Eljött az idő, ütött az óra. 2018. május 25-ével új fejezet nyílt az európai, és ezáltal a hazai adatvédelem területén. A GDPR, azaz az Általános Adatvédelmi Rendelet immáron kötelezően alkalmazandó. Dióhéjban mit is jelent ez? Az adatkezelők és adatfeldolgozók jobb elszámoltathatóságát, több adminisztrációs kötelezettséget, erősebb érintteti jogosultságokat, továbbá a nemzeti adatvédelmi hatóságok hatáskörbeli megerősödését.

A GDPR-nak számos, a közbeszerzésekre is kiható vetülete van. A kérdések száma végtelen: Milyen adatokat kérhetünk be jogszerűen a gazdasági szereplőktől az alkalmasság megítélése, illetve a kizáró okok fenn nem állásának megállapítása céljából? Mi van, ha a gazdasági szereplő a jogszerűen kezelhető adatok körén túl, egyéb személyes adatokat is tartalmazó iratokat nyújt be? Megismerhetetlenné tehetünk az eredeti ajánlatban - vagy az EKR-ben - olyan adatokat, amelyek kezelésére a Kbt. nem ad felhatalmazást?

A GDPR 6. cikke meghatározza azokat az esetköröket, amelyek egyikének teljesülése esetén a személyes adatok kezelése jogszerűnek minősül. Ezen jogalapok közé tartozik az érintett hozzájárulása személyes adatainak konkrét célból történő kezeléséhez, vagy az olyan szerződés teljesítéshez szükséges adatkezelés, amelyben az érintett az egyik fél, de ide sorolható az érintett vagy másik természetes személy létfontosságú érdekeinek védelme, illetve az adatkezelő jogos érdekeinek érvényesítéséhez szükséges adatkezelés is. A közbeszerzésekhez kapcsolódó adatkezelés jogalapját az teremti meg, hogy az adatkezelőre vonatkozó jogi kötelezettség, azaz jelen esetben a közbeszerzési kötelezettség teljesítése teszi szükségessé az adatkezelést. Ugyanakkor előállhat olyan eset, amikor ez a jogalap nem elegendő a jogszerű adatkezeléshez...

A Kbt. 69. § (14) bekezdése kimondja, hogy az ajánlatkérő jogosult a kizáró okok fenn nem állása és az alkalmasság megítélése céljából az ajánlatban vagy részvételi jelentkezésben megnevezett személyek természetes személyazonosító adatait, valamint képzettségre és végzettségre, szakmai gyakorlatra, szervezeti, köztestületi tagságra és gazdasági társaságban fennálló tagságra vonatkozó adatait kezelni. A kizáró okok fenn nem állásának ellenőrzése keretében - a külön jogszabályban foglalt igazolási szabályok szerint - a büntetlen előéletre vonatkozó adatról hatósági igazolás is kérhető. A kizáró okok hiányának igazolásához benyújtandó, külön jogszabályban foglalt nyilatkozat gazdasági, valamint szakmai kamara előtt annak tagja által tett nyilatkozat is lehet.

A Kbt. fent idézett felhatalmazása vajon minden további adatvédelmi kötelezettség alól mentesíti az ajánlatkérőket? A válasz bizony nemleges. A GDPR értelmében a jogszabályi felhatalmazáson túlmenően a közbeszerzésre kötelezett ajánlatkérőknek részletes, előzetes írásbeli információkat szükséges adniuk - célszerűen az adott közbeszerzési eljárásban rendelkezésre bocsátott adatvédelmi tájékoztatóban - az adatkezelőre és az esetleges adatfeldolgozókra vonatkozó adatokról, a kezelt adatok köréről, az adatok forrásáról, az adatkezelés céljáról, jogalapjáról és időtartamáról. A tájékoztatónak ki kell terjednie az adatbiztonsági intézkedésekre (EKR, saját informatikai rendszer, papír alapú tárolás védelme stb.), az adattovábbítással kapcsolatos információkra és az adatokhoz hozzáférő személyek körére, végül a tájékoztatónak az érintettek jogaival, illetve jogorvoslati lehetőségeivel kapcsolatos "kioktatást" is tartalmaznia kell.

Az adatvédelmi kötelezettségek sora nem ér véget az eljárás eredményéről szóló tájékoztatás közzétételével, hiszen gondoljunk csak a Kbt. 46. § (2) bekezdésében rögzített iratmegőrzési kötelezettségre, amely szerint a közbeszerzési eljárás előkészítésével, lefolytatásával kapcsolatban keletkezett összes iratot a közbeszerzési eljárás lezárulásától, a szerződés teljesítésével kapcsolatos összes iratot a szerződés teljesítésétől számított legalább öt évig meg kell őrizni. Ezek az iratok számtalan személyes adatot tartalmazhatnak.

Amennyiben az adott ajánlatkérő szervezetnél kialakított irattároló helyiség nem csak a közbeszerzési eljárásokhoz kapcsolódó iratok őrzésére szolgál, hanem esetlegesen vegyes rendeltetésű és az iratok megőrzésére mondjuk a jól bevált nyitott salgó polcrendszer szolgál, ami az iratárba belépő személyeknek szabad hozzáférést biztosít iratokhoz, anélkül, hogy a közbeszerzési iratokba való betekintésre a munkakörük ellátása érdekében szükségük lenne, az bizony adatvédelmi szempontból komoly aggályokat vet fel, ahogyan az is, ha az adatkezelési időtartam lejártával olyan munkavállalók végzik az iratok megsemmisítését, akiknek alapvetően nincs a munkakörükből adódóan hozzáférési joguk a közbeszerzésekhez, vagy akinek deklarált munkaköri feladatai nem terjednek ki a közbeszerzési eljárás iratainak megsemmisítésére.

Láthatóan megér egy misét a közbeszerzési eljárások és az azokhoz kapcsolódó iratkezelések adatvédelmi szempontú újragondolása a GDPR-ral összhangban álló ajánlatkérői magatartás elsajátítása érdekében.

Következő cikkünkben a lebonyolítókkal, mint adatfeldolgozókkal kapcsolatos előírásokkal foglalkozunk.