Wielu zamawiających i wykonawców nie zdaje sobie sprawy, że podczas przetargu również dochodzi do przetwarzania danych osobowych, co wiąże się z określonymi obowiązkami. Czasem wydawałoby się kuriozalnymi.
Problem pojawia się chociażby wówczas, gdy w ofercie podane są dane osób mających realizować zamówienie. Chodzi zazwyczaj o specjalistów posiadających odpowiednie doświadczenie i uprawnienia (np. do pełnienia samodzielnych funkcji technicznych w budownictwie). W związku z prowadzonym przetargiem i ewentualnością zawarcia umowy przetwarzanie ich danych osobowych jest w pełni zgodne z prawem. Tyle że nie zwalnia to zamawiających z obowiązków informacyjnych. Zgodnie z art. 25 ustawy o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) muszą oni poinformować indywidualnie każdą z osób wskazanych w ofercie o przetwarzaniu jej danych. Mówiąc wprost: wysłać do każdej z nich pismo i zawiadomić o adresie swej siedziby, celu zbierania danych czy ich źródle.
– Osobiście nie spotkałem się z sytuacją, aby zamawiający przesyłali takie informacje, niemniej nie da się ukryć, że przepisy nakładają taki obowiązek. Rozwiązaniem tego problemu może być zaznaczenie już w specyfikacji, aby wykonawcy nie podawali danych kontaktowych osób mających realizować zamówienie. Bez nich nie ma obowiązku informowania o przetwarzaniu danych osobowych – zauważył podczas ostatniego spotkania organizowanego w ramach cyklu Akademia EuroZamówień Tomasz Zalewski, radca prawny z kancelarii Wierzbowski Eversheds.
Jeśli w ofercie nie ma adresów, to mimo przetwarzania innych danych organizator przetargu nie musi informować o tym zainteresowanych. To o tyle ważne, że w maju 2018 r. zaczną obowiązywać nowe regulacje unijne, które przewidują wysokie kary finansowe, również za niewypełnianie obowiązków informacyjnych. Choć zgodnie ze wstępną wersją projektu nowej ustawy nie będą one nakładane na administrację publiczną, to na firmy z sektora energetycznego czy wydobywczego już tak, a one również organizują przetargi.
W związku z nowymi unijnymi przepisami pojawia się dodatkowy problem – przetwarzania specyficznych danych, jakimi są informacje o karalności. Z przetargów wyklucza się firmy, których członkowie zarządu byli prawomocnie skazani za określone przestępstwa. Dlatego też muszą oni przedstawić informacje z Krajowego Rejestru Karnego. Ich przetwarzanie, zgodnie z art. 10 unijnego rozporządzenia o ochronie danych osobowych (2016/679), jest dopuszczalne, ale tylko wówczas, jeśli tak przewiduje prawo krajowe. Zdaniem dr. Macieja Kaweckiego, koordynatora krajowej reformy ochrony danych osobowych w Ministerstwie Cyfryzacji, polskie przepisy dają wystarczającą podstawę prawną i nie trzeba ich zmieniać. Przywołuje on art. 24 ustawy – Prawo zamówień publicznych (t.j. Dz.U. z 2015 r. poz. 2164 ze zm.).
– Zgodnie z nim z postępowania o udzielenie zamówienia wyklucza się wykonawcę będącego osobą fizyczną, którego prawomocnie skazano za wskazane w przepisie przestępstwo. W mojej ocenie przepis ustawowy jest w tym zakresie bezpośrednią podstawą do przetwarzania przez udzielającego zamówienie informacji o karalności – wyjaśnia dr Kawecki.
Nie wszyscy podzielają tę opinię.
– Nawet jeśli uznamy, że polskie przepisy dają podstawę prawną do przetwarzania tych szczególnych danych, to nie możemy zapominać o dalszej części unijnej regulacji. A ta wymaga odpowiedniego zabezpieczenia praw i wolności osób, których dane dotyczą – uważa Karolina Gałęzowska, prawnik z kancelarii Wierzbowski Eversheds.
– W mojej ocenie o odpowiednim zabezpieczeniu praw będzie można mówić, jeśli np. przepisy wyznaczą dopuszczalny zakres przetwarzania danych dotyczących karalności. Kto ma do nich dostęp, na jakich zasadach, przez jak długi czas są one przechowywane. Obecne bez wątpienia tego nie robią – dodaje.
Dzisiaj panuje w tym zakresie wolna amerykanka. Powołując się na zasadę jawności firmy, żądają dostępu do zaświadczeń o niekaralności konkurencyjnych przedsiębiorców. I dostęp dostają, co umożliwia im kopiowanie wszystkich danych.