1. bezpieczeństwa przetwarzania (art. 32 RODO);
    2. zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO);
    3. zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO);
    4. oceny skutków dla ochrony danych i uprzednich konsultacji;
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich, z zastrzeżeniem, że podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Należy pamiętać, że obowiązki podmiotu przetwarzającego opisane powyżej muszą wynikać z postanowień umowy zawartej między administratorem a podmiotem przetwarzającym (tu umowa w sprawie zamówienia publicznego). Tym samym z samego powierzenia przetwarzania danych osobowych nie można wywieść wniosku, że niezależnie od treści „umowy powierzenia” podmiot powierzający musi się z nich wywiązywać. Zamawiający powinien zatem zwrócić uwagę w szczególności na to, by zapisy umowy odpowiadały wytycznym z art. 28 ust. 3 RODO .

Więcej o RODO w zamówieniach publicznych >>

 

Katarzyna Bełdowska – prawnik, ekspert z zakresu zamówień publicznych, autor licznych publikacji z zakresu zamówień publicznych, pracownik kadry kierowniczej administracji samorządowej, stale współpracuje z www.portalzp.pl 

Dodaj komentarz