4 WOJSKOWY SZPITAL KLINICZNY
z POLIKLINKĄ SP ZOZ we Wrocławiu
ul. R. Weigla 5, 50-981 Wrocław
|
|
Wrocław, 9 listopada 2018r.
WYJAŚNIENIE I MODYFIKACJA SPECYFIKACJI
ISTOTNYCH WARUNKÓW ZAMÓWIENIA
dotyczy: przetargu nieograniczonego na dostawę karnetów, nr sprawy: 92/WAO/2018.
Zamawiający 4 Wojskowy Szpital Kliniczny z Polikliniką SP ZOZ we Wrocławiu działając na podstawie art. 38 ust. 1, 2 i 4 ustawy Prawo zamówień publicznych (t.j. Dz. U. z 2018r., poz. 1986 ze zm.) informuje, że wpłynęły zapytania o wyjaśnienie treści specyfikacji istotnych warunków zamówienia w ww. postępowaniu przetargowym:
Pytanie nr 1:
Czy pracownicy Zamawiającego wyrażają zgodę na korzystanie z usług sportowo – rekreacyjnych, których realizacja odbywa się przy użyciu ich telefonów komórkowych, bądź też weryfikację danych biometrycznych (tj. odcisków palców uczestników czy też rozkład tzw. minucji itp.)?
Odpowiedź na pytanie nr 1: Zamawiający nie dopuszcza telefonów komórkowych, jako urządzeń do weryfikacji tożsamości i uprawnień osoby korzystającej z usług sportowo-rekreacyjnych. Zamawiający dopuszcza weryfikacje danych biometrycznych (tj. odcisków palców uczestników czy też rozkładu tzw. minucji itp.) jako urządzeń do weryfikacji tożsamości i uprawnień osoby korzystającej z usług sportowo-rekreacyjnych.
Pytanie nr 2:
Czy Zamawiający dopuszcza konieczność posiadania przez Użytkowników telefonów komórkowych w celu wykonania przez Wykonawcę przedmiotu zamówienia?
Odpowiedź na pytanie nr 2: Zamawiający nie dopuszcza konieczności posiadania przez użytkowników telefonów komórkowych w celu wykonania przez Wykonawcę przedmiotu zamówienia.
Pytanie nr 3:
Czy jedynym, wystarczającym, dopuszczonym przez Zamawiającego sposobem weryfikacji i dostępu użytkowników do obiektów sportowo-rekreacyjnych jest imienna karta (magnetyczna, chipowa lub zbliżeniowa), po okazaniu której wraz z dowodem osobistym i podpisem na liście Użytkownik jest wpuszczany do tego obiektu?
Odpowiedź na pytanie nr 3: Zamawiający nie ogranicza się do karty imiennej jako jedynego sposobu identyfikacji użytkownika umożliwiającego wpuszczenie do obiektu sportowo – rekreacyjnego. Zamawiający wyłącza z tych sposobów identyfikację za pomocą telefonu komórkowego.
Pytanie nr 4:
Czy wyrażają Państwo zgodę na wykluczenie ze świadczenia przedmiotu zamówienia Pracowników i Ich Osób Towarzyszących nie posiadających komórkowych aparatów telefonicznych (np. osoby starsze, dzieci), bądź nie wyrażających zgody na przetwarzanie ich danych osobowych z puli danych sensytywnych takich jak np. minucje odcisków palca?
Odpowiedź na pytanie nr 4: Zamawiający nie dopuszcza telefonów komórkowych, jako urządzeń do weryfikacji tożsamości i uprawnień osoby korzystającej z usług sportowo-rekreacyjnych. Zamawiający nie dopuszcza możliwości odmowy uprawnionemu pracownikowi Zamawiającego możliwości skorzystania z usług w ramach niniejszego zamówienia z powodu braku telefonu lub nie wyrażenia zgody na przetwarzanie innych danych osobowych niż te, które przekaże Zamawiający.
Pytanie nr 5:
Czy Zamawiający wymaga aby Wykonawca dostarczył Zamawiającemu wszelkie narzędzia służące do bezpośredniej weryfikacji Użytkowników w obiektach?
Odpowiedź na pytanie nr 5: Zamawiający wymaga, aby Wykonawca dostarczył wszelkie narzędzia służące do bezpośredniej weryfikacji Użytkownika ale wykorzystujące tylko dane które zostały przekazane przez Zamawiającego.
Pytanie nr 6:
Czy dostęp do usługi i sposób identyfikacji Użytkownika w obiekcie powinien być tak skonstruowany, aby z usługi mogły korzystać tylko osoby rzeczywiście do tego uprawnione, a nie osoby trzecie?
Odpowiedź na pytanie nr 6: Zamawiający wymaga aby dostęp do usług i sposób identyfikacji Użytkownika ograniczał wstęp do obiektów tylko dla osób, których dane zostały wskazane Wykonawcy.
Pytanie nr 7:
Prosimy o potwierdzenie, iż w przypadku gdy Wykonawca świadczy usługi dostępu do obiektów sportowo-rekreacyjnych stosując identyfikację/weryfikację przy pomocy telefonu komórkowego, to w sytuacji, w której pracownik nie posiada telefonu komórkowego lub nie wyraża chęci korzystania z telefonu komórkowego w procesie identyfikacji/weryfikacji w obiekcie sportowo-rekreacyjnym, Wykonawca ten musi zapewnić mu możliwość podstawowej identyfikacji/weryfikacji tj. poprzez okazanie imiennego karnetu i/lub dowodu osobistego?
Odpowiedź na pytanie nr 7: Zamawiający nie dopuszcza telefonów komórkowych, jako urządzeń do weryfikacji tożsamości i uprawnień osoby korzystającej z usług sportowo-rekreacyjnych.
Pytanie nr 8:
Czy składanie zamówień na karty imienne dla Państwa Pracowników odbywać się ma za pomocą internetowej platformy internetowej?
Odpowiedź na pytanie nr 8: Składanie zamówień na karnety dla pracowników może się odbywać również za pomocą platformy internetowej.
Pytanie nr 9:
W nawiązaniu do ust. 4 SzOPZ, zwracamy się z ponowną prośbą o zmniejszenie minimalnego czasu korzystania z jednorazowej usługi do 45 min. i 30 min. w przypadku sauny. Jest to standardowy, rynkowy czas trwania takich usług jak zajęcia fitness, lodowisko, zajęcia sztuk walki, jogi, zajęć tańca czy ścianki wspinaczkowej etc. Jednocześnie informujemy, że wobec tak wyśrubowanych wymagań Zamawiającego żaden z operatorów kart sportowo – rekreacyjnych nie będzie w stanie ich spełnić, a tym samym złożyć oferty w przedmiotowym postepowaniu.
Odpowiedź na pytanie nr 9: Zapisy SIWZ bez zmian.
Pytanie nr 10:
Czy Zamawiający zgadza się na modyfikację zasad ochrony danych osobowych zawartych w projekcie umowy, poprzez zastąpienie postanowień dotyczących uprawnienia Wykonawcy do przetwarzania danych osobowych użytkowników na podstawie ich powierzenia przez Zamawiającego na rzecz postanowień:
- uprawniających Wykonawcę do przetwarzania danych osobowych użytkowników na podstawie wyrażonej uprzednio zgody osób których dane te dotyczą,
- uprawniających Zmawiającego do przetwarzania danych użytkowników, w celu i zakresie niezbędnym do pomocy przy realizacji umowy o świadczenie usług dostępu do programu sportowego, na podstawie umowy powierzenia danych użytkowników na rzecz Zamawiającego ?
Na gruncie umowy o świadczenie usług dostępu do Programu MultiSport, administratorem danych osobowych posiadaczy kart jest Wykonawca. Podstawą prawną przetwarzania danych jest zgoda użytkownika - art. 6 pkt. 1 a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1), dalej RODO. Wyrażając zgodę użytkownik zgadza się na przetwarzanie jego danych osobowych przez Wykonawcę w celu i zakresie niezbędnym do realizacji umowy o świadczenie usług dostępu do programu sportowego. Zamawiający jest natomiast administratorem danych osobowych pracowników na gruncie stosunku pracy. Uprawnienie do przetwarzania danych osobowych na gruncie stosunku pracy nie jest właściwą podstawą do przetwarzania danych na gruncie umowy o świadczenie usług. Potwierdza to decyzja Generalnego Inspektora Ochrony Danych Osobowych z 15 lipca 2015 r. DIS/DEC - 594/15/62961 utrzymana ostateczną decyzją GIODO z 11 września 2015 r. DIS/DEC - 749/15/83430: „Zauważyć należy, iż pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym dla wykonania ciążących na nim obowiązków wynikających ze stosunku pracy. A zatem, jako administrator danych może jedynie w tym celu powierzyć innemu podmiotowi przetwarzanie tych danych. Umożliwienie natomiast pracownikowi uczestnictwa w zajęciach sportowych w ramach programu M. nie należy do takich obowiązków”. Bezprzedmiotowe byłoby zatem powierzenie danych przez Zamawiającego na rzecz Wykonawcy, gdyż po pierwsze Wykonawca jest już uprawniony do przetwarzania danych pracowników na podstawie zgód i nie potrzebuje dodatkowej podstawy prawnej, po drugie Zamawiający nie jest uprawniony do przetwarzania danych gruncie umowy o świadczenie usług, tym bardziej nie może więc w tym celu i zakresie powierzyć danych. Zgodnie z ww. decyzjami GIODO: „ (…) uznać należy, że klient nie może powierzyć Spółce przetwarzania danych posiadaczy kart M. w ramach umowy powierzenia, o której mowa w art. 31 ustawy, gdyż przetwarzanie tych danych jest uzależnione właśnie od zgody osób, których one dotyczą. (…) A zatem z uwagi na to, iż klient jedynie za wiedzą i zgodą może udostępnić Spółce dane pracowników, osób towarzyszących i dzieci, którzy chcą skorzystać z usług Spółki, nie może to się odbywać w drodze umowy powierzenia Spółce przetwarzania danych przez klienta, o której mowa w art. 31 ustawy o ochronie danych osobowych”.
Znajduje to potwierdzenie także w treści Poradnika dla pracodawców w zakresie ochrony danych osobowych w miejscu pracy wydanego i opublikowanego przez Prezesa Urzędu Ochrony Danych Osobowych w październiku b.r. na stronie internetowej Urzędu. Zgodnie z treścią publikacji: „Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika. Przetwarzanie przez podmioty świadczące tego typu usługi danych osobowych pracowników lub innych osób zgłoszonych do programu odbywa się zatem na podstawie uprzednio wyrażonej przez nich zgody, tj. na podstawie art. 6 ust. 1 lit. a RODO. Podmioty te stają się administratorami danych osobowych osób korzystających z ich usług, niemniej jednak wszelkie roszczenia z tytułu zawartych umów przysługują im względem pracodawców, a nie pracowników będących beneficjentami usług. Konsekwencją uznania takiego podmiotu za administratora danych osobowych jest konieczność stwierdzenia, że takie podmioty są zobowiązane do informowania osób, których dane dotyczą o okolicznościach wskazanych w art. 13 RODO np. w deklaracji przystąpienia. Jednocześnie nie ma tu zastosowania instytucja powierzenia przetwarzania danych osobowych”.
Niezależnie od tego, aby możliwa była realizacja umowy o świadczenie usług w zakresie np. zamawiania i dystrybucji kart czy składania reklamacji, Zamawiający musi posiadać podstawę prawną do przetwarzania danych na gruncie RODO. Zamawiający nie jest uprawniony do przetwarzania danych osobowych użytkowników na gruncie umowy o świadczenie usług sportowych, a więc może przetwarzać dane w tym zakresie jedynie w konsekwencji powierzenia mu odpowiednich danych we wskazanym celu. Zgodnie z art. 28 pkt. 1 RODO: Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Dlatego też niezbędne jest zawarcie spełniającej wymogi RODO umowy powierzenia Zamawiającemu danych do przetwarzania, w celu i zakresie niezbędnym do realizacji umowy o świadczenie usług dostępu do Programu.
Przedstawione stanowisko znajduje potwierdzenie w literaturze: Administratorem danych pracowników, a także członków ich rodzin, korzystających z wyżej wspomnianych pakietów, będzie bowiem podmiot świadczący owe usługi medyczne (zob. pkt 1.2 dotyczący zewnętrznej obsługi w zakresie badań profilaktycznych). Tymczasem, co do zasady, umowy tego typu zakładają pośrednictwo pracodawcy na etapie przystępowania danego pracownika do programu, tj. gromadzenia danych osób zainteresowanych pakietem medycznym i ich przekazywania zleceniobiorcy, co ma na celu ułatwienie i usprawnienie komunikacji pomiędzy świadczeniodawcą a świadczeniobiorcą. Problem w tym, że chociaż w tej sytuacji stroną umowy jest pracodawca, nie jest on uprawniony do przekazania danych osobowych pracowników firmie medycznej bez ich wyraźnej zgody. Pracodawca upoważniony jest bowiem jedynie do przetwarzania danych osobowych w zakresie i w celu niezbędnym do realizacji łączącego ich stosunku pracy. Wykupywanie dla pracowników dodatkowych pakietów medycznych niewątpliwie nie mieści się w tym zakresie, co oznacza, że powyższa przesłanka się dezaktualizuje. Nie będzie tutaj miała zastosowania również sytuacja, o której mowa w art. 23 ust. 1 pkt 3 OchrDanychU, która zakłada dopuszczalność przetwarzania danych w sytuacji, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Stroną umowy jest bowiem pracodawca, a pracownicy są jedynie odbiorcami tych usług.
Pracodawca upoważniony jest do przetwarzania danych osobowych pracownika wyłącznie w zakresie i w celu niezbędnym do realizacji łączącego ich stosunku pracy. Zapewnienie pracownikom dostępu do dodatkowych usług niezwiązanych ze stosunkiem pracy (zajęcia sportowe, usługi medyczne) nie mieści się w wyżej wskazanym zakresie.
W związku z powyższym, zobowiązanie pracodawcy do gromadzenia danych dla tej jednostki czy też dokonywania wszelkich formalności z pracownikami w celu ich przystąpienia do usługi będzie się wiązało z koniecznością zawarcia umowy powierzenia przetwarzania danych osobowych na gruncie art. 31 OchrDanychU, w której podmiot medyczny (administrator) upoważni pracodawcę (procesora) do dokonania konkretnych działań na danych osobowych. (…)
W kontekście zapewniania pracownikom dodatkowych usług (uczestnictwo w zajęciach sportowych) wypowiedział się GIODO, podkreślając, że pracodawca przetwarza dane osobowe pracowników w zakresie i w celu niezbędnym dla wykonywania ciążących na nich obowiązków wynikających ze stosunku pracy [Tak Joanna Jarguz w: Ochrona danych osobowych pracowników w świetle rozporządzenia Parlamentu Europejskiego i Rady UE 2016 679 red dr Dominika Dörre-Kolasa, Legalis]. A zatem jako administrator nie może powierzyć ich przetwarzanie innemu podmiotowi w celu, który obejmuje umożliwienia pracownikom skorzystania z dodatkowych świadczeń sportowych (decyzja GIODO z 15.7.2015 r., DIS/DEC-594/15/62961). W analizowanym stanie faktycznym GIODO wskazał, że administratorem danych jest podmiot świadczący usługi rekreacyjne na rzecz pracowników klienta, która decyduje o środkach i celu przetwarzania danych. Jednocześnie uznał, że przetwarzanie przez ten podmiot danych otrzymanych od klienta (pracodawcy beneficjentów usług) bez zgody tych osób stanowi naruszenie przepisów OchrDanychU. Powołał się tutaj jednocześnie na wyrok NSA z 1.12.2009 r. (I OSK 227/09, Legalis), który podzielił stanowisko GIODO, iż administratorem danych użytkowników imiennych przepłacanych kart płatniczych był bank, a nie pracodawca, który jako posiadacz tych kart decydował, którzy z pracowników będą z nich korzystać. Jak podkreślił NSA w wyroku z 1.12.2009 r. (I OSK 227/09), cele i środki przetwarzania danych objęte były decyzją Banku, a nie pracodawcy. [Tak Joanna Jarguz w: Ochrona danych osobowych pracowników w świetle rozporządzenia Parlamentu Europejskiego i Rady UE 2016 679 red dr Dominika Dörre-Kolasa, Legalis]
Wykonawca ponosi odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych, których jest administratorem, dlatego bardzo istotne jest zawarcie takiej umowy powierzenia danych. Każda inna podstawa przetwarzania danych osobowych uczestników przez Zamawiającego wiązałaby się z ryzykiem naruszenia norm prawnych w zakresie ochrony danych osobowych oraz nałożenia na Strony związanych z tym wysokich kar. Zgodnie z art. 83 pkt. 4 RODO naruszenie obowiązków administratora i podmiotu przetwarzającego o których mowa w art. 8, 11, 25 –39 oraz 42 i 43 RODO zagrożone jest nałożeniem administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności która kwota jest wyższa.
Poniżej propozycja zapisów umowy:
- Przy przetwarzaniu danych osobowych, Zamawiający i Wykonawca zobowiązują się do przestrzegania przepisów RODO.
- Kwestie dotyczące ochrony danych osobowych nieuregulowane w niniejszym paragrafie zostaną ustalone w drodze operacyjnej na piśmie pod rygorem nieważności, w szczególności Strony doprecyzują kwestie dotyczące przetwarzania danych osobowych Użytkowników, w tym zawrą umowę powierzenia Zamawiającemu przetwarzania danych osobowych użytkowników.
Odpowiedź na pytanie nr 10: Zapisy SIWZ bez zmian.
Wykonawca zobowiązany jest do naniesienia dokonanych zmian w treści oferty. W razie zaoferowania przedmiotu zamówienia innego niż pierwotnie wyspecyfikowanego a dopuszczonego przez Zamawiającego w wyniku wyjaśnień treści SIWZ czy w przypadku modyfikacji SIWZ zaznaczenia źródła tej zmiany (datę odpowiedzi lub modyfikacji i ewentualnie nr pytania).
