ochrona danych osobowych

Nowe przepisy o ochronie danych osobowych na gruncie PZP

Aktualności, Zamówienia w praktyce, , , , , , Możliwość komentowania Nowe przepisy o ochronie danych osobowych na gruncie PZP została wyłączona

W dniu 22 lutego 2019 r. została uchwalona Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („Ustawa zmieniająca”, „Ustawa nowelizująca”). Nowelizacja stanowi drugi etap procesu wdrożenia w krajowym porządku prawnym przepisów RODO.

Rządowy projekt ww. Ustawy zmieniającej trafił do Sejmu w listopadzie 2018 r.

Do istotnych zmian, które mają nastąpić w związku z wejściem w życie Ustawy zmieniającej należałoby zaliczyć zmiany w Kodeksie pracy, Kodeksie postępowania administracyjnego, a także w ustawie Prawo zamówień publicznych („PZP”).

Na łamach portalu zamowienia.org.pl w kwietniu ubiegłego roku został opublikowany artykuł nt. „Ochrony danych osobowych w zamówieniach publicznych a Rozporządzenie RODO”, w którym poruszyliśmy istotne kwestie związane z wejściem w życie ww. rozporządzenia w odniesieniu do zamówień publicznych. Dopiero jednak Ustawa nowelizująca wprowadza jasne i klarowne zasady odnośnie ochrony danych osobowych, jakimi powinny się kierować podmioty biorące udział w postępowaniu o udzielenie zamówień publicznych oraz konkursów. Przetwarzanie danych osobowych występuje bowiem w zasadzie na każdym etapie procesu udzielania zamówienia publicznego, korzystania ze środków ochrony prawnej, zawarcia i wykonywania umowy, udostępniania dokumentacji postępowania przez zamawiających, co w konsekwencji prowadzi do wniosku, że jest ono ściśle powiązane z wymaganiami, które zostały określone w PZP.

Szczególny charakter przepisów dot. zamówień publicznych wiąże się zatem z koniecznością dostosowania PZP do przepisów RODO w sposób odpowiednio zmodyfikowany. Ustawa nowelizująca stanowi próbę sprzężenia przepisów zawartych w obu regulacjach i jednocześnie w odniesieniu do zamówień publicznych w dużej mierze modyfikuje ogólne zasady ochrony danych osobowych obowiązujące na gruncie RODO.

Ograniczenie ogólnej zasady jawności postępowania w zakresie zamówień publicznych

Zgodnie z treścią art. 8 ust. 1 i 2 PZP, postępowanie o udzielenie zamówienia jest jawne, zaś zamawiający może ograniczyć dostęp do informacji z tym postępowaniem związanych wyłącznie w przypadkach określonych w ustawie.

Obecnie dane osobowe są chronione wyłącznie na podstawie art. 8 ust. 4 PZP, przewidującego możliwość wyłączenia jawności danych osobowych, jeżeli jest to uzasadnione ochroną prywatności lub interesem publicznym. Z powyższego wynika, że w zasadzie wszelkie pozostałe dane osobowe osób fizycznych, które zostały zebrane w toku postępowania (lub konkursu) zawarte w dokumentacji postępowania są jawne, co sprowadza się do nieograniczonej możliwości dostępu do nich.

Powyższa zasada wywodząca się z konstytucyjnej zasady jawności ponadto jest ściśle związana z wyartykułowaną w treści przepisów PZP zasadą przejrzystości, co jedynie wzmacnia wyjątkowy charakter ograniczenia jawności postępowania i jednocześnie naraża dane osobowe osób fizycznych, które zostały zebrane w toku postępowania, na ich udostępnienie szerokiemu gronu odbiorców.

W odniesieniu do powyższego, mając przy tym na względzie konieczność zagwarantowania efektywnego udzielania zamówień publicznych, niezbędnym zdaje się wprowadzenie przepisów zapewniających ochronę danych osób fizycznych skorelowaną z ochroną tych danych na gruncie RODO.

Artykuł 72 Ustawy nowelizującej zasadniczo nie wprowadza zmian w dotychczasowych przepisach PZP, ale dodaje nowe regulacje, w tym m. in. art. 8a, który stanowi najbardziej rozbudowany przepis dostosowujący przepisy RODO do specyfiki zamówień publicznych.

Ustawodawca w ust. 1 ww. przepisu dąży do przystosowania regulacji prawnych zawartych w PZP do obowiązku informacyjnego, o którym mowa w treści art. 13 ust. 1-3 RODO. Zgodnie z treścią art. 13 RODO, na administratorze danych ciąży obowiązek przekazania osobie, której dane dotyczą, pewnych informacji w sytuacji zbierania danych osobowych od osoby, której dane dotyczą, a które są istotne z punktu widzenia procedury zbierania danych i ich dalszego przetwarzania. Ustawodawca nie wymaga jednak, aby informacje były przekazywane każdorazowo indywidualnie, a za wystarczające uznaje zawarcie ich w specyfikacji, ogłoszeniu o zamówieniu lub konkursie, regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy.

Z ogólnej zasady jawności postępowania wynika, że zamawiający ma prawo i obowiązek ujawniania wszystkich danych osobowych, które znajdują się w dokumentacji postępowania, w tym w ofercie oraz dokumentach podmiotowych przekazywanych przez wykonawcę w postępowaniu. Ustawodawca zdecydował się jednak na doprecyzowanie zasady jawności w zamówieniach publicznych w kontekście udostępniania danych osobowych zebranych w toku postępowania o udzielenie zamówienia lub konkursu i wprowadził do art. 96 PZP ust. 3a. Zgodnie z jego treścią, z uwagi na treść art. 96 ust. 2 PZP, zasada jawności obejmuje zebrane dane, które zostały zawarte w protokole lub załącznikach do protokołu (a więc także w ofertach i dokumentach przekazywanych przez wykonawcę w toku postępowania), które najczęściej zawierają dane osobowe. Z uwagi na to, jak szeroki zakres danych objęty jest zasadą jawności, art. 96 ust. 3a PZP jednocześnie wprowadza ograniczenie i wyłącza spod obowiązywania tej zasady tzw. dane wrażliwe, o których mowa w art. 9 ust. 1 RODO.

Konsekwencją wprowadzenia art. 18 ust. 2 PZP jest również art. 96 ust. 3b PZP. Możliwość ograniczenia dostępu do informacji związanych z postępowaniem o udzielenie zamówienia zgodnie z art. 18 ust. 2 PZP może mieć miejsce wyłącznie w przypadkach określonych w ustawie. Z uwagi na powyższe, konieczne było odesłanie do przepisów RODO, które w praktyce mają być podstawą do ograniczenia zasady jawności poprzez ograniczanie udostępniania protokołu i załączników do protokołu na żądanie osoby, której dane są w tych dokumentach zawarte.

Modyfikacja prawa dostępu do informacji

Podobnie jak w omawianym wyżej art. 8a ust. 1 PZP, mając na względzie potrzebę ograniczenia obowiązków o charakterze administracyjnym i nadmiernego obciążania zamawiających, w art. 8a ust. 2 przewidziano zmodyfikowaną wersję prawa dostępu, o którym mowa w art. 15 RODO. Zgodnie bowiem z treścią ust 2, jeżeli realizacja obowiązku, o którym mowa w art. 15 RODO wymagałaby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu. Analogiczne ograniczenie wprowadzono w zakresie art. 97 PZP dotyczącego przechowywania protokołu i załączników po zakończeniu postępowania o udzielenie zamówienia.

Jednocześnie, konsekwencją wprowadzenia art. 8a ust. 1 i 2 oraz art. 97 ust. 1a PZP, które są niezbędne do stosowania niektórych przepisów RODO, a których celem jest niejako dostosowanie sposobu realizacji uprawnień wynikających z tych przepisów do specyfiki przepisów PZP, jest wprowadzenie ust. 5 do treści ww. przepisu. Zgodnie z art. 8a ust. 5 PZP, zamawiający ma możliwość wyboru sposobu informowania o ograniczeniach uprawnień osób, których dane dotyczą. Katalog otwarty wskazany w omawianym artykule umożliwia dokonanie publikacji informacji na stronie internetowej prowadzonego postępowania lub konkursu, w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub w inny sposób dostępny dla osoby, której dane dotyczą. Jednocześnie, swoboda w wyborze sposobu informowania, niezmiennie będzie musiała uwzględniać treść art. 12 RODO, zgodnie z którym informacje te będą musiały być zamieszczone w łatwo dostępnej formie i opisane przejrzystym, jasnym, prostym i zrozumiałym językiem.

Ograniczenie przepisów RODO na gruncie PZP

Wprowadzane zmiany doprecyzowują również, że skorzystanie przez osobę, której dane dotyczą z uprawnienia przysługującego na gruncie art. 16 RODO do sprostowania lub uzupełnienia danych osobowych nieprawidłowych lub niekompletnych ma charakter ograniczony na gruncie PZP. Zgodnie bowiem z ust. 3 omawianego przepisu, skorzystanie z tego uprawnienia, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą. Jednocześnie, zgodnie z projektowanym art. 97 ust. 1b PZP, skorzystanie z ww. uprawnień nie może skutkować ingerencją w treść przechowywanego protokołu oraz jego załączników. Ograniczenie to jest szczególnie istotne z uwagi na to, że dokumentacja ta jest przechowywana głównie w interesie publicznym, w szczególności w celach kontrolnych, zatem jakakolwiek ingerencja w treść protokołu nie jest możliwa, nawet w celu realizacji uprawnień z art. 16 RODO.

Biorąc pod uwagę specyfikę zamówień publicznych, które są realizowane w interesie publicznym oraz konieczność zapewnienia efektywnego procesu udzielania zamówień publicznych, ustawodawca ograniczył również zakres zastosowania art. 18 RODO, blokując możliwość żądania ograniczenia przetwarzania danych przez osobę, której dane te dotyczą, do czasu zakończenia postępowania o udzielenie zamówienia publicznego lub konkursu.

Większa ochrona danych dot. wyroków skazujących i naruszeń prawa

Art. 23 ust. 2 lit. d i g RODO przewiduje możliwość ograniczenia przez państwa członkowskie istotnej części obowiązków i uprawnień określonych we wcześniejszych przepisach rozporządzenia w celach, które mają ściśle publiczny charakter. Ogólną regulacją wymaganą przez ww. przepis jest art. 8a ust. 6, zgodnie z którym zamawiający zabezpiecza dane osobowe przed bezprawnym rozpowszechnianiem. Przepis ten będzie miał docelowo zastosowanie do wszelkich przypadków przetwarzania danych na gruncie zamówień publicznych, w szczególności w odniesieniu do danych dot. wyroków skazujących i naruszeń prawa (które mogą być zawarte w szczególności w przedkładanych przez wykonawcę informacjach z Krajowego Rejestru Karnego), które powinny być odpowiednio zabezpieczone.

Ustawodawca zdecydował się również na wprowadzenie wymogu dodatkowego zabezpieczenia praw i wolności osób, których dane dotyczą, w przypadku przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa. Zgodnie z art. 8a ust. 7 PZP, do przetwarzania określonych danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie, które są zobowiązane do zachowania poufności.

Wymóg ten stanowi realizację wymagań stawianych państwom członkowskim na gruncie art. 10 RODO, których prawo powinno nie tylko stanowić podstawę prawną do przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa, ale również powinno przewidywać zabezpieczenia praw i wolności osób, których dane dotyczą.

Podział obowiązków administratorów danych osobowych

Proponowane zmiany obejmują również art. 11 PZP, który dotyczy zamieszczania i publikowania ogłoszeń.

Dodaje się art. 6a oraz 6b, które stanowią niejako doprecyzowanie podziału zakresu obowiązków realizowanych przez administratorów danych osobowych, którymi są Prezes Urzędu Zamówień Publicznych oraz zamawiający. Z uwagi na to, że to zamawiający zamieszcza ogłoszenia m.in. w Biuletynie Zamówień Publicznych, to do niego – zgodnie z proponowanym ust. 6a – będą kierowane wnioski o sprostowanie danych oraz uzupełnienie danych niekompletnych, jak również wobec nich możliwe będzie korzystanie z prawa do uzyskania informacji, o których mowa w art. 15 RODO.

Rola Prezesa UZP będzie się natomiast sprowadzać do zapewnienia technicznego utrzymania systemu teleinformatycznego, przy użyciu którego udostępniany jest BZP. Zgodnie z art. 11 ust. 6b PZP, Prezes UZP będzie również zobligowany do określania w wewnętrznych regulacjach okresów przechowywania danych osobowych zamieszczanych w BZP.

Uprawnienia kontrolne zamawiającego

Ustawa nowelizująca wprowadza również zmiany w przepisach działu IV PZP dotyczących umów w sprawach zamówień publicznych.

Ustawodawca wprowadza art. 143 e, którego celem jest jednoznaczne uregulowanie problematyki kontroli spełnienia przez wykonawcę wymogu zatrudnienia personelu na podstawie umowy o pracę, zgodnie z art. 29 ust. 3a PZP. Nowa regulacja usuwa dotychczasowe wątpliwości, jakich dokumentów może żądać zamawiający od wykonawcy na potwierdzenie spełnienia powyższego wymogu. Art. 143 e ust. 2 PZP stanowi wprost, że zamawiający będzie uprawniony do żądania:

1)  oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,

2)  poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika, oraz

3) innych dokumentów

zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności: imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę,  zakres obowiązków pracownika.

***

Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia.

Autor: Joanna Nowak, Kancelaria Wawrzynowicz & Wspólnicy Sp.k.

Ochrona danych osobowych w zamówieniach publicznych a Rozporządzenie RODO

Aktualności, Zamówienia w praktyce, , , , , , , , , Możliwość komentowania Ochrona danych osobowych w zamówieniach publicznych a Rozporządzenie RODO została wyłączona

W artykule „Nowe obowiązki administratorów danych osobowych w świetle Rozporządzenia RODO” omówione zostały obowiązki wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Rozporządzenie RODO), które wejdzie w życie z dniem 25 maja 2018 r. Nowe, rewolucyjne regulacje w zakresie ochrony danych osobowych będą miały niewątpliwie także istotny wpływ na proces udzielania i realizacji zamówień publicznych.

Poniżej wskazujemy kilka istotnych kwestii związanych z wejściem w życie Rozporządzenia RODO w odniesieniu do zamówień publicznych:

  1. Weryfikacja zdolności wykonawcy do przetwarzania danych osobowych na etapie postępowania

Art. 28 ust. 1 Rozporządzenia RODO stanowi, iż należy korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. W świetle art. 24 ust. 1 Rozporządzenia to zamawiający jako administrator danych ma obowiązek zagwarantowania, aby przetwarzanie odbywało się zgodnie z Rozporządzeniem. Zamawiający powinien zatem już na etapie postępowania przewidzieć odpowiednie zapisy pozwalające zweryfikować wykonawców przed podpisaniem umowy. Naruszenie tego obowiązku przez administratora danych zagrożone jest zgodnie z Art. 83 ust. 4 Rozporządzenia RODO dotkliwą karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W świetle regulacji ustawy PZP oraz Rozporządzenia RODO zamawiający jako administrator danych osobowych musi zatem ustalić warunki udziału w postępowaniu w taki sposób, aby z jednej strony zapewnić udział podmiotów o odpowiednim doświadczeniu, ale jednocześnie nie naruszyć zasad uczciwej konkurencji i proporcjonalności i nie ograniczyć w sposób nieuprawniony dostępu wykonawców do zamówienia.

Wydaje się, że najbardziej właściwym sposobem zweryfikowania prawidłowości oferowanych przez wykonawcę usług w świetle Rozporządzenia RODO będzie żądanie certyfikatów RODO, tzn. zaświadczeń o zgodności istniejących w przedsiębiorstwie systemów przetwarzania danych osobowych z Rozporządzeniem RODO. Certyfikaty te przewidziane są w art. 42 ust. 1 Rozporządzenia RODO, zawierającego zachętę dla państw członkowskich do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych. Certyfikacja taka nie będzie jednak obowiązkowa.

Zgodnie z planami Ministerstwa Cyfryzacji w Polsce takie certyfikaty ma wydawać Prezes Urzędu Ochrony Danych Osobowych (Urząd ma powstać po wejściu w życie Rozporządzenia RODO), a także firmy prywatne, akredytowane przez Polskie Centrum Akredytacji. W opinii resortu podmioty dysponujące certyfikatem RODO powinny być następnie korzystniej traktowane w postępowaniach przetargowych.

Kwestia ta budzi liczne wątpliwości. Niewątpliwie zamawiający może zażądać przedstawienia przez wykonawcę certyfikatu RODO. Jest to możliwe na podstawie § 13 ust. 1 pkt 2) Rozporządzenia w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia, zgodnie z którym zamawiający może w celu potwierdzenia, że oferowane roboty budowlane, dostawy lub usługi odpowiadają określonym wymaganiom, zażądać przedstawienia przez wykonawcę certyfikatu wydanego przez jednostkę oceniającą zgodność lub sprawozdania z badań przeprowadzonych przez tę jednostkę, jako środka dowodowego potwierdzającego zgodność z wymaganiami lub cechami określonymi w opisie przedmiotu zamówienia, kryteriach oceny ofert lub warunkach realizacji zamówienia.

W sprawie tej wypowiedział się Urząd Zamówień Publicznych, w dniu 15 lutego 2018 r. dla Gazety Prawnej. Zdaniem UZP certyfikaty RODO mogą być brane pod uwagę zarówno jako warunek udziału w postępowaniu, jak i kryteria oceny ofert, ale tylko wówczas, gdy przedmiot zamówienia ma związek z ochroną danych osobowych. W przeciwnym wypadku należy przyjąć, że przedsiębiorca w ramach własnej działalności gospodarczej i tak musi wypełniać obowiązki wynikające z RODO, a więc nie ma podstaw do stawiania dodatkowych warunków udziału w postępowaniu związanych z tymi kwestiami, szczególnie biorąc pod uwagę dobrowolność certyfikacji. UZP stwierdził, że w świetle treści art. 22 ust. 1a i 1b PZP, jeżeli przedmiot zamówienia nie dotyczy RODO, warunek udziału w postępowaniu odnoszący się do obowiązku wykazania się przez wykonawców certyfikatem RODO wydaje się nadmierny i może być uznany za ograniczający konkurencję i utrudniający dostęp do zamówienia, zwłaszcza podmiotom z sektora MŚP.

Podobnie należy ocenić kwestię kryteriów oceny ofert odnoszących się do certyfikacji RODO, ustanowienia inspektora ochrony danych osobowych czy też ukształtowania w przedsiębiorstwie wykonawcy procesów związanych z ochroną danych, które mogą być uznane za zasadne jedynie wówczas, gdy przedmiot zamówienia jest związany z przetwarzaniem danych osobowych.

  1. Odpowiednie zapisy w opisie przedmiotu zamówienia

Zamawiający dokonując opisu przedmiotu zamówienia związanego z przetwarzaniem danych osobowych, powinien już od samego początku tworzenia dokumentacji postępowania brać pod uwagę prywatność osoby fizycznej i odpowiednie zabezpieczenie jej praw i wolności, jej danych osobowych, a co za tym idzie także gospodarowanie nimi – już pod kątem zapisów Rozporządzenia RODO i wynikających z niego obowiązków administratora danych osobowych. Odpowiednie zapisy powinny znaleźć się nie tylko w warunkach udziału w postępowaniu i kryteriach oceny ofert, ale w szczególności w opisie przedmiotu zamówienia i we wzorze umowy.

Zgodnie z Motywem 78 preambuły Rozporządzenia RODO, jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. W Rozporządzeniu wskazano wprost, że zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.

Także Art. 25 Rozporządzenia zobowiązuje do uwzględniania ochrony danych w fazie projektowania oraz do domyślnej ochrony danych.

  1. Odpowiednie ukształtowanie treści wzorów umów/podstawowych postanowień umownych w nowo ogłaszanych postępowaniach

Wiele umów, w szczególności o świadczenie usług, wiąże się z powierzeniem wykonawcy przetwarzania danych osobowych – przykładowo mogą to być liczne usługi związane z systemami IT.

Zgodnie z art. 28 ust. 3 Rozporządzenia RODO przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Wszystkie umowy o zamówienie publiczne, które będą wiązały się z powierzeniem przetwarzania danych osobowych wykonawcy, muszą zawierać zatem stosowne zapisy gwarantujące spełnienie obowiązków wynikających z Rozporządzenia RODO. Dodatkowo – z uwagi na wspomnianą powyżej wysokość kar z tytułu naruszenia wymogów tego Rozporządzenia – zamawiający powinien przewidzieć w umowie stosowne kary umowne w przypadku naruszeń zasad ochrony danych osobowych z winy wykonawcy.

Należy też zwrócić uwagę, że ze względu na niejasność wielu zapisów Rozporządzenia RODO i możliwość pojawienia się nowych przepisów, interpretacji czy wytycznych, zamawiający powinien zapewnić elastyczność zawieranych umów, przy czym najbezpieczniejszym rozwiązaniem będzie przewidzenie zgodnie z art. 144 ust. 1 pkt 1) PZP możliwości zmiany zakresu świadczeń wykonawcy czy też zmiany sposobu realizacji umowy, w sytuacji nie tylko zmian przepisów prawa, ale też pojawienia się nowych interpretacji i wytycznych.

  1. Realizacja zawartych wcześniej umów związanych z powierzeniem przetwarzania danych osobowych

Wszystkie umowy zawarte przed dniem w życie Rozporządzenia RODO muszą zostać dostosowane do przepisów Rozporządzenia. Wynika to z Art. 99 ust. 2 Rozporządzenia, wskazującego na datę 25 maja 2018 r., od której Rozporządzenie ma być stosowane. Wprawdzie w Motywie 171 określono, iż „przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów”, jednak w piśmiennictwie podkreśla się, że okres przejściowy trwa jedynie do dnia 24 maja 2018 r. i od następnego dnia wszelkie działania związane z przetwarzaniem danych osobowych muszą być zgodne z nowymi regulacjami.

Jak wskazano wyżej, art. 28 ust. 3 Rozporządzenia RODO określa zakres obowiązków podmiotu, któremu powierzone zostało przetwarzanie danych osobowych. Jeśli zatem Zamawiający nie przewidział wcześniej w umowie nowych obowiązków wynikających z Rozporządzenia RODO, powinien taką umowę przeanalizować i w razie konieczności odpowiednio aneksować. Kwestię dopuszczalności zmiany umowy należy dodatkowo każdorazowo zweryfikować w świetle treści art. 144 PZP. Przesłankami potencjalnie umożliwiającymi aneksowanie umów mogą być m.in.:

  • przewidzenie zmiany w ogłoszeniu o zamówieniu lub w SIWZ zgodnie z art. 144 ust. 1 pkt 1) PZP,
  • konieczność zmiany umowy lub umowy ramowej spowodowana okolicznościami, których zamawiający, działając z należytą starannością, nie mógł przewidzieć, zgodnie z art. 144 ust. 1 pkt 3) PZP,
  • zmiana nieistotna w rozumieniu art. 144 ust. 1e) PZP (art. 144 ust. 1 pkt 5) PZP),
  • łączna wartość zmian mniejsza niż kwoty określone w przepisach wydanych na podstawie art. 11 ust. 8 i jest mniejsza od 10% wartości zamówienia określonej pierwotnie w umowie w przypadku zamówień na usługi lub dostawy albo, w przypadku zamówień na roboty budowlane – mniejsza od 15% wartości zamówienia określonej pierwotnie w umowie (art. 144 ust. 1 pkt 6) PZP).

  1. Dane osobowe w procedurze udzielenia zamówienia

W opinii „Dane osobowe wykonawców zamieszczane w Biuletynie Zamówień Publicznych” Urząd Zamówień Publicznych dokonał analizy zgodności z przepisami dotyczącymi ochrony danych osobowych (w wersji obowiązującej przed wejściem w życie Rozporządzenia RODO) podawania w oficjalnych publikatorach (w tym przypadku w Biuletynie Zamówień Publicznych) informacji o danych dotyczących wykonawcy, któremu zostało udzielone zamówienie.

UZP stwierdził, że przepisy ustawy PZP są przepisami szczególnymi w stosunku do ustawy o ochronie danych osobowych, co skutkuje brakiem obowiązku uzyskiwania zgody na przetwarzanie danych osobowych wykonawców biorących udział w postępowaniu o udzielenie zamówienia publicznego. UZP jest zatem uprawniony do przetwarzania danych, w tym danych osobowych, ze względu na wypełnianie w ten sposób obowiązku wynikającego z przepisu prawa tj. art. 11 ust. 1 pkt. 1 PZP oraz rozporządzenia wykonawczego w sprawie wzorów ogłoszeń zamieszczanych w Biuletynie Zamówień Publicznych narzucającego określony wzór ogłoszenia o udzieleniu zamówienia, prowadzący do ujawnienia danych osobowych wykonawcy zamówienia. UZP stwierdził ponadto, iż „Podmioty deklarujące zamiar udziału w postępowaniu o udzielenie zamówienia publicznego z założenia godzą się na określone prawem uwarunkowania związane z ich udziałem w postępowaniu, w tym na upublicznienie informacji zawierających ich dane osobowe w przypadku udzielenia im zamówienia, a w przypadku trybów: negocjacji bez ogłoszenia oraz zamówienia z wolnej ręki także przed udzieleniem zamówienia publicznego. Tym samym, dane takie w odniesieniu do faktu publikacji nie podlegają ścisłej ochronie wynikającej z ustawy o ochronie danych osobowych”.

Wydaje się, że opinia ta zachowa swoją aktualność także w świetle Art. 6 Rozporządzenia RODO, jednak należy oczekiwać dodatkowych interpretacji kwestii ograniczenia zasady jawności postępowania poprzez ochronę danych osobowych. Dotyczy to nie tylko informacji publikowanych w ogłoszeniach, ale też innych danych zawartych w ofertach, przykładowo w informacji z Krajowego Rejestru Karnego.

Podobna sytuacja ma miejsce w przypadku danych osobowych pozyskiwanych w związku z klauzulami społecznymi przewidzianymi w PZP. Zgodnie z art. 29 ust. 3a PZP zamawiający zobowiązany jest określić w opisie przedmiotu zamówienia na usługi lub roboty budowlane wymagania zatrudnienia osób wykonujących wskazane przez zamawiającego czynności na podstawie umowy o pracę. Należy zwrócić uwagę, że przepis ten ustanawia nie uprawnienie, a obowiązek zamawiającego, jeśli te czynności polegają na wykonywaniu pracy w sposób określony w art. 22 § 1 Kodeksu pracy.

Regulacja wywołała liczne dyskusje dotyczące możliwości praktycznej weryfikacji spełnienia w/w obowiązku przez wykonawcę, co zaowocowało wspólnym stanowiskiem Prezesa UZP i Głównego Inspektora Ochrony Danych Osobowych. Zgodnie z nim, w stanie prawnym obowiązującym do czasu wejścia w życie Rozporządzenia RODO, dla skutecznej weryfikacji spełnienia obowiązku z art. 29 ust. 3a PZP „zamawiający może pozyskiwać takie dane osobowe pracowników, jak: imię i nazwisko, data zawarcia umowy, rodzaj umowy o pracę oraz wymiar etatu. Przyjęcie powyższego rozwiązania zapewni realną i efektywną kontrolę spełniania wymogu zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia polegające na wykonywaniu pracy w rozumieniu art. 22 § 1 Kodeksu pracy”.

Wejście w życie Rozporządzenia RODO przyniesie z pewnością wiele nowych kwestii do rozważenia w procesie udzielania zamówień. Należy spodziewać się nowych opinii Urzędu Zamówień Publicznych, wytycznych czy interpretacji, a być może także zmian w przepisach z zakresu zamówień publicznych, o czym będziemy informować na bieżąco w portalu zamówienia.org.pl.

Autor: Katarzyna Dziąćko, Kancelaria Wawrzynowicz & Wspólnicy Sp.k.