W zapytaniach ofertowych o wartości poniżej 30 tys. euro zamawiający nie może wymagać takich dokumentów od podmiotów zainteresowanych konkursem. To dane osobowe, których RODO nie pozwala przetwarzać bez podstawy prawnej – twierdzi Urząd Ochrony Danych Osobowych.
Wielu przedsiębiorców skarży się, że niektórzy zamawiający, wysyłając w ramach zapytań ofertowych dotyczących dostaw towarów lub usług o wartości nieprzekraczającej 30 tys. euro (które to nie są przeprowadzane w trybie przewidzianym ustawą – Prawo zamówień publicznych), wymagają złożenia zaświadczeń lub oświadczeń o niekaralności oferentów. A więc, że członkowie organów lub wspólnicy firmy nie zostali prawomocnie skazani za popełnienie niektórych kategorii przestępstw (np. przeciwko obrotowi gospodarczemu). Przy czym część publicznych instytucji pod groźbą niedopuszczenia do udziału w postępowaniu żąda oświadczeń indywidualnych od poszczególnych osób (członków organów/wspólników), a część wymaga tylko oświadczenia zbiorczego składanego w imieniu całego zarządu i wspólników bez podawania imion i nazwisk. Sęk w tym, że działając w ten sposób, zamawiający naruszają prawo.
Zamówienia bagatelne poza p.z.p.
O ile w art. 24 ust. 1 pkt 13 i 14 ustawy z 29 stycznia 2004 r. – Prawo zamówień publicznych (t.j. Dz.U. z 2019 r. poz. 1843; ost.zm. Dz.U. z 2020 r. poz. 1086) istnieje podstawa do wykluczania z przetargów wykonawców, których zarządzający byli karani za określone przestępstwa, tak przy zamówieniach nieobjętych przez przepisy p.z.p., czyli do 30 tys. euro (tzw. zamówienia bagatelne) takiej podstawy nie ma. Co więcej, okazuje się, że zamawiający nie mają też prawa żądać składania oświadczeń nawet zbiorczych, gdzie nie padają żadne nazwiska. Prezes UODO w sierpniowym newsletterze dla inspektorów ochrony danych osobowych jednoznacznie bowiem stwierdził, że tego typu oświadczenia, wskazujące jedynie, że wszyscy członkowie zarządu lub wspólnicy spełniają wymóg niekaralności, należy uznać za dokument zawierający dane osobowe o wyrokach. UODO wyjaśnia, że bez znaczenia jest to, że w takim dokumencie nie padają żadne nazwiska, gdyż i tak istnieje możliwość identyfikacji osób, których ta informacja dotyczy. Łatwo to zrobić zwłaszcza na podstawie informacji zawartych w rejestrach publicznych np. KRS, CEIDG czy też w odpisach z tych rejestrów załączanych zazwyczaj do umów lub akt postępowań.
To są dane osobowe
Tymczasem kwalifikacja przez UODO zbiorczych oświadczeń o niekaralności jako danych osobowych ma istotne znaczenie, ponieważ wówczas podlegają one art. 10 RODO. Ten zaś stanowi, że przetwarzanie takich danych jest możliwe wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem unijnym bądź prawem państwa członkowskiego. Przy zamówieniach nieobjętych przepisami p.z.p. – mówiąc wprost – nie ma takiej podstawy prawnej. Organ nadzorczy przypomina także, że zgodnie z art. 4 pkt 1 RODO danymi osobowymi są „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą)”. Możliwa do zidentyfikowania osoba fizyczna to zaś ta, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
UODO powołuje się przy tym na opinię nr 4/2007 Grupy Roboczej Art. 29 (specjalnej unijnego zespołu powołanego przez KE) w sprawie pojęcia danych osobowych. Stwierdza ona, że: „W przypadkach gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, jakimi można się posłużyć w celu zidentyfikowania osoby, której dane dotyczą. Twierdzenie, że osoby nie są możliwe do zidentyfikowania, podczas gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. Dlatego informacje takie należy uważać za dotyczące osób możliwych do zidentyfikowania, a przetwarzanie ich powinno podlegać przepisom dotyczącym ochrony danych”.
UODO przytacza również orzeczenie Trybunału Sprawiedliwości Unii Europejskiej z 20 grudnia 2017 r. w sprawie C-434/16 Peter Nowak przeciwko Data Protection Commissioner. TSUE opowiedział się w nim za szerokim rozumieniem pojęcia danych osobowych: „Użycie w zawartej w art. 2 lit. a dyrektywy 95/46 definicji danych osobowych wyrażenia wszelkie informacje odzwierciedla bowiem przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, nie ograniczając go do informacji wrażliwych czy też prywatnych, lecz rozszerzając go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, które muszą one spełniać, jest to, aby dotyczyły danej osoby. Warunek ten jest zaś spełniony, gdy ze względu na swą treść, cel czy skutek dana informacja jest powiązana z daną osobą”.
Ponadto w opinii prezesa UODO wewnętrznych procedur administratora nieodwołujących się bezpośrednio do obowiązku wynikającego z przepisu prawa (niektórzy zamawiający wskazują je jako podstawę legalizującą pozyskiwanie oświadczeń) nie można uznać za wystarczającą podstawę prawną do przetwarzania danych osobowych, o których mowa w art. 10 RODO.
KIO nie pomoże, trzeba zawiadomić UODO
Eksperci nie są zaskoczeni stanowiskiem prezesa UODO, wskazując, że już jego poprzednik, czyli generalny inspektor ochrony danych osobowych, uważał, że zaświadczenia i oświadczenia o niekaralności stanowią informację o wyrokach skazujących. – Teraz UODO konsekwentnie podtrzymuje to stanowisko – zauważa Aleksandra Baranowska-Górecka, radca prawny w kancelarii SDZLEGAL Schindhelm.
Co powinny zrobić firmy, które chcą złożyć ofertę w postępowaniu o wartości poniżej 30 tys. euro, jeżeli zamawiający wymaga przedstawienia zaświadczeń o niekaralności? Mecenas Baranowska-Górecka przede wszystkim zwraca uwagę, że odwołanie do Krajowej Izby Odwoławczej będzie nieskuteczne, bo ta nie rozpatruje skarg na zamówienia nieobjęte przepisami p.z.p. Z tego względu prawniczka radzi skorzystać ze stanowiska UODO zawartego w newsletterze dla IOD. – Warto domagać się podania podstawy prawnej od zamawiającego, powołując się na stanowisko UODO, że ustalony przez administratora wewnętrzny regulamin nie stanowi powszechnie obowiązującego prawa i nie może być przesłanką do przetwarzania danych o wyrokach skazujących – wskazuje mec. Aleksandra Baranowska-Górecka.
Ewentualnie można też skorzystać z wewnętrznego trybu skargowego, jeśli taki został przewidziany przez zamawiającego. Jeżeli powyższe działania nie przekonają zamawiającego do zmiany wymogów postępowania o zamówienie, wówczas przedsiębiorca może zawiadomić Urząd Ochrony Danych Osobowych.
!Nie tylko indywidualne, ale również zbiorcze oświadczenie o niekaralności np. członków zarządu czy wspólników spółki prezes Urzędu Ochrony Danych Osobowych uznaje za informacje zawierające dane osobowe.