Nová právna úprava verejného obstarávania reprezentovaná zákonom č. 343/2015 Z.z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov síce upravuje niektoré osobitné povinnosti verejných obstarávateľov/obstarávateľov súvisiacich s ochranou osobných údajov v postupoch verejného obstarávania, avšak zostala rovnako ako predchádzajúca normatíva chudobná na úpravu tejto problematiky.
Osobitne sa jej venuje len v ustanoveniach § 26 ods. 8 resp. § 64 ods. 5 a 6, upravujúcich rozsah osobných údajov uvádzaných v oznámeniach používaných vo verejnom obstarávaní a v profile, § 61 ods. 6 týkajúceho sa používania osobných údajov v dynamickom nákupnom systéme a napokon v ust. §113 ods. 9 upravujúceho rozsah osobných údajov uvádzaných v oznámení o použití priameho rokovacieho konania, v informácii o výsledku verejného obstarávania a v profile.
Zákonodarca tak nezohľadnil, už tak mimoriadnu administratívnu náročnosť procesov verejného obstarávania a ponechal ochranu osobných údajov vo verejnom obstarávaní, rovnako ako predtým, na osobitné právne predpisy v tejto oblasti. Vo verejnom obstarávaní pritom verejný obstarávateľ/obstarávateľ vystupuje ako prevádzkovateľ informačného systému, v ktorom sú osobné údaje spracovávané, konkrétne:
- osobné údaje uchádzačov, subdodávateľov a poskytovateľov kapacít, resp. ich zamestnancov, štatutárov a pod. Takéto údaje sa pritom môžu nachádza už v popise ponúkaného plnenia, ale i v dokladoch a dokumentoch slúžiacich na preukázanie splnenia podmienok účasti vo verejnom obstarávaní;
- osobné údaje na „strane“ verejného obstarávateľa/obstarávateľa najmä osôb zodpovedných za prípravu verejného obstarávania, či členov komisie na vyhodnotenie ponúk.
Spracúvaním osobných údajov rozumieme operáciu alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.
To znamená, že k spracovaniu osobných údajov dochádza už menovaním zodpovednej osoby za prípravu súťažných podkladov, menovaním členov komisie na vyhodnotenie ponúk a ich uchovávaním v rámci dokumentácie k verejnému obstarávaniu. Rovnako ponuky uchádzačov obsahujú spravidla množstvo osobných údajov obsiahnutých napríklad v životopisoch osôb slúžiacich na preukázanie podmienok účasti, podpisy štatutárnych orgánov a pod. Všetky tieto dokumenty verejný obstarávateľ/obstarávateľ spracováva už tým, že plní svoje evidenčné povinnosti a tvorí dokumentáciu z postupu verejného obstarávania a stáva sa prevádzkovateľom.
Zákon č. 343/2015 Z.z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov neupravuje všeobecnú výnimku, na základe ktorej by nebolo potrebné vyžadovať predchádzajúci súhlas dotknutej osoby (najmä pokiaľ ide o subdodávateľov alebo poskytovateľov kapacít a osôb zúčastnených procesov verejného obstarávania na strane verejného obstarávateľa, resp. obstarávateľa), a v zásade, okrem regulácie zverejňovaných údajov v profile a oznámeniach používaných vo verejnom obstarávaní platí osobitná úprava reprezentovaná zákonom č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. Od 25 mája 2018 však nastane v týchto pravidlách zásadná zmena. Európsky parlament prijal dňa 27. apríla 2016 NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (General Data Protection Regulation – ďalej len „GDPR“), ktorý je významným (r)evolučným krokom v ochrane osobných údajov uplatniteľným od 25 mája 2018.
Už samotná skutočnosť, že nová právna úprava ochrany osobných údajov bola prijatá vo forme nariadenia, t.j. priamo uplatniteľného legislatívneho aktu EÚ nevyžadujúceho transpozíciu do právneho poriadku členských štátov EÚ, naznačuje mimoriadny význam tohto počinu, prinášajúceho unifikáciu pravidiel ochrany osobných údajov naprieč celou Európskou úniou. Ochrana osobných údajov zasahuje takmer do všetkých sfér nie len právneho, ale aj spoločenského života a verejné obstarávanie nie je, ako sme už naznačili, v tomto smere žiadnou výnimkou. Aj samotné GDPR predpokladá vplyv tejto novej právnej úpravy na procesy verejného obstarávania tak ako sa uvádza v recitáli č. 78 GDPR, kde:
„Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia. Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky. Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov. Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.“
Nemožno tiež v tejto súvislosti opomenúť, že aj Európske smernice vo verejnom obstarávaní sa na viacerých miestach odvolávajú na osobitnú ochranu osobných údajov, či už ide o povinnosti spomenutej špecificky navrhnutej ochrany údajov alebo administratívnej spolupráce členských štátov pri vymieňaní osobných údajov.
Cieľom GDPR je harmonizovať existujúce zákony na ochranu osobných údajov v jednotlivých členských štátoch EÚ a prichádza s úplne novými, ale i pozmenenými prvkami, ktoré budú platiť rovnako vo všetkých členských štátoch EÚ a mnohé z nich značne ovplyvnia aj verejných obstarávateľov/obstarávateľov.
Medzi najvýznamnejšie zmeny z pohľadu povinností, ktoré sa môžu dotknúť verejných obstarávateľov/obstarávateľov patria:
- povinné ohlasovanie incidentov, ktoré bude zahŕňať takmer každé porušenie ochrany osobných údajov s výnimkou preukázania, že incident nespôsobí riziko pre práva a slobody dotknutých osôb. Každé porušenie osobných údajov bude nutné nahlásiť príslušnému dozornému orgánu;
- povinné nominácie zodpovednej osoby (Data Protection Officer) spomedzi zamestnancov v rámci verejného obstarávateľa/obstarávateľa alebo outsourcing tejto úlohy externej fyzickej osobe prípadne inej spoločnosti;
- väčšie práva pre jednotlivcov – najmä „právo byť zabudnutý“ vrátane sťaženia užívania existujúcich dát na iný účel, než boli získané. Dotknutá osoba by mala mať najmä právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s GDPR z iných dôvodov. Právo na zabudnutie sa má aplikovať najmä v online prostredí, aj tým, aby prevádzkovateľ (môže ním byť i verejný obstarávateľ/obstarávateľ), ktorý osobné údaje zverejnil, bol povinný informovať prevádzkovateľov, ktorí takéto osobné údaje spracúvajú, o vymazaní všetkých odkazov na tieto osobné údaje alebo kópií či replík týchto osobných údajov. Pritom by mal uvedený prevádzkovateľ prijať primerané kroky, so zohľadnením dostupnej technológie a prostriedkov, ktoré má prevádzkovateľ k dispozícii, vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí spracúvajú osobné údaje, o žiadosti dotknutej osoby;
- súhlas so spracovaním osobných údajov bude musieť byť vždy vyjadrený, okrem GDPR určených výnimiek;
- prevádzkovatelia a sprostredkovatelia (t. j. osoby, ktoré spracúvajú osobné údaje v mene iného prevádzkovateľa) budú mať priame regulačné povinnosti a zodpovednosti;
- spracúvať osobné údaje obyvateľov viacerých krajín EÚ, bude podliehať pod rozhodnutia jediného úradu pre ochranu osobných údajov (princíp „one-stop-shop“), táto povinnosť sa nevyhne ani verejným obstarávateľom/obstarávateľom v prípade účasti zahraničných uchádzačov,
- odstránenie povinnosti registrácie systémov, avšak namiesto toho prevádzkovatelia budú povinní udržiavať interné záznamy o činnostiach súvisiacich so spracovaním osobných údajov (sprístupniť ich na požiadanie úradu).
Všetky vyššie uvedené zmeny majú významný vplyv na povinnosti verejných obstarávateľov/ obstarávateľov pri spracúvaní osobných údajov v postupoch verejného obstarávania, a je nutnú dôsledne sa pripraviť na uplatniteľnosť GDPR. Akútnu potrebu takejto prípravy potvrdzujú najmä priam drakonické až likvidačné sankcie pre prípad nerešpektovania GDPR až do výšky 20 miliónov EUR alebo do výšky 4 % celkového ročného obratu podniku, za každé porušenie povinností pri ochrane osobných údajov.
Autor: JUDr. Marek Griga