RODO, które weszło w życie 25 maja, bez wątpienia wpływa także na kwestie związane z procedurami zamówień publicznych. Problem ten zdaje się dostrzegać także UZP, które zamieściło tego dnia na swojej stronie internetowej „Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO.” Problem polega jednak na tym, iż trudno zgodzić się z częścią „zaleceń” w nich formułowanych.
RODO w procedurze przetargowej
Nie ulega żadnej wątpliwości, iż w trakcie prowadzenia przez zamawiającego postępowania o udzielenie zamówienia publicznego dochodzi do przetwarzania danych osobowych. Dane te przetwarzają zarówno wykonawcy jak i zamawiający. Skupmy się jednak na zamawiającym. Będzie on przetwarzać dane: wykonawców (osób fizycznych) oraz członków organów osób prawnych. Będzie także przetwarzać dane personelu wykonawców, które to dane są przez nich przedstawiane na potwierdzenie spełnienia warunków udziału w postępowaniu, dane członków organów wykonawców, podwykonawców itd. itp. Będzie przetwarzać także dane tzw. „osób do kontaktu” wskazywanych w przez wykonawców w ofertach.
Kto jest Administratorem Danych Osobowych w postępowaniu o udzielenie zamówienia publicznego
Aby stwierdzić na kogo i jakie obowiązki nakłada RODO należy zacząć od ustalenia kto jest administratorem danych osobowych.
Zgodnie z art. 4 pkt 7) RODO:
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Z powyższej definicji wynika jasno, iż trzeba odpowiedzieć na pytanie kto wyznacza cele i sposoby przetwarzania danych osobowych w postępowaniu o udzielenie zamówienia publicznego. Szczegółowa analiza ról w jakich w postępowaniu o udzielenie zamówienia publicznego występują wykonawcy oraz zamawiający prowadzić powinna do wniosku, iż administratorem danych osobowych jest zamawiający i to w odniesieniu do wszystkich rodzajów danych pojawiających się w postępowaniu.
W literaturze podkreśla się, iż ustalając osobę administratora trzeba odwołać się przede wszystkim do kategorii funkcjonalnych i jako administratora wskazywać ten podmiot, który ma faktyczny wpływ na wyznaczanie celów i sposobów przetwarzania (zob. np. Lubasz, Dominik, Chomiczewski, Witold, Czerniawski, Michał, Drobek, Piotr, Góral, Urszula, Kuba, Magdalena, Makowski, Paweł i Witkowska-Nowakowska, Katarzyna. Art. 4. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.). W postępowaniu o udzielenie zamówienia publicznego to zamawiający, stosując ustawę – Prawo zamówień publicznych, wyznacza cele dla których przetwarzane są poszczególne dane osobowe. O ile jest on tutaj zasadniczo wykonawcą „woli ustawodawcy” to nie we wszystkich przypadkach żądanie podania konkretnej informacji o danych wynika z ustawy. Ustawa Pzp milczy bowiem o konieczności podawania danych osób kontaktowych. Takiego wymogu nie tworzy także żaden inny akt prawa.
Różne kategorie danych osobowych
Wypada zgodzić się z diagnozą UZP, iż w postępowaniu o udzielenie zamówienia publicznego zamawiający przetwarzać będzie potencjalnie dane pochodzące od dużej liczby podmiotów. Będą to zatem nie tylko wykonawcy, członkowie ich organów, pełnomocnicy, osoby do kontaktu, ale także te same kategorie osób u podwykonawców i podmiotów udostępniających zasoby. Będą to także wystawcy referencji czy zamawiający wcześniej wykonane przez wykonawców usługi. Administratorem wszystkich tych kategorii danych osobowych musi pozostać zamawiający. To on bowiem, wykonując ustawę – Prawo zamówień publicznych, wyznacza cele dla których wszystkie te dane są przez niego przetwarzane. To na musi mieć pełną kontrolę nad możliwością, zakresem i czasem przetwarzania danych. O ile w części przypadków wykonawca powinien wystąpić jako administrator danych na etapie tworzenia oferty i wówczas przeważnie podstawą przetwarzania będzie zgoda osoby, której dane dotyczą (np. personel) o tyle w momencie przekazania danych do zamawiającego podstawa ta ulega zmianie na wskazaną w art. 6 ust. 1 lit. c) lub e) RODO. Nie jest bowiem możliwe utrzymywanie zgody osoby, której dane dotyczą jako podstawy przetwarzania danych przez zamawiającego już choćby z uwagi na jej odwoływalność. Nie jest także możliwe wskazanie innego podmiotu jako administratora danych.
Administrator i podmiot przetwarzający dane na jego zlecenie
Administratorem danych osobowych zgodnie z RODO jest więc ten, który decyduje o celach i środkach przetwarzania danych. Na jego zlecenie jednakże może działać inny podmiot. Jest to tzw. podmiot przetwarzający, będący odbiorcą danych (zob. art. 28 RODO). Pomimo, iż podmiot przetwarzający także ponosi w pewnym zakresie odpowiedzialność za zgodne z prawem przetwarzanie danych, to jest on w zasadzie wyłącznie realizatorem woli administratora.
Obowiązki administratora danych osobowych
RODO nakłada na administratora danych osobowych szereg obowiązków. Podkreślić należy, iż ten najszerzej komentowany obowiązek – obowiązek informacyjny wobec osób, których dane są przetwarzane, obciąża Administratora (zob. art. 13 ust. 1 i art. 14 ust. 1 RODO). Ustalenie Administratora jest istotne nie tylko z powodu właściwego określenia podmiotu, które obciążają wskazane w RODO obowiązki, ale także dlatego, że każda osoba, której dane są przetwarzane powinna zostać poinformowania o osobie administratora (art. 13 ust. 1 lit a) oraz art. 14 ust. 1 lit. a) RODO).
Stanowisko UZP
W tym kontekście z pewnym zaskoczeniem można zauważyć, iż UZP w swym stanowisku wskazuje jakoby zamawiający powinien od wykonawcy żądać oświadczenia o spełnieniu obowiązku informacyjnego wobec personelu wymienionego w ofercie. Ponieważ obowiązek informacyjny zawsze obciążą administratora wniosek jest z tego taki, iż w tym zakresie przynajmniej UZP widzi administratora danych osobowych w wykonawcy. Kim zatem by był zamawiający? Jeżeli podmiotem przetwarzającym to powinien przystąpić do przetwarzania wyłącznie po podpisaniu z wykonawcą (rzekomym administratorem) umowy o powierzeniu przetwarzania danych osobowych. Co więcej, byłby związany jego wymaganiami i żądaniami w zakresie sposobu i celów przetwarzania ale także i czasu przetwarzania danych. Jest jeszcze jedna możliwość. Być może UZP widzi w zamawiającym współadministratora danych (art. 26 RODO). Wówczas jednak, czego by miała dotyczyć informacja jaką ów wykonawcy miałby przedstawić swemu personelowi? Czy znałby on np. informacje o odbiorcach danych osobowych (art. 14 ust. 1 lit. e) RODO), którym zamawiający takie dane by mógł udostępnić? Pomijam już brak wiedzy o większości z informacji wymaganych w art. 14 RODO. Koncepcja współadministrowania mogłaby najbardziej pasować do sytuacji wykonawcy i zamawiającego. Także wówczas jednak zamawiający po wejściu w posiadanie danych powinien moim zdaniem uzupełnić informację, którą wcześniej przekazał tym osobom wykonawca.
Znamienne jest, iż w Wytycznych UZP pominięto w zasadzie role poszczególnych uczestników postępowania jakie odgrywają oni na gruncie przepisów RODO. Jedynie w kontekście danych wykonawców jasno wskazano, iż administratorem jest zamawiający.
Wątpliwości prawne
UZP zdaje się zupełnie nie dostrzegać różnic pomiędzy administratorem danych a podmiotem przetwarzającym. Co więcej zdaje się zupełnie nie dostrzegać, iż wykonawca który miałby rzekomo przedstawiać informację swojemu personelowi nie jest w stanie tego wykonać zgodnie z wymogami RODO. Zdaje sie także pomijać, iż obowiązek informacyjny nie ma charakteru bezwzględnego. Nie bez znaczenia jest tutaj art. 14 ust. 5 RODO wyłączający obowiązek informacyjny w sytuacji, gdy wymagałoby to niewspółmiernie dużego wysiłku. Zwrócić należy uwagę, iż w przypadku personelu wykonawcy, a więc osób, do których art 14 RODO ma zastosowanie, spełnienie obowiązku informacyjnego wymagałoby dodatkowego przetwarzania danych. Zamawiający nie jest bowiem w posiadaniu ich danych kontaktowych. Posiada wyłącznie imię i nazwisko. Dążenie do pozyskania dodatkowych danych (zbędnych do realizacji celów przetwarzania) stałoby w sprzeczności z zasadą minimalizacji danych. Wymagałoby także bez wątpienia dużego wysiłku w ustaleniu pewnego kanału kontaktu z daną osobą. Choć może to budzić pewne wątpliwości, w kontekście interpretacji terminu „dużego wysiłku”, dokonanej w motywie 62 RODO. Jeżeli jednak konieczność pozyskania dodatkowych danych osobowych w postaci adresu nie wypełniałaby dyspozycji art. 14 ust. 5 RODO to z pewnością stałaby w sprzeczności z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c) RODO). Warto także zwrócić uwagę na motyw 57 RODO, w którym mowa jest o odstąpieniu od obowiązku informacyjnego wówczas, gdy administrator nie posiada danych wystarczających do pełnej identyfikacji osoby.
Brak podstaw do żądania oświadczenia wykonawcy
Niestety wbrew stanowisku zaprezentowanemu przez UZP wydaje się, iż nie ma uzasadnienia żądanie przez zamawiającego oświadczenia wykonawcy o spełnieniu obowiązku informacyjnego wobec osób, których dane podaje w ofercie.
Po pierwsze wątpliwa jest podstawa prawna żądania takiego dokumentu. Nie jest to w mojej opinii dokument niezbędny do przeprowadzenia postępowania, tym bardziej, że obowiązek informacyjny w tym wypadku spoczywa raczej na zamawiającym (administrator) a nie wykonawcy.
Po drugie wykonawca nie jest stanie wykonać obowiązku informacyjnego „za zamawiającego” tak by możliwe było powołanie się przez tego ostatniego na art. 14 ust. 5 lit. a) RODO, z powodu obiektywnego braku wystarczających informacji. Zgodnie z art. 14 ust. 1 RODO informacja przekazywana osobie, której dane dotyczą winna obejmować:
- tożsamość administratora i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowychodbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Bez zbyt dokładnej analizy widać już, iż wykonawca nie może posiadać wystarczającej wiedzy przynajmniej o informacjach wskazanych w pkt b, e, g oraz m. Skąd wykonawca może wiedzieć kto może być potencjalnym odbiorcą danych osobowych, komu zamawiający chciałby móc je przekazywać? Skąd mógłby wiedzieć, czy w tym konkretnym przypadku zamawiający nie planuje przekazywania danych do państw trzecich chociażby w celu wypełniania obowiązków sprawozdawczych wobec grantodawcy. Podobnie skąd miałby posiadać informację okresie przez jaki zamawiający zamierza przetwarzać dane osobowe, a więc choćby je przetrzymywać. Na pewno nie można go ustalić na podstawie przepisów ustawy – Prawo zamówień publicznych.
Jednocześnie ponieważ za prawidłowe wykonanie obowiązku informacyjnego zawsze odpowiada administrator nie sposób nie zauważyć, iż żądanie przekazywania bliżej nie sprecyzowanego zakresu informacji przez wykonawcę (z którym nie łączy zamawiającego żaden stosunek prawny), może oznaczać dość duże ryzyko po stronie zamawiającego-administratora.
Brak obowiązku złożenia oświadczenia przez wykonawcę
Ponieważ ani ustawa – Prawo zamówień publicznych ani RODO nie przewiduje obowiązku składania tego rodzaju oświadczenia to jego złożenie zależy wyłącznie od dobrej woli wykonawcy. Zamawiający nie tylko nie ma w mojej opinii prawa żądać takiego oświadczenia ale też nie ma prawa wyciągnąć negatywnych konsekwencji wobec wykonawcy, który go nie złoży.
Zgodzić się należy z diagnozą UZP, iż na wykonawcach także spoczywa obowiązek informacyjny wobec osób, których dane pozyskuje do oferty. Jest to jednak obowiązek związany z wejściem w posiadania danych na zupełnie innej podstawie prawnej niż zamawiający i informacja, która powinna być przedstawiona tym osobom nie ma treści zbieżnej z tą, którą powinien przedstawić zamawiający.
Dostęp do protokołu postępowania
UZP stwierdza także, iż „Kierując się treścią procedowanych obecnie przepisów ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 oraz w nawiązaniu do przewidzianego przepisami ustawy Pzp uprawnienia zamawiających do pozyskiwania takich informacji od wykonawców, zarówno w ramach przedstawianych przez nich informacji z KRK, jak również w ramach instytucji tzw. self-cleaningu, zalecamy udostępnianie przez zamawiających takich danych tylko tym podmiotom, którym przysługuje prawo do korzystania ze środków ochrony prawnej, a także zobowiązanie osób, które są uprawnione do przetwarzania takich danych (również po stronie zamawiającego), do zachowania poufności w zakresie uzyskanej w ten sposób wiedzy.”
O ile kwestia odpowiedniego zobowiązania pracowników zamawiającego jest bezdyskusyjna o tyle dość zaskakujące jest sugerowania ograniczenia jawności postępowania „treścią procedowanych przepisów”, a więc takich które jeszcze nie obowiązują. Wydaje się, że to zbyt błahe uzasadnienie dla tak znacznego ograniczenia dostępu do informacji publicznej. Warto jednocześnie zwrócić uwagę, iż zgodnie z art. 10 RODO przetwarzanie danych dotyczących skazania lub naruszeń prawa wolno dokonywać wyłącznie „pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem” krajowym. Sformułowanie „nadzór” nie oznacza wyłączenia jawności ale przede wszystkim kontrolę tego, komu się udostępnia owe dane i zasad udostępniania. Warto zwrócić uwagę, iż katalog podmiotów, które mogą uzyskać informacje z KRK jest zamknięty i wskazany w art. 6 oraz 7 ustawy o krajowym rejestrze sądowym. Informacje z KRK załączane do ofert pozyskiwane są na podstawie art 7 ustawy, zgodnie z którym każdy ma prawo do do uzyskania informacji, czy jego dane osobowe zgromadzone są w KRK. Tym samym należałoby uznać, iż składając informację z KRK w postępowaniu o udzielenie zamówienia publicznego dana osoba wyraża zgodę (choć precyzyjniej byłoby chyba powiedzieć o przekazaniu tych danych w celu przetwarzania na podstawie art. 6 ust. 1 lit. c lub e RODO ze świadomością możliwości ujawnienia) na jej udostępnianie osobom trzecim na zasadach określonych zarówno w przepisach ustawy – Pzp i aktów wykonawczych jak i przepisach o dostępie do informacji publicznej. Dla uczciwości trzeba jednak zwrócić uwagę, iż RODO nie przewiduje zgody dorozumianej. Niemniej jednak ponieważ mówimy co do zasady o osobach „decyzyjnych” w strukturze wykonawcy albo wręcz o nim samym trudno by było stwierdzić, iż nie obejmują one swoją świadomością możliwości ujawnienia tych danych.
Nie ulega wątpliwości, iż ustawa – Prawo zamówień publicznych nie została dostosowana do wymogów RODO. Nie ona jedna. Interpretacja, czy wskazówki sformułowane przez UZP wydają się być jednak zbyt daleko idące i niekoniecznie znajdujące oparcie w aktualnie obowiązujących przepisach. Wypada mieć nadzieję, że procedowane przepisy, do których odwołuje się UZP dostosują ustawę do wymogów RODO w sposób przemyślany, a nie prowadzący do drastycznego ograniczenia jawności postępowania „na wszelki wypadek”.
Bez wątpienia problem dostosowania ustawy – Prawo zamówień publicznych do wymagań RODO wymaga analizy znacznie głębszej niż niniejszy publicystyczny tekst. Wydaje się jednak, iż sugerowany przez UZP tok postępowania nie tylko nie prowadzi do spełnienia wymogów w zakresie informowania, określonych w RODO, ale także będzie powodował poważne problemy proceduralne. Wystarczy bowiem poczekać na pierwszego zamawiającego, który zdecyduje się na wykluczenie wykonawcy (a może odrzucenie jego oferty), który nie złoży oświadczenia o treści sugerowanej przez UZP. Wyrok KIO w takiej sprawie również może być interesujący.
Oferta szkoleń wewnętrznych dla Wykonawców i Zamawiających