Udostępnianie danych osobowych pracowników przez podmiot biorący udział w przetargu budzi niepokój. W ostatnim czasie do naszej Kancelarii zgłosił się klient, który uczestniczył w przetargu organizowanym przez jedną z instytucji unijnych. Interesowało go to, czy instytucja unijna może żądać od uczestnika przetargu dokumentacji, którą jest CV pracowników. Wątpliwości dotyczyły tego, czy przesłanie dokumentacji, którymi są dokumenty aplikacyjne nie jest nieuzasadnionym udostępnieniem danych osobowych i znajduje swoje uzasadnienie w przepisach prawa, a w szczególności w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych zwane RODO).

RODO a zamówienia publiczne

Udzielanie zamówień publicznych przez instytucje unijne jest uregulowane przez rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) nr 966/2012 z 25 października 2012 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii. Na podstawie tego aktu, Komisja Europejska może doprecyzowywać kryteria wyboru oferentów poprzez nałożenie obowiązku przedstawiania pewnych dokumentów potwierdzających doświadczenie, przygotowanie techniczne, czy też kompetencje zawodowe pracowników.

Jak jednak ma się do tego RODO? Przedstawienie CV pracowników prowadzi do przesłania dokumentów zawierających wiele ich danych osobowych do odrębnego administratora, którym jest instytucja organizująca przetarg, co powoduje powstanie dwóch problemów.

Pierwszym z nich jest to, że instytucja wymaga przesłania dokumentów, które stanowią swoistego typu deklarację umiejętności zawodowych pracowników, w żadnym jednak razie nie są ich potwierdzeniem. Potwierdzeniem kompetencji pracownika może być dyplom i certyfikat, które stanowią, że dana osoba nabyła jakąś umiejętność, przez np. złożenie odpowiednich egzaminów. Jaki jest więc sens wysyłania dokumentów aplikacyjnych, skoro nie są one w  żaden sposób potwierdzeniem informacji w nich zawartych?

Skoro jest dopuszczalne przez przepisy prawa żądanie przez instytucję zamawiającą dokumentów mających większe znaczenie dla osób, których dotyczą (bo w końcu dyplomów i certyfikatów, które przedstawiane są przy wyjątkowych okolicznościach), to tym bardziej jest dopuszczalnym żądanie przedstawienia dokumentów, w których te osoby tylko deklarują posiadanie odpowiednich umiejętności. Z tej perspektywy, chociaż wątpliwe ze względu na cel, dla którego dane dokumenty są zbierane, żądanie ich przedstawienia może być uzasadnione przez prawo. Oferent więc może wysyłać CV swoich pracowników bez zastrzeżeń do instytucji unijnych ogłaszających przetarg.

Czy można wysłać CV do zamawiającego

Drugi problem jest bardziej istotny dla oferenta, gdyż sprowadza się do pytania, czy może on wysłać CV swoich pracowników do instytucji zamawiającej, a jeśli tak, to co powinien zrobić, aby takie przesłanie było zgodne z prawem. Nie należy w takiej sytuacji pobierać od pracownika zgody na udostępnienie danych, gdyż zgodę można w każdym czasie wycofać, a przetwarzanie danych jest konieczne w celu przeprowadzenia postępowania przetargowego.

Pracownik podejmujący się danej pracy powinien mieć świadomość tego, że jego pracodawca bierze udział w przetargach, których częstym elementem będzie konieczność wykazania, że jest się w stanie wykonać zamówienie. Stąd też w takiej sytuacji pracodawca może udostępnić dane swoich pracowników instytucji zamawiającej bazując na przesłance przetwarzania wynikającej ze swojego prawnie uzasadnionego interesu, polegającego na udziale w przetargach. Istnienie podstawy prawnej dla przetwarzania nie oznacza jednak tego, że żadne czynności nie powinny zostać podjęte, aby przetwarzanie było zgodne z prawem.

Ochrona danych osobowych. Kontrola i postępowanie w sprawie naruszenia przepisów. Poradnik ze wzorami

Mirosław Gumularz, Patrycja Kozik

Sprawdź  

Na kim spoczywa obowiązek informacyjnych

Pracodawca musi poinformować pracownika o celach, w których jego dane będą przetwarzane. Jeśli dane pracownika będą przetwarzane w celu wzięcia udziału w przetargu, wówczas taka informacja powinna znaleźć się w obowiązku informacyjnym (zestawie informacji, które administrator danych ma obowiązek przekazać osobom, których dane są przetwarzane), który do pracownika jest kierowany przy rozpoczęciu wykonywania przez niego pracy. Jeśli obowiązek ten nie został zrealizowany należy go wykonać. Jeśli obowiązek informacyjny nie zawierał wskazanej informacji o celach przetwarzania, należy go uzupełnić.

Czytaj również: Klauzule RODO w zamówieniach publicznych >>

W związku z RODO, zarówno na oferenta jak i zamawiającego zostały nałożone obowiązki. W końcu otrzymanie danych pracowników oferenta w ofercie przetargowej jest przetwarzaniem danych, które nie pochodzą bezpośrednio od osoby, której dotyczą. W takiej sytuacji na zamawiającym ciąży także obowiązek poinformowania osób, których dane są przetwarzane o jego celach i sposobach. Jest to proces skomplikowany i czasochłonny, stąd też ciężar jego wykonania w realiach polskich zamówień publicznych został przerzucony na oferentów. Urząd zamówień publicznych skorzystał tutaj z opcji, którą daje RODO odnośnie zwolnienia z przedstawienia obowiązku informacyjnego, jeśli osoba, której dane są przetwarzane dysponuje już takimi informacjami.

Zgodnie z wytycznymi Urzędu Zamówień Publicznych odnośnie RODO, oferent powinien przedstawiać jako jeden z elementów swojej oferty oświadczenie o realizacji obowiązku informacyjnego względem osób, które będą wykonywały zamówienie. Tym samym spełnienie właściwego obowiązku informacyjnego stało się jednym z wymogów wzięcia udziału w przetargu.

Jak widać zatem RODO nie wprowadza rewolucji w sferze zamówień publicznych. Oferent może udostępnić instytucji zamawiającej dane swoich pracowników, jeśli wymaga ona tego od niego w celu udokumentowania ich umiejętności i kompetencji. Wykazanie jednak, że udostępnienie nastąpiło w sposób zgodny z prawem spoczywa na oferencie, który musi spełnić właściwy obowiązek informacyjny wobec swoich pracowników.