W artykule „Nowe obowiązki administratorów danych osobowych w świetle Rozporządzenia RODO” omówione zostały obowiązki wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Rozporządzenie RODO), które wejdzie w życie z dniem 25 maja 2018 r. Nowe, rewolucyjne regulacje w zakresie ochrony danych osobowych będą miały niewątpliwie także istotny wpływ na proces udzielania i realizacji zamówień publicznych.
Poniżej wskazujemy kilka istotnych kwestii związanych z wejściem w życie Rozporządzenia RODO w odniesieniu do zamówień publicznych:
- Weryfikacja zdolności wykonawcy do przetwarzania danych osobowych na etapie postępowania
Art. 28 ust. 1 Rozporządzenia RODO stanowi, iż należy korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. W świetle art. 24 ust. 1 Rozporządzenia to zamawiający jako administrator danych ma obowiązek zagwarantowania, aby przetwarzanie odbywało się zgodnie z Rozporządzeniem. Zamawiający powinien zatem już na etapie postępowania przewidzieć odpowiednie zapisy pozwalające zweryfikować wykonawców przed podpisaniem umowy. Naruszenie tego obowiązku przez administratora danych zagrożone jest zgodnie z Art. 83 ust. 4 Rozporządzenia RODO dotkliwą karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
W świetle regulacji ustawy PZP oraz Rozporządzenia RODO zamawiający jako administrator danych osobowych musi zatem ustalić warunki udziału w postępowaniu w taki sposób, aby z jednej strony zapewnić udział podmiotów o odpowiednim doświadczeniu, ale jednocześnie nie naruszyć zasad uczciwej konkurencji i proporcjonalności i nie ograniczyć w sposób nieuprawniony dostępu wykonawców do zamówienia.
Wydaje się, że najbardziej właściwym sposobem zweryfikowania prawidłowości oferowanych przez wykonawcę usług w świetle Rozporządzenia RODO będzie żądanie certyfikatów RODO, tzn. zaświadczeń o zgodności istniejących w przedsiębiorstwie systemów przetwarzania danych osobowych z Rozporządzeniem RODO. Certyfikaty te przewidziane są w art. 42 ust. 1 Rozporządzenia RODO, zawierającego zachętę dla państw członkowskich do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych. Certyfikacja taka nie będzie jednak obowiązkowa.
Zgodnie z planami Ministerstwa Cyfryzacji w Polsce takie certyfikaty ma wydawać Prezes Urzędu Ochrony Danych Osobowych (Urząd ma powstać po wejściu w życie Rozporządzenia RODO), a także firmy prywatne, akredytowane przez Polskie Centrum Akredytacji. W opinii resortu podmioty dysponujące certyfikatem RODO powinny być następnie korzystniej traktowane w postępowaniach przetargowych.
Kwestia ta budzi liczne wątpliwości. Niewątpliwie zamawiający może zażądać przedstawienia przez wykonawcę certyfikatu RODO. Jest to możliwe na podstawie § 13 ust. 1 pkt 2) Rozporządzenia w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia, zgodnie z którym zamawiający może w celu potwierdzenia, że oferowane roboty budowlane, dostawy lub usługi odpowiadają określonym wymaganiom, zażądać przedstawienia przez wykonawcę certyfikatu wydanego przez jednostkę oceniającą zgodność lub sprawozdania z badań przeprowadzonych przez tę jednostkę, jako środka dowodowego potwierdzającego zgodność z wymaganiami lub cechami określonymi w opisie przedmiotu zamówienia, kryteriach oceny ofert lub warunkach realizacji zamówienia.
W sprawie tej wypowiedział się Urząd Zamówień Publicznych, w dniu 15 lutego 2018 r. dla Gazety Prawnej. Zdaniem UZP certyfikaty RODO mogą być brane pod uwagę zarówno jako warunek udziału w postępowaniu, jak i kryteria oceny ofert, ale tylko wówczas, gdy przedmiot zamówienia ma związek z ochroną danych osobowych. W przeciwnym wypadku należy przyjąć, że przedsiębiorca w ramach własnej działalności gospodarczej i tak musi wypełniać obowiązki wynikające z RODO, a więc nie ma podstaw do stawiania dodatkowych warunków udziału w postępowaniu związanych z tymi kwestiami, szczególnie biorąc pod uwagę dobrowolność certyfikacji. UZP stwierdził, że w świetle treści art. 22 ust. 1a i 1b PZP, jeżeli przedmiot zamówienia nie dotyczy RODO, warunek udziału w postępowaniu odnoszący się do obowiązku wykazania się przez wykonawców certyfikatem RODO wydaje się nadmierny i może być uznany za ograniczający konkurencję i utrudniający dostęp do zamówienia, zwłaszcza podmiotom z sektora MŚP.
Podobnie należy ocenić kwestię kryteriów oceny ofert odnoszących się do certyfikacji RODO, ustanowienia inspektora ochrony danych osobowych czy też ukształtowania w przedsiębiorstwie wykonawcy procesów związanych z ochroną danych, które mogą być uznane za zasadne jedynie wówczas, gdy przedmiot zamówienia jest związany z przetwarzaniem danych osobowych.
- Odpowiednie zapisy w opisie przedmiotu zamówienia
Zamawiający dokonując opisu przedmiotu zamówienia związanego z przetwarzaniem danych osobowych, powinien już od samego początku tworzenia dokumentacji postępowania brać pod uwagę prywatność osoby fizycznej i odpowiednie zabezpieczenie jej praw i wolności, jej danych osobowych, a co za tym idzie także gospodarowanie nimi – już pod kątem zapisów Rozporządzenia RODO i wynikających z niego obowiązków administratora danych osobowych. Odpowiednie zapisy powinny znaleźć się nie tylko w warunkach udziału w postępowaniu i kryteriach oceny ofert, ale w szczególności w opisie przedmiotu zamówienia i we wzorze umowy.
Zgodnie z Motywem 78 preambuły Rozporządzenia RODO, jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. W Rozporządzeniu wskazano wprost, że zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.
Także Art. 25 Rozporządzenia zobowiązuje do uwzględniania ochrony danych w fazie projektowania oraz do domyślnej ochrony danych.
- Odpowiednie ukształtowanie treści wzorów umów/podstawowych postanowień umownych w nowo ogłaszanych postępowaniach
Wiele umów, w szczególności o świadczenie usług, wiąże się z powierzeniem wykonawcy przetwarzania danych osobowych – przykładowo mogą to być liczne usługi związane z systemami IT.
Zgodnie z art. 28 ust. 3 Rozporządzenia RODO przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Wszystkie umowy o zamówienie publiczne, które będą wiązały się z powierzeniem przetwarzania danych osobowych wykonawcy, muszą zawierać zatem stosowne zapisy gwarantujące spełnienie obowiązków wynikających z Rozporządzenia RODO. Dodatkowo – z uwagi na wspomnianą powyżej wysokość kar z tytułu naruszenia wymogów tego Rozporządzenia – zamawiający powinien przewidzieć w umowie stosowne kary umowne w przypadku naruszeń zasad ochrony danych osobowych z winy wykonawcy.
Należy też zwrócić uwagę, że ze względu na niejasność wielu zapisów Rozporządzenia RODO i możliwość pojawienia się nowych przepisów, interpretacji czy wytycznych, zamawiający powinien zapewnić elastyczność zawieranych umów, przy czym najbezpieczniejszym rozwiązaniem będzie przewidzenie zgodnie z art. 144 ust. 1 pkt 1) PZP możliwości zmiany zakresu świadczeń wykonawcy czy też zmiany sposobu realizacji umowy, w sytuacji nie tylko zmian przepisów prawa, ale też pojawienia się nowych interpretacji i wytycznych.
- Realizacja zawartych wcześniej umów związanych z powierzeniem przetwarzania danych osobowych
Wszystkie umowy zawarte przed dniem w życie Rozporządzenia RODO muszą zostać dostosowane do przepisów Rozporządzenia. Wynika to z Art. 99 ust. 2 Rozporządzenia, wskazującego na datę 25 maja 2018 r., od której Rozporządzenie ma być stosowane. Wprawdzie w Motywie 171 określono, iż „przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów”, jednak w piśmiennictwie podkreśla się, że okres przejściowy trwa jedynie do dnia 24 maja 2018 r. i od następnego dnia wszelkie działania związane z przetwarzaniem danych osobowych muszą być zgodne z nowymi regulacjami.
Jak wskazano wyżej, art. 28 ust. 3 Rozporządzenia RODO określa zakres obowiązków podmiotu, któremu powierzone zostało przetwarzanie danych osobowych. Jeśli zatem Zamawiający nie przewidział wcześniej w umowie nowych obowiązków wynikających z Rozporządzenia RODO, powinien taką umowę przeanalizować i w razie konieczności odpowiednio aneksować. Kwestię dopuszczalności zmiany umowy należy dodatkowo każdorazowo zweryfikować w świetle treści art. 144 PZP. Przesłankami potencjalnie umożliwiającymi aneksowanie umów mogą być m.in.:
- przewidzenie zmiany w ogłoszeniu o zamówieniu lub w SIWZ zgodnie z art. 144 ust. 1 pkt 1) PZP,
- konieczność zmiany umowy lub umowy ramowej spowodowana okolicznościami, których zamawiający, działając z należytą starannością, nie mógł przewidzieć, zgodnie z art. 144 ust. 1 pkt 3) PZP,
- zmiana nieistotna w rozumieniu art. 144 ust. 1e) PZP (art. 144 ust. 1 pkt 5) PZP),
- łączna wartość zmian mniejsza niż kwoty określone w przepisach wydanych na podstawie art. 11 ust. 8 i jest mniejsza od 10% wartości zamówienia określonej pierwotnie w umowie w przypadku zamówień na usługi lub dostawy albo, w przypadku zamówień na roboty budowlane – mniejsza od 15% wartości zamówienia określonej pierwotnie w umowie (art. 144 ust. 1 pkt 6) PZP).
- Dane osobowe w procedurze udzielenia zamówienia
W opinii „Dane osobowe wykonawców zamieszczane w Biuletynie Zamówień Publicznych” Urząd Zamówień Publicznych dokonał analizy zgodności z przepisami dotyczącymi ochrony danych osobowych (w wersji obowiązującej przed wejściem w życie Rozporządzenia RODO) podawania w oficjalnych publikatorach (w tym przypadku w Biuletynie Zamówień Publicznych) informacji o danych dotyczących wykonawcy, któremu zostało udzielone zamówienie.
UZP stwierdził, że przepisy ustawy PZP są przepisami szczególnymi w stosunku do ustawy o ochronie danych osobowych, co skutkuje brakiem obowiązku uzyskiwania zgody na przetwarzanie danych osobowych wykonawców biorących udział w postępowaniu o udzielenie zamówienia publicznego. UZP jest zatem uprawniony do przetwarzania danych, w tym danych osobowych, ze względu na wypełnianie w ten sposób obowiązku wynikającego z przepisu prawa tj. art. 11 ust. 1 pkt. 1 PZP oraz rozporządzenia wykonawczego w sprawie wzorów ogłoszeń zamieszczanych w Biuletynie Zamówień Publicznych narzucającego określony wzór ogłoszenia o udzieleniu zamówienia, prowadzący do ujawnienia danych osobowych wykonawcy zamówienia. UZP stwierdził ponadto, iż „Podmioty deklarujące zamiar udziału w postępowaniu o udzielenie zamówienia publicznego z założenia godzą się na określone prawem uwarunkowania związane z ich udziałem w postępowaniu, w tym na upublicznienie informacji zawierających ich dane osobowe w przypadku udzielenia im zamówienia, a w przypadku trybów: negocjacji bez ogłoszenia oraz zamówienia z wolnej ręki także przed udzieleniem zamówienia publicznego. Tym samym, dane takie w odniesieniu do faktu publikacji nie podlegają ścisłej ochronie wynikającej z ustawy o ochronie danych osobowych”.
Wydaje się, że opinia ta zachowa swoją aktualność także w świetle Art. 6 Rozporządzenia RODO, jednak należy oczekiwać dodatkowych interpretacji kwestii ograniczenia zasady jawności postępowania poprzez ochronę danych osobowych. Dotyczy to nie tylko informacji publikowanych w ogłoszeniach, ale też innych danych zawartych w ofertach, przykładowo w informacji z Krajowego Rejestru Karnego.
Podobna sytuacja ma miejsce w przypadku danych osobowych pozyskiwanych w związku z klauzulami społecznymi przewidzianymi w PZP. Zgodnie z art. 29 ust. 3a PZP zamawiający zobowiązany jest określić w opisie przedmiotu zamówienia na usługi lub roboty budowlane wymagania zatrudnienia osób wykonujących wskazane przez zamawiającego czynności na podstawie umowy o pracę. Należy zwrócić uwagę, że przepis ten ustanawia nie uprawnienie, a obowiązek zamawiającego, jeśli te czynności polegają na wykonywaniu pracy w sposób określony w art. 22 § 1 Kodeksu pracy.
Regulacja wywołała liczne dyskusje dotyczące możliwości praktycznej weryfikacji spełnienia w/w obowiązku przez wykonawcę, co zaowocowało wspólnym stanowiskiem Prezesa UZP i Głównego Inspektora Ochrony Danych Osobowych. Zgodnie z nim, w stanie prawnym obowiązującym do czasu wejścia w życie Rozporządzenia RODO, dla skutecznej weryfikacji spełnienia obowiązku z art. 29 ust. 3a PZP „zamawiający może pozyskiwać takie dane osobowe pracowników, jak: imię i nazwisko, data zawarcia umowy, rodzaj umowy o pracę oraz wymiar etatu. Przyjęcie powyższego rozwiązania zapewni realną i efektywną kontrolę spełniania wymogu zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia polegające na wykonywaniu pracy w rozumieniu art. 22 § 1 Kodeksu pracy”.
Wejście w życie Rozporządzenia RODO przyniesie z pewnością wiele nowych kwestii do rozważenia w procesie udzielania zamówień. Należy spodziewać się nowych opinii Urzędu Zamówień Publicznych, wytycznych czy interpretacji, a być może także zmian w przepisach z zakresu zamówień publicznych, o czym będziemy informować na bieżąco w portalu zamówienia.org.pl.
Autor: Katarzyna Dziąćko, Kancelaria Wawrzynowicz & Wspólnicy Sp.k.