Czy zamawiający będzie miał prawo odrzucić w przetargu ofertę podmiotu, który nie ma specjalnego certyfikatu zgodności z RODO? Analizując stanowisko UZP, nie można tego wykluczyć. Innego zdania są jednak eksperci i już ostrzegają przed lawiną odwołań do KIO.
Tygodnik Gazeta Prawna z 16 lutego 2018 r. / Dziennik Gazeta Prawna
Przepustka do przetargów
Na łamach tygodnika Firma i Prawo pisaliśmy niedawno, że resort cyfryzacji zmienił zdanie w sprawie tzw. certyfikatów RODO – czyli zaświadczeń o zgodności istniejących w przedsiębiorstwie systemów przetwarzania danych osobowych z rozporządzeniem Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (Dz.Urz. UE z 2016 r. L 199, s. 1; tzw. RODO). Ostatecznie takie certyfikaty ma wydawać przedsiębiorcom chętnym do ich uzyskania nie tylko prezes Urzędu Ochrony Danych Osobowych (UODO), jak planowano we wcześniejszej wersji projektu, lecz także prywatne firmy, które uzyskają stosowny dokument z Polskiego Centrum Akredytacji. Przy okazji przedstawiania istoty tego dokumentu i jego znaczenia dla przedsiębiorców pojawiła się zapowiedź, że podmioty mające certyfikat zgodności z RODO mogą być korzystniej traktowane w przetargach o wykonanie zamówienia. Doktor Maciej Kawecki, koordynator prac nad krajową reformą ochrony danych osobowych w Ministerstwie Cyfryzacji (MC), zapewniał przy tym, że posiadanie certyfikatu nie będzie jednak obowiązkiem, ale przywilejem. Nie powinno być zatem obligatoryjnym wymogiem stawianym startującym w przetargach, natomiast może być kryterium premiowanym przez organizatora przetargu. Inaczej mówiąc: za posiadanie certyfikatu przedsiębiorca miałby uzyskać dodatkowe punkty, ale za jego brak nie zostałby wykluczony z konkursu.
Dziennik Gazeta Prawna
UZP dopuszcza odrzucenie...
Postanowiliśmy zapytać Urząd Zamówień Publicznych (UZP) o postrzeganie certyfikatu na gruncie obowiązujących przepisów o zamówieniach publicznych. Ku naszemu zdumieniu okazało się, że interpretacja urzędu jest zgoła inna niż resortu cyfryzacji. Z pierwszego stanowiska (przesłanego do redakcji 1 lutego br.) wynika, że obecnie obowiązujące przepisy pozwalają wykluczyć z przetargu za brak certyfikatu zgodności z RODO. UZP wyjaśniło wówczas, że zgodnie z art. 22 ust. 1a ustawy z 29 stycznia 2004 r. – Prawo zamówień publicznych (t.j. Dz.U. z 2017 r. poz. 1579 ze zm.; dalej: p.z.p.) zamawiający określa warunki udziału w postępowaniu oraz wymagane od wykonawców środki dowodowe w sposób proporcjonalny do przedmiotu zamówienia oraz umożliwiający ocenę zdolności wykonawcy do należytego wykonania zamówienia, w szczególności wyrażając je jako minimalne poziomy zdolności. W tym m.in. może wymagać posiadania certyfikatu zgodności z RODO. – Jeśli zatem wykonawca nie wykazał spełnienia warunków udziału w postępowaniu, to zgodnie z art. 24 ust. 1 pkt 12 p.z.p. podlega on wykluczeniu – napisał urząd. Ponieważ ta opinia wydała nam się zbyt kategoryczna poprosiliśmy UZP o jej doprecyzowanie. I w efekcie urząd swoje stanowisko złagodził. Z dokumentu, który otrzymaliśmy wczoraj nie wynika już kategorycznie, że brak certyfikatu RODO może być podstawą odrzucenia oferty. Tym razem urząd skupia się na tym, czy certyfikat RODO w ogóle może być jednym z warunków udziału w postępowaniu lub stanowić pozacenowe kryterium oceny ofert. I jak twierdzi - nie zawsze. Zdaniem UZP wszystko zależy bowiem od przedmiotu zamówienia. Jeżeli ma ono związek z ochroną danych osobowych, to tak.
Stanowisko Urzędu Zamówień Publicznych z 15 lutego 2018 r.
Kwestie związane z wymaganiami RODO mogą stanowić podstawę konstruowania przez zamawiających zarówno warunków udziału w postępowaniu, jak i kryteriów oceny ofert, o ile mają związek z przedmiotem zamówienia i służą ustaleniu przez zamawiającego zdolności wykonawcy do realizacji zamówienia lub premiowaniu pożądanego przez zamawiającego w aspekcie realizacji zamówienia elementu jakościowego, stąd generalne wskazanie na możliwość formułowania przez zamawiających przy prowadzeniu postępowań o udzielenie zamówienia publicznego kryteriów oceny ofert czy warunków udziału w postępowaniu odnoszących się do posiadania przez wykonawców certyfikatów przetwarzania danych osobowych wydaje się zbyt daleko idące.
W świetle powyższych uwag trzeba także wspomnieć, że obowiązki wynikające z RODO nie dotyczą wszystkich podmiotów przetwarzających dane osobowe, i nie w takim samym zakresie (np. małe i średnie przedsiębiorstwa). Ponadto, jeżeli obowiązki wynikające z RODO spoczywają na danym podmiocie, musi on je wypełniać niezależnie od tego, czy zamierza ubiegać się jako wykonawca o udzielenie zamówienia publicznego czy też nie. Stąd też nie wydaje się uzasadnione, poza wyżej wskazanymi przypadkami związku RODO z przedmiotem zamówienia, generalne przyzwolenie na odnoszenie się do tego aspektu we wszystkich postępowaniach o udzielenie zamówienia publicznego.
Przede wszystkim należy zauważyć, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w skrócie „RODO” wskazuje na dobrowolność ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z rozporządzeniem operacji przetwarzania, prowadzonych przez administratorów i podmioty przetwarzające. Co więcej, certyfikacja przewidziana rozporządzeniem nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania rozporządzenia i pozostaje bez uszczerbku dla zadań i uprawnień organów nadzorczych (por. art. 42 ust. 3 i 4 RODO). [...]
Patrząc na przedstawione do oceny zagadnienie od strony zamówień publicznych, należy w pierwszej kolejności odwołać się do treści art. 22 ust. 1a i 1b ustawy p.z.p., w których to przepisach nakazuje się określanie przez zamawiających warunków udziału w postępowaniu oraz wymaganych od wykonawców środków dowodowych wyłącznie w sposób proporcjonalny do przedmiotu zamówienia, umożliwiający zamawiającemu ocenę zdolności wykonawcy do należytego wykonania zamówienia i określa się, czego mogą dotyczyć warunki udziału w postępowaniu, co jest ściśle powiązane z oceną zdolności wykonawcy do realizacji konkretnego zamówienia. W związku z tym, jeżeli przedmiot zamówienia nie dotyczy RODO, warunek udziału w postępowaniu odnoszący się do obowiązku wykazania się przez wykonawców certyfikatem dotyczącym operacji przetwarzania danych osobowych u tych wykonawców, w świetle przytoczonych wyżej norm RODO wydaje się nadmierny, niezgodny z art. 22 ustawy Pzp i może stanowić przeszkodę w dostępie do zamówienia oraz ograniczać konkurencję, zwłaszcza w kontekście dostępu do tego postępowania małych i średnich przedsiębiorstw.
W drugiej kolejności należy spojrzeć na zagadnienie poprzez art. 91 ust. 2 ustawy Pzp. Ustanowienie kryteriów oceny ofert odnoszących się certyfikacji przetwarzania danych osobowych u wykonawców, poza przypadkami, gdy zamówienie publiczne odnosi się do kwestii RODO, również nie wydaje się odpowiadać treści tej normy, z uwagi na brak związku pomiędzy takimi kryteriami oceny ofert a przedmiotem zamówienia.