RODO namiesza w zamówieniach publicznych. Przez certyfikaty

Przepustka do przetargów

Na łamach tygodnika Firma i Prawo pisaliśmy niedawno, że resort cyfryzacji zmienił zdanie w sprawie tzw. certyfikatów RODO - czyli zaświadczeń o zgodności istniejących w przedsiębiorstwie systemów przetwarzania danych osobowych z rozporządzeniem Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (Dz.Urz. UE z 2016 r. L 199, s. 1; tzw. RODO). Ostatecznie takie certyfikaty ma wydawać przedsiębiorcom chętnym do ich uzyskania nie tylko prezes Urzędu Ochrony Danych Osobowych (UODO), jak planowano we wcześniejszej wersji projektu, lecz także prywatne firmy, które uzyskają stosowny dokument z Polskiego Centrum Akredytacji. Przy okazji przedstawiania istoty tego dokumentu i jego znaczenia dla przedsiębiorców pojawiła się zapowiedź, że podmioty mające certyfikat zgodności z RODO mogą być korzystniej traktowane w przetargach o wykonanie zamówienia. Doktor Maciej Kawecki, koordynator prac nad krajową reformą ochrony danych osobowych w Ministerstwie Cyfryzacji (MC), zapewniał przy tym, że posiadanie certyfikatu nie będzie jednak obowiązkiem, ale przywilejem. Nie powinno być zatem obligatoryjnym wymogiem stawianym startującym w przetargach, natomiast może być kryterium premiowanym przez organizatora przetargu. Inaczej mówiąc: za posiadanie certyfikatu przedsiębiorca miałby uzyskać dodatkowe punkty, ale za jego brak nie zostałby wykluczony z konkursu.

UZP dopuszcza odrzucenie...

Postanowiliśmy zapytać Urząd Zamówień Publicznych (UZP) o postrzeganie certyfikatu na gruncie obowiązujących przepisów o zamówieniach publicznych. Ku naszemu zdumieniu okazało się, że interpretacja urzędu jest zgoła inna niż resortu cyfryzacji. Z pierwszego stanowiska (przesłanego do redakcji 1 lutego br.) wynika, że obecnie obowiązujące przepisy pozwalają wykluczyć z przetargu za brak certyfikatu zgodności z RODO. UZP wyjaśniło wówczas, że zgodnie z art. 22 ust. 1a ustawy z 29 stycznia 2004 r. - Prawo zamówień publicznych (t.j. Dz.U. z 2017 r. poz. 1579 ze zm.; dalej: p.z.p.) zamawiający określa warunki udziału w postępowaniu oraz wymagane od wykonawców środki dowodowe w sposób proporcjonalny do przedmiotu zamówienia oraz umożliwiający ocenę zdolności wykonawcy do należytego wykonania zamówienia, w szczególności wyrażając je jako minimalne poziomy zdolności. W tym m.in. może wymagać posiadania certyfikatu zgodności z RODO. - Jeśli zatem wykonawca nie wykazał spełnienia warunków udziału w postępowaniu, to zgodnie z art. 24 ust. 1 pkt 12 p.z.p. podlega on wykluczeniu - napisał urząd. Ponieważ ta opinia wydała nam się zbyt kategoryczna poprosiliśmy UZP o jej doprecyzowanie. I w efekcie urząd swoje stanowisko złagodził. Z dokumentu, który otrzymaliśmy wczoraj nie wynika już kategorycznie, że brak certyfikatu RODO może być podstawą odrzucenia oferty. Tym razem urząd skupia się na tym, czy certyfikat RODO w ogóle może być jednym z warunków udziału w postępowaniu lub stanowić pozacenowe kryterium oceny ofert. I jak twierdzi - nie zawsze. Zdaniem UZP wszystko zależy bowiem od przedmiotu zamówienia. Jeżeli ma ono związek z ochroną danych osobowych, to tak.

Stanowisko Urzędu Zamówień Publicznych z 15 lutego 2018 r.

@RY1@i02/2018/034/i02.2018.034.18300020a.801.jpg@RY2@

Kwestie związane z wymaganiami RODO mogą stanowić podstawę konstruowania przez zamawiających zarówno warunków udziału w postępowaniu, jak i kryteriów oceny ofert, o ile mają związek z przedmiotem zamówienia i służą ustaleniu przez zamawiającego zdolności wykonawcy do realizacji zamówienia lub premiowaniu pożądanego przez zamawiającego w aspekcie realizacji zamówienia elementu jakościowego, stąd generalne wskazanie na możliwość formułowania przez zamawiających przy prowadzeniu postępowań o udzielenie zamówienia publicznego kryteriów oceny ofert czy warunków udziału w postępowaniu odnoszących się do posiadania przez wykonawców certyfikatów przetwarzania danych osobowych wydaje się zbyt daleko idące.

W świetle powyższych uwag trzeba także wspomnieć, że obowiązki wynikające z RODO nie dotyczą wszystkich podmiotów przetwarzających dane osobowe, i nie w takim samym zakresie (np. małe i średnie przedsiębiorstwa). Ponadto, jeżeli obowiązki wynikające z RODO spoczywają na danym podmiocie, musi on je wypełniać niezależnie od tego, czy zamierza ubiegać się jako wykonawca o udzielenie zamówienia publicznego czy też nie. Stąd też nie wydaje się uzasadnione, poza wyżej wskazanymi przypadkami związku RODO z przedmiotem zamówienia, generalne przyzwolenie na odnoszenie się do tego aspektu we wszystkich postępowaniach o udzielenie zamówienia publicznego.

Przede wszystkim należy zauważyć, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w skrócie "RODO" wskazuje na dobrowolność ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z rozporządzeniem operacji przetwarzania, prowadzonych przez administratorów i podmioty przetwarzające. Co więcej, certyfikacja przewidziana rozporządzeniem nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania rozporządzenia i pozostaje bez uszczerbku dla zadań i uprawnień organów nadzorczych (por. art. 42 ust. 3 i 4 RODO). [...]

Patrząc na przedstawione do oceny zagadnienie od strony zamówień publicznych, należy w pierwszej kolejności odwołać się do treści art. 22 ust. 1a i 1b ustawy p.z.p., w których to przepisach nakazuje się określanie przez zamawiających warunków udziału w postępowaniu oraz wymaganych od wykonawców środków dowodowych wyłącznie w sposób proporcjonalny do przedmiotu zamówienia, umożliwiający zamawiającemu ocenę zdolności wykonawcy do należytego wykonania zamówienia i określa się, czego mogą dotyczyć warunki udziału w postępowaniu, co jest ściśle powiązane z oceną zdolności wykonawcy do realizacji konkretnego zamówienia. W związku z tym, jeżeli przedmiot zamówienia nie dotyczy RODO, warunek udziału w postępowaniu odnoszący się do obowiązku wykazania się przez wykonawców certyfikatem dotyczącym operacji przetwarzania danych osobowych u tych wykonawców, w świetle przytoczonych wyżej norm RODO wydaje się nadmierny, niezgodny z art. 22 ustawy Pzp i może stanowić przeszkodę w dostępie do zamówienia oraz ograniczać konkurencję, zwłaszcza w kontekście dostępu do tego postępowania małych i średnich przedsiębiorstw.

W drugiej kolejności należy spojrzeć na zagadnienie poprzez art. 91 ust. 2 ustawy Pzp. Ustanowienie kryteriów oceny ofert odnoszących się certyfikacji przetwarzania danych osobowych u wykonawców, poza przypadkami, gdy zamówienie publiczne odnosi się do kwestii RODO, również nie wydaje się odpowiadać treści tej normy, z uwagi na brak związku pomiędzy takimi kryteriami oceny ofert a przedmiotem zamówienia.

ⒸⓅ

Wczoraj swoje stanowisko skorygował również dr Maciej Kawecki. Jak oświadczył, po konsultacjach z UZP przychylił się do interpretacji, że certyfikat w pewnych sytuacjach będzie mógł być warunkiem udziału w postępowaniu - o ile istnieje związek między zastosowaniem tego kryterium a przedmiotem zamówienia.

PYTANIA DO EKSPERTA

@RY1@i02/2018/034/i02.2018.034.18300020a.802.jpg@RY2@

dr Maciej Kawecki koordynator prac nad krajową reformą ochrony danych osobowych w Ministerstwie Cyfryzacji

Dlaczego możliwość premiowania za posiadanie certyfikatu RODO może być istotna przy postępowaniach przetargowych?

Podmiot organizujący przetarg może mieć ograniczone możliwości oceny faktycznych sposobów zabezpieczenia danych. Dlatego certyfikat RODO może mieć duże znaczenie informacyjne dla podmiotu zamawiającego.

Początkowo uważał pan, że brak certyfikatu nie powinien być podstawą do wykluczania z udziału w przetargu. Jednak zmienił pan zdanie. Dlaczego?

Ponownie wspólnie z Urzędem Zamówień Publicznych przeanalizowaliśmy tematykę certyfikacji w kontekście zamówień publicznych. Nie chcielibyśmy tutaj tworzyć dwugłosu. W ocenie Urzędu Zamówień Publicznych, z którą nie chcielibyśmy polemizować, art. 22 i art. 91 ust. 1 p.z.p. prowadzi do wniosku, że certyfikat będzie mógł być warunkiem udziału w postępowaniu - o ile istnieje związek między tym kryterium a przedmiotem zamówienia. Związek taki występuje, gdy przedmiot zamówienia wiąże się z przetwarzaniem danych osobowych, np. dotyczy tworzenia systemów informatycznych służących przetwarzaniu danych osobowych. Nie będzie np. występował, gdy przedmiotem zamówienia jest stworzenie mebli. W przypadku braku takiego związku stawianie wymogu posiadania certyfikatu w ocenie UZP byłoby nadmierne i ograniczające konkurencję. My nie będziemy polemizowali z tym stanowiskiem, przyjmując, że jest słuszne.

ⒸⓅ

Rozmawiał Jakub Styczyński

...a eksperci nie

O opinie na temat roli certyfikatu RODO w procedurze udzielania zamówień publicznych poprosiliśmy także niezależnych ekspertów. Przyznają oni, że posiadanie tego certyfikatu powinno być brane pod uwagę przez zamawiających, a także dodatkowo punktowane w ramach oceny kryteriów pozacenowych. Nie widzą jednak podstaw do tego, aby zamawiający mógł automatycznie wykluczać z konkursu podmioty niemające takiego dokumentu.

Tylko punktować czy wykluczyć

Konieczność dbania o przekazywane wykonawcy dane osobowe jest również obowiązkiem zamawiającego. Zatem zdaniem większości ekspertów ma on prawo w toku postępowania przetargowego domagać się od wykonawcy, by spełniał odpowiednie warunki

Jak opowiada nam Małgorzata Kosela-Rębowska, radca prawny w kancelarii prawnej Chałas i Wspólnicy, w przeszłości w postępowaniach przetargowych zdarzały się sytuacje, w których wybrany wykonawca nieprawidłowo przetwarzał dane osobowe w trakcie realizacji umowy. - Na etapie postępowania przetargowego zweryfikowanie możliwości wykonawcy w tym zakresie było w zasadzie niemożliwe. Zamawiający nie dysponował bowiem odpowiednimi narzędziami weryfikacji - mówi mec. Kosela-Rębowska.

Także Artur Wawryło, ekspert z Centrum Obsługi Zamówień Publicznych, wskazuje, że w niektórych postępowaniach przetargowych, w których następuje udostępnienie danych osobowych wykonawcy w celu realizacji przedmiotu zamówienia, może dojść do realnego zagrożenia ochrony tych danych. Zatem w pełni uzasadnione może być rozwiązanie, w którym zamawiający, uwzględniając przedmiot zamówienia wiążący się z udostępnieniem danych, przewidział preferowanie w postępowaniu o zamówienie publiczne tych wykonawców, którzy legitymują się jakiegoś rodzaju certyfikatem. - Chodzi przykładowo o sytuację, gdy w grę wchodzi bezpieczeństwo danych powierzonych przy usługach tworzenia narzędzi teleinformatycznych obsługujących obywatela czy też choćby w sytuacjach konfekcjonowania i wydruku korespondencji masowych, np. rachunków za media, czy też modułów systemów wspomagających zarządzanie przedsiębiorstwem klasy ERP z modułami fakturującymi klientów - wylicza Artur Wawryło.

Kiedy dokument zdałby egzamin

Chyba najbardziej jaskrawym przykładem tego, jaki problem może powstać w wyniku wybrania w przetargu podmiotu nieposiadającego wystarczających mechanizmów ochrony danych osobowych, jest głośny przetarg wygrany 2 stycznia 2014 r. przez Polską Grupę Pocztową wraz z InPost SA i Ruch SA. Podmioty te pokonały m.in. Pocztę Polską w konkursie na zamówienie na dwuletnią usługę o wartości 500 mln zł, zakładającą doręczanie przesyłek z instytucji wymiaru sprawiedliwości. Niestety w praktyce zwycięskie firmy nie do końca podołały zadaniu. Dochodziło do kuriozalnych sytuacji, gdy ważne pisma z sądu obywatele musieli odbierać z kiosków Ruchu, punktów SKOK, zakładów usługowych, marketów czy sklepów monopolowych. Poseł Sojuszu Lewicy Demokratycznej Artur Ostrowski w interpelacji nr 24130 wskazywał, że z informacji uzyskanych od adwokatów notariuszy czy radców prawnych oraz z mediów wynikało, że PGP części przesyłek nie dostarcza w ogóle, kurierzy nie znają procedur wydawania przesyłek, punkty wydawania przesyłek otwarte są zbyt krótko, nadto nie dostarczają awizo, wskutek czego odbiorcy na własną rękę poszukują punktów odbioru. Prezes Urzędu Komunikacji Elektronicznej 19 marca 2015 r. zakończył postępowanie administracyjne po kontrolach wszczętych w wyżej wymienionych podmiotach. Nakazał im usunięcie uchybień mających związek z terminowością doręczeń przesyłek, poprawnego ich oznaczania oraz koniecznością lepszego zabezpieczenia ochrony danych wrażliwych. Naturalne bowiem jest, że pracownicy kiosków czy sklepów monopolowych nie powinni mieć dostępu do danych osobowych i informacji poufnych zawartych w pismach sądowych; nie potrafią również z należytą dbałością się z nimi obchodzić.

Zdaniem dra Pawła Litwińskiego, adwokata i partnera w kancelarii Barta Litwiński, był to przykład przetargu, w którym wygrała oferta o najatrakcyjniejszej cenie, ale podmiot nieprzygotowany był do należytej ochrony danych osobowych. Być może w analogicznej sytuacji w przyszłości wynik przetargu mógłby być inny, gdyby zamawiający mógł wziąć pod uwagę posiadanie (lub brak) certyfikatu zgodności z RODO przez podmioty składające ofertę.

Uwzględnienie przy ocenie ofert dopuszczalne. Ale są warunki

- Można sobie wyobrazić, że podmioty udzielające zamówień publicznych będą chciały skorzystać z możliwości wyboru takiego wykonawcy, który legitymuje się dokumentem potwierdzającym fakt przetwarzania danych osobowych zgodnie z przepisami - mówi Michał Badura, radca prawny i wspólnik w kancelarii Ślązak, Zapiór i Wspólnicy. Podkreśla, że w myśl obowiązujących przepisów p.z.p. to możliwe: to zamawiający bowiem ustala kryteria oceny ofert oraz jest uprawniony do żądania wielu dokumentów, które pozwalają na ocenę, czy dany wykonawca jest zdolny do prawidłowego wykonania zamówienia. Dodatkowa selekcja czy też ustalenie swoistego rankingu wykonawców odbywa się poprzez wyspecyfikowane kryteria szczegółowo opisane przez zamawiającego.

Jak wskazuje ekspert, już obecnie w celu potwierdzenia, że oferowane usługi odpowiadają określonym wymaganiom, zamawiający są uprawnieni do żądania przedstawienia certyfikatów, z których wynika zgodność z wymaganiami określonymi w opisie przedmiotu zamówienia lub z kryteriami oceny ofert. Zamawiający mogą także określić (a w wielu przypadku wręcz muszą) pozacenowe kryteria oceny ofert. Mogą się one na przykład odnosić do jakości przetwarzania danych osobowych. Wiele więc zależy od tego, w jaki sposób będą ustalone kryteria oceny w konkretnym postępowaniu.

Posiadanie certyfikatu może być premiowane przez zamawiających na co najmniej dwa sposoby: poprzez przyznanie dodatkowych punktów wykonawcom certyfikowanym lub przez ustalenie wagi kryterium pozacenowego, dotyczącego sposobu przetwarzania danych na wysokim poziomie. Brak stosownego certyfikatu potwierdzającego stosowanie przez wykonawcę właściwych mechanizmów przetwarzania danych może więc powodować, że oferta zostanie oceniona niżej niż oferta konkurencji, która takowym certyfikatem dysponuje, a to wszystko może mieć istotny wpływ na końcowy wynik postępowania.

Zdaniem mec. Michała Badury w przypadku zamówień, przy realizacji których ma dochodzić do przetwarzania danych osobowych, zamawiający powinien wręcz dogłębnie rozważyć takie sformułowanie kryteriów oceny ofert, które pozwoli na weryfikację, czy wykonawca daje gwarancje prawidłowego prowadzenia przetwarzania danych. - W powyższych przypadkach będą pomocne certyfikaty i rzeczywiście może dojść do sytuacji, w których podmioty niecertyfikowane nie uzyskają zamówienia - stwierdza mec. Badura. Jak jednak wyraźnie zaznacza, żądanie posiadania certyfikatu powinno wynikać z charakteru zamówienia oraz mieć poparcie w postanowieniach specyfikacji. - Certyfikat RODO powinien być postrzegany jako kolejne narzędzie pozwalające zamawiającym dokonać prawidłowej oceny oferty i wybór wykonawcy, który gwarantuje jak najlepsze wykonanie umowy, a nie jako dokument ograniczający dostępność zamówienia czy wręcz skutkujący zachwianiem konkurencji - dodaje mec. Badura.

Niedozwolone odrzucenie

W ocenie wielu ekspertów niewłaściwa jest natomiast interpretacja pozwalająca zamawiającym wykluczać z przetargów podmioty niemające certyfikatu RODO.

Zdaniem mec. Koseli-Rębowskiej nie można stawiać wymogu posiadania certyfikatu RODO w postępowaniu przetargowym jako warunku udziału w nim. - Do tego konieczna byłaby zmiana przepisów prawa zamówień publicznych, której nie ma obecnie w planach resortu cyfryzacji - stwierdza prawniczka. Wyjaśnia, że stawianie wykonawcom wymogu posiadania certykatu RODO nie mieści się obecnie w ustanowionych przez ustawodawcę kryteriach udziału w postępowaniu, zawartych w art. 22 ust. 1b p.z.p. - Artykuł 22 ust. 1a p.z.p. wskazuje, że zamawiający określa warunki udziału w postępowaniu oraz wymagane od wykonawców środki dowodowe w sposób proporcjonalny do przedmiotu zamówienia oraz umożliwiający ocenę zdolności wykonawcy do należytego wykonania zamówienia, w szczególności wyrażając je jako minimalne poziomy zdolności. Niemniej jednak określenie warunków to konkretyzacja kryteriów zawartych w art. 22 ust. 1b p.z.p. - wskazuje mec. Kosela-Rębowska. Zgodnie zaś z tym przepisem warunki udziału w postępowaniu mogą dotyczyć: kompetencji lub uprawnień do prowadzenia określonej działalności zawodowej, o ile wynika to z odrębnych przepisów; sytuacji ekonomicznej lub finansowej. Artykuł 22 p.z.p. mówi zaś, że o udzielenie zamówienia mogą ubiegać się wykonawcy, którzy nie podlegają wykluczeniu oraz spełniają warunki udziału w postępowaniu, o ile zostały one określone przez zamawiającego w ogłoszeniu o zamówieniu lub w zaproszeniu do potwierdzenia zainteresowania. - Powyższa regulacja ma na celu wskazanie sposobu postępowania przy określaniu warunków udziału w postępowaniu, z zachowaniem uczciwej konkurencji i równego traktowania wykonawców - zwraca uwagę mec. Kosela-Rębowska.

Wskazane przez ustawodawcę warunki udziału w postępowaniu mogą dotyczyć:

1) kompetencji lub uprawnień do prowadzenia określonej działalności zawodowej, o ile wynika to z odrębnych przepisów;

2) sytuacji ekonomicznej lub finansowej;

3) zdolności technicznej lub zawodowej (art. 22 ust. 1b p.z.p.).

- Odnosząc się do warunku zdolności technicznej lub zawodowej, wskazać należy, że do tej kategorii zalicza się w szczególności posiadanie niezbędnej wiedzy i doświadczenia, dysponowanie potencjałem technicznym oraz dysponowanie osobami zdolnymi do wykonania przedmiotu zamówienia. Natomiast przez posiadanie niezbędnej wiedzy należy rozumieć odpowiedni zasób informacji, wiedzy z dziedziny, której dotyczy realizowane zamówienie, np. znajomość technologii czy metodologii - wyjaśnia mec. Kosela-Rębowska. Dodaje, że odnośnie do kwestii kompetencji lub uprawnień do prowadzenia określonej działalności zawodowej warunek ten może zostać ustanowiony jedynie w przypadku, gdy odrębne przepisy nakładają obowiązek uzyskania określonych uprawnień. Dokumentami potwierdzającymi spełnienie tego warunku są: koncesje, zezwolenia, licencje lub dowody, że wykonawca jest wpisany do jednego z rejestrów zawodowych lub handlowych. Dokumenty, jakich może żądać zamawiający na potwierdzenie spełnienia powyższych warunków, zostały określone w rozporządzeniu ministra rozwoju z 26 lipca 2016 r. w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia (Dz.U. poz. 1126). Dotyczy to postępowań o udzielenie zamówienia wydanego na podstawie art. 25 ust. 2 p.z.p. Zdaniem ekspertów certyfikatu RODO nie można zakwalifikować do którejkolwiek z grup dokumentów zawartych w wykazie dokumentów wskazanych w tym rozporządzeniu. Zgodnie z par. 2 ust. 4 powyższego rozporządzenia zamawiający może wymagać następujących dokumentów:

● wykazu robót budowlanych;

● wykazu dostaw lub usług wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych;

● wykazu narzędzi, wyposażenia zakładu lub urządzeń technicznych dostępnych wykonawcy w celu wykonania zamówienia publicznego wraz z informacją o podstawie do dysponowania tymi zasobami;

● opisu urządzeń technicznych oraz środków organizacyjno-technicznych zastosowanych przez wykonawcę w celu zapewnienia jakości oraz opisu zaplecza naukowo-badawczego, posiadanego przez wykonawcę lub które będzie pozostawało w dyspozycji wykonawcy;

● wykazu systemów zarządzania łańcuchem dostaw i śledzenia łańcucha dostaw, które wykonawca będzie mógł zastosować w celu wykonania zamówienia publicznego;

● wykazu środków zarządzania środowiskowego;

● oświadczenia o wyrażeniu zgody na przeprowadzenie kontroli zdolności produkcyjnych lub zdolności technicznych wykonawcy;

● oświadczenia na temat wielkości średniego rocznego zatrudnienia u wykonawcy oraz liczebności kadry kierowniczej;

● oświadczenia na temat wykształcenia i kwalifikacji zawodowych wykonawcy lub kadry kierowniczej wykonawcy;

● wykazu osób skierowanych przez wykonawcę do realizacji zamówienia publicznego.

- Ten katalog ma charakter zamknięty - zaznacza Artur Wawryło. Wyjątkiem są jedynie zamawiający sektorowi, którzy zgodnie z p.z.p. mają prawo do żądania innych dokumentów (spoza rozporządzenia), jeśli przedstawią stosowne uzasadnienie (art. 138c ust. 1 p.z.p.). - Z uwagi na powyższe, nieposiadanie certyfikatu nie może stanowić podstawy do odrzucenia oferty, tym bardziej iż posiadanie certyfikatu będzie dobrowolne - konkluduje mec. Kosela-Rębowska.

Zalecenie ekspertów

Eksperci nie mają jednak wątpliwości, że posiadanie certyfikatu RODO może być brane pod uwagę przez zamawiających. A w przypadku zamówień uwzględniających przekazywanie wykonawcy ważnych danych osobowych powinno być istotnie punktowanym warunkiem pozacenowym. Zgodnie z art. 91 ust. 2 pkt 5 p.z.p. zamawiający wybiera ofertę najkorzystniejszą na podstawie kryteriów oceny ofert określonych w specyfikacji istotnych warunków zamówienia. Ponadto może ocenić również organizację, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia, jeżeli może to mieć znaczący wpływ na jakość wykonania zamówienia. - Zasadą jest, że kryteria, jakie stosuje zamawiający, muszą być obiektywne i niedyskryminacyjne. Muszą odnosić się więc do przedmiotu zamówienia, jak również nie mogą dotyczyć właściwości wykonawcy. Tym samym wprowadzenie kryterium posiadania certyfikatu RODO jako kryterium odnoszącego się do jakości oferowanego produktu bądź usługi z uwagi na przedmiot zamówienia będzie w pełni uzasadnione - uważa mec. Małgorzata Kosela-Rębowska.

Zamieszanie pewne!

Eksperci zwracają uwagę na jeszcze jedną kwestię: na początku obowiązywania RODO, czyli po 25 maja 2018 r., niewiele firm będzie miało certyfikaty. Punktowanie ich w przetargach może zatem sprowadzić się do nieuczciwej konkurencji

Zdaniem Artura Wawryły p.z.p. nie narzuca (w przeciwieństwie do kryterium ceny dla niektórych kategorii zamawiających - art. 91 ust. 2a p.z.p.) udziału procentowego zastosowanych przez zamawiającego poszczególnych pozacenowych kryteriów oceny ofert. Zatem niewykluczone jest, że przy stosowaniu kryterium w postaci posiadania lub braku certyfikatu RODO uzyskany zostanie efekt wymagań granicznych. Czyli mówiąc inaczej: realnie szanse na uzyskanie zamówienia uzyska jedynie podmiot legitymujący się certyfikatem RODO.

Przykładów podobnych prób wykluczenia można wskazać wiele. Jeden z ekspertów opowiada nam o przetargu, w którym zamawiający potrzebował nowych tonerów do drukarek. Bardzo zależało mu jednak na dostawie oryginalnych produktów. Postanowił więc tak ustanowić punktację kryteriów pozacenowych, że potencjalni wykonawcy otrzymywali za zaproponowanie oryginalnych tonerów aż 50 pkt, nieoryginalnych zaś - 0 pkt.

Zagrożenie ustawianiem przetargów

Inny ekspert mówi nam nieoficjalnie, że wysokie punktowanie posiadania certyfikatu RODO przez jeden podmiot mogłoby być wręcz narzędziem do ustawiania przetargów i eliminowania z nich mniej pożądanych firm. Może się przecież zdarzyć, że posiadanie certyfikatu RODO będzie tak istotnie premiowane przez zamawiającego, iż w praktyce jego brak będzie wykluczał z danego przetargu. Łatwo taką sytuację sobie wyobrazić zwłaszcza przy zamówieniach, w których zamawiającemu łatwo będzie uzasadnić, że posiadanie certyfikatu ma kluczowe znaczenie dla bezpieczeństwa powierzanych podwykonawcy danych osobowych.

Nierówne szanse

Należy również zwrócić uwagę, że wciąż jeszcze nie ma podmiotów, które będą udzielać certyfikatów. Nie wiadomo więc, ile ich będzie, jak szybka będzie procedura certyfikacji i jakie będą narzucone przez rynek ceny tego procesu. Logiczne wydaje się jednak, że np. u większych podmiotów procedura certyfikacji może trwać dużo dłużej niż u małych. Teoretycznie więc przewagę powinni uzyskać mniejsi przedsiębiorcy. Ale w praktyce nie wiadomo, czy będą oni czuli się na tyle pewni bezpieczeństwa swoich systemów przetwarzania danych osobowych, żeby poddać je wnikliwej kontroli już na początku obowiązywania rozporządzenia RODO. Albo czy w ogóle będą zdolni do wykonania skomplikowanego zamówienia kierowanego raczej do większych podmiotów.

Powstaje też pytanie: czy będzie ich stać na certyfikaty? Cena wydawanego przez UODO (ok. 16 tys. zł) może być dla wielu firm zaporowa. Cena wydawanego przez prywatne akredytowane podmioty będzie ustalana na zasadach rynkowych - dziś trudno ją przewidzieć.

Artur Wawryło ostrzega ponadto, że w pierwszym okresie po certyfikaty mogą się ustawić kolejki. - W efekcie mogłaby powstać niebezpieczna sytuacja, że uzyskanie zamówienia, zwłaszcza w bieżącym roku, zależało będzie de facto od tego, w jakim czasie dany przedsiębiorca ustawi się w kolejce po otrzymanie certyfikatu RODO - ostrzega ekspert.

Mecenas Małgorzata Kosela-Rębowska wtóruje, że firmy, którym udałoby się uzyskać w pierwszym okresie certyfikat, miałyby wielką przewagę nad innymi podmiotami - co byłoby po prostu niesprawiedliwe i niekoniecznie zapewniłoby lepsze i bardziej efektywne wydatkowanie pieniędzy w zamówieniach publicznych.

Możliwe spekulacje

Niewykluczone, że także podmioty certyfikujące wyczułyby, iż podmioty żyjące z udziału w przetargach są bardziej zainteresowane uzyskaniem certyfikatu niż pozostali przedsiębiorcy. - Taki popyt na usługę mógłby wywindować w górę ceny u podmiotów akredytowanych. Wszak nowa ustawa o ochronie danych osobowych ma nie narzucać górnego limitu cen za przeprowadzenie procesu certyfikacji przez podmioty akredytowane. Albo mogłoby dojść do innej absurdalnej sytuacji - kiedy to przedsiębiorcy chcący jak najszybciej uzyskać certyfikat, by wziąć udział w przetargu, musieliby przebijać kwotę, jaką byłby w stanie zapłacić konkurent za tę samą usługę - rozważa mec. Małgorzata Kosela-Rębowska.

Dokument, który warto będzie mieć

Jest to więc swoisty znak jakości. Dzięki certyfikatowi RODO np. biuro rachunkowe, agent ubezpieczeniowy, adwokat i radca prawny, firma zajmująca się obsługą informatyczną mogą wyrobić sobie przewagę rynkową nad podmiotami nieposiadającymi certyfikatu. Dowiedzie bowiem dzięki uzyskanemu zaświadczeniu swoim kontrahentom, że jego systemy przetwarzania danych są bezpieczne i tym samym współpraca z posiadaczem takiego dokumentu znacznie zmniejsza ryzyko, iż w toku korzystania z jego usług kontrahent będzie narażony na kary przewidziane w RODO. A te mogą być bardzo dotkliwe. Jeśli np. dojdzie do wycieku danych i okaże się, że zastosowane zabezpieczenia były nieadekwatne do wagi tych danych lub niewystarczające, to grozi kara w wysokości nawet 20 mln euro lub do 4 proc. rocznego obrotu (w zależności od tego, która z sankcji będzie bardziej dotkliwa). Kara do 10 mln euro lub do 2 proc. rocznego obrotu grozi, jeśli przedsiębiorca nie zgłosi wycieku do prezesa UODO. A to nie wszystkie reperkusje, jakie mogą spotkać firmę, która źle zabezpieczyła dane. RODO daje bowiem dodatkowo możliwość dochodzenia odszkodowania przez właścicieli danych osobowych. Zgodnie z projektem ustawy o ochronie danych osobowych każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostaną naruszone, będzie mogła żądać zaniechania tego działania lub usunięcia jego skutków. Do postępowań w sprawach tych roszczeń proponuje się stosowanie przepisów kodeksu postępowania cywilnego.

W obliczu takich sankcji posiadanie certyfikatu może mieć duże znaczenie. Przedsiębiorcy mogą bowiem sądzić - skądinąd słusznie - że współpraca z podmiotem posiadającym certyfikat RODO będzie mniej ryzykowna. A w przypadku wystąpienia wycieku danych osobowych organ nadzorczy spojrzy łaskawszym okiem na przedsiębiorcę, który korzystał z usług podmiotu technicznie dobrze przygotowanego do ochrony danych osobowych lub - jeśli sam uzyskał certyfikat - ma odpowiednią ochronę. Warto pamiętać, że unijny ustawodawca zdaje sobie sprawę, że nawet najlepsze zabezpieczenia techniczne mogą nie uchronić przed wyciekiem danych. W związku z tym przedsiębiorca w przypadku skutecznego ataku hakerskiego może wykazać, że zrobił wszystko, by mu zapobiec. Wówczas ma szanse nawet całkowicie uniknąć kary.

ⒸⓅ

Lawina odwołań?

Zdaniem Artura Wawryły zarówno postawienie wymogu posiadania certyfikatu RODO, jak i wysokie punktowanie podmiotów posiadających go może uruchomić lawinę odwołań wnoszonych do Krajowej Izby Odwoławczej. Przede wszystkim właśnie w początkowym okresie obowiązywania rozporządzenia RODO. - Przy deficycie podmiotów mających certyfikaty RODO dochodzić będzie bowiem do naruszenia podstawowych zasad uczciwej konkurencji oraz równości uczestników postępowania - uważa Artur Wawryło.

Rzecz w tym, że nie zawsze odwołanie będzie możliwe. - W przypadku mniejszych zamówień, to znaczy poniżej unijnych progów, prawo do odwołania na podstawie art. 180 ust. 2 p.z.p. nie obejmuje możliwości kwestionowania przez wykonawcę zastosowanych w postępowaniu specyfikacji kryteriów oceny ofert - zauważa Artur Wawryło. Wspomniane progi można znaleźć w rozporządzeniu ministra rozwoju i finansów z 22 grudnia 2017 r. w sprawie kwot wartości zamówień oraz konkursów, od których jest uzależniony obowiązek przekazywania ogłoszeń Urzędowi Publikacji Unii Europejskiej (Dz.U. poz. 2479).

Z kolei Małgorzata Kosela-Rębowska przyznaje, że jeśli któryś z reprezentowanych przez nią podmiotów byłby wykluczony z przetargu z powodu braku certyfikatu RODO, to rekomendowałaby mu wniesienie odwołania do KIO. - Sprawa jest poważna i wymaga interwencji ustawodawcy - podkreśla mec. Kosela-Rębowska.

Poprosiliśmy również KIO o komentarz w tej sprawie. Jednak wiceprezes izby Magdalena Grabarczyk odpowiada, że KIO jako organ orzekający wypowiada się jedynie przez swoje wyroki.

OPINIA EKSPERTA

O znaczeniu certyfikatu powinny rozstrzygnąć przepisy

@RY1@i02/2018/034/i02.2018.034.18300020a.803.jpg@RY2@

Magdalena Grabarczyk wiceprezes Krajowej Izby Odwoławczej

Krajowa Izba Odwoławcza rozstrzyga spory z zakresu zamówień publicznych na podstawie konkretnych przepisów ustawy, dlatego jednoznaczna odpowiedź na postawione przez DGP pytania, która nastąpiłaby na podstawie założeń, nie jest możliwa.

Kwestię, czy posiadanie certyfikatu zgodności stanowi lub może stanowić obligatoryjne wymaganie o charakterze podmiotowym, warunek udziału w postępowaniu, który wszyscy wykonawcy ubiegający się o dane zamówienie będą musieli spełnić, czy też będzie jedynie dodatkowo premiowany w niektórych postępowaniach - powinny przesądzić przepisy.

Dziś można jedynie z dużą dozą ostrożności stwierdzić, że jeśli ustawodawca zdecyduje się na rozwiązanie polegające na tym, iż certyfikat będzie wymagany we wszystkich postępowaniach o udzielenie zamówienia albo da zamawiającemu możliwość zdecydowania, że wymaga w danym postępowaniu posiadania takiego certyfikatu, mogą zaistnieć podstawy do wykluczenia wykonawcy. Będzie to jednak zależeć od rozwiązania, na które zdecyduje się ustawodawca, i jego realizacji w konkretnych przepisach prawa. Jeśli po wejściu w życie przepisów do prezesa KIO zostaną wniesione odwołania związane z wymaganiem dotyczącym certyfikatu, orzecznictwo da wykładnię nowych przepisów.

Procedura wciąż nieznana

Kto będzie wydawał certyfikaty? Jak będzie wyglądała droga do ich przyznawania? Na razie znamy tylko wstępny zarys

Ministerstwo Cyfryzacji w projekcie ustawy o ochronie danych osobowych z 13 września 2017 r. proponowało, by certyfikaty były przyznawane wyłącznie bezpośrednio przez prezesa UODO. Na naszych łamach krytykowaliśmy to rozwiązanie ("Biznes nie zarobi na certyfikatach RODO" w DGP nr 186 z 26 września 2017 r). Pisaliśmy, że urząd z uwagi na ograniczone zasoby kadrowe może mieć kłopot z weryfikacją wszystkich wniosków, bo chętnych na uzyskanie certyfikatu może być bardzo wielu.

Ponadto eksperci zauważyli, że w razie udzielania certyfikatów tylko przez prezesa UODO może dojść do sytuacji konfliktu interesów. Otóż organ ten w przypadku stwierdzenia nieprawidłowości podczas certyfikowania przedsiębiorcy musiałby bowiem wszcząć postępowanie z urzędu. To zaś mogło zniechęcać przedsiębiorców do starania się o uzyskanie certyfikatu. Te i inne argumenty widać przekonały resort. Podczas konferencji podsumowującej konsultacje społeczne dr Maciej Kawecki 17 stycznia br. ogłosił, że resort zmienia koncepcję.

Cena 16 tys. zł albo rynkowa

Zaproponowano, że certyfikaty będą mogły być wydawane zarówno przez prezesa UODO, jak i przez podmioty specjalizujące się w takiej certyfikacji, akredytowane przez Polskie Centrum Akredytacji. Tak więc podmioty ostrzące sobie zęby na możliwość zarobku z certyfikowania innych przedsiębiorców będą miały taką możliwość. Tym bardziej że cena przeprowadzenia certyfikacji została sztywno ustalona tylko w przypadku certyfikatów wydawanych przez prezesa UODO. W projekcie w wersji z 8 lutego wskazano, że adekwatną opłatą będzie czterokrotność przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez prezesa Głównego Urzędu Statystycznego (a więc obecnie ok. 16 tys. zł).

Dodajmy przy tym jako ciekawostkę, że to kwota wyższa niż w projekcie z 13 września 2017 r., gdzie zaproponowano trzykrotność przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim, a zatem ponad 12 tys. zł. Wysoka kwota jest zdaniem ustawodawcy uzasadniona. "Nie można bowiem zapomnieć, że podmiotami starającymi się o uzyskanie certyfikacji będą wyłącznie podmioty profesjonalne, które fakt certyfikacji będą wykorzystywały w prowadzonej przez siebie działalności, w tym działalności gospodarczej" - napisano w uzasadnieniu do projektu.

Nie przewiduje się natomiast ingerencji w wysokość opłat za certyfikację podejmowaną na rynku. W uzasadnieniu do projektu ustawy wyjaśniono, że "powinny one bowiem pokrywać każdorazowo koszty podejmowane przez przedsiębiorcę certyfikującego oraz będą regulowane przez zasady wolnego rynku z uwzględnieniem elementu konkurencyjności".

Co ważne, oprócz możliwości uzyskania certyfikacji w kraju przedsiębiorcy będą mogli się również starać o analogiczne zaświadczenie wydawane przez organ unijny - Europejską Radę Ochrony Danych. Jego uzyskanie będzie swoistym europejskim znakiem jakości ochrony. To może być istotne zwłaszcza dla podmiotów prowadzących swoją działalność w różnych państwach członkowskich UE.

Co mówi unijne rozporządzenie

Idea certyfikacji wynika z rozporządzenia RODO. O świadectwie przyznawanym przedsiębiorstwom, które przetwarzają dane osobowe zgodnie z założeniami RODO, unijne rozporządzenie mówi w art. 42. Zachęca się w nim m.in. państwa członkowskie do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z rozporządzeniem RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Wskazuje się przy tym na konieczność uwzględnienia potrzeb mikro oraz małych i średnich przedsiębiorstw. Co bardzo ważne dla opisywanego tematu - zgodnie z art. 42 ust. 3 certyfikacja jest dobrowolna. Fakt posiadania certyfikatu nie wpływa w żaden sposób na spoczywający na administratorze danych osobowych obowiązek przestrzegania rozporządzenia RODO ani nie powoduje uszczerbku dla zadań i uprawnień organów nadzorczych w stosunku do podmiotu posiadającego certyfikat. UODO nie powinien więc ulgowo traktować przedsiębiorcy (np. zaniechać u niego kontroli) tylko z tego względu, że uzyskał on certyfikat. Zaświadczenie o zgodności z RODO wydaje się na okres maksymalnie trzech lat. Po tym czasie można przedłużyć certyfikat, o ile oczywiście przedsiębiorca nadal spełnia wymogi prawa. W przypadku zaś gdy te wymogi nie są spełnione, certyfikat zostaje cofnięty przez organ nadzorczy bądź podmiot certyfikujący. Zgodnie z RODO Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych. Dzięki temu może spełnić obowiązek udostępnienia jej opinii publicznej.

Obowiązki ocenianego

W RODO czytamy, że wydawaniem zaświadczeń zajmują się podmioty certyfikujące lub właściwy organ nadzorczy. Polski ustawodawca zdecydował się zatem na system mieszany. Administrator lub podmiot przetwarzający poddają swoje przetwarzanie danych osobowych mechanizmowi certyfikacji dobrowolnie, mają jednak przy tym obowiązki. Muszą udzielić podmiotowi certyfikującemu lub organowi nadzorczemu wszelkich informacji i dostępu do swoich czynności przetwarzania. Oczywiście tylko tych, do których dostęp jest niezbędny do przeprowadzenia procedury certyfikacji.

Wymogi wobec certyfikujących

Wysoko ustawiono poprzeczkę wobec firm wydających certyfikaty. Muszą one dysponować odpowiednim poziomem wiedzy fachowej w dziedzinie ochrony danych. Podmioty certyfikujące zostaną akredytowane, gdy w sposób satysfakcjonujący wykażą właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji. Muszą także zobowiązać się do przestrzegania kryteriów zatwierdzonych przez organ nadzorczy. Powinny dysponować procedurami wydawania, okresowego przeglądu i cofania certyfikacji, jakości i oznaczeń w dziedzinie ochrony danych, posiadać procedury rozpatrywania skarg na naruszenie warunków certyfikacji przez administratora danych. Mają też obowiązek zapewnienia przejrzystości procedur certyfikacji dla osób, których dane osobowe dotyczą, oraz opinii publicznej. I w końcu muszą wykazać organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.

Bez taryfy ulgowej

Warto jednak wiedzieć, że certyfikacja nie będzie wpływać na obowiązek stosowania przepisów z zakresu ochrony danych osobowych oraz wiążącą się z nimi konieczność wdrożenia stosownych procedur. Oznacza to, że w praktyce przedsiębiorstwa mające certyfikat RODO będą miały dokładnie takie same obowiązki przestrzegania prawa, jak te nieposiadające certyfikatu.

Jak ma więc wyglądać procedura przyznawania certyfikatów? Na razie w projekcie przedstawiono podstawowy zarys. Szczegółowe kryteria certyfikacji określi prezes UODO. Zgodnie z najnowszą wersją projektu wniosek o wydanie certyfikatu powinien zostać rozpatrzony w terminie nie dłuższym niż trzy miesiące od dnia złożenia. Jeżeli zostanie rozpatrzony pozytywnie, to wydawany będzie certyfikat. Zostanie on wydany na czas określony wskazany w jego treści (lecz nie dłuższy niż wskazane w rozporządzeniu RODO trzy lata).

Możliwość kontroli

Jak pisał na naszych łamach dr Paweł Litwiński, posiadacze certyfikatu będą zobowiązani do spełniania kryteriów certyfikacji, to zaś będzie mogło być kontrolowane przez instytucję, która wydała certyfikat. Osoba przeprowadzająca czynności sprawdzające będzie miała prawo do:

● wstępu na teren oraz do budynków, lokali lub innych pomieszczeń,

● wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją,

● oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych,

● uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.

Jeżeli podmiot przestanie spełniać kryteria, to udzielona certyfikacja będzie cofana przez prezesa UODO (bądź inne podmioty certyfikujące).

Nadal nie wiadomo jednak, jakie będą kryteria certyfikacji. Wiadomo tylko tyle, że podmioty starające się o zaświadczenie będą musiały przetwarzać dane osobowe zgodnie z unijnym rozporządzeniem.

ⒸⓅ

@RY1@i02/2018/034/i02.2018.034.18300020a.804.jpg@RY2@

Procedura certyfikacji zgodnie z wersją projektu ustawy o ochronie danych osobowych z 8 lutego 2018 r.

Współpraca Joanna Pieńczykowska

Jakub Styczyński

jakub.styczynski@infor.pl

@JakubStyczynski