Firmy w ramach postępowań przetargowych, bardzo często żądają dodatkowych dokumentów jakim jest, poza oświadczeniem o niekaralności, zaświadczenie o niekaralności z Krajowego Rejestru Karnego.
Zagadnienie to reguluje znowelizowane Prawo Zamówień Publicznych w art 18 ust 6 ale uwaga określa on konkretny cel przetwarzania, aby taki dokument mógł być przetworzony.
Przeanalizujmy określony scenariusz wydarzeń.
Firma Alibaba dostarczyła takie zaświadczenie w oplombowanej kopercie.
Jednak bezpiecznik spółki, były pracownik służb, uważa, że ma prawo czytać wszystkie zaświadczenia aby wyeliminować z procesu przetargu “złe” firmy. Czyli takie, których oświadczenie rozmija się z zaświadczeniem. Jednak przetarg wygrała inna firma i kopertę, otwartą już, zwrócono do firmy Alibaba. Po kilku dniach do firmy wpływa żądanie od Alibaby aby na podstawie art 82 udostępnili im dane winnych zdarzenia, ponieważ żądają odszkodowania za naruszenie RODO na drodze postępowania cywilnego. Co w takim przypadku ma zrobić Administrator Danych Osobowych (ADO)? Zgodnie ze zmianami w kodeksie spółek handlowych zarząd ma dokonać analizy ryzyka. Dobrym narzędziem będzie teoria perspektywy. Gdzie rozpatruje się dwie wersje: PT(1) zysk/strata ADO i PT(2) zysk/strata pracownika w odniesieniu do zarobków. Zakłada się że ADO dostanie surowszą karę czyli 200 tys a pracownik niższą 20 tys, co wynika z dotychczasowych postępowań sądowych.
Jak widzimy z obliczeń pracownik ponosi niższe szkody niż ADO. Nawet przy większym prawdopodobieństwie ukarania go niż ma ADO (80% do 50% ADO). Tak udokumentowany proces analizy ryzyka pozwala podjąć decyzję, niekorzystną dla pracowników, ale obronną dla ADO. Jednak to nie koniec czynności dla ADO ponieważ musi wykazać że nie ponosi winy, zgodnie z art 82 ust 3 RODO. Najprostszym sposobem jest kara dyscyplinarna dla wskazanych pracowników.
Jak ma się bronić pracownik, który tylko uczestniczył w przetargu, a czynność otwarcia realizował bezpiecznik?
Jego obroną jest analiza ryzyka.
W końcu przewidział takie ryzyko ale nie do niego należała jego minimalizacja, tylko do Biura Bezpieczeństwa. Ten argument powinien wystarczyć do uniknięcia kary i podania danych do poszkodowanego. Niestety nie dotyczy to Biura Bezpieczeństwa i samego bezpiecznika, który czynność wykonał.
Innym zagadnieniem jest odpowiedzialność IODy i jego analiza czy doszło do naruszenia praw i wolności.