Samo oświadczenie, iż wszyscy członkowie zarządu/wspólnicy spełniają wymóg niekaralności, nawet jeśli nie zawiera ono ich imion i nazwisk, uznać należy za dokument zawierający dane osobowe. Dla ich legalnego przetwarzania niezbędne jest spełnienie wymagań określonych w art. 10 RODO.

Niektórzy zamawiający w ramach zapytań ofertowych, które nie są przeprowadzane w trybie przewidzianym ustawą z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych, wymagają od oferentów złożenia oświadczenia, iż członkowie organów/wspólnicy nie zostali prawomocnie skazani za popełnienie niektórych kategorii przestępstw (np. przeciwko obrotowi gospodarczemu). Te wymagane – pod rygorem dopuszczenia do udziału w postępowaniu ofertowym – dokumenty mają mieć formę oświadczeń indywidualnych od poszczególnych osób (członków organów/wspólników) lub jednego oświadczenia zbiorczego składanego w imieniu całego zarządu i wspólników. W związku z tym Prezesowi UODO sygnalizowane są wątpliwości dotyczące podstawy prawnej pozyskiwania tego typu dokumentów, które rodzą się w kontekście art. 10 RODO.

Dane osobowe – definicja, opinie i orzecznictwo

W opinii Prezesa UODO istotne dla wyjaśnienia powyższych wątpliwości jest ustalenie, czy w tej sytuacji mamy do czynienia z danymi osobowymi. Niekiedy zależy to od wielu czynników i wymaga pogłębionej analizy. Zgodnie z art. 4 pkt 1 RODO, danymi osobowymi są „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

W swojej opinii nr 4/2007 w sprawie pojęcia danych osobowych Grupa Robocza Art. 29 podpowiada, że: „w przypadkach gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, „jakimi można się posłużyć” w celu zidentyfikowania osoby, której dane dotyczą. Twierdzenie, że osoby nie są możliwe do zidentyfikowania, podczas gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. Dlatego informacje takie należy uważać za dotyczące osób możliwych do zidentyfikowania, a przetwarzanie ich powinno podlegać przepisom dotyczącym ochrony danych”.

Dla rozstrzygnięcia przedstawianych wątpliwości pomocne może być również orzeczenie TSUE z 20 grudnia 2017 r. w sprawie C-434/16 Peter Nowak przeciwko Data Protection Commissioner. TSUE opowiedział się w nim za szerokim rozumieniem pojęcia danych osobowych: „Użycie w zawartej w art. 2 lit. a) dyrektywy 95/46 definicji danych osobowych wyrażenia wszelkie informacje odzwierciedla bowiem przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, nie ograniczając go do informacji wrażliwych czy też prywatnych, lecz rozszerzając go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, które muszą one spełniać, jest to, aby dotyczyły danej osoby. Warunek ten jest zaś spełniony, gdy ze względu na swą treść, cel czy skutek dana informacja jest powiązana z daną osobą”.

Możliwa identyfikacja

Należy przyjąć, że samo oświadczenie, że wszyscy członkowie zarządu/wspólnicy spełniają wymóg niekaralności, mimo że nie wskazuje wprost ich imion i nazwisk, uznać można za zawierające dane osobowe. Istnieje bowiem możliwość identyfikacji osób, których ta informacja dotyczy (członków organów osób prawnych czy wspólników spółek osobowych). Łatwo to zrobić zwłaszcza na podstawie informacji zawartych w rejestrach publicznych, np. w KRS, CEIDG, czy też w odpisach z tych rejestrów załączanych zazwyczaj do umów lub akt postępowań.

Szczególne rygory przetwarzania

Oświadczenie o niekaralności należy uznać za dokument zawierający dane osobowe, o których mowa w art. 10 RODO, tj. dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. Dla przetwarzania tych danych prawodawca unijny przewidział w powołanym przepisie szczególne zasady. Artykuł ten stanowi bowiem, że „przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych, lub jeżeli przetwarzanie jest dozwolone prawem Unii, lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”. Zatem, jeśli nie został spełniony któryś z wymienionych w art. 10 RODO dodatkowych wymogów (przetwarzanie pod nadzorem władz publicznych lub na podstawie przepisów prawa), wówczas przetwarzanie danych wymienionych w tym przepisie uznać należy za niezgodne z prawem. W opinii Prezesa UODO, wewnętrznych procedur administratora, na które powołują się niektórzy zamawiający, wskazując je jako podstawę legalizującą pozyskiwanie takich oświadczeń, a które nie odwołują się bezpośrednio do obowiązku wynikającego z przepisu prawa, nie można uznać za wystarczającą podstawę prawną do przetwarzania danych osobowych, o których mowa w art. 10 RODO.

Źródło

Newsletter UODO

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość