Ustawa Prawo zamówień publicznych reguluje prawa i obowiązki zamawiających i wykonawców. W niektórych miejscach odnosi się również do innych podmiotów, np. podmiotów użyczających zasoby, osób zdolnych do wykonania zamówienia, członków zarządu wykonawcy. Ani pzp, ani rozporządzenie w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy, oraz form, w jakich te dokumenty mogą być składane (dalej: rozporządzenie o dokumentach) nie regulują jednak kwestii przetwarzania danych osobowych osób trzecich oraz ochrony tych danych w przetargach publicznych.

Zasada jawności a ochrona danych

Zgodnie z art. 8 pzp postępowanie o udzielenie zamówienia jest jawne, a zamawiający może ograniczyć dostęp do informacji związanych z postępowaniem o udzielenie zamówienia tylko w przypadkach określonych w ustawie.

Stosownie do art. 96 ust. 3 pzp oferty wykonawców, wnioski o dopuszczenie do udziału w postępowaniu zawierające wykaz osób oraz informacja z KRK są jawne i udostępnia się je od chwili ich otwarcia (w przypadku ofert) albo od dnia poinformowania o wynikach oceny spełniania warunków udziału w postępowaniu (w przypadku wniosków). Na podstawie § 5 ust. 1 rozporządzenia w sprawie protokołu postępowania o udzielenie zamówienia publicznego (rozporządzenie o protokole) dokumenty te podlegają udostępnieniu na wniosek. Przy czym ani pzp, ani rozporządzenie o protokole nie ograniczają kręgu podmiotów, które mogą w trybie wnioskowym uzyskać dostęp do wykazu osób oraz informacji z KRK.

W pzp i przepisach przywołanych rozporządzeń nakazano udostępnienie określonych danych osobowych w przetargu, ale poza przypadkiem uznania tych danych za tajemnicę przedsiębiorstwa, nie uregulowano kwestii ich ochrony. Oceny dopuszczalności i prawidłowości przetwarzania danych osobowych w przetargach należy dokonać na podstawie ustawy o ochronie danych osobowych (dalej: uodo). Z literalnego brzmienia art. 5 uodo wynika, że jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Przepis ten stanowi modyfikację reguły lex specialis derogat legi generali. Oznacza to, że jeśli pzp nie określa dalej idącej ochrony niż uodo w zakresie przetwarzania danych osobowych, to regulacje uodo powinny mieć pierwszeństwo.

Naruszenie uodo

W świetle art. 3 uodo nie ulega wątpliwości, że zamawiający i wykonawca są podmiotami zobowiązanymi do stosowania tej ustawy. Mają również status administratorów danych w zakresie, w jakim decydują o celach i środkach przetwarzania danych osobowych innych podmiotów w postępowaniu. Oznacza to, że brak respektowania postanowień uodo może wiązać się z zastosowaniem wobec tych podmiotów sankcji administracyjnych i karnych określonych w uodo.

Naruszenie uodo przez wykonawcę lub zamawiającego nie jest sankcjonowane na gruncie pzp. Powyższą tezę potwierdza pośrednio orzecznictwo Krajowej Izby Odwoławczej.

* Wyrok KIO z 12 stycznia 2015 r. (KIO 2784/14)

„(…) to rzeczą wykonawcy, który decyduje się na korzystanie z określonych osób w postępowaniu i uczestniczy w procedurze opartej z założenia o zasadę pełnej transparentności, jaką jest postępowanie o zamówienie publiczne, (…) jest (…) podjąć środki zabezpieczające tę sferę, w szczególności odebrać od osób godzących się na współpracę odpowiednich oświadczeń i zgody na przetwarzanie danych osobowych przez siebie czy przekazanie ich na zewnątrz, w szczególności w ramach oferty kierowanej w odpowiedzi na publiczne ogłoszenie i rozpatrywanej w jawnym postępowaniu. Kwestia zabezpieczenia danych osobowych wynika z odpowiednich przepisów i pozostaje bez związku z tym, czy dana informacja wypełnia cechy tajemnicy przedsiębiorstwa. Te kwestie są odrębne i wypełnianie obowiązków w zakresie danych osobowych nie wpływa na to, czy konkretne informacje są tajemnicą przedsiębiorstwa lub nie. Dane osobowe oraz tajemnica przedsiębiorstwa to odmienne kategorie, poddane innym zasadom. Obowiązki w zakresie ochrony danych osobowych ciążą niezależnie od tego, czy przedmiot informacji stanowi tajemnicę przedsiębiorstwa, czy też nie” (zob. też wyrok KIO z 22 sierpnia 2013 r., KIO 1929/13).

W przypadku zamawiających podstawę do przetwarzania danych innych osób w postępowaniu o udzielenie zamówienia publicznego stanowi przesłanka niezbędności tego przetwarzania dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a w niektórych przypadkach także przesłanka niezbędności dla wypełnienia prawnie usprawiedliwionych celów administratora danych albo odbiorców danych. Powyższe oznacza, że ilekroć przepisy pzp i rozporządzeń dają zamawiającemu określone uprawnienie w zakresie przetwarzania danych osobowych innych osób w postępowaniu, jest on do takiego przetworzenia tych danych (np. ich kopiowania, udostępniania) uprawniony. Jeśli jednak przepis pzp lub rozporządzenia nie daje zamawiającemu wyraźnie takiego uprawnienia, to każdorazowe operacje na danych osobowych wymagają analizy pod kątem ich niezbędności dla wypełnienia prawnie usprawiedliwionych celów administratora danych.

Przykłady naruszeń uodo w postępowaniach o udzielenie zamówień

Niektórzy zamawiający w przetargach ograniczonych zamieszczają na stronie internetowej listę wykonawców, którzy zostali zakwalifikowani do składania ofert wraz z podaniem danych osób fizycznych, które reprezentują wykonawców, w tym ich adresów poczty elektronicznej. Z przepisów pzp oraz rozporządzeń nie wynika obowiązek upubliczniania w internecie danych osobowych osób reprezentujących wykonawców. Trudno również uznać, by było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych. W mojej ocenie takie działanie zamawiających stanowi naruszenie uodo.

Nieprawidłowości występują także przy zamieszczaniu na stronach internetowych informacji o wyborze najkorzystniejszej oferty. Dotyczy to sytuacji, gdy informacja zawiera uzasadnienie dla wykluczenia wykonawcy w odniesieniu do jego potencjału kadrowego. Podawane są w niej dane osobowe osób, które miały brać udział w realizacji zamówienia. Zamawiający, analizując ich doświadczenie i kwalifikacje, wykazuje, dlaczego nie spełniają one wymogów określonych w specyfikacji istotnych warunków zamówienia lub ogłoszeniu. Z art. 92 ust. 2 pzp wynika, że informacja umieszczana na stronie internetowej zamawiającego o wyborze najkorzystniejszej oferty może zawierać jedynie: nazwę (firmę) albo imię i nazwisko, siedzibę albo miejsce zamieszkania i adres wykonawcy, którego ofertę wybrano, uzasadnienie jej wyboru oraz nazwy (firmy) albo imiona i nazwiska, siedziby albo miejsca zamieszkania i adresy wykonawców, którzy złożyli oferty, a także punktację przyznaną ofertom w każdym kryterium oceny ofert i łączną punktację. Nie ma zatem podstaw prawnych do publikowania w internecie uzasadnienia wykluczenia wykonawcy, w tym zawierającego dane osobowe personelu wykonawcy. Dane te powinny być przekazane w oparciu o art. 92 ust. 1 pkt 2 i 3 pzp wyłącznie wykonawcom, którzy złożyli oferty.

Zgoda na posłużenie się danymi

W kontekście dopuszczalności przetwarzania przez wykonawców danych osobowych innych osób należy wskazać, że powinni oni – co do zasady – uzyskać wyraźną zgodę tych osób na przetwarzanie ich danych w przetargach. W tym przypadku nie zachodzi przesłanka niezbędności przetwarzania danych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Obok zgody innego podmiotu wykonawca może w niektórych sytuacjach powołać się na przesłankę konieczności posłużenia się danymi innego podmiotu dla realizacji umowy albo dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych. Każdy przypadek posłużenia się danymi osobowymi w ramach przetargu wymaga jednak odrębnej analizy przepisów uodo, w celu ustalenia, czy wypełnia on dyspozycję którejś z przesłanek z art. 23 ust. 1 uodo.

W odniesieniu do zamawiających warto również rozważyć, czy przetwarzanie przez zamawiającego danych osobowych udostępnionych przez wykonawcę z naruszeniem uodo niesie dla nich negatywne skutki na gruncie tej ustawy. Pzp nie nakłada na zamawiającego obowiązku żądania od wykonawców, by wykazali uprawnienie do udostępnienia w przetargu danych osobowych innych podmiotów. W literaturze (np. komentarz do art. 23 uodo, [w:] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013 oraz powołana tam doktryna) wskazuje się, że na gruncie uodo, co do zasady, administrator danych osobowych odpowiada za naruszenie obowiązku przetwarzania danych osobowych zgodnie z prawem na niego nałożonym. Innymi słowy, w zakresie, w jakim zamawiający przetwarza dane osobowe w postępowaniu w zgodzie z własnymi przesłankami z art. 23 ust. 1 uodo, nie narusza tej ustawy.

Pełna treść artykułu dostępna jest w nr 7 „Przetargów Publicznych” z 2015 r.