Ustawa z 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922), definiuje dane osobowe jako wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Zgodnie z art. 7 pkt 2) uodo przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Jako, że na gruncie uodo każdy ma prawo do ochrony dotyczących go danych osobowych, przetwarzanie tych danych może odbywać się tylko w warunkach określonych w ustawie. O zasadach przetwarzania danych osobowych traktuje art. 23 uodo Jest ono możliwe: gdy osoba, której dane dotyczą, wyrazi na to zgodę; gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; kiedy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; gdy jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; albo gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przekładając to na grunt przepisów pzp zauważyć można, że ustawy te mają wiele punktów stycznych.

Przepisy pzp nakładają bowiem na zamawiającego obowiązek publikacji ogłoszeń o udzielenie zamówienia publicznego, zawierających dane wykonawców, zamawiający ma obowiązek publicznie otworzyć oferty, podać nazwy i adresy wykonawców, a nadto zamieścić te dane na stronie internetowej. Po wyborze oferty najkorzystniejszej zamawiający musi poinformować wszystkich wykonawców, biorących udział w postępowaniu o wyborze oferty najkorzystniejszej z podaniem danych wykonawcy, nawet jeśli jest on osobą fizyczną. Ponadto przepis art. 96 ust. 3 pzp zobowiązuje zamawiającego do udostępniania na wniosek dokumentów postępowania o zamówienie publiczne. Są to obowiązki wynikające wprost z przepisów pzp, materializuje się więc w tym przypadku przesłanka art. 23 pkt 2) uodo. Publiczne wykorzystywanie danych wykonawcy-osoby fizycznej będzie więc nieuniknione i oparte na przepisach ustawy pzp, która nie przewiduje w tym względzie odstępstwa od zasady jawności. Umowa zawarta w trybie zamówienia publicznego z osobą fizyczną będzie zaś podlegała udostępnieniu, zgodnie z treścią art. 139 ust. 3 pzp.

Należy zwrócić uwagę na fakt, iż zakresem przedmiotowym uodo objęte są wyłącznie dane dotyczące osób fizycznych. Jednakże w postępowania o udzielenie zamówienia publicznego występują niejednokrotnie przedsiębiorcy prowadzący jednoosobową działalność gospodarczą. Ich status jest dwojaki – z jednej strony są przedsiębiorcą, zgodnie z przepisami ustawy z 02.07.2004 r. o swobodzie działalności gospodarczej (Dz.U. z 2017 r. poz. 2168), a z drugiej strony są osobą fizyczną, której miejscem prowadzenia jednoosobowej, wykonywanej osobiście działalności gospodarczej może być miejsce zamieszkania. W tej sprawie jednak wypowiedział się w wyroku z 28.11.2002 r. Naczelny Sąd Administracyjny (II SA 3389/01) podnosząc, że „jeżeli przedsiębiorca, w szczególności przedsiębiorca będący osobą fizyczną, podaje swoje dane osobowe jako dane identyfikujące prowadzoną przez niego firmę, nie może jednocześnie domagać się ochrony tych danych jako osoba fizyczna, gdyż oznaczając w ten sposób swoją firmę godzi się tym samym na wykorzystywanie danych osobowych jako danych firmy, a zarazem na szersze ich ujawnianie i słabszą ochronę”. Analogicznie można rozpatrywać sytuację osoby fizycznej nie prowadzącej działalności gospodarczej, a startującej w publicznym przetargu. Jeśli osoba fizyczna składa ofertę w postępowaniu o udzielenie zamówienia publicznego, prowadzonego w rygorze ustawy pzp, przewidującej szereg publikacji danych wykonawcy musi liczyć się z tym, że nie będzie mogła zachować danych identyfikujących ją w poufności. Zauważa to także Urząd Zamówień publicznych w opinii pt. „Dane osobowe wykonawców zamieszczane w Biuletynie Zamówień Publicznych”, stwierdzając: „Podmioty deklarujące zamiar udziału w postępowaniu o udzielenie zamówienia publicznego z założenia godzą się na określone prawem uwarunkowania, związane z ich udziałem w postępowaniu, w tym na upublicznienie informacji zawierających ich dane osobowe, w przypadku udzielenia im zamówienia, a w przypadku trybów: negocjacji bez ogłoszenia oraz zamówienia z wolnej ręki także przed udzieleniem zamówienia publicznego. Tym samym, dane takie w odniesieniu do faktu publikacji nie podlegają ścisłej ochronie, wynikającej z uodo. Przepisy ustawy pzp wprowadzają zatem swoiste dla tej dziedziny uregulowania związane z publikacją danych, w szczególności danych dotyczących wykonawców, którym zostały udzielone zamówienia. Stają się przez to przepisami szczególnymi w stosunku do ustawy o ochronie danych osobowych nie przewidując m.in. obowiązku uzyskiwania zgody na przetwarzanie danych osobowych wykonawców biorących udział w postępowaniu o udzielenie zamówienia publicznego. W tym zakresie należy również zwrócić uwagę na przepis art. 23 ust. 1 pkt. 2 uodo, który uprawnia do przetwarzania danych osobowych, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa” (źródło: https://www.uzp.gov.pl/baza-wiedzy/interpretacja-przepisow/opinie-dotyczace-ustawy-pzp/inne/dane-osobowe-wykonawcow-zamieszczane-w-biuletynie-zamowien-publicznych).

Podobnie sytuacja kształtuje się dla podmiotu trzeciego, na którego zasoby wykonawca się powołuje w postępowaniu o udzielenie zamówienia publicznego oraz podwykonawcy. Przepisy ustawy pzp nakładają obowiązek przedkładania zamawiającemu dokumentów dotyczących podmiotów trzecich i podwykonawców, albo przedkładania informacji o tych podmiotach (w postępowaniach o wartości krajowej). Wobec tego są to podmioty, które bezpośrednio występują w postępowaniu o udzielenie zamówienia publicznego, a przetwarzanie ich danych jest również niezbędne dla zrealizowania przepisów ustawy pzp (badanie braku podstaw do wykluczenia/spełnienia warunków udziału w postępowaniu), a tym samym jest niezbędne do wykonania określonych prawem zadań, realizowanych dla dobra publicznego.

Dane, zawarte w wykazie osób, skierowanych przez wykonawcę do realizacji zamówienia nie podlegają ochronie, gdyż podawane są one na podstawie aktu wykonawczego do ustawy pzp, który określa zakres informacji podawanych w tym wykazie. Należy także zauważyć, że centralny rejestr osób posiadających uprawnienia budowlane oraz lista członków właściwej izby samorządu zawodowego są jawne, w związku z tym nie można zasłaniać się w tym przypadku przepisami uodo. Wykaz ten jest składany w postępowaniu o udzielenie zamówienia publicznego tylko wówczas, gdy zamawiający z powodu jego niezbędności dla postępowania żąda jego złożenia. Informacje o osobach w nim ujętych są zestawiane z warunkami udziału w postępowaniu, postawionymi przez zamawiającego. Informacje te są więc konieczne dla zrealizowania celu postępowania (ocenienia oferty wykonawcy i zdecydowania o jej losie). Jak podkreśla Krajowa Izba Odwoławcza, w uzasadnieniu wyroku z 12.01.2015 r. (KIO 2784/14) „to rzeczą wykonawcy, który decyduje się na korzystanie z określonych osób w postępowaniu i uczestniczy w procedurze opartej z założenia o zasadę pełnej transparentności, jaką jest postępowanie o zamówienie publiczne jest podjąć środki zabezpieczające tę sferę, w szczególności odebrać od osób godzących się na współpracę odpowiednich oświadczeń i zgody na przetwarzanie danych osobowych przez siebie czy przekazanie ich na zewnątrz, w szczególności w ramach oferty kierowanej w odpowiedzi na publiczne ogłoszenie i rozpatrywanej w jawnym postępowaniu”.

Jak podkreśla dr Aneta Wala z Kancelarii Wierzbowski Eversheds: „W przypadku zamawiających podstawę do przetwarzania danych innych osób w postępowaniu o udzielenie zamówienia publicznego stanowi przesłanka niezbędności tego przetwarzania dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a w niektórych przypadkach także przesłanka niezbędności dla wypełnienia prawnie usprawiedliwionych celów administratora danych albo odbiorców danych. Powyższe oznacza, że ilekroć przepisy p.z.p. i rozporządzeń dają zamawiającemu określone uprawnienie w zakresie przetwarzania danych osobowych innych osób w postępowaniu, jest on do takiego przetworzenia tych danych (np. ich kopiowania, udostępniania) uprawniony. Jeśli jednak przepis p.z.p. lub rozporządzenia nie daje zamawiającemu wyraźnie takiego uprawnienia, to każdorazowe operacje na danych osobowych wymagają analizy pod kątem ich niezbędności dla wypełnienia prawnie usprawiedliwionych celów administratora danych (…) Z przepisów p.z.p. oraz rozporządzeń nie wynika np. obowiązek upubliczniania w internecie danych osobowych osób reprezentujących wykonawców. Trudno również uznać, by było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych” (www.lex.pl, artykuł pt. Ochrona danych osobowych w przetargach publicznych, 27.07.2015 r.).

W informacji z Krajowego Rejestru Karnego oprócz danych, znajdujących się w dokumentach takich jak informacja z Krajowego Rejestru Sądowego lub wyciąg z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, występują także inne informacje identyfikujące daną osobę fizyczną (np. członka rady nadzorczej spółki akcyjnej). Nie są to dane ogólnodostępne, więc w mojej ocenie, udostępnianie informacji z KRK powinno nastąpić po uprzednim zanonimizowaniu tych danych ( m.in. imiona rodziców, miejsce zamieszkania, miejsce urodzenia, czy nazwisko rodowe matki).

Podobnie rzecz się ma do treści pełnomocnictwa. Oferta wykonawcy musi być złożona przez osobę upoważnioną do reprezentowania wykonawcy. Jeżeli ofertę składa osoba nie wymieniona w dokumentach rejestrowych, powinna posiadać pełnomocnictwo do dokonania takiej czynności. Powinno być to pełnomocnictwo ogólne, lub rodzajowe i zawierać katalog czynności, do których upoważniony jest w imieniu i na rzecz wykonawcy pełnomocnik. Zakres umocowania powinien być bowiem oznaczony w taki sposób, aby jego określenie nie budziło wątpliwości interpretacyjnych. Tylko tak bowiem zamawiający oceni, czy oferta i oświadczenia woli składane w toku postępowania są skuteczne. Pełnomocnictwo może także upoważniać pełnomocnika do zawarcia umowy w sprawie zamówienia publicznego. Ustawa pzp nie wspomina jednak o konieczności ujawniania danych osobowych pełnomocnika, z natury rzeczy będącego osobą fizyczną. Trudno także mówić tutaj o tym, że udostępnianie danych osobowych pełnomocnika jest podyktowane koniecznością prawidłowego postępowania o udzielenie zamówienia publicznego. Pełnomocnik bowiem nie jest stroną postępowania, tylko ją reprezentuje. Jedynym stosunkiem, który go z tym postępowaniem łączy jest stosunek pełnomocnictwa. Przetwarzanie jego danych w pewnym zakresie jest niezbędne dla wykonania określonych prawem zadań, związanych z postępowaniem, ale udostępnianie treści pełnomocnictwa, zawierającego np. adres zamieszkania pełnomocnika, czy imiona jego rodziców, na wniosek powinno być poprzedzone zanonimizowaniem tych danych pełnomocnika.

Gdyby zamawiający chciał dokonać kontroli prawidłowego wykonywania umowy i żądał od wykonawcy umów o pracę z osobami, które zgodnie z postanowieniami specyfikacji istotnych warunków zamówienia miały być zatrudnione w takiej formie, przekazane umowy musiałyby być zanonimizowane, by chronić dane osobowe nie będące stroną umowy zawartej w trybie zamówienia publicznego.

Reasumując, w zamówieniach publicznych ochrona danych osobowych obowiązuje zawsze tam, gdzie ich przetwarzanie nie wynika wprost z ustawy pzp. Każdorazowo należy do tego zagadnienia podchodzić indywidualnie i z ostrożnością, gdyż nieuprawnione przetwarzanie danych osobowych zagrożone jest odpowiedzialnością karną (art. 49 ust. 1 uodo), w związku z tym ich przetwarzanie musi odbywać się wyłącznie w granicach zakreślonych przepisami uodo i ustawy pzp.