W dniu 22 lutego 2019 r. została uchwalona Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („Ustawa zmieniająca”, „Ustawa nowelizująca”). Nowelizacja stanowi drugi etap procesu wdrożenia w krajowym porządku prawnym przepisów RODO.
Rządowy projekt ww. Ustawy zmieniającej trafił do Sejmu w listopadzie 2018 r.
Do istotnych zmian, które mają nastąpić w związku z wejściem w życie Ustawy zmieniającej należałoby zaliczyć zmiany w Kodeksie pracy, Kodeksie postępowania administracyjnego, a także w ustawie Prawo zamówień publicznych („PZP”).
Na łamach portalu zamowienia.org.pl w kwietniu ubiegłego roku został opublikowany artykuł nt. „Ochrony danych osobowych w zamówieniach publicznych a Rozporządzenie RODO”, w którym poruszyliśmy istotne kwestie związane z wejściem w życie ww. rozporządzenia w odniesieniu do zamówień publicznych. Dopiero jednak Ustawa nowelizująca wprowadza jasne i klarowne zasady odnośnie ochrony danych osobowych, jakimi powinny się kierować podmioty biorące udział w postępowaniu o udzielenie zamówień publicznych oraz konkursów. Przetwarzanie danych osobowych występuje bowiem w zasadzie na każdym etapie procesu udzielania zamówienia publicznego, korzystania ze środków ochrony prawnej, zawarcia i wykonywania umowy, udostępniania dokumentacji postępowania przez zamawiających, co w konsekwencji prowadzi do wniosku, że jest ono ściśle powiązane z wymaganiami, które zostały określone w PZP.
Szczególny charakter przepisów dot. zamówień publicznych wiąże się zatem z koniecznością dostosowania PZP do przepisów RODO w sposób odpowiednio zmodyfikowany. Ustawa nowelizująca stanowi próbę sprzężenia przepisów zawartych w obu regulacjach i jednocześnie w odniesieniu do zamówień publicznych w dużej mierze modyfikuje ogólne zasady ochrony danych osobowych obowiązujące na gruncie RODO.
Ograniczenie ogólnej zasady jawności postępowania w zakresie zamówień publicznych
Zgodnie z treścią art. 8 ust. 1 i 2 PZP, postępowanie o udzielenie zamówienia jest jawne, zaś zamawiający może ograniczyć dostęp do informacji z tym postępowaniem związanych wyłącznie w przypadkach określonych w ustawie.
Obecnie dane osobowe są chronione wyłącznie na podstawie art. 8 ust. 4 PZP, przewidującego możliwość wyłączenia jawności danych osobowych, jeżeli jest to uzasadnione ochroną prywatności lub interesem publicznym. Z powyższego wynika, że w zasadzie wszelkie pozostałe dane osobowe osób fizycznych, które zostały zebrane w toku postępowania (lub konkursu) zawarte w dokumentacji postępowania są jawne, co sprowadza się do nieograniczonej możliwości dostępu do nich.
Powyższa zasada wywodząca się z konstytucyjnej zasady jawności ponadto jest ściśle związana z wyartykułowaną w treści przepisów PZP zasadą przejrzystości, co jedynie wzmacnia wyjątkowy charakter ograniczenia jawności postępowania i jednocześnie naraża dane osobowe osób fizycznych, które zostały zebrane w toku postępowania, na ich udostępnienie szerokiemu gronu odbiorców.
W odniesieniu do powyższego, mając przy tym na względzie konieczność zagwarantowania efektywnego udzielania zamówień publicznych, niezbędnym zdaje się wprowadzenie przepisów zapewniających ochronę danych osób fizycznych skorelowaną z ochroną tych danych na gruncie RODO.
Artykuł 72 Ustawy nowelizującej zasadniczo nie wprowadza zmian w dotychczasowych przepisach PZP, ale dodaje nowe regulacje, w tym m. in. art. 8a, który stanowi najbardziej rozbudowany przepis dostosowujący przepisy RODO do specyfiki zamówień publicznych.
Ustawodawca w ust. 1 ww. przepisu dąży do przystosowania regulacji prawnych zawartych w PZP do obowiązku informacyjnego, o którym mowa w treści art. 13 ust. 1-3 RODO. Zgodnie z treścią art. 13 RODO, na administratorze danych ciąży obowiązek przekazania osobie, której dane dotyczą, pewnych informacji w sytuacji zbierania danych osobowych od osoby, której dane dotyczą, a które są istotne z punktu widzenia procedury zbierania danych i ich dalszego przetwarzania. Ustawodawca nie wymaga jednak, aby informacje były przekazywane każdorazowo indywidualnie, a za wystarczające uznaje zawarcie ich w specyfikacji, ogłoszeniu o zamówieniu lub konkursie, regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy.
Z ogólnej zasady jawności postępowania wynika, że zamawiający ma prawo i obowiązek ujawniania wszystkich danych osobowych, które znajdują się w dokumentacji postępowania, w tym w ofercie oraz dokumentach podmiotowych przekazywanych przez wykonawcę w postępowaniu. Ustawodawca zdecydował się jednak na doprecyzowanie zasady jawności w zamówieniach publicznych w kontekście udostępniania danych osobowych zebranych w toku postępowania o udzielenie zamówienia lub konkursu i wprowadził do art. 96 PZP ust. 3a. Zgodnie z jego treścią, z uwagi na treść art. 96 ust. 2 PZP, zasada jawności obejmuje zebrane dane, które zostały zawarte w protokole lub załącznikach do protokołu (a więc także w ofertach i dokumentach przekazywanych przez wykonawcę w toku postępowania), które najczęściej zawierają dane osobowe. Z uwagi na to, jak szeroki zakres danych objęty jest zasadą jawności, art. 96 ust. 3a PZP jednocześnie wprowadza ograniczenie i wyłącza spod obowiązywania tej zasady tzw. dane wrażliwe, o których mowa w art. 9 ust. 1 RODO.
Konsekwencją wprowadzenia art. 18 ust. 2 PZP jest również art. 96 ust. 3b PZP. Możliwość ograniczenia dostępu do informacji związanych z postępowaniem o udzielenie zamówienia zgodnie z art. 18 ust. 2 PZP może mieć miejsce wyłącznie w przypadkach określonych w ustawie. Z uwagi na powyższe, konieczne było odesłanie do przepisów RODO, które w praktyce mają być podstawą do ograniczenia zasady jawności poprzez ograniczanie udostępniania protokołu i załączników do protokołu na żądanie osoby, której dane są w tych dokumentach zawarte.
Modyfikacja prawa dostępu do informacji
Podobnie jak w omawianym wyżej art. 8a ust. 1 PZP, mając na względzie potrzebę ograniczenia obowiązków o charakterze administracyjnym i nadmiernego obciążania zamawiających, w art. 8a ust. 2 przewidziano zmodyfikowaną wersję prawa dostępu, o którym mowa w art. 15 RODO. Zgodnie bowiem z treścią ust 2, jeżeli realizacja obowiązku, o którym mowa w art. 15 RODO wymagałaby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu. Analogiczne ograniczenie wprowadzono w zakresie art. 97 PZP dotyczącego przechowywania protokołu i załączników po zakończeniu postępowania o udzielenie zamówienia.
Jednocześnie, konsekwencją wprowadzenia art. 8a ust. 1 i 2 oraz art. 97 ust. 1a PZP, które są niezbędne do stosowania niektórych przepisów RODO, a których celem jest niejako dostosowanie sposobu realizacji uprawnień wynikających z tych przepisów do specyfiki przepisów PZP, jest wprowadzenie ust. 5 do treści ww. przepisu. Zgodnie z art. 8a ust. 5 PZP, zamawiający ma możliwość wyboru sposobu informowania o ograniczeniach uprawnień osób, których dane dotyczą. Katalog otwarty wskazany w omawianym artykule umożliwia dokonanie publikacji informacji na stronie internetowej prowadzonego postępowania lub konkursu, w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub w inny sposób dostępny dla osoby, której dane dotyczą. Jednocześnie, swoboda w wyborze sposobu informowania, niezmiennie będzie musiała uwzględniać treść art. 12 RODO, zgodnie z którym informacje te będą musiały być zamieszczone w łatwo dostępnej formie i opisane przejrzystym, jasnym, prostym i zrozumiałym językiem.
Ograniczenie przepisów RODO na gruncie PZP
Wprowadzane zmiany doprecyzowują również, że skorzystanie przez osobę, której dane dotyczą z uprawnienia przysługującego na gruncie art. 16 RODO do sprostowania lub uzupełnienia danych osobowych nieprawidłowych lub niekompletnych ma charakter ograniczony na gruncie PZP. Zgodnie bowiem z ust. 3 omawianego przepisu, skorzystanie z tego uprawnienia, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą. Jednocześnie, zgodnie z projektowanym art. 97 ust. 1b PZP, skorzystanie z ww. uprawnień nie może skutkować ingerencją w treść przechowywanego protokołu oraz jego załączników. Ograniczenie to jest szczególnie istotne z uwagi na to, że dokumentacja ta jest przechowywana głównie w interesie publicznym, w szczególności w celach kontrolnych, zatem jakakolwiek ingerencja w treść protokołu nie jest możliwa, nawet w celu realizacji uprawnień z art. 16 RODO.
Biorąc pod uwagę specyfikę zamówień publicznych, które są realizowane w interesie publicznym oraz konieczność zapewnienia efektywnego procesu udzielania zamówień publicznych, ustawodawca ograniczył również zakres zastosowania art. 18 RODO, blokując możliwość żądania ograniczenia przetwarzania danych przez osobę, której dane te dotyczą, do czasu zakończenia postępowania o udzielenie zamówienia publicznego lub konkursu.
Większa ochrona danych dot. wyroków skazujących i naruszeń prawa
Art. 23 ust. 2 lit. d i g RODO przewiduje możliwość ograniczenia przez państwa członkowskie istotnej części obowiązków i uprawnień określonych we wcześniejszych przepisach rozporządzenia w celach, które mają ściśle publiczny charakter. Ogólną regulacją wymaganą przez ww. przepis jest art. 8a ust. 6, zgodnie z którym zamawiający zabezpiecza dane osobowe przed bezprawnym rozpowszechnianiem. Przepis ten będzie miał docelowo zastosowanie do wszelkich przypadków przetwarzania danych na gruncie zamówień publicznych, w szczególności w odniesieniu do danych dot. wyroków skazujących i naruszeń prawa (które mogą być zawarte w szczególności w przedkładanych przez wykonawcę informacjach z Krajowego Rejestru Karnego), które powinny być odpowiednio zabezpieczone.
Ustawodawca zdecydował się również na wprowadzenie wymogu dodatkowego zabezpieczenia praw i wolności osób, których dane dotyczą, w przypadku przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa. Zgodnie z art. 8a ust. 7 PZP, do przetwarzania określonych danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie, które są zobowiązane do zachowania poufności.
Wymóg ten stanowi realizację wymagań stawianych państwom członkowskim na gruncie art. 10 RODO, których prawo powinno nie tylko stanowić podstawę prawną do przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa, ale również powinno przewidywać zabezpieczenia praw i wolności osób, których dane dotyczą.
Podział obowiązków administratorów danych osobowych
Proponowane zmiany obejmują również art. 11 PZP, który dotyczy zamieszczania i publikowania ogłoszeń.
Dodaje się art. 6a oraz 6b, które stanowią niejako doprecyzowanie podziału zakresu obowiązków realizowanych przez administratorów danych osobowych, którymi są Prezes Urzędu Zamówień Publicznych oraz zamawiający. Z uwagi na to, że to zamawiający zamieszcza ogłoszenia m.in. w Biuletynie Zamówień Publicznych, to do niego – zgodnie z proponowanym ust. 6a – będą kierowane wnioski o sprostowanie danych oraz uzupełnienie danych niekompletnych, jak również wobec nich możliwe będzie korzystanie z prawa do uzyskania informacji, o których mowa w art. 15 RODO.
Rola Prezesa UZP będzie się natomiast sprowadzać do zapewnienia technicznego utrzymania systemu teleinformatycznego, przy użyciu którego udostępniany jest BZP. Zgodnie z art. 11 ust. 6b PZP, Prezes UZP będzie również zobligowany do określania w wewnętrznych regulacjach okresów przechowywania danych osobowych zamieszczanych w BZP.
Uprawnienia kontrolne zamawiającego
Ustawa nowelizująca wprowadza również zmiany w przepisach działu IV PZP dotyczących umów w sprawach zamówień publicznych.
Ustawodawca wprowadza art. 143 e, którego celem jest jednoznaczne uregulowanie problematyki kontroli spełnienia przez wykonawcę wymogu zatrudnienia personelu na podstawie umowy o pracę, zgodnie z art. 29 ust. 3a PZP. Nowa regulacja usuwa dotychczasowe wątpliwości, jakich dokumentów może żądać zamawiający od wykonawcy na potwierdzenie spełnienia powyższego wymogu. Art. 143 e ust. 2 PZP stanowi wprost, że zamawiający będzie uprawniony do żądania:
1) oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,
2) poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika, oraz
3) innych dokumentów
zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności: imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę, zakres obowiązków pracownika.
***
Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia.
Autor: Joanna Nowak, Kancelaria Wawrzynowicz & Wspólnicy Sp.k.