Dostępność Dostępność
Rejestracja
0 Koszyk
  1. Strona główna
  2. Jak udzielać zamówień
  3. RODO w postępowaniach podprogowych

RODO w postępowaniach podprogowych

  • 11 min. czytania
  • Aktualizacja: 25 sierpnia 2024 30 października 2018
Jak udzielać zamówień

Swoistość zamówień podprogowych, wynikająca przede wszystkim z obniżonego poziomu regulowania tej kategorii zamówień normami prawnymi, uwidacznia się również odnośnie do ochrony danych osobowych.

Zagadnienia przynależące do sfery pogranicza zyskały na aktualności ze względu na obowiązywanie od 25 maja 2018 r. ogólnego rozporządzenia o ochronie danych (RODO) oraz wejście w życie, w tym samym terminie, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000). 

POLECAMY

Dane osobowe a osoba fizyczna

Ochroną przewidzianą regulacjami RODO oraz ustawy o ochronie danych osobowych objęte są informacje kwalifikujące się do kategorii danych osobowych. Zgodnie z art. 4
pkt 1 RODO są to wszelkie informacje o osobie fizycznej:

  • zidentyfikowanej lub
  • możliwej do zidentyfikowania (czyli osoby, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej). 

Z powyższego wywieść można m.in. że poza zakresem ochrony właściwej dla danych osobowych pozostają inne kategorie informacji, w szczególności dotyczące osób prawnych. Znajduje to odzwierciedlenie w motywie 14 RODO, w którym wskazano, że: rozporządzenie nie dotyczy przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Ważne!

Zastrzeżenie zawarte w motywie 14 RODO nie powinno być interpretowane w sposób rozszerzający klasyfikację informacji dotyczących osób prawnych oraz naruszający interesy powiązanych z osobami prawnymi osób fizycznych.

 

Rozgraniczenie przypadków, w których dane osoby fizycznej dotyczą wyłącznie osoby fizycznej, od tych, w których współtworzą również informacje dotyczące osoby prawnej (nie są nimi wyłącznie informacje o osobie prawnej) bywa problematyczne i wymaga uwzględnienia kontekstu sytuacyjnego. 

Na przykład informacja, że Z. jest prezesem spółki Y., w zależności od kontekstu oraz celu wykorzystania informacji, może stanowić identyfikator osoby prawnej – informację, kto jest prezesem spółki – a także informacje o osobie fizycznej – 
iż Z. jest prezesem spółki1. Każdorazowo powstające wątpliwości należy oceniać z uwzględnieniem aspektów funkcjonalnych, w tym celów ustanowienia RODO – ochrony danych osobowych przy jednoczesnym poszanowaniu swobód przepływu informacji. 

Uzupełniająco warto przytoczyć fragment opinii Grupy Roboczej ds. Ochrony Danych, w którym wskazano, że: (…) informacje o osobach prawnych można również uznać, w niektórych przypadkach, za dotyczące osób fizycznych indywidualnie, zgodnie z kryteriami przedstawionymi w niniejszym dokumencie. Może tak być, jeśli nazwa osoby prawnej pochodzi od nazwiska osoby fizycznej. Innym przypadkiem może być poczta elektroniczna firmy, używana zazwyczaj przez pewnego pracownika, lub też informacje o małym przedsiębiorstwie (z punktu widzenia prawa chodzi tu raczej o rzecz niż o osobę prawną), które mogą opisywać zachowanie jego właściciela. We wszystkich tych przypadkach, jeżeli kryteria – treść, cel lub skutek – pozwalają na uznanie informacji o osobie prawnej lub o przedsiębiorstwie za dotyczącą osoby fizycznej, należy uznać je za dane osobowe i stosować przepisy dotyczące ochrony danych2.

Kontekstem sytuacyjnym wykorzystywania informacji przez zamawiających jest przede wszystkim udzielanie oraz realizacja zamówień. Poza tymi procesami występują również czynności o charakterze pobocznym, związane z archiwizowaniem zebranych informacji, ich udostępnianiem
czy usuwaniem. 

Informacje o osobach fizycznych związanych z osobami prawnymi (np. osobach uprawnionych do reprezentowania wykonawcy), wykorzystywane zgodnie z celami przyświecającymi ich pozyskaniu (nakaz takiego działania wynika z art. 5 ust. 1 lit. b RODO) są informacjami dotyczącymi osoby prawnej, a przez to niepodlegającymi ochronie wynikającej z RODO. 

Nie oznacza to jednak, że dane osobowe w ogóle nie występują w obszarze zamówień publicznych. W przypadku relacji na linii zamawiający – inne podmioty, w szczególności wykonawcy, danymi osobowymi podlegającymi ochronie będą przede wszystkim informacje o osobach fizycznych lub prowadzących jednoosobową działalność gospodarczą – występujących w charakterze wykonawcy, podwykonawcy, podmiotu udzielającego wykonawcy wsparcia poprzez udostępnienie potencjału, udzielających referencji, posiadających wymagane uprawnienia, realizujących zamówienie itd. W związku z tym kwestia ochrony danych osobowych może zostać zaktualizowana zarówno w sytuacji, w której wykonawca jest osobą fizyczną, jak i prawną.

Zamawiający jako przetwarzający dane osobowe

Zarówno na etapie przedkontraktowym, jak i w trakcie wykonywania umowy zamawiający podejmuje czynności (w języku RODO operacje), które mieszczą się w zakresie pojęcia przetwarzania. Zważając na specyfikę wskazanych procesów, w szczególności udzielania zamówienia, należy uznać, że zamawiającemu w sferze prawa ochrony danych osobowych potencjalnie przypisać można status administratora. 

Określa on zarówno cele, jak i sposób przetwarzania danych (decyduje o powodach przetwarzania danych osobowych, o metodach i kwestiach organizacyjnych przetwarzania danych). 

Ważne!

Stosowanie regulacji prawnych, w tym bezwzględnie obowiązujących, nie koliduje z możliwością przypisania podmiotowi przetwarzającemu dane osobowe statusu administratora. Nie może jednak skutkować przypisaniem zamawiającemu statusu podmiotu przetwarzającego dane osobowe. 

 

Wskazane określenie występuje w obszarze prawa ochrony danych osobowych na oznaczenie podmiotów przetwarzających dane w imieniu administratora, a więc realizujących cele wyznaczone przez administratora. W takiej konfiguracji uznanie zamawiającego za podmiot przetwarza-
jący dane skutkowałoby przyjęciem, że ich administratorem jest ustawodawca. 

Podstawa przetwarzania danych osobowych 

Jednym z warunków przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. a RODO, jest wystąpienie co najmniej jednej przesłanki pozwalającej na podjęcie takiej operacji. Katalog podstaw prawnych został zawarty w art. 6 ust. 1 RODO (dane zwykłe). Jedna spośród nich w sposób bezpośredni odwołuje się do umów (lit. b). 

Wskazany przepis może stanowić podstawę przetwarzania danych osobowych zarówno na etapie realizacji umowy (wykonania zamówienia), jak i przed zawarciem umowy (etap kontraktowania). Nie znajdzie on jednak zastosowania do czynności pobocznych względem realizacji lub wykonania kontraktu – zasada celowości (związania celem, art. 5 ust. 1 lit. b RODO). Przetwarzanie danych na ww. podstawie może następować jedynie wówczas, jeżeli jest to niezbędne, np.:

  1. dla realizacji umowy zawartej z osobą, której dane dotyczą; wskazana przesłanka pozwala przetwarzać dane osobowe strony umowy w zakresie, w jakim jest to niezbędne; znajdzie ona zastosowanie do sytuacji, w których przetwarzaniu podlegać miałyby dane wykonawcy będącego osobą fizyczną, lecz nie można jej zastosować, jeżeli dane są informacjami dotyczącymi osoby nadzorującej ze strony wykonawcy realizację umowy lub 
  2. do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

W kontekście drugiej z wymienionych powyżej przesłanek należy odnotować, że żądanie osoby, której dane dotyczą, odnosi się do podjęcia działań przedkontraktowych. W konsekwencji inicjatorem zawarcia umowy nie musi być podmiot, którego dane mają zostać przetworzone. 


Wyrażenie przez wykonawcę żądania należy rozpatrywać w kontekście poszczególnych danych osobowych oraz konkretnych czynności przedkontraktowych. 

Odwołując się do znanych Kodeksowi cywilnego modeli kontraktowania, należy uznać, że zarówno złożenie w odpowiedzi na ogłoszenie oferty w toku aukcji lub przetargu, jak i przystąpienie do negocjacji, będzie stanowiło okoliczność, przez pryzmat której należy oceniać wyrażenie żądania dokonania czynności, np. oceny przedłożonej oferty, weryfikacji cech podmiotowych pretendenta do uzyskania zamówienia, weryfikacji umocowania do reprezentacji wykonawcy, przeprowadzenia negocjacji, przekazania odpowiedzi itp. 
W konkretnym stanie faktycznym zakres żądania podjęcia czynności niezbędnych do uzyskania zamówienia będzie uzależniony od treści dokumentacji postępowania przeprowadzanego w trybie aukcji lub przetargu czy też zaakceptowanych warunków negocjacji.

Ważne!

Wyrażenie chęci ubiegania się o uzyskanie zamówienia, na ustalonych warunkach kontraktowania, będzie stanowić wyrażenie przez wykonawcę żądania podjęcia przez zamawiającego czynności koniecznych do osiągnięcia celu – uzyskania zamówienia, w tym niezbędnych operacji przetwarzania danych osobowych. 

 

W literaturze przedmiotu podkreśla się, że wskazana podstawa prawna umożliwia przetwarzanie danych: (…) gdy to przyszła strona umowy w sposób jednoznaczny wyrazi chęć jej zawarcia. Powołanie się na tę przesłankę jest możliwe, gdy osoba, której dane dotyczą, wyraża stanowczą propozycję zawarcia umowy, która wcale nie musi być ofertą w rozumieniu Kodeksu cywilnego (….). Przepis ten będzie również legalizował sytuacje, w których to druga strona [zamawiający – przyp. aut.] przedstawi propozycję zawarcia umowy, a osoba fizyczna [wykonawca – przyp. aut.] wyrazi co najmniej rzeczywiste zainteresowanie przedstawioną propozycją. Zainteresowanie to powinno przyjmować formę oświadczenia woli, ze wszelkimi tego konsekwencjami w zakresie możliwości jego wykładni3.

Etap przedkontraktowy może uzasadniać również przetwarzanie danych na podstawie art. 6 ust. 1 lit. f RODO. Zgodnie ze wskazanym przepisem przetwarzanie danych jest dozwolone, jeżeli jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

W przytoczonej przesłance posłużono się zwrotem ogólnym „celów wynikających z prawnie uzasadnionych interesów”. 

Ważne!

Uzasadnienia prawnego interesu nie należy odczytywać jako konieczności wykazania szczegółowej podstawy prawnej przetwarzania danych osobowych (innej niż art. 6 ust. 1 lit. f RODO). 

 

W motywie 47 preambuły RODO wskazano: (…) aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Interesy, na jakie może się powołać zamawiający, nie muszą być wyłącznie jego własnymi interesami, lecz również interesami innych podmiotów, w tym wykonawców. Wynika to z przyjęcia konstrukcji „realizacji interesu” przez zamawiającego nieograniczonej do skonkretyzowanej kategorii interesu, 
np. własnego, publicznego. 

Z uwagi na specyfikę procesu udzielania zamówień interesem takim może być uzyskanie zamówienia przez wykonawcę. Uwzględnienie tego interesu może stanowić podstawę przetwarzania danych osobowych, w tym również podmiotów trzecich, względem pretendenta do uzyskania zamówienia (np. podmiotu udostępniającego mu potencjał – odrębną kwestią jest zgodność z prawem przetwarzania danych osobowych przez wykonawcę i spełnienia przez niego obowiązków wynikających z RODO, np. informacyjnych). 

Odwołując się do wskazanej przesłanki, warto wyjaśnić wątpliwości, jakie mogą powstać w związku z chęcią powołania się na nią przez zamawiających, co do zasady będących podmiotami publicznymi. Zgodnie z art. 6 ust. 1 zdanie drugie RODO podstawa ta nie znajduje zastosowania do przetwarzania danych, którego dokonują organy publiczne w ramach realizacji swoich zadań. Zważając na cel przyjęcia wskazanego obostrzenia, sformułowanie „w ramach realizacji zadań” należy interpretować ściśle. Odmienna interpretacja czyni bezprzedmiotowym poczynione we wskazanym przepisie zastrzeżenie limitujące zakaz przetwarzania danych przez organy publiczne na ww. podstawie prawnej. Pomimo że zasadniczo nabywanie towarów lub usług związane jest z realizacją ciążących na podmiotach publicznych zadań, to – co do zasady – samo w sobie nie jest zadaniem. W związku z tym nie należy klasyfikować np. udzielania zamówień jako realizacji zadania.

W niektórych wypadkach również inne wskazane w art. 6 ust. 1 RODO przesłanki będą podstawą przetwarzania danych przez zamawiającego. Na przykład udostępnienie informacji w trakcie kontroli przeprowadzanej u zamawiającego zasadniczo będzie stanowić realizację obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). Nie można również apriorycznie wykluczyć, że niektóre czynności wchodzące w zakres przetwarzania danych będą wymagały uzyskania przez zamawiającego zgody, o której mowa w art. 6 ust. 1 lit. a RODO. O ile w ogóle wskazana podstawa prawna będzie wykorzystywana przez zamawiających, będzie następować to w stopniu marginalnym.

Niezbędność przetwarzania

Regulacje RODO silny nacisk kładą na racjonalizację przetwarzania danych osobowych. Wskazuje na to m.in. treść przytoczonej już przesłanki dozwalającej na przetwarzanie danych osobowych – odwołującej się do niezbędności operacji dla podjęcia czynności w toku zawierania umowy. Wskazana reguła jest jedną z uszczegóławiających zasadę minimalizacji danych, zgodnie z którą dane osobowe powinny być m.in. ograniczone do tego, co niezbędne do celów, w których są przetwarzane. 
Wskazana reguła wykazuje związki genetyczne z obowiązującą w obszarze zamówień publicznych zasadą proporcjonalności. W zakresie zamówień, do udzielania, których znajdują zastosowanie regulacje Pzp, gwarancją poszanowania obu wskazanych zasad są przede wszystkim regulacje szczegółowe zawarte we wskazanym akcie normatywnym, wyznaczające zamawiającym ramy dozwolonych zachowań. 

 

Ważne!

W przypadku zamówień podprogowych zamawiający w większym stopniu musi zważać na to, by jego działania nie pozostawały w kolizji z regulacjami RODO. Zamawiający nie mają bowiem możliwości wykazania niezbędności żądania danych osobowych poprzez bezpośrednie odwołanie się do reguł obowiązujących na podstawie Pzp oraz wydanych na jego podstawie aktów wykonawczych (np. w zakresie żądanych oświadczeń i dokumentów, informacji o osobach wykonujących czynności na etapie realizacji zamówienia, o podwykonawcach). 

W konsekwencji zamawiający, uwzględniając obowiązujące reguły, w tym wynikające z reżimu finansowego, każdorazowo będzie musiał ocenić zgodność planowanej operacji przetwarzania danych osobowych z zasadą wyrażoną
w art. 5 ust. 1 lit. c RODO. 

 

Podsumowanie

Mimo że RODO nie wprowadza rozwiązań rewolucyjnych, to rozpoczęcie obowiązywania wskazanego aktu prawnego, a także uprzednio uzyskany rozgłos przypomniały wielu podmiotom o istnieniu prawnego obowiązku ochrony danych osobowych. Wiąże on zamawiających również przy udzielaniu zamówień podprogowych. 


 

Przypisy

    Poprzedni wpis

    Warunki dotyczące doświadczenia (2)

    Następny wpis

    Tożsamość przedmiotowa w szacowaniu wartości zamówienia

    Udostępnij:

    Podobne artykuły:

    Oświadczenie nieprawdy przez wykonawcę a wykluczenie z postępowania

    Tożsamość przedmiotowa w szacowaniu wartości zamówienia

    Akty prawne w zamówieniach podprogowych

    Zagadnienia sporne w zamówieniach podprogowych

    Zamknij