Temat: ZAmówienia publiczne, a ochrona danych osobowych
Z tym klasyfikowaniem informacji i danych do jednej jedynej grupy naprawdę bym uważał ;-)
Tym bardziej, że mówimy o dwóch dość podobnych, ale jednak różnych kwestiach. Tak, żeby naprowadzić:
Dane osobowe, a tajemnica spowiedzi
Dane osobowe, a tajemnica lekarska
Dane osobowe, a.... każda inna tajemnica.
Dlatego mam prośbę, abyśmy w pewnych aspektach nie mieszali pojęć, bo zamydla to nieco obraz. Dane osobowe mogą być chronione (a dokładniej są) na mocy Konstytucji. Tylko nie mówimy tutaj o TAJEMNICY danych osobowych, a wprost o ochronie danych osobowych. Dlaczego? Bo to są dobra niezbywalne człowieka.
Dodatkowo, w pewnych okolicznościach dane osobowe będą również chronione innymi zakresami, czy dokładniej - innymi "systemami" przewidzianymi dla pewnego obszaru, nazywanego wtedy nieco inaczej. Tajemnica adwokacka, lekarska, ale tez przedsiębiorstwa - są systemowym rozwiązaniem chroniącym INFORMACJE. Czyli tajemnica adwokacka chroni pewien zbiór informacji o zdarzeniach, w których dane osobowe stanowią pewną część całości. Podobnie pozostałe rodzaje tajemnic. Tym samym tajemnica przedsiębiorstwa chroni SPOSÓB wykonywania konkretnej pracy, zwany przez naszych przyjaciół z Kamczatki - know-how.
Równorzędnym dla zasobu np. materialnego, gdzie mogę zastrzec np. skład kosmetyków, będzie również skład zespołu.
Przykład
Wdrożenie polityki i instrukcji zarządzania w obszarze danych osobowych, przez Instytut którym kieruję obejmuje nie tylko sporządzenie dokumentacji zgodnie z prawem, ale w mojej ocenie wymaga nieco więcej.
Wskazując zespół ekspertów lub ich kwalifikacje, np:
Ekspert nr 1 - nazwijmy Kowalski, inspektor ochrony ppoż, specjalista ds bezpieczeństwa fizycznego i zabezpieczeń technicznych
Ekspert nr 2 - nazwijmy Nowak, specjalista IT, pentester, inżynier budownictwa,
Ekspert nr 3 - nazwijmy Krzemiński, specjalista od ochrony informacji, zarządzania biznesem, jakością, inspektor ochrony ppoż, w tym specjalista ochrony przeciwwybuchowej (ATEX) oraz poważnych awarii przemysłowych (SEVESO)
Z tego będzie wynikała pewna informacja, na co będziemy zwracać uwagę i że nie chodzi tylko o to, co robimy w samych systemach IT czy dokumentacji, ale również potrafimy oszacować:
- ryzyko zniszczenia, uszkodzenia danych w archiwach, na serwerach, czy w podręcznych archiwach przez zagrożenia pożarem i innymi zagrożeniami miejscowymi (powodzie, podtopienia, awarie nie mające znamion awarii przemysłowych)
- ryzyko zniszczenia, uszkodzenia, zaboru danych - w wyniku działania osób, w tym kradzieże, dewastacje
- ryzyko uszkodzenia, zniszczenia, zaboru danych w systemach IT
a do tego oszacujemy zgodność, skuteczność stosowanych środków technicznych i organizacyjnych (w tym pracowników ochrony fizycznej) na adekwatność z zagrożeniami (wymaganie z art bodajże 39).
I teraz pytanie - zestawiając to z twierdzeniem, że nie mogę objąć informacji o zespole - czy to z nazwiska, czy to z kwalifikacji, przypadkiem nie jestem zmuszony do ujawnienia TP? Akurat wiem, że niewiele firm w PL robi dane osobowe w zestawie jak powyżej, a taka kombinacja jest dla mnie gwarantem pozyskiwania kolejnych kontraktów - czyli stanowi know-how. Ja akurat ujawniam - od niedawna, ale wcześniej mocno chroniłem. Dzięki temu zrobiliśmy kontrakty naprawdę dla dużych firm, więc jestem w stanie wykazać, że to nie jest żadna "wirtualka" a rzeczywista podstawa przewagi konkurencyjnej liczona twardymi PLNami i czasem EURO i GBP.
Wróćmy teraz do pewnej kwestii dość kluczowej, jeśli chodzi o dane osobowe. Ochrona wywodzi się jak pisałem powyżej z Konstytucji. Mniej więcej - z pamięci, kombinacja przepisów Konstytucji mówi tak:
1. Dane osobowe (dokładnie - informacje o osobie) są prawnie chronione - stanowią pewne dobra osobiste.
2. Inny przepis - wolno naruszyć jakiekolwiek dobra TYLKO w sytuacji gdy dopuszcza to ustawa.
Czyli łącznie - tak jak informacje tak i nietykalność - wolno naruszyć TYLKO jeśli przepis ustawy to dopuszcza.
A który przepis ustawy mówi o TP? 8.1, z wyłączeniem zdaje się 86. Który mówi o tym, że nie mogę utajnić danych WYKONAWCY.
I konkludując:
Dane osobowe mogą stanowić TP - na przykładzie jak powyżej. Podstawa - art 11 ust 4 ustawy o zwalczaniu nieuczciwej konkurencji, a ta konkretna rzecz to informacje o charakterze organizacyjnym. Czyli sposób "składania zespołu".
Dane osobowe ujawniane mogą być tylko wtedy, jeśli ustawa tak dopuszcza. Tu bym na zgodę uważał, bo ... oświadczenie woli wymuszone jest nieważne. GIODO się wypowiadał w tej sprawie, co prawda w kontekście pracodawcy, co to chciał więcej, ale tutaj per analogia. Zleceniodawca, czy pracodawca, który składa ofertę i wymusza zgodę może mieć podobny problem (a za nim zamawiający).
Na podstawie PZP jawne i nie podlegające zastrzeżeniu TP jest informacja o WYKONAWCY. Czyli podmiocie będącym stroną. Ciekaw jestem, jak to z danymi osób, które były typowane do zamówienia, ale się po drodze zwolniły... Zamawiającemu życzę powodzenia, jak będzie musiał w archiwach robić porządek w wyniku wniosku o usunięcie danych.
I ostatnie - moim zdaniem najważniejsze. JAWNE jest postępowanie. W celu uzyskania transparentności spraw publicznych. A więc w mojej ocenie - sposób wykonania usług, zespół (kwalifikacjami kluczowymi). Reszta sorry... ale do czego? Przecież aby ocenić "słuszność" przekazania konkret zmówienia nie jest potrzebna wiedza, że coś będzie robił Mietek, a nie Rysiek. Bo do usługi jest potrzebna konkret kompetencja, a nie to, że to właśnie MIETEK.
I jeszcze na koniec. Takie małe info. Wielu speców od bezpieczeństwa stosuje "klucze i wytrychy". Jednym z nich jest np. określenie dane osobowe w wyrokach sądów.
Po pierwsze - w Polsce nie ma prawa precedensu
Po drugie - nawet w prawie precedensu (np w Wielkiej Brytanii) nie polega to na tym, że mowa w wyroku o danych osobowych, a istotne są okoliczności. Jak ktoś ma chęć zapraszam do dyskusji, ale naprawdę można się zdziwić, jak to prawo precedensu działa. W skrócie - chodzi o mechanizm, a nie to dokładne kopiowanie działania i zachowania.