Ustawa Prawo zamówień publicznych w żadnym ze swoich przepisów nie reguluje kwestii ochrony danych osobowych ujawnianych na różnych etapach udzielania zamówienia publicznego. Przepisy tej ustawy należy traktować jako przepisy szczególne względem obecnie obowiązującej ustawy o ochronie danych osobowych.
W rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Informacje muszą dotyczyć osób fizycznych, stąd ochrona danych osobowych nie będzie obejmować rejestrów czy też ewidencji podmiotów innych niż osoby fizyczne, np. jednostek organizacyjnych, samorządowych, stowarzyszeń. Czasami dana informacja może wynikać z informacji dotyczącej podmiotu niebędącego osobą fizyczną, np. składu osobowego organów spółki.
Problematyczna jest natomiast kwestia ochrony danych osobowych osób prawnych. Co prawda art. 43 Kodeksu cywilnego (Dz. U. z 2017 r. poz. 459 ze zm.) stanowi o odpowiednim stosowaniu przepisów o ochronie dóbr osobistych osób fizycznych do ochrony takich interesów osób prawnych, to nie ma takiego jednolitego przełożenia na gruncie przepisów ustawy o ochronie danych osobowych. Uważa się, że prawo do ochrony danych osobowych jest uprawnieniem przysługującym tylko osobom fizycznym. To zaś oznacza, że zasady dotyczące ograniczeń w przetwarzaniu danych osobowych nie dotyczą innych podmiotów np. osób prawnych, jednostek organizacyjnych nieposiadających osobowości prawnej oraz podmiotów prowadzących działalność gospodarczą w oparciu o przepisy o swobodzie działalności gospodarczej, w zakresie, w jakim dane osobowe identyfikują przedsiębiorcę i wiążą się ściśle z prowadzoną przez niego działalnością gospodarczą. Prowadząc firmę przedsiębiorca nie może domagać się ochrony swoich danych osobowych, jeżeli identyfikują prowadzoną przez niego firmę.
Informacje zawierające dane osobowe o zwycięskim wykonawcy zamieszczane są w ogłoszeniach o udzieleniu zamówienia publicznego. Takie ogłoszenia publikowane są w Biuletynie Zamówień Publicznych, w przypadku zamówień poniżej progów unijnych albo przekazywane są Urzędowi Publikacji Unii Europejskiej, gdy są to zamówienia o wartości równej lub przekraczającej tzw. progi unijne. Zawiera ono m.in. nazwę wybranego wykonawcy, a także jego adres oraz informacje o tym, do jakiej kategorii przedsiębiorców należy.
Wykonawcy, których dane są w ten sposób upubliczniane, mają wątpliwości co do braku ochrony tych danych. Podstawę do ujawniania danych wykonawcy, którego oferta została wybrana jako najkorzystniejsza, daje sama ustawa Prawo zamówień publicznych oraz przyświecająca jej zasada jawności postępowania. Jedną bowiem z podstawowych zasad postępowania o udzielenie zamówienia publicznego jest jego jawność (art. 8 Pzp). Zamawiający może ograniczyć dostęp do informacji związanych z postępowaniem o udzielenie zamówienia tylko w przypadkach określonych w ustawie. Może on określić w SIWZ wymogi dotyczące zachowania poufnego charakteru informacji przekazanych wykonawcy w toku postępowania.
Podmioty, które biorą udział w postępowaniu o udzielenie zamówienia publicznego, godzą się na warunki udziału w nim, a co za tym idzie na upublicznienie informacji zwierających ich dane osobowe. Nie podlegają one tak szerokiej ochronie, jaką zapewnia ustawa o ochronie danych sosnowych.
Należy również zwrócić uwagę na art. 23 ustawy o ochronie danych osobowych, który zawiera katalog przesłanek umożliwiających przetwarzanie danych osobowych. Ust. 1 pkt 2 tego przepisu zawiera przesłankę umożliwiającą przetwarzanie danych osobowych w przypadku, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Przepisy Prawa zamówień publicznych nie przewidują obowiązku uzyskiwania zgody na przetwarzanie danych osobowych wykonawców biorących udział w postępowaniu o udzielenie zamówienia. Zakres dokumentów, jakich zamawiający może żądać od wykonawców został określony w rozporządzeniu Ministra Rozwoju w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia (Dz. U. z 2016 r. poz. 1126).
Zamawiający ma prawo żądać np. przedstawienia mu informacji z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 Pzp oraz, odnośnie skazania za wykroczenie na karę aresztu na podstawie art. 24 ust. 5 pkt 5 i 6 Pzp, wystawionej nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu. Zaświadczenia te dotyczą wykonawców będących osobami fizycznymi, członków organu zarządzającego lub nadzorczego wykonawcy, wspólnika spółki w spółce jawnej lub partnerskiej albo komplementariusza w spółce komandytowej lub komandytowo-akcyjnej lub prokurenta. Zamawiający może również żądać dokumentów potwierdzających kwalifikacje pracowników skierowanych przez wykonawcę do realizacji zamówienia publicznego.
Urząd Zamówień Publicznych stoi na stanowisku, że przepisy umożliwiające zamawiającemu żądanie określonych dokumentów (zawierających dane osobowe) są przepisami szczególnymi wobec ustawy o ochronie danych osobowych, dlatego nie wymaga się, aby osoby, których dotyczy przedkładana zamawiającemu dokumentacja zobowiązane były do składania oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych.
Podstawa prawna
Ustawa z dnia 29.01.2004 r. - Prawo zamówień publicznych (Dz. U. z 2017 r. poz. 1579 ze zm.)
|