Osobní údaje kontaktních osob v referencích pro veřejnou zakázku - GDPR x ZZVZ

Dvořáková

17. 8. 2018 | Počet zhlédnutí: 123 | Počet komentářů: 1

V příloze Zadávací Dokumentace máme požadavky na technickou kvalifikaci. Abychom si trochu usnadnili práci při jejím posuzování, dáváme jako přílohu tabulku, do které jsme rádi, když nám uchazeč vyplní kontaktní osobu včetně telefonu a emailu u uváděných referencí. Nijak nelpíme na tom, aby nám to vyplnili, považujeme to jen za formální požadavek. Abychom si to mohli ověřit v případě nutnosti, chceme tam uvést. Lze tyto informace poskytnout ze strany uchazeče zadavateli a jeho administrátorovi veřejné zakázky? Není to porušení GDPR?

Oldřich Kužílek

Poradce pro otevřenost veřejné správy

19. 8. 2018

Obavy uchazečů o VZ jsou liché. Váš zavedený postup je legální. Toto zpracování se opírá o legální právní tituly a není potřeba souhlas kontaktních osob.

Především nutno říci, že

  1. to, že předložíte takovouto tabulku, není porušením Obecného nařízení EU o ochraně osobních údajů (ON, tzv. „GDPR“).
  2. Následně asi někdo má dojem, že kdyby on jako uchazeč o VZ do této tabulky vyplnil údaje o kontaktní osobě, pak by tím porušil ON.
  3. A pak je třetí rovina, zda byste vy jako administrátor zakázky porušili ON tím, že byste tyto údaje kontaktních osob zpracovávali.

 

Takže postupně:

Pokud jsem uchazeč o zakázku a zadavatel po mně chce reference a k nim kontaktní osoby s kontakty, pak platí

  1. Tyto údaje jsem získal v rámci plnění smlouvy, kterou jsem dříve měl s tímto (referovaným) zadavatelem. Uchovávám je zpravidla ke stejnému právnímu titulu (plnění smlouvy, čl. 6 odst. 1 písm. b) ON), případně též k oprávněnému zájmu správce a z archivačních důvodů.
  2. Otázka, zda tyto osobní údaje nyní – v kontextu nové zakázky – mohu použít k jinému účelu, je namístě. Ovšem podle mého soudu pro tento účel existuje legitimní právní titul „oprávněný zájem správce“ (čl. 6 odst. 2 písm. f) ON). Ten dle mého soudu jasně pokrývá situaci, kdy použiju osobní údaje kontaktní osoby pro referenci při další VZ. Dá se to připodobnit tomu, že jakmile jsem s někým v obchodním kontaktu, mohu jeho údaje použít k zasílání obchodního sdělení.
  3. Jelikož jde o použití pro „jiný účel“, než pro který byly údaje původně shromážděny (původně byly shromážděny pro účel plnění smlouvy), musí správce (uchazeč, dodavatel) podle čl. 6 odst. 4 ON posoudit (test slučitelnosti), zda nový účel je slučitelný se původním účelem. To lze obecně předpokládat jako splněné, protože se obecně má za to, že dodavatelé použijí informace o realizovaných zakázkách pro své budoucí reference v nových soutěžích o zakázky. Podle uvedeného ustanovení ON by tak měl zohlednit:

a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c) povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;

d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

Podle mého soudu tak postačí, když si správce (uchazeč, dodavatel, resp. jeho administrátor zakázky) k této věci poznamená stručný „Test slučitelnosti“, v němž uvede, že vazba mezi účely je velmi blízká a běžně se předpokládá, údaje byly získány při realizaci smlouvy, povaha údajů je běžná, kontaktní údaje nemají důsledky pro kontaktní osoby. Zárukou je diskrétní nakládání s těmito údaji jen pro účel ověření uváděných referencí.

  1. Použití právního titulu „oprávněný zájem správce“ vyžaduje předběžně zvážit, zda nad zájmem správce-uchazeče o zakázku převažuje zájem nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů (zde oné kontaktní osoby). V tomto ohledu platí:
    1. Pokud půjde jen o sdělení jména a příjmení, jde o zcela minimální zásah a jistě převažuje zájem správce poskytnout kontakt na referenci k zakázce.
    2. Pokud je kontaktní osoba osobou ve veřejném postavení, zejména pokud by se na ni vztahoval § 5/2/f zákona č. 101/2000 Sb. o ochraně osobních údajů, pak lze volně zpracovávat údaje této kontaktní osoby, neboť jde dle uvedeného ustanovení o údaje „o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení“. Jelikož jde o veřejné zakázky, předpokládám, že kontaktní osoby zadavatelů prakticky vždy budou splňovat tyto charakteristiky. U nich je tedy přímo zákonem dáno, že se jejich osobní údaje v uvedeném rozsahu nechrání a jejich zájem nepochybně nepřevažuje nad zájmem správce - uchazeče.
    3. Pokud zejména na webu referovaného dřívějšího zadavatele/objednatele je tato kontaktní osoba zveřejněna, například i včetně kontaktů (telefon, e-mail), pak je tím jasně dáno, že její zájem nepřevažuje nad zájmem správce (uchazeče o veřejnou zakázku, který uvádí kontaktní osobu v ZD).

Závěr: uchazeč o VZ jako správce údajů může v rámci ZD poskytnout osobní údaje o kontaktní osobě dřívějšího zadavatele/ objednatele, která je ve veřejném postavení (splňuje charakteristiku podle § 5/2/f zákona o ochraně osobních údajů). Dále je může poskytnout i u osoby, která tuto charakteristiku nesplňuje, pokud její postavení a kontaktní údaje jsou v této souvislosti jako kontaktní osoby určitého dřívějšího zadavatele/objednatele zveřejněny, např. na jeho webu.

Nynější uchazeč by měl pouze ohlídat, zda kontaktní osoba stále je ve svém postavení kontaktní osoby, anebo zda neuchovává (třeba náhodou) zjevně její zcela soukromé údaje (mohla mu je při plnění dřívější smlouvy neformálně předat).

Dále – pokud jsem administrátor zakázky:

Podle mého soudu mezi zadavatelem a administrátorem vzniká z hlediska ochrany osobních údajů vztah správce – zpracovatel. Měli by tedy mezi sebou mít písemnou smlouvu o zpracování osobních údajů podle čl. 28 odst. 3 ON. To může být dodatek, zvláštní malá smlouvička, nebo přímo ve smlouvě o administrování VZ.

Zpracovatel (Administrátor) tedy pak zpracovává jakékoliv osobní údaje, které mu předal uchazeč, pro zadavatele. Otázkou pro něj pak je jen to, zda zadavatel je oprávněný tyto osobní údaje zpracovávat:

Zadavatel jako správce zpracovává kontaktní údaje na reference – dřívější zadavatele nynějšího uchazeče - na základě stejného právního titulu: oprávněného zájmu správce (chce si ověřit pravdivost reference uchazeče). Zároveň v případech, kdy zadavatel zadáním veřejné zakázky plní úkol ve veřejném zájmu  nebo při výkonu veřejné moci, lze aplikovat tento právní titul podle § 6 odst. 2 písm. e) ON. To je podle mně prakticky vždy, protože postup zadání VZ je úkolem ve veřejném zájmu.

Správce – zadavatel opět předem zváží, zda jeho zájmy převyšují zájmy subjektů údajů. Jde o stejné zvážení, jaké jsem uvedl výše. Je také jasné, že zájem nynějšího zadavatele prakticky vždy převyšuje zájmy kontaktních osob předchozích (referovaných) zadavatelů na ochraně svých osobních údajů ve vymezeném rozsahu (jméno, příjmení, kontakt telefonní a e-mailový).

Závěr: I zadavatel a na základě smlouvy o zpracování také jeho administrátor legálně mohou zpracovávat kontaktní osobní údaje kontaktních osob, které nynější uchazeč uvede v ZD jako své reference.

Povinností zadavatele je o tomto zpracování (vedle dalších různých zpracování) osobních údajů informovat subjekty údajů (čl. 13 a 14 ON). To by měl realizovat na svém webu spolu s informacemi o dalších zpracováních osobních údajů, která provádí.

Celkový závěr:

Nic z hlediska ochrany osobních údajů podle Obecného nařízení EU o ochraně osobních údajů (tzv. GDPR) nebrání tomu, aby uchazeč o zakázku předával zadavateli osobní údaje kontaktních osob na své reference, pokud jsou při výběrovém řízení požadovány. Zadavatel je oprávněn dále tyto údaje zpracovávat pro účel řízení o veřejné zakázce, u vítězného uchazeče pak pro účel plnění smlouvy s ním. Toto zpracování za něj může provádět jeho administrátor v roli zpracovatele. Správce (zadavatel) je povinen o tom informovat subjekty údajů, v zásadě na svém webu.

Administrátor je vůči zadavateli v postavení zpracovatele osobních údajů, jeho oprávnění jsou tedy identická. Musí mít se zadavatelem smlouvu o zpracování osobních údajů (ta může být samostatná, dodatkem k věcné smlouvě nebo obsažena ve smlouvě o administraci).

Vkládat reakce mohou jen přihlášení uživatelé!
Nemáte ještě u nás účet? Zaregistrujte se!

Nenašli jste odpověď na váš problém? Nezoufejte, popište nám
ho a my vám odpovíme.

Souhlasíte, že úřady nemají občanům nic tajit?

Donoři

V minulosti podpořili také

RSJ SCIO GopayFond Otakara MotejlaUS embassy