Poradnik Przedsiębiorcy

Zamówienia publiczne - RODO a zasada jawności

Wejście w życie regulacji unijnego Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym także ogólnym rozporządzeniem o ochronie danych lub RODO) wprowadziło szereg nowych obowiązków, które objęły również zamówienia publiczne. W niniejszym artykule omawiamy najważniejsze informacje w zakresie zapewnienia ochrony danych osobowych w ramach postępowań zamówieniowych, w tym również w e-przetargu.

Kiedy mówimy o obowiązku stosowania regulacji zawartych w RODO w odniesieniu do postępowań przetargowych?

W ramach prowadzonych postępowań o udzielenie zamówienia publicznego przetwarza się szereg danych osobowych, które zgodnie z treścią rozporządzenia unijnego podlegają szczególnej ochronie. Jak wskazano w treści uzasadnienia do projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, mając na uwadze ciągle rozwijający się proces elektronizacji zamówień publicznych, a w konsekwencji częściowe lub całkowite zautomatyzowanie przetwarzania określonych danych (w tym także osobowych), regulacje wskazane w unijnym rozporządzeniu muszą znaleźć powszechne zastosowanie.

W tym miejscu wskazać należy, że ochronie podlegają nie tylko dane wykonawcy i jego pełnomocnika, ale także dane osób ujawnione w treści złożonego wniosku lub oferty o dopuszczenie do udziału w postępowaniu. Ponadto zobowiązania, które wynikają wprost z treści RODO, obciążają w tej kwestii przede wszystkim zamawiającego.

Regulacje RODO znajdują zastosowanie zarówno w przypadku postępowań, które zostały wszczęte po 25 maja 2018 r., jak i w odniesieniu do postępowań, które były prowadzone jeszcze przed tą datą. Co istotne – regulacje rozporządzenia unijnego dotyczą każdego postępowania o udzielenie zamówienia publicznego, bez względu na zastosowany w danym przypadku tryb udzielenia zamówienia.

Zamówienia publiczne - wpływ RODO na zagwarantowanie zasady jawności 

Niewątpliwie na skutek wprowadzenia wymagań określonych w treści RODO zasada jawności, która znajduje zastosowanie w systemie zamówień publicznych, musiała napotkać pewne ograniczenia. Jak wskazuje się w treści art. 8 ust. 1 i 2 Ustawy Prawo zamówień publicznych:

1. Postępowanie o udzielenie zamówienia jest jawne.

2. Zamawiający może ograniczyć dostęp do informacji związanych z postępowaniem o udzielenie zamówienia tylko w przypadkach określonych w ustawie” .

W konsekwencji wprowadzonych zmian rozwiano dotychczasowe wątpliwości dotyczące przesłanek skutkujących obowiązkiem wprowadzenia ograniczeń w zakresie dostępu do informacji związanych z przeprowadzaniem postępowania o zamówienie publiczne. 

Dane szczególne, czyli informacje zawarte w zaświadczeniach o niekaralności na gruncie obowiązywania RODO

Z uwagi na charakter postępowań w przedmiocie zamówień publicznych informacje, które dotychczas były udostępniane stosunkowo często, stanowiły dane dotyczące wyroków skazujących oraz innych naruszeń prawa przez określone osoby. RODO wprowadziło jednak konieczność rozszerzenia ochrony na tego rodzaju dane. Zgodnie z art. 8 ust. 5 i z art. 96 ust. 3a ustawy Prawo zamówień publicznych ograniczenia co do udostępniania danych osobowych dotyczą danych osobowych o wyrokach skazujących i czynach zabronionych (tj. danych, o których mowa w art. 10 RODO) oraz tzw. szczególnych kategorii danych, o których mowa w art. 9 RODO (w tym m.in. danych o stanie zdrowia, poglądach politycznych, przekonaniach światopoglądowych).

Na mocy art. 8 ust. 5 zamawiający może udostępniać dane dotyczące wyroków skazujących wyłącznie w celu umożliwienia korzystania ze środków ochrony prawnej, o których mowa w dziale VI ustawy Prawo zamówień publicznych, do upływu terminu do ich wniesienia.

Natomiast zgodnie z art. 96 ust. 3a Ustawy Prawo zamówień publicznych zasada jawności protokołu nie ma zastosowania do danych osobowych szczególnych kategorii, o których mowa w art. 9 RODO, czyli m.in. danych o stanie zdrowia, poglądach politycznych, przekonaniach religijnych czy też przynależności związkowej, a także danych o wyrokach skazujących i czynach zabronionych (dane, o których mowa w art. 10 RODO).

Oznacza to, że w przypadku żądania udostępnienia protokołu postępowania zamawiający może udostępnić protokół, przy czym – o ile zawiera on dane szczególnych kategorii lub dane o wyrokach skazujących lub czynach zabronionych – te dane, co do zasady, nie powinny być udostępniane.

Informacje o wyrokach skazujących lub czynach zabronionych mogą być udostępniane tylko w przypadkach, w których żądający udostępnienia protokołu ma zamiar skorzystać ze środków ochrony prawnej. Jak się wydaje, dzięki takiemu rozwiązaniu zapewniona będzie bowiem możliwość sprawnego korzystania ze środków ochrony prawnej.

Przywołane ograniczenia stanowią kluczowe przykłady wyjątków od powszechnej zasady jawności postępowania w sprawach o udzielenie zamówienia publicznego.

Dokumentowanie zatrudnienia na podstawie umowy o pracę

Przepisy ustawy Prawo zamówień publicznych wprowadzają również zasady udostępniania zamawiającemu danych osobowych pracowników wykonawcy w celu weryfikacji, czy osoby wykonujące zamówienie są zatrudnione na podstawie umowy o pracę. Dotyczy to sytuacji, w których, zgodnie z dyspozycją art. 29 ust. 3a ustawy Prawo zamówień publicznych, zamawiający wymaga, aby osoby wykonujące zamówienie były zatrudnione przez wykonawcę lub podwykonawcę na podstawie umowy o pracę.

Na podstawie nowego art. 143e ustawy Prawo zamówień publicznych sposób dokumentowania zatrudnienia oraz kontroli spełniania przez wykonawcę lub podwykonawcę wymagań dotyczących zatrudnienia na podstawie umowy o pracę powinien być określony w umowie w sprawie zamówienia publicznego. Zgodnie z ust. 2 tego artykułu zamawiający na podstawie umowy będzie mógł żądać w szczególności:

  • oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę;

  • poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika lub

  • innych dokumentów. 

Powyższe dokumenty będą zawierać dane osobowe niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę oraz zakres obowiązków pracownika.

 

Należy zauważyć, że wskazane reguły weryfikacji zatrudnienia na podstawie umowy o pracę są zbliżone do wspólnego stanowiska Prezesa Urzędu Zamówień Publicznych i Generalnego Inspektora Ochrony Danych Osobowych z 2017 r. dotyczącego zbierania przez zamawiającego danych osobowych pracowników wykonawcy w omówionym celu. Zgodnie z tym stanowiskiem „zamawiający może pozyskiwać takie dane osobowe pracowników, jak: imię i nazwisko, data zawarcia umowy, rodzaj umowy o pracę oraz wymiar etatu. Przyjęcie takiego rozwiązania zapewni realną i efektywną kontrolę spełniania wymogu zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia polegające na wykonywaniu pracy w rozumieniu art. 22 § 1 Kodeksu pracy”.

Wykonawca powinien pamiętać o tym, aby poinformować swoich pracowników o fakcie udostępnienia ich danych osobowych zamawiającemu, wraz ze wskazaniem celu takiego udostępnienia. Również zamawiający jest zobowiązany do spełnienia obowiązku informacyjnego wobec tych osób na podstawie art. 14 RODO.

Nowe prawa i obowiązki stron w zakresie ochrony danych osobowych udostępnianych w ramach zamówień publicznych

W związku z koniecznością nowelizacji przepisów ustawy Prawo zamówień publicznych ustawodawca dodał zapis art. 8a, w którym przewidział modyfikacje sposobu realizacji niektórych praw podmiotu uprawnionego tak, aby spełniały one wymagania narzucone przez RODO. Do nowych uprawnień i obowiązków zaliczyć można w szczególności:

  • przewidzianą w art. 8a ust. 1 ustawy konieczność realizacji obowiązku informacyjnego, o którym mowa w art. 13 RODO, w odniesieniu do zbierania danych od osób, których dane dotyczą: „zamawiający realizuje obowiązki, o których mowa w art. 13 ust. 1–3 rozporządzenia 2016/679, przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy”;

  • wymienione w art. 8a ust. 2 prawo do żądania wskazania dodatkowych informacji, mających na celu sprecyzowanie żądania. W tym przypadku mamy do czynienia z modyfikacją brzmienia uregulowań art. 15 RODO – ustawodawca wskazuje wprost, że „w przypadku gdy wykonanie obowiązków, o których mowa w art.15 ust. 1–3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu”;

  • określone w art. 8a ust. 3 doprecyzowanie uprawnień w zakresie prawa do sprostowania lub uzupełnienia danych, o których mowa w art. 16 RODO. Zgodnie z brzmieniem ww. regulacji wystosowanie żądania sprostowania lub uzupełnienia danych nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego bądź konkursu ani nie może powodować zmiany umowy w zakresie, który jest niezgodny z ustawą;

  • uregulowaną w art. 8a ust. 4 modyfikację przepisu art. 18 RODO w zakresie wystąpienia z żądaniem ograniczenia przetwarzania danych osobowych. Jak wskazuje regulacja przedmiotowego przepisu, wystąpienie z takim żądaniem nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie zamówienia publicznego lub konkursu;

  • wskazane w art. 8a ust. 5 ograniczenie zastosowania przepisów rozporządzenia unijnego, zgodnie z którym to zamawiający dokonuje wyboru jednego z wymienionych w przepisie art. 15 i 18 RODO sposobów informowania o ograniczeniach uprawnień w zakresie osób, których te dane dotyczą. Jak bowiem wskazuje rzeczona regulacja, „zamawiający informuje o ograniczeniach, o których mowa w ust. 2 i 4 oraz art. 97 ust. 1a, na stronie internetowej prowadzonego postępowania lub konkursu, w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub w inny sposób dostępny dla osoby, której dane dotyczą”;

  • wprowadzoną w art. 8a ust. 6 ogólną regulację, która zobowiązuje zamawiającego do zabezpieczenia danych przed ich bezprawnym rozpowszechnieniem. Wskazać przy tym należy, że ten obowiązek nie obejmuje jedynie etapu postępowania o udzielenie zamówienia, ale również odnosi się do stanu po jego zakończeniu.

Zamówienia publiczne a ochrona danych osobowych - podsumowanie

Analiza zmian wprowadzonych w treści ustawy Prawo zamówień publicznych w celu dostosowania trybu przeprowadzania zamówień publicznych do wymogów RODO prowadzi do wniosku, że ustawodawca dążył do utworzenia równowagi pomiędzy ochroną danych osobowych uczestników postępowania przetargowego a zapewnieniem efektywnego funkcjonowania zamówień publicznych (w szczególności w związku z powszechną zasadą jawności).