У додатку 3 до тендерної документації зазначено, що Учасник повинен надати довідку (лист) у довільній формі про те, що працівники Учасника, на яких надається інформація, надали згоду на обробку їх персональних даних відповідно до Закону України «Про захист персональних даних».
Водночас, з даної вимоги не зрозуміло, працівники Учасника повинні надати зазначений дозвіл на обробку їх персональних даних ким: самим Учасником торгів чи Замовником торгів?
У разі надання такого дозволу на обробку персональних даних Замовником торгів, то виникає наступне пиання. Законом України "Про захист персональних даних" визначено, що згода (дозвіл) на обробку персональних даних надається суб'єктом персональних даних (фізичною особою – представником Учасника торгів) відповідно до сформульованої мети їх обробки (стаття 1), цю мету встановлює володілець персональних даних (Замовник торгів) разом зі складом персональних даних та процедурою їх оброблення (стаття 1). Згідно зі статтею 6 Закону України "Про захист персональних даних" мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних (Замовника торгів), та відповідати законодавству про захист персональних даних.
Однак, тендерна документація не містить передбачених Законом України "Про захист персональних даних" необхідних відомостей а ні щодо складу персональних даних представників Учасника торгів, а ні щодо мети їх обробки Замовником торгів, а ні щодо способу їх обробки Замовником.
Враховуючи зазначене, пропонуємо уточнити в тендерній документації, кому повинна бути надана згода працівниками Учасника на обробку їх персональних даних. У разі оборки таких даних Замовником, визначити: 1) склад персональних даних, що вимагається; 2) мету їх оброблення; 3) спосіб їх обробки Замовником.
Розгорнути
Згорнути
відповідь:
Відповідно до ст. 16 Закону України «Про публічні закупівлі» замовник наділений правом установлювати один або декілька кваліфікаційних критеріїв, в т.ч. наявність працівників відповідної кваліфікації, які мають необхідні знання та досвід. Цією ж статтею передбачено, що замовник вимагає від учасників подання ними документально підтвердженої інформації про їх відповідність кваліфікаційним критеріям. Визначені замовником згідно з цією статтею кваліфікаційні критерії та перелік документів, що підтверджують інформацію учасників про відповідність їх таким критеріям, зазначаються в тендерній документації.
Відповідно до Додатку 3 до Тендерної документації на закупівлю «72240000-9 Послуги з аналізу та програмування систем (Створення комплексної системи захисту інформації в АІС ЦБД ПН)» для підтвердження відповідності Учасника такому кваліфікаційному критерію як наявність працівників відповідної кваліфікації, які мають необхідні знання та досвід встановлена вимога про надання Учасником інформації про наявність працівників певних категорій з наданням документів, що підтверджують їх кваліфікацію, а саме:
- сертифікат щодо кваліфікації фахівця по лінійці продуктів Fortinet – не нижче NSE 1;
- сертифікат щодо кваліфікації фахівця по лінійці продуктів Oracle – не нижче Oracle Certified Associate;
- сертифікат щодо кваліфікації фахівця по лінійці продуктів VMware – не нижче VCP6.5-DCV.
Саме надання вказаних документів дозволить Замовнику визначитися з відповідністю Учасника встановленому кваліфікаційному критерію, а також наскільки такий учасник в змозі забезпечити якісне надання послуг.
Сукупність вище перелічених даних складає базу персональних даних, володільцем якої є роботодавець, який визначає мету обробки персональних даних, встановлює склад цих даних та процедуру їх обробки.
Відповідно до ч.1, ч.3 ст. 14 Закону України «Про захист персональних даних» поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані. Таким чином, відповідно до вимог чинного законодавства, отримання згоди своїх працівників на поширення їх персональних даних покладено на учасника, а не на замовника.
Крім того, оскільки всі персональні дані своїх працівників надає сам учасник, відповідно у випадку поширення ним недостовірної інформації, здійснення заходів по вилученню цієї інформації, відшкодуванню моральної та матеріальної шкоди покладається також на учасника.
Щодо посилання на ст.6 Закону України «Про захист персональних даних», звертаємо Вашу увагу, що мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних. Разом з тим, враховуючи положення ст. 2 Закону України «Про захист персональних даних», Замовник є одержувачем персональних даних, а не їх володільцем, а тому посилання на ст.6 Закону України «Про захист персональних даних», в даному випадку, є невиправданим.
Метою отримання довідки (листа) у довільній формі про те, що працівники Учасника, на яких надається інформація, надали йому згоду на обробку їх персональних даних відповідно до Закону України «Про захист персональних даних», виходячи зі змісту ч. 4 ст. 14 Закону України «Про захист персональних даних», є підтвердження правомірності надання інформації Учасником, як володільця персональних даних про вказаних працівників.