2015-07-22
Ochrona danych osobowych w przetargach

Autorką tego wpisu jest dr Aneta Wala.

Przepisy o zamówieniach publicznych nakazują udostępnienie określonych danych osobowych, ale nie regulują kwestii ich ochrony. Zagadnienie to powinno się zatem rozstrzygać z uwzględnieniem przepisów ustawy o ochronie danych osobowych.

Ustawa Prawo zamówień publicznych reguluje prawa i obowiązki zamawiających i wykonawców. W niektórych miejscach odnosi się również do innych podmiotów, np. podmiotów użyczających zasoby, osób zdolnych do wykonania zamówienia, członków zarządu wykonawcy. Ani pzp, ani rozporządzenie w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy, oraz form, w jakich te dokumenty mogą być składane (dalej: rozporządzenie o dokumentach) nie regulują jednak kwestii przetwarzania danych osobowych osób trzecich oraz ochrony tych danych w przetargach publicznych.

Zasada jawności a ochrona danych

Zgodnie z art. 8 pzp postępowanie o udzielenie zamówienia jest jawne, a zamawiający może ograniczyć dostęp do informacji związanych z postępowaniem o udzielenie zamówienia tylko w przypadkach określonych w ustawie.

Stosownie do art. 96 ust. 3 pzp oferty wykonawców, wnioski o dopuszczenie do udziału w postępowaniu zawierające wykaz osób oraz informacja z KRK są jawne i udostępnia się je od chwili ich otwarcia (w przypadku ofert) albo od dnia poinformowania o wynikach oceny spełniania warunków udziału w postępowaniu (w przypadku wniosków). Na podstawie § 5 ust. 1 rozporządzenia w sprawie protokołu postępowania o udzielenie zamówienia publicznego (rozporządzenie o protokole) dokumenty te podlegają udostępnieniu na wniosek. Przy czym ani pzp, ani rozporządzenie o protokole nie ograniczają kręgu podmiotów, które mogą w trybie wnioskowym uzyskać dostęp do wykazu osób oraz informacji z KRK.

W pzp i przepisach przywołanych rozporządzeń nakazano udostępnienie określonych danych osobowych w przetargu, ale poza przypadkiem uznania tych danych za tajemnicę przedsiębiorstwa, nie uregulowano kwestii ich ochrony. Oceny dopuszczalności i prawidłowości przetwarzania danych osobowych w przetargach należy dokonać na podstawie ustawy o ochronie danych osobowych (dalej: uodo). Z literalnego brzmienia art. 5 uodo wynika, że jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Przepis ten stanowi modyfikację reguły lex specialis derogat legi generali. Oznacza to, że jeśli pzp nie określa dalej idącej ochrony niż uodo w zakresie przetwarzania danych osobowych, to regulacje uodo powinny mieć pierwszeństwo.

Naruszenie uodo

W świetle art. 3 uodo nie ulega wątpliwości, że zamawiający i wykonawca są podmiotami zobowiązanymi do stosowania tej ustawy. Mają również status administratorów danych w zakresie, w jakim decydują o celach i środkach przetwarzania danych osobowych innych podmiotów w postępowaniu. Oznacza to, że brak respektowania postanowień uodo może wiązać się z zastosowaniem wobec tych podmiotów sankcji administracyjnych i karnych określonych w uodo.

Naruszenie uodo przez wykonawcę lub zamawiającego nie jest sankcjonowane na gruncie pzp. Powyższą tezę potwierdza pośrednio orzecznictwo Krajowej Izby Odwoławczej.

* Wyrok KIO z 12 stycznia 2015 r. (KIO 2784/14)

„(…) to rzeczą wykonawcy, który decyduje się na korzystanie z określonych osób w postępowaniu i uczestniczy w procedurze opartej z założenia o zasadę pełnej transparentności, jaką jest postępowanie o zamówienie publiczne, (…) jest (…) podjąć środki zabezpieczające tę sferę, w szczególności odebrać od osób godzących się na współpracę odpowiednich oświadczeń i zgody na przetwarzanie danych osobowych przez siebie czy przekazanie ich na zewnątrz, w szczególności w ramach oferty kierowanej w odpowiedzi na publiczne ogłoszenie i rozpatrywanej w jawnym postępowaniu. Kwestia zabezpieczenia danych osobowych wynika z odpowiednich przepisów i pozostaje bez związku z tym, czy dana informacja wypełnia cechy tajemnicy przedsiębiorstwa. Te kwestie są odrębne i wypełnianie obowiązków w zakresie danych osobowych nie wpływa na to, czy konkretne informacje są tajemnicą przedsiębiorstwa lub nie. Dane osobowe oraz tajemnica przedsiębiorstwa to odmienne kategorie, poddane innym zasadom. Obowiązki w zakresie ochrony danych osobowych ciążą niezależnie od tego, czy przedmiot informacji stanowi tajemnicę przedsiębiorstwa, czy też nie” (zob. też wyrok KIO z 22 sierpnia 2013 r., KIO 1929/13).

W przypadku zamawiających podstawę do przetwarzania danych innych osób w postępowaniu o udzielenie zamówienia publicznego stanowi przesłanka niezbędności tego przetwarzania dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a w niektórych przypadkach także przesłanka niezbędności dla wypełnienia prawnie usprawiedliwionych celów administratora danych albo odbiorców danych. Powyższe oznacza, że ilekroć przepisy pzp i rozporządzeń dają zamawiającemu określone uprawnienie w zakresie przetwarzania danych osobowych innych osób w postępowaniu, jest on do takiego przetworzenia tych danych (np. ich kopiowania, udostępniania) uprawniony. Jeśli jednak przepis pzp lub rozporządzenia nie daje zamawiającemu wyraźnie takiego uprawnienia, to każdorazowe operacje na danych osobowych wymagają analizy pod kątem ich niezbędności dla wypełnienia prawnie usprawiedliwionych celów administratora danych.

Przykłady naruszeń uodo w postępowaniach o udzielenie zamówień

Niektórzy zamawiający w przetargach ograniczonych zamieszczają na stronie internetowej listę wykonawców, którzy zostali zakwalifikowani do składania ofert wraz z podaniem danych osób fizycznych, które reprezentują wykonawców, w tym ich adresów poczty elektronicznej. Z przepisów pzp oraz rozporządzeń nie wynika obowiązek upubliczniania w internecie danych osobowych osób reprezentujących wykonawców. Trudno również uznać, by było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych. W mojej ocenie takie działanie zamawiających stanowi naruszenie uodo.

Nieprawidłowości występują także przy zamieszczaniu na stronach internetowych informacji o wyborze najkorzystniejszej oferty. Dotyczy to sytuacji, gdy informacja zawiera uzasadnienie dla wykluczenia wykonawcy w odniesieniu do jego potencjału kadrowego. Podawane są w niej dane osobowe osób, które miały brać udział w realizacji zamówienia. Zamawiający, analizując ich doświadczenie i kwalifikacje, wykazuje, dlaczego nie spełniają one wymogów określonych w specyfikacji istotnych warunków zamówienia lub ogłoszeniu. Z art. 92 ust. 2 pzp wynika, że informacja umieszczana na stronie internetowej zamawiającego o wyborze najkorzystniejszej oferty może zawierać jedynie: nazwę (firmę) albo imię i nazwisko, siedzibę albo miejsce zamieszkania i adres wykonawcy, którego ofertę wybrano, uzasadnienie jej wyboru oraz nazwy (firmy) albo imiona i nazwiska, siedziby albo miejsca zamieszkania i adresy wykonawców, którzy złożyli oferty, a także punktację przyznaną ofertom w każdym kryterium oceny ofert i łączną punktację. Nie ma zatem podstaw prawnych do publikowania w internecie uzasadnienia wykluczenia wykonawcy, w tym zawierającego dane osobowe personelu wykonawcy. Dane te powinny być przekazane w oparciu o art. 92 ust. 1 pkt 2 i 3 pzp wyłącznie wykonawcom, którzy złożyli oferty.

Zgoda na posłużenie się danymi

W kontekście dopuszczalności przetwarzania przez wykonawców danych osobowych innych osób należy wskazać, że powinni oni – co do zasady – uzyskać wyraźną zgodę tych osób na przetwarzanie ich danych w przetargach. W tym przypadku nie zachodzi przesłanka niezbędności przetwarzania danych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Obok zgody innego podmiotu wykonawca może w niektórych sytuacjach powołać się na przesłankę konieczności posłużenia się danymi innego podmiotu dla realizacji umowy albo dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych. Każdy przypadek posłużenia się danymi osobowymi w ramach przetargu wymaga jednak odrębnej analizy przepisów uodo, w celu ustalenia, czy wypełnia on dyspozycję którejś z przesłanek z art. 23 ust. 1 uodo.

W odniesieniu do zamawiających warto również rozważyć, czy przetwarzanie przez zamawiającego danych osobowych udostępnionych przez wykonawcę z naruszeniem uodo niesie dla nich negatywne skutki na gruncie tej ustawy. Pzp nie nakłada na zamawiającego obowiązku żądania od wykonawców, by wykazali uprawnienie do udostępnienia w przetargu danych osobowych innych podmiotów. W literaturze (np. komentarz do art. 23 uodo, [w:] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013 oraz powołana tam doktryna) wskazuje się, że na gruncie uodo, co do zasady, administrator danych osobowych odpowiada za naruszenie obowiązku przetwarzania danych osobowych zgodnie z prawem na niego nałożonym. Innymi słowy, w zakresie, w jakim zamawiający przetwarza dane osobowe w postępowaniu w zgodzie z własnymi przesłankami z art. 23 ust. 1 uodo, nie narusza tej ustawy.

Pełna treść artykułu dostępna jest w nr 7 „Przetargów Publicznych” z 2015 r. 

.

Komentarze
Lipiński: Wszystko pięknie i dokładnie wytłumaczone. Brawo!
2015-07-22




Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Omawiamy wyroki Trybunału Sprawiedliwości UE i ich wpływ
na wykładnię prawa zamówień publicznych w Polsce.

 

Śledzimy i komentujemy proces legislacyjny w Unii Europejskiej.

 

Odnosimy się do aktualnych
zagadnień polskiego orzecznictwa.

My w prasie

Zamieszczamy tu linki do artykułów prasowych poświęconych prawu zamówień publicznych - tych wyłącznie naszego autorstwa, jak i takich, w których komentujemy rzeczywistość prawną wraz z innymi ekspertami. Zobacz »

O autorach
Ostatnie komentarze
Archiwum
2019
Tagi
dyrektywy (50)implementacja (44)nowelizacja (41)orzecznictwo TS (32)Trybunał Sprawiedliwości Unii Europejskiej (32)
zamówienia publiczne (31)dyrektywa obronna (30)dyrektywa klasyczna (27)2004/18/EC (20)wykluczenie wykonawców (19)polityka unijna (18)harmonizacja (18)varia (18)dialog techniczny (16)KIO (16)pytanie prejudycjalne (14)wykluczenie (12)artykuły prasowe (11)Akademia EuroZamówień (10)UZP (10)istotna zmiana umowy (10)zmiana umowy (10)zamówienia publiczne w dziedzinie obronności i bezpieczeństwa (9)konferencje (9)wykonawca zagraniczny (9)podwykonawca (8)konsorcjum (8)JEDZ (8)zmowy przetargowe (7)zasada proporcjonalności (7)informacja (7)offset (7)Prezes UZP (6)SIWZ (6)partnerstwo innowacyjne (6)prawo antymonopolowe (6)nieuczciwa konkurencja (4)Komisja Europejska (4)podwykonawstwo (4)polonizacja (4)odwołanie (4)odpowiedzialność karna (4)dyrektywy zamówieniowe (4)Chambers and Partners (4)Procurement Explorer (4)elektronizacja zamówień publicznych (4)Znalezione Polubione (4)wykonawcy (4)prawo autorskie (4)dialog konkurencyjny (4)innowacje (4)dyrektywy zamówieniowe 2014 (4)korupcja (3)zamówienia innowacyjne (3)utwór (3)korzystanie z potencjału osób trzecich (3)dokumenty (3)zmiana wykonawcy (3)czarna lista (3)pzp (3)podział zamówienia na części (3)umowy ramowe (3)usługi prawne (3)wpis od skargi (2)aplikacja mobilna (2)potencjał ekonomiczny (2)przetarg ograniczony (2)Platforma e-Zamówienia (2)UOKiK (2)zamawiający (2)odszkodowanie (2)prawo restrukturyzacyjne (2)kary umowne (2)roboty budowlane (2)EPMS (2)odrzucenie oferty (2)zamówienia informatyczne (2)wybór najkorzystniejszej oferty (2)Sąd Najwyższy (2)dane osobowe (2)kryteria oceny ofert (2)tajemnica przedsiębiorstwa (2)wyrok KIO (2)umowy deweloperskie (2)Open-book (2)umowy wzajemne (1)przejęcie długu (1)Unia Europejska (1)ryzyka kontraktowe (1)pliki elektroniczne (1)ochrona danych osobowych (1)konflikt interesów (1)korekty finansowe (1)uciążliwe warunki umowy (1)metatagi (1)2014/24/UE (1)opis przedmiotu zamówienia (1)skan oferty (1)Program Operacyjny Infrastruktura i Środowisko (1)sytuacja ekonomiczna (1)zasada anonimowości (1)regulamin dialogu (1)Zamówienia in-house (1)transformacja cyfrowa (1)naruszenie dóbr osobistych (1)POIŚ (1)anonimowość (1)zamówienie na usługi prawne (1)potencjał osób trzecich (1)konkurs (1)screening (1)start-up (1)doświadczenie (1)eafip (1)rozmowa (1)kontrahent (1)podatki w zamówieniach publicznych (1)rynek brytyjski (1)połączenia (1)zgoda na przetwarzanie danych osobowych (1)dobre praktyki (1)praca konkursowa (1)tryby udzielania zamówień publicznych (1)wydatki niekwalifikowalne (1)metadane (1)umowa z wykonawcą (1)klauzule niedozwolone (1)SPV (1)dotacje unijne (1)zamówienia podprogowe (1)negocjacje z ogłoszeniem (1)anonimowość w konkursie (1)Jednolity Europejski Dokument Zamówienia (1)przetarg na usługi prawne (1)RPO (1)e-discovery (1)kryteria selekcji (1)test statystycznej jednorazowości (1)baza danych (1)gość bloga (1)innowacyjne zamówienia publiczne (1)blog (1)MyNetwork (1)roszczenie (1)skarga (1)ICT (1)cloud computing (1)
więcej...
Poznaj inne nasze serwisy

Blog IPwSieci.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję