Organizując przetargi z zakresu ochrony danych osobowych, niektóre jednostki samorządu wskazują takie warunki zamówienia, że jest je w stanie spełnić zaledwie garstka firm. To może być dyskryminacja – mówią eksperci.
Wymóg wieloletniej pracy na rzecz jednostek publicznych, obowiązek posiadania milionowej polisy ubezpieczeniowej OC, konieczność przeprowadzania audytów zgodnych z wymogami rozporządzenia w sprawie krajowych ram interoperacyjności czy dysponowanie wyspecjalizowanym sprzętem do niszczenia danych z twardych dysków – to tylko niektóre z koniecznych do spełnienia warunków przez starających się o wykonanie zamówienia, jakie samorządy zamieszczają w specyfikacji istotnych warunków zamówienia (SIWZ). Do naszej redakcji zgłaszają się stowarzyszenia inspektorów ochrony danych, które sprzeciwiają się stawianiu tak wyśrubowanych i niezwiązanych z obowiązkami IOD warunków. Ich zdaniem samorządy bardzo często chcą w ten sposób doprowadzić do wygrana przetargu przez firmy, które dotychczas pełniły podobną funkcję w gminie.
Jak się okazuje, te spostrzeżenia nie są na wyrost. Artur Wawryło, ekspert prowadzący Kancelarię Zamówień Publicznych, przyznaje, że wielokrotnie spotyka się z przetargami, których SIWZ zawierają tak konkretne warunki, że może je spełnić zaledwie kilka podmiotów na rynku. A i wówczas najbardziej faworyzowany jest najczęściej dotychczasowy wykonawca takich usług. – Znam przypadki, gdy spółka świadczyła usługi na rzecz 50 podmiotów samorządowych i przeprowadziła w tym czasie pięć audytów. Dziwnym zbiegiem okoliczności potem w SIWZ nowego zamówienia publicznego czytamy, że warunkiem progowym dla starających się o wykonanie zadania jest doświadczenie w świadczeniu usług dla co najmniej 50 jednostek publicznych i przeprowadzenie co najmniej pięć audytów na ich rzecz – wskazuje Artur Wawryło. Jego spostrzeżenia potwierdza dr Robert Siwik, radca prawny oraz biegły sądowy specjalizujący się w prawie zamówień publicznych. – Przykłady dyskryminujących warunków przetargów można mnożyć. Niektórzy zamawiający kryją swoje intencje lepiej, inni gorzej. Spotkałem się z przypadkiem, gdy zamawiający żądał od wykonawcy, aby ten miał doświadczenie w wykonywaniu zamówienia na terenie konkretnej gminy, co jest wyjątkowo jasnym przykładem ograniczania konkurencji – przyznaje dr Robert Siwik.

Nadmierne wymagania

W ostatnim czasie wątpliwości wzbudził chociażby przetarg na usługi z zakresu ochrony danych osobowych w Tychach. Miasto poszukiwało IOD dla Miejskiego Centrum Oświaty oraz placówek oświatowych. Wśród koniecznych wymagań wskazano doświadczenie w wykonywaniu obowiązków Administratora Bezpieczeństwa Informacji (ABI, poprzednik IOD) w szkołach i placówkach oświatowych lub w Centrum Usług Wspólnych wykonujących zadania oświatowe, przez co najmniej rok i przy założeniu, że wartość tego zamówienia wynosiła co najmniej pół miliona złotych. Wymagane było również m.in. przeprowadzenie co najmniej pięciu audytów pod kątem RODO w tych placówkach i dodatkowo pięciu audytów bezpieczeństwa teleinformatycznego w dowolnego typu podmiotach pod kątem rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (Dz.U. z 2012 r. poz. 526; dalej: rozporządzenie o KRI).
Eksperci mają poważne zastrzeżenia do tak wskazanych warunków przetargu. Kariota Blicharska, inspektor ochrony danych, mówi, że wykonywanie obowiązków IOD oraz przeprowadzanie audytów zgodnych z rozporządzeniem o KRI to kompletnie różne kwestie i nie należy ich mieszać. – W przeciwnym razie znacząco ogranicza się krąg potencjalnych podmiotów mogących wykonać zamówienie – wskazuje Kariota Blicharska. I dodaje, że na rynku spotkała się również ze wskazaniem zamawiających, aby wykonawca miał dodatkowo certyfikat audytora wewnętrznego. – To w praktyce zawężało możliwość wykonania usługi do firm audytorskich i informatycznych, które o danych osobowych niekoniecznie muszą wiedzieć dużo. Wykluczani byli zaś specjaliści, którzy mogli się pochwalić wieloletnim doświadczeniem jako ABI – mówi ekspertka.
Podobnego zdania jest Artur Wawryło. Przypomina on, że warunki przetargów muszą być zawsze proporcjonalne do przedmiotu zamówienia i z nim ściśle związane. Istotą warunku doświadczenia nie jest powielenie w nim 1:1 przedmiotu aktualnego przetargu. Gminy powinny więc przeprowadzić test polegający na ocenie, czy charakter wykonywanych funkcji przez specjalistę z zakresu ochrony danych osobowych na rzecz innego podmiotu, w tym także podmiotu prywatnego, istotnie różni się od funkcji, jakie wykonywałby na tym samym stanowisku, lecz na rzecz urzędu miasta. – Moim zdaniem zamawiający nie będą potrafili obronić tezy, że to zupełnie różne środowiska i inne rygory prawne – mówi Artur Wawryło. Słowa ekspertów potwierdza również dr Ewa Kulesza, pierwszy generalny inspektor ochrony danych osobowych. [opinia]

opinia eksperta

UODO powinien wydać wytyczne

Dr Ewa Kulesza, pierwszy generalny inspektor ochrony danych osobowych (w latach 1998–2006), obecnie inspektor ochrony danych
Gminy organizujące przetargi nie mogą dyskryminować podmiotów działających na rynku poprzez takie wskazanie warunków zamówienia, aby mogła je spełnić zaledwie garstka firm albo wręcz jedna. Warunki nie mogą być też skonstruowane w taki sposób, by faworyzowały dotychczasowego dostawcę usług.
Zupełnie nieracjonalne jest też wymaganie od osób chcących wykonywać zamówienie publiczne na prowadzenie usług inspektora ochrony danych, aby miały one doświadczenie wyłącznie w podmiotach publicznych. Wszak specjaliści i tak muszą dobrze znać przepisy unijnego rozporządzenia o ochronie danych osobowych, stanowiska organów nadzorczych i wytyczne europejskiej rady ochrony danych – niezależnie od tego, czy wykonywali prace w sektorze publicznym czy też prywatnym. Choć prawdą jest też, że powinni znać przepisy regulujące działalność jednostki organizacyjnej, w której mieliby wykonywać obowiązki IOD.
Samorządowcy powinni również pamiętać, że IOD musi być w stanie realnie wykonywać swoje obowiązki. Nie wierzę, że da się to robić rzetelnie, gdy obsługuje się kilkanaście podmiotów. I to niezależnie od tego, czy te podmioty działają w podobny sposób (np. są wszystkie jednostkami oświaty), czy też przetwarzają podobny zakres danych. Wszak IOD jest nie tylko odpowiedzialny za przygotowanie dokumentów dla administratora danych, lecz także ma służyć pomocą wszystkim osobom, których dane administrator przetwarza. Nieefektywny IOD naraża podmioty publiczne na nierzetelne wykonywanie obowiązków (np. brak odpowiedzi na wnioski osób fizycznych), a co za tym idzie ‒ na naruszenia przepisów o ochronie danych, które mogą prowadzić do nałożenia na jednostkę publiczną kary w wysokości do 100 tys. zł. Zamawiający przygotowując przetarg, powinni każdorazowo oceniać, czy podmiot mający wykonywać usługę IOD będzie w stanie realnie i rzetelnie obsłużyć wszystkie podległe mu jednostki.
Być może byłoby pożądane, by prezes Urzędu Ochrony Danych Osobowych wydał zalecenia dla jednostek publicznych dotyczące tego, jakie warunki powinny być stawiane przyszłym wykonawcom obowiązków IOD. Nie może decydować tylko cena usługi. Na wielu konferencjach i szkoleniach miałam okazję zauważyć, że z jednostek samorządu terytorialnego wysyłano na nie osoby, które ani nie były IOD, ani de facto nie decydowały o wyborze IOD. Takie podejście może się w przyszłości okazać bardzo negatywne w skutkach, gdy się okaże, że podmioty świadczące jednocześnie usługi dla kilkudziesięciu podmiotów publicznych nie są w stanie wykonywać swojej pracy rzetelnie, czego skutkiem jest brak odpowiedniej ochrony danych osobowych obywateli.
Urząd Miasta Tychy nie odpowiedział na nasze pytania. Dowiedzieliśmy się jednak, że przetargu nie rozstrzygnięto, bo żaden z oferentów nie zmieścił się w zaplanowanym przez miasto budżecie. Zamówienie zostało powtórzone, ale warunki progowe w SIWZ pozostały takie same. Do przetargu zgłosiły się dwie firmy.

Mieszanie dla wygody

Zdaniem ekspertów z podobną sytuacją mieliśmy do czynienia przy zamówieniu publicznym na usługę IOD w niewielkiej gminie Lelkowo (woj. warmińsko-mazurskie). Początkowo w warunkach przetargu znalazła się informacja, że by starać się o zamówienie, wykonawca musi posiadać polisę ubezpieczeniową o wartości co najmniej... 5 mln zł. Ta pomyłka została skorygowana, gdy do urzędu zaczęły wpływać skargi od zainteresowanych przetargiem. Zmniejszono jej wysokość do 100 tys. zł. [ramka] Na tym jednak kontrowersje się nie skończyły. Warunki przetargu wymagały doświadczenia w przeprowadzaniu audytów zgodnych z rozporządzeniem o KRI (i dodatkowo posiadania certyfikatu audytora wewnętrznego ISO 27001). Co więcej, wykonawca miał mieć wyspecjalizowaną maszynę do kasowania danych z dysków twardych typu degausser. Tego typu maszyny kosztują na rynku kilkadziesiąt tysięcy złotych. – Gminy nierzadko chcą, aby w jednej cenie znaleźć wykonawcę, który wykona dla nich kilka różnych zadań. Jednak wymaganie od podmiotów świadczących usługi IOD, żeby posiadały np. wyspecjalizowaną maszynę do rozmagnesowywania dysków zewnętrznych, to jawna dyskryminacja. Na takie zadanie powinien być uruchomiony odrębny przetarg. W przeciwnym razie znacząco ogranicza się podmioty, które mogą wziąć udział w takim postępowaniu, a to ma bezpośredni wpływ na jego wynik i wybór oferty – ocenia Artur Wawryło. Co ciekawe, urzędnik gminy Lelkowo potwierdził w rozmowie z DGP, że celem zamawiającego były oszczędności. – W urzędzie gminy jest kilkadziesiąt dysków twardych, które należałoby poddać czyszczeniu i chcieliśmy dokonać tego bez ponoszenia dodatkowych kosztów, w ramach podpisanej umowy – mówi. Dodaje, że zrobił rozeznanie na rynku i znalazł co najmniej trzy firmy w okolicy, które mogły wykonać zamówienie zgodnie z warunkami SIWZ. Na argument, że warunki zamówienia mogły jednak znacząco ograniczyć konkurencję, odpowiedział, że urząd gminy weźmie to pod uwagę podczas przygotowywania kolejnych przetargów.
Polisa za miliony ©℗
Kwestią zapalną dla inspektorów danych osobowych jest wysokość polisy, której domagają się od nich gminy. Ubezpieczenia od wykonawców o wartości co najmniej miliona złotych chciała np. Warszawa, organizując przetarg na inspektora dla placówek oświatowych dzielnicy Białołęka. Karolina Gałecka, rzecznik prasowy Urzędu m.st. Warszawa, wyjaśnia, że sankcje finansowe za naruszenie ochrony danych osobowych mogą wynieść do 100 tys. zł dla podmiotów sektora publicznego. Biorąc pod uwagę liczbę jednostek podlegających wykonującemu zadania IOD oraz fakt, że może on równolegle wykonywać to samo zadanie na rzecz innych podmiotów, miasto chciało mieć pewność, że ewentualne kary nie wpłyną na realizację usługi będącej przedmiotem zamówienia.
Zdaniem prawników wysokość polisy jest akurat dość łatwa do obronienia w przypadku, gdy IOD ma obsługiwać co najmniej kilka jednostek gminy. Zamawiający z łatwością mogą stwierdzić, że wartościowa polisa jest proporcjonalna do konsekwencji, jakie może ponieść gmina w przypadku, gdyby doszło do zaniechań ze strony podmiotu świadczącego usługę IOD.

Potencjalne sankcje

Eksperci wyraźnie zaznaczają, że dyskryminujące czy ograniczające konkurencję zamówienia publiczne mogą mieć poważne konsekwencje dla urzędników je przygotowujących. W przypadku przetargów o wartości przekraczającej 30 tys. euro netto sprawa jest jasna – skarga na postępowanie może trafić do Urzędu Zamówień Publicznych. Wówczas zamówienia obejmują bowiem regulacje ustawy z 29 stycznia 2004 r. ‒ Prawo zamówień publicznych (t.j. Dz.U. z 2019 r. poz. 1843; ost.zm. Dz.U. z 2020 r. poz. 1086). Za zakłócanie przetargu publicznego grozi nawet kara pozbawienia wolności do lat trzech (art. 305 kodeksu karnego).
Nieetyczne postępowanie w przetargach o wartości poniżej 30 tys. euro również nie jest bezkarne. Przedsiębiorcy wówczas mogą składać skargi do podmiotów nadzorujących zamówienie publiczne (np. do rady miasta czy włodarzy) w związku z dopuszczeniem się nieefektywnego, nieracjonalnego wydatkowania środków poprzez ograniczanie konkurencyjności w postępowaniu. – W takich sprawach znacznie bardziej skuteczna bywa jednak Najwyższa Izba Kontroli oraz, w szczególności, regionalna izba obrachunkowa – wskazuje dr Robert Siwik. Z jego doświadczenia wynika, że RIO działają bardzo sprawnie w zakresie sprawdzania uczciwości przetargów i jeśli warunki progowe mogą faworyzować konkretne podmioty (najczęściej dotychczas współpracujące z gminą), to nierzadko do prokuratury trafiają zawiadomienia w związku z podejrzeniem popełnienia przestępstwa. Zgodnie z art. 31 ust. 1 ustawy z 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (t.j. Dz.U. z 2019 r. poz. 1440; ost.zm. Dz.U. z 2020 r. poz. 284) karami za naruszenie dyscypliny finansów publicznych mogą być: upomnienie, nagana, kara pieniężna i zakaz pełnienia funkcji związanych z dysponowaniem środkami publicznymi.