GDPR ve VZ aneb ochrana osobních údajů v rámci zadávání veřejných zakázek

Úvodem pro úplnost uvádíme několik faktických informací k nové právní regulaci. Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) bylo přijato 27. dubna 2016 a bude účinné od 25. května 2018. Nařízení bude přímo aplikovatelné na území Evropské unie bez nutnosti provedení zákonem v jednotlivých státech.

V srpnu 2017 byl dále zveřejněn návrh českého zákona o zpracování osobních údajů z dílny Ministerstva vnitra, který byl připraven ve spolupráci s Úřadem pro ochranu osobních údajů a má nahradit stávající zákon 101/2000 Sb., o ochraně osobních údajů. Návrh zákona se snaží neduplikovat jednotlivé články GDPR, ale upravuje vesměs ty instituty, kde byla členským státům dána možnost vlastního uvážení při volbě vhodné právní úpravy.

Orientace v základních pojmech

Základním předpokladem pro další práci s GDPR je orientace v základních pojmech ochrany osobních údajů. Níže tedy uvádíme alespoň ty nejdůležitější, které se v rámci zadávání veřejných zakázek mohou vyskytovat:

Osobní údaje: jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (tj. subjektu údajů).

Správce: subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů nebo kterému je zpracování určeno zákonem – tedy např. zadavatel.

Zpracovatel: subjekt, který zpracovává osobní údaje pro správce a podle jeho pokynů – tedy např. externí společnost, která pro zadavatele externě zajišťuje administraci zadávacích řízení.

Zpracování: jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení – tedy např. pokud zadavatel sestavuje tabulky jednotlivých specialistů – fyzických osob zahrnutých do nabídek účastníků za účelem vyhodnocení těchto nabídek.

Pseudonymizace: zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě – tedy například oddělení konkrétní identifikace fyzické osoby od dalších kvalitativních parametrů této osoby (vzdělání, zkušenosti), které mohou být předmětem hodnocení.

Oblast veřejných zakázek a osobní údaje

Jak bylo uvedeno výše, oblast ochrany osobních údajů je „všeprostupující“ a nevyhýbá se ani procesu zadávání. Účelem tohoto článku je stručné upozornění na souvislosti právní úpravy zadávání veřejných zakázek a právní úpravy ochrany osobních údajů, které nemusí být na první pohled zřejmé a na dopady GDPR do procesů zadávání veřejných zakázek.

Stejně jako u jiných GDPR analýz je na prvním místě nezbytné odhalit v rámci procesů zadávání, v jakých souvislostech se osobní údaje vyskytují, jaký je jejich rozsah, jaké jsou jejich zdroje, jak je s nimi nakládáno, jaký je účel zpracování, jaký je právní titul k jejich zpracování a jaké je obecně postavení zadavatele.

Nelze opomenout ani zadavatele, kteří k zadávání zakázek využívají tzv. outsourcing, tedy svěřují proces administrace veřejných zakázek externím subjektům - administrátorům veřejných zakázek. Administrátor veřejných zakázek se tak dostává do postavení zpracovatele, kterému zadavatel – správce, svěřuje osobní údaje obsažené v nabídkách. Z tohoto hlediska by mezi zpracovatelem a správcem měla vždy být uzavřena smlouva o zpracování osobních údajů se všemi specifiky ve smyslu čl. 28 odst. 3 GDPR, zejména zajištění mlčenlivosti, přijetí technických opatření k zabezpečení osobních údajů a jejich průběžné kontroly.

Pokud o postavení zadavatele, ten bude vždy v postavení správce osobních údajů, tedy subjektu, který určuje účely a prostředky zpracování osobních údajů nebo kterému je zpracování určeno zákonem.

Právním titulem bude v souladu s čl. 6 odst. 1 písm. b) GDPR tzv. zpracování před uzavřením smlouvy, resp. v souladu s písm. c) ve spojení se ZZVZ zpracování, jenž je nezbytné pro splnění právní povinnosti. Rozsah osobních údajů bude vždy záviset na požadavcích zadavatele, které by měly být vždy přiměřené účelu. Zdrojem těchto osobních údajů budou zpravidla účastníci zadávacích řízení.[1]

Účelem je pak naplnění zákonných povinností zadavatelů veřejných zakázek. Tedy ad absurdum zadavatel podnikající například v dopravě nebo energetice není oprávněn osobní údaje získané v rámci nabídky do veřejné zakázky využívat k rozesílání vlastních marketingových sdělení, neboť takový účel mu právní titul nepokrývá. Ale nemusí se jednat pouze o takový zřejmý exces – stejné pravidlo bude platit, pokud si zadavatel bude z nabídek v rámci životopisů expertů předložených dodavatelem v rámci nabídky vybírat experty, které následně osloví s nabídkou zaměstnání.

Příklad zpracování osobních údajů

Příkladem, kde se mohou osobní údaje v rámci procesu zadávání vyskytovat, může být proces kvalifikace pro nadlimitní režim, z nějž vybereme pro potřeby ukázky nakládání s osobními údaji osobní údaje předkládané v rámci prokázání technických kvalifikačních předpokladů ve smyslu § 79 odst. 2 písm. d) ZZVZ, tedy osvědčení o vzdělání a odborné kvalifikaci vztahující se k požadovaným dodávkám, službám nebo stavebním pracím, a to jak ve vztahu k fyzickým osobám, které mohou dodávky, služby nebo stavební práce poskytovat, tak ve vztahu k jejich vedoucím pracovníkům.

Příkladů výskytu osobních údajů nejen v rámci procesu kvalifikace je celá řada,[2] nicméně není účelem tohoto článku podat vyčerpávající výčet všech možných situací, kdy se zadavatel dostává ke zpracování osobních údajů. Samotné nakládání s osobními údaji v podstatě začíná už na straně dodavatele přípravou a podáním nabídky. Odpovědnost zadavatele začíná otevřením obálky s nabídkami, byť už samotné zadávací podmínky by neměly požadovat od účastníků zadávacího řízení extenzivní množství osobních údajů nad rámec účelu zákona. Následují procesy zpřístupnění obsahu nabídek, jejich vyhodnocení, uložení, archivace a přístup k nim včetně případného zveřejnění. Na shora uvedeném příkladu prokázání technické kvalifikace však lze demonstrovat, jak by s osobními údaji mělo být nakládáno.

Standardním podkladem u prokazování kvalifikace konkrétními fyzickými osobami je kromě životopisu také doklad o vzdělání, např. vysokoškolský diplom. Součástí tohoto diplomu pak jsou osobní údaje vedoucí k jednoznačné identifikaci konkrétního člověka, slovy GDPR subjektu údajů.

Předložený diplom včetně osobních údajů u zadavatelů nyní zpravidla nepožívá žádné zvláštní ochrany. Nabídky v elektronické podobě jsou často přeposílány e-mailem, ukládány na lokální disky, předávány externím zpracovatelům, kopírovány členům hodnotící komise, externím konzultantům hodnotící komise apod. Nabídka samotná je pak na konci procesu hodnocení nabídka uložena do archivu, případně do elektronického archivu, přičemž pořízené tištěné či elektronické kopie už „nejsou předmětem zájmu“.

Pokud bychom k diplomu, jakožto dokumentu obsahujícímu osobní údaje přistoupili dle zásad GDPR, bylo by nutné omezit kontakt s osobními údaji na osoby, které jej v rámci zadávacího procesu skutečně potřebují ke své činnosti a pro ostatní, kteří pracují s jinými částmi nabídky, poskytnout nabídku se zamezením přístupu k těmto údajům.

Dále by bylo nezbytné zajistit mlčenlivost všech osob, které osobní údaje potřebují a zamezit kopírování, lokálnímu ukládání nabídek atd. Pokud se údaje o technické kvalifikaci např. vytahují z nabídek do kontrolních tabulek, lze doporučit jejich pseudonymizaci.

Po skončení procesu hodnocení by pak měla být nabídka archivována tak, aby nemohlo dojít k dalšímu kontaktu neautorizovaných osob s osobními údaji uvedenými v nabídce. Stejně tak by měly být kvalifikovaným způsobem zničeny veškeré případné tištěné či elektronické kopie, které byly nezbytné pro dokončení procesu hodnocení nabídek.

Na uložené dokumenty je pak nezbytné pohlížet jako na dokumenty obsahující osobní údaje a další nakládání s nabídkami se bude řídit obecnými interními směrnicemi zadavatelů o nakládání s osobními údaji. V případě předávání nabídek externím subjektů by vždy měla být součástí spolupráce smlouva o zpracování osobních údajů obsahující popis vhodných technických opatření zamezujících případnému zneužití osobních údajů.

V případě dobrovolného zveřejňování celých nabídek by pak samozřejmě měly být osobní údaje dostatečným způsobem začerněny či vymazány.

Dodavatelé

Obdobné povinnosti se vztahují také na účastníky zadávacích řízení, kteří si svá vyhotovení nabídek do veřejných zakázek rovněž archivují. Nabídky jsou mnohdy výsledkem společného úsilí řady dodavatelů v rámci konsorcií či případně subdodavatelských řetězců, tedy účastníci zadávacích řízení začasté zpracovávají osobní údaje zaměstnanců třetích osob. Na všechny tyto dokumenty pak dopadají povinnosti uložené správcům osobních údajů v rámci GDPR.

Závěr

Pro úplnost lze závěrem podotknout, že většina povinností v oblasti ochrany osobních údajů dopadala na zadavatele i dodavatele i dle dosavadních právních předpisů[3], avšak z praxe je zřejmé, že otázku ochrany osobních údajů začala celá řada subjektů seriózně řešit až právě s příchodem GDPR. Jak bylo demonstrováno výše, subjekty, které zadávají veřejné zakázky, případně se veřejných zakázek účastní jako dodavatelé, by při implementaci GDPR neměly opomenout ani tuto oblast a kromě nastavení obecných standardů interní ochrany osobních údajů zavést rovněž specifické procesy ochrany osobních údajů při zadávání veřejných zakázek. Součástí této implementace by rovněž mělo být vyhotovení záznamu o činnostech zpracování ve smyslu čl. 30 GDPR.




Mgr. Ondřej Chmela,
advokát


Ambruz & Dark Deloitte Legal s.r.o., advokátní kancelář

Karolinská 654/2
186 00  Praha 8

Tel.:    +420 246 042 100
Fax:    +420 246 042 030
e-mail:    legalcz@deloittece.com


 
______________________________
[1] Může se však jednat i o účastníky předběžných tržních konzultací či stěžovatele podávající námitky proti zadávacím podmínkám.
[2] Např. výstupy z předběžných tržních konzultací, které mohou zahrnovat osobní údaje, dokumentaci k prohlídce místa plnění, prohlášení související se střetem zájmů a mnohé další.
[3] Zákon 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů.


© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz