W sektorze publicznym istnieją liczne umowy wiążące się z powierzeniem przetwarzania danych osobowych np. firmom informatycznym.

Z dniem 25 maja 2018 roku zaczną obowiązywać nowe przepisy o ochronie danych osobowych, które nakładają szereg szczegółowych obowiązków na administratorów oraz podmioty przetwarzające dane osób fizycznych. Czy stosowanie RODO[1] może skutkować koniecznością zmiany umów o zamówienie publiczne podpisanych do dnia 24 maja 2018 roku?

Art. 28 RODO dopuszcza powierzenie przez administratora (zamawiającego) przetwarzania danych osobowych innemu podmiotowi (wykonawcy) i określa minimalne standardy powierzenia tych danych. Dane osób fizycznych mogą być powierzane tylko takim podmiotom, które dają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Po wtóre, na podstawie art. 28 ust. 3 RODO umowa powierzenia przetwarzania danych osobowych powinna m.in.:

1. określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora;
2. nakładać na podmiot przetwarzający obowiązki w szczególności:
   1. przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego przepis prawa, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
   2. zapewnienia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
   3. podejmowania wszelkich środków wymaganych na mocy art. 32 RODO (wdrożenie odpowiednich środków technicznych i organizacyjnych);
   4. przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w RODO;
   5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomocy administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
   6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomocy administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO;
   7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunięcia lub zwrotu mu wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że przepisy prawa nakazują przechowywanie danych osobowych;
   8. udostępniania administratorowi wszelkich informacji niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich.

Analizowany art. 28 RODO prowadzi do wniosku, że zakres obowiązków wykonawcy z umowy o zamówienie publiczne w zakresie przetwarzania danych osobowych może ulec zmianie od 25 maja 2018 roku jeżeli wcześnie nie uwzględniono wymogów RODO. Wykonawca powinien zapewnić zgodność przetwarzania danych osób fizycznych z RODO, a zamawiający powinien mieć możliwość kontroli tego procesu. Powierzenie przetwarzania danych osobowych nie zwalnia zamawiającego z odpowiedzialność za zgodność tego przetwarzania z prawem, w szczególności RODO.

RODO zostało uchwalone 27 kwietnia 2016 r. i na mocy art. 99 ust. 1 RODO weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, czyli 24 maja 2016 roku. Jednocześnie art. 99 ust. 1 RODO brzmi: „Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.”.  Zgodnie z Motywem 171 do RODO „przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów”. Pomimo nieprecyzyjnej redakcji Motywu 171 w publikacjach i komentarzach podkreśla, że okres przejściowy zakończy się z dniem 24 maja 2018 r. i następnego dnia wszelkie procesy przetwarzania danych osobowych powinny być zgodne z RODO. Innymi słowy, RODO znajdzie zastosowanie także do umów o udzielenie zamówienia publicznego zawartych przed 25 maja 2018 r. w zakresie, w jakim dotyczą one przetwarzania danych osobowych.

Z powyższego wynika potrzeba analizy zawartych kontraktów oraz planowanych zamówień publicznych pod kątem organizacji, przebiegu i kontroli powierzenia przetwarzania danych osób fizycznych. W wielu przypadkach może okazać się, że zapisy umowy o zamówienie publiczne nie zapewniają przetwarzania danych osobowych zgodnie z RODO. Zakres szczegółowych obowiązków wykonawcy na gruncie RODO będzie zależeć m.in. od rodzaju i kategorii powierzonych danych, ilości, celu przetwarzania, poziomu ryzyka naruszenia praw i wolności osób, których dane dotyczą.  

Zmiana umowy o udzielenie zamówienia publicznego jest zasadniczo zakazana, ale ustawodawca dopuszcza zmianę takiej umowy w przypadkach określonych w art. 144 prawa zamówień publicznych[2]:

1)zmiany zostały przewidziane w ogłoszeniu o zamówieniu lub specyfikacji istotnych warunków zamówienia w postaci jednoznacznych postanowień umownych, które określają ich zakres, w szczególności możliwość zmiany wysokości wynagrodzenia wykonawcy, i charakter oraz warunki wprowadzenia zmian;

2)zmiany dotyczą realizacji dodatkowych dostaw, usług lub robót budowlanych od dotychczasowego wykonawcy, nieobjętych zamówieniem podstawowym, o ile stały się niezbędne i zostały spełnione łącznie następujące warunki:

a)zmiana wykonawcy nie może zostać dokonana z powodów ekonomicznych lub technicznych, w szczególności dotyczących zamienności lub interoperacyjności sprzętu, usług lub instalacji, zamówionych w ramach zamówienia podstawowego,

b)zmiana wykonawcy spowodowałaby istotną niedogodność lub znaczne zwiększenie kosztów dla zamawiającego,

c)wartość każdej kolejnej zmiany nie przekracza 50% wartości zamówienia określonej pierwotnie w umowie lub umowie ramowej;

3)zostały spełnione łącznie następujące warunki:

a)konieczność zmiany umowy lub umowy ramowej spowodowana jest okolicznościami, których zamawiający, działając z należytą starannością, nie mógł przewidzieć,

b)wartość zmiany nie przekracza 50% wartości zamówienia określonej pierwotnie w umowie lub umowie ramowej;

4)wykonawcę, któremu zamawiający udzielił zamówienia, ma zastąpić nowy wykonawca:

a)na podstawie postanowień umownych, o których mowa w pkt 1,

b)w wyniku połączenia, podziału, przekształcenia, upadłości, restrukturyzacji lub nabycia dotychczasowego wykonawcy lub jego przedsiębiorstwa, o ile nowy wykonawca spełnia warunki udziału w postępowaniu, nie zachodzą wobec niego podstawy wykluczenia oraz nie pociąga to za sobą innych istotnych zmian umowy,

c)w wyniku przejęcia przez zamawiającego zobowiązań wykonawcy względem jego podwykonawców;

5)zmiany, niezależnie od ich wartości, nie są istotne w rozumieniu ust. 1e;

6)łączna wartość zmian jest mniejsza niż kwoty określone w przepisach wydanych na podstawie art. 11 ust. 8 i jest mniejsza od 10% wartości zamówienia określonej pierwotnie w umowie w przypadku zamówień na usługi lub dostawy albo, w przypadku zamówień na roboty budowlane - jest mniejsza od 15% wartości zamówienia określonej pierwotnie w umowie.

W świetle cytowanego art. 144 prawa zamówień publicznych dopuszczalność i podstawa prawna zmiany umowy o zamówienie publiczne zależy każdorazowo od okoliczności danego przypadku, w szczególności znaczenia proponowanej zmiany dla całego przedmiotu zamówienia. W niektórych umowach o zamówienie publiczne przetwarzanie danych osobowych stanowi główny lub jeden z głównych przedmiotów zamówienia publicznego (np. usługi badawcze, statystyczne, informatyczne, pomoc społeczna, e-administracja), w innych - ma wtórne lub ograniczone znaczenie (np. usługi szkoleniowe, ochroniarskie, opieka medyczna, edukacja). Z tego powodu należy odrębnie ocenić każdą umowę o zamówienie publiczne i potrzebę ewentualnego dostosowania jej zapisów do zasad powierzania przetwarzania danych osób fizycznych określonych w RODO.

[1] rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

[2] ustawa z 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jedn. Dz. U. z 2017 r., poz. 1579 ze zm.).