Zamówienia publiczne pod rządami RODO
2020-03-20
Postępowania zamówieniowe mają swoją specyfikę, a jedną z naczelnych zasad zamówień publicznych jest zasada jawności. Oznacza to tyle, że dane osobowe w zamówieniach publicznych mogą być szczególnie narażone na dostęp ze strony osób do tego niepowołanych. Jak należy z nimi postępować?
Dane osobowe w zamówieniach publicznych to temat przez wiele lat przemilczany, a czasem wręcz ignorowany. Zyskał on nieco rozgłosu dopiero wraz z wejściem w życie RODO w maju 2018 r., a tak naprawdę może nawet jeszcze później, czyli wraz ze zmianami do prawa zamówień publicznych w zakresie danych osobowych wprowadzonymi ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO.
Wydaje się, że dopiero wraz z wejściem w życie tej ustawy znaczna część rynku zamówieniowego kwestię danych osobowych w przetargach w ogóle zauważyła. Ponieważ zmiana weszła w życie w maju 2019 r., to przepisy o danych osobowych są obecne w prawie zamówień publicznych dopiero od mniej niż roku. To dobry moment, aby podsumować, jak działają. Tym bardziej, że w 2021 r. zamówienia publiczne w Polsce czeka kolejna ważna zmiana, związana z wejściem w życie zupełnie nowej ustawy zamówieniowej. Ustawodawca tym razem nie zapomniał o danych osobowych i zaprojektował w nowym prawie zamówień publicznych odpowiednie przepisy.
Gdzie i jakie dane
Pierwsze, naturalne pytanie, które się nasuwa – to gdzie w ogóle możemy mówić o danych osobowych w zamówieniach publicznych. Odpowiedź brzmi: w wielu miejscach i niemal na każdym etapie postępowania o udzielenie zamówienia publicznego. Dane przetwarzane są głównie przez zamawiającego jako administratora. Poczynając od danych zawartych we wnioskach o dopuszczenie do udziału w postępowaniu lub w ofertach, w tym w szczególności zawartych w wykazach doświadczenia i personelu wykonawcy składanych w przetargu, a także zaświadczeniach o niekaralności członków zarządu i prokurentów, danych pojawiających się w toku korzystania przez wykonawców ze środków ochrony prawnej, aż do danych występujących w procesie zawarcia i wykonywania umowy o zamówienie publiczne.
Można przy tym mówić o danych osobowych samych wykonawców będących osobami fizycznymi, ale przecież dane osobowe pojawiają się również, gdy wykonawca ma inną formę prawną (np. jest spółką prawa handlowego) – wtedy może chodzić o dane osobowe pełnomocników, członków organów, prokurentów, pracowników i osób, których doświadczenie wykonawcy przedstawiają w przetargu. W przypadku, gdy wykonawca korzysta z zasobów podmiotów trzecich lub posługuje się podwykonawcami mogą to być również np. dane pracowników tych podmiotów – innych niż sam wykonawca.
W praktyce przetwarzane są różne rodzaje danych osobowych. Oprócz standardowych imion, nazwisk, danych kontaktowych, warto wspomnieć w tym miejscu chociażby o informacji dotyczącej niekaralności członków zarządu i prokurentów (albo przeciwnie: ich karalności), które muszą być przedstawiane zamawiającemu.
Postępowania zamówieniowe mają do tego swoją specyfikę, a jedną z naczelnych zasad zamówień publicznych jest zasada jawności. Oznacza to tyle, że dane osobowe w zamówieniach publicznych mogą być szczególnie narażone na dostęp ze strony osób do tego niepowołanych.
Jak jest
W aktualnym stanie prawnym, po ubiegłorocznej nowelizacji, ustawa prawo zamówień publicznych zawiera szereg przepisów adresujących kwestie związane z ochroną danych osobowych. Przepisy dotyczą głównie sposobu wykonywania przez zamawiającego obowiązków informacyjnych wobec podmiotów danych, a także realizacji praw tych osób określonych w RODO (np. prawo do żądania sprostowania lub usunięcia danych). Częściowo przepisy prawa zamówień publicznych doprecyzowują lub modyfikują zasady określone w RODO.
I tak, po pierwsze, polskie Prawo zamówień publicznych dookreśla ramy udostępniania przez zamawiającego danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO. To ważne, ponieważ jedną z przesłanek wykluczenia w przetargach publicznych jest karalność członków władz wykonawcy (zależnie od jego formy prawnej – najczęściej chodzi o członków zarządu), ewentualnie prokurentów.
Niekaralność wykazuje się w pierwszej kolejności poprzez złożenie oświadczenia własnego wykonawcy (najczęściej na formularzu Jednolitego Europejskiego Dokumentu Zamówienia), a następnie poprzez przedstawienie zaświadczenia o niekaralności z Krajowego Rejestru Karnego. Zamawiający więc dane dotyczące niekaralności (lub też, w zależności od przypadku, karalności) przetwarza. Chociaż dane osobowe dotyczące wyroków skazujących i czynów zabronionych nie są już uważane za dane wrażliwe na poziomie porównywalnym do np. danych dotyczących zdrowia, to jednak uznaje się, że dostęp do nich musi być istotnie limitowany. Z tego względu, zgodnie z art. 8 ust. 5 aktualnej ustawy Prawo zamówień publicznych, zamawiający udostępnia takie dane w celu umożliwienia uprawnionym osobom (głównie innym wykonawcom) korzystania ze środków ochrony prawnej oraz wyłącznie do upływu terminu do ich wniesienia. Technicznie rzecz ujmując stanowi to ograniczenie zasady jawności w przetargach publicznych, uznaje się jednak, że jest to niezbędne, aby odpowiednio chronić te dane.
Po drugie, prawo zamówień publicznych określa w art. 8a ust. 1 sposób wykonywania przez zamawiającego obowiązków informacyjnych, o których mowa w art. 13 ust. 1-3 RODO. Obowiązki te można wykonać przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub przy pierwszej czynności zamawiającego skierowanej do wykonawcy. Należy jednak zwrócić uwagę, że przepis art. 13 RODO dotyczy przypadku pozyskiwania danych osobowych od samego podmiotu danych. Przenosząc to na grunt przetargów publicznych dochodzimy do wniosku, że takich sytuacji jest w praktyce niewiele – ponieważ sprowadzają się one tak naprawdę do przypadku, gdy wykonawcą jest osoba fizyczna. Ewentualnie może to dotyczyć również pełnomocnika wykonawcy składającego ofertę. W wielu przypadkach dane pozyskane przez zamawiającego z oferty lub innych dokumentów wykonawcy nie będą zebrane od podmiotu danych. Znajdą więc zastosowanie obowiązki informacyjne określone w art. 14 RODO. Tymczasem o tym jak zamawiający ma wykonać obowiązek informacyjny z art. 14 RODO w przetargach już prawo zamówień publicznych wprost nie wspomina. Praktyka pokazuje, że zamawiający w wykonaniu obowiązków związanych z przetwarzaniem danych osobowych, w tym w szczególności informacyjnych określonych w RODO, zawierają niejednokrotnie w dokumentacji przetargowej rozbudowane klauzule. Są one jednak różnej jakości.
Po trzecie, prawo zamówień publicznych precyzuje sposób korzystania przez podmioty danych z uprawnień przysługujących im zgodnie z RODO. A mówiąc precyzyjnie ogranicza to korzystanie. Chodzi o to, żeby korzystanie przez uprawnione osoby z ich uprawnień nie torpedowało toczącego się postępowania zamówieniowego. Warto w tym miejscu zwrócić uwagę na kilka przepisów. Zgodnie z art. 8a ust. 3 prawa zamówień publicznych skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia danych osobowych, o którym mowa w art. 16 RODO, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą. Z kolei, wystąpienie przez uprawnioną osobę z żądaniem ograniczenia przetwarzania danych nie ogranicza takiego przetwarzania do czasu zakończenia postępowania o udzielenie zamówienia publicznego.
Wskazówki Urzędu Zamówień Publicznych
Aby pomóc zamawiającym w wykonywaniu przez nich obowiązków wynikających z RODO, jeszcze przed nowelizacją Prawa zamówień publicznych dostosowującą tę ustawę do nowych wymogów z zakresu ochrony danych osobowych wynikających z RODO, Urząd Zamówień Publicznych (UZP) opublikował na swojej stronie internetowej kilka dokumentów o charakterze informacyjnym. Były to:
1) Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO (Wskazówki);
2) Przykładowa klauzula informacyjna z art. 13 RODO do zastosowania przez zamawiających w celu związanym z postępowaniem o udzielenie zamówienia publicznego; a także
3) Wzór oświadczenia wymaganego od wykonawcy w zakresie wypełnienia obowiązków informacyjnych przewidzianych w art. 13 lub art. 14 RODO.
Dokumenty te powstały jeszcze przed nowelizacją prawa zamówień publicznych i co do zasady powtarzają treść, która znalazła się następnie w obowiązujących przepisach polskiej ustawy. Historycznie to właśnie te zasady wypracowane przez UZP stanowiły pierwowzór przepisów wprowadzonych nowelizacją z 2019 r.
Na szczególną uwagę zasługuje dokument nr 3 z listy, który został opisany również we Wskazówkach. Otóż UZP dostrzegł problem zasygnalizowany już powyżej, tj. że dane osobowe przetwarzane przez zamawiającego nie zawsze będą pochodzić bezpośrednio od podmiotu danych. W tej sytuacji, pomimo istnienia generalnego obowiązku informacyjnego opartego o art. 14 RODO po stronie zamawiającego, UZP zdaje się jednak sugerować, że zamawiający może odstąpić od obowiązku indywidualnego informowania każdej z takich osób w przypadkach, o których mowa w art. 14 ust. 5 RODO. Chodzi np. o sytuację, w których podmiot danych dysponuje już wymaganymi informacjami albo gdy wykonanie obowiązku wymagałoby ze strony zamawiającego niewspółmiernie dużego wysiłku. Dla celów uzyskania przez zamawiającego potwierdzenia, że podmiot danych dysponuje już stosownymi informacjami UZP przygotował nawet wzór oświadczenia, którego można żądać od wykonawcy na potwierdzenie, że wykonawca sam wykonał swoje własne obowiązki informacyjne co do danych osobowych przedstawionych zamawiającemu, których jest administratorem.
UZP dostrzegł zatem, co ważne, że wykonawca, który zbiera (bezpośrednio od podmiotów danych lub z innych źródeł) dane osobowe, przekazywane następnie zamawiającemu np. w ofercie, sam może być administratorem takich danych. I na nim mogą również ciążyć obowiązki informacyjne. Nie oceniając podejścia zaproponowanego przez prezesa UZP w zakresie skorzystania z wyłączenia, należy jednak uwzględnić, że obowiązki informacyjne zamawiającego i wykonawcy będą w takim przypadku co do zasady istnieć niezależnie od siebie, przy czym ich treść może się nieznacznie różnić. Jak wykonać obowiązki informacyjne w praktyce i czy można skorzystać z wyłączenia – to trzeba ocenić na podstawie konkretnego przypadku.
Zdaniem autora
Jak będzie perspektywa nowej ustawy
Jak widać stosowanie RODO w przetargach nie zawsze jest łatwe i to nawet pomimo istnienia stosunkowo szczegółowych przepisów w polskim prawie zamówień publicznych. Pytanie jak będzie z tym w przyszłości. Należy bowiem uwzględnić, że 1 stycznia 2021 r. wchodzi w życie nowa ustawa z 11 września 2019 r. Prawo zamówień publicznych. Nowa ustawa zamówieniowa zawiera cały szereg przepisów dotyczących stosowania RODO w zamówieniach publicznych, przy czym zasadniczo są one zgodne z tym, co funkcjonuje już w obecnej ustawie.
Ważniejsza od przepisów jest i będzie jednak praktyka przetargowa. Ta jest ciągle w trakcie kształtowania. Podobnie, co jest pewnie truizmem, od formalnej poprawności klauzuli informacyjnej, czy innych dokumentów ważniejsze jest ciągłe utrzymywanie rzeczywistej zgodności z regulacjami, w tym RODO. Również w kontekście przetargów. Do tego z kolei potrzeba ciągłego podnoszenia świadomości, tak zamawiających, jak wykonawców, a także aktywności edukacyjnej organów, takich jak UZP, ale także Urzędu Ochrony Danych Osobowych. Póki co kar z zakresu naruszenia przepisów RODO w przetargach publicznych nie było, co nie oznacza, że nie jest to obszar, w którym do takich naruszeń może dochodzić w praktyce.
Artykuł ukazał się w dzienniku „Rzeczpospolita” w dniu 20-03-2020 r.