Absztrakt
Az általános adatvédelmi rendelet (GDPR1) 2018. május 25-étől2 kötelező alkalmazása óta eltelt másfél év ellenére kifejezetten a közbeszerzési eljárásokkal összefüggő személyes adatkezelésre fókuszáló tanulmány nem született. Emiatt merült fel az igény egy olyan cikk iránt, amely a közbeszerzési eljárások szereplői számára ad áttekintést a közbeszerzések személyes adatok kezelésével kapcsolatos egyes vonatkozásairól.
A cikk elsődlegesen az ajánlatkérői oldal szereplőit érintő főbb adatkezelési vonatkozások bemutatására tesz kísérletet, a GDPR és az Infotv.3 előírásai alapulvételével, a közbeszerzésekre fókuszálva.
A cikk összesen hét tematikai egységből áll. Bevezetéseként bemutatja, hogy a GDPR rendelkezései miként kapcsolódnak a közbeszerzési eljárásokhoz. Ezt követően ismertetésre kerülnek a cikk szempontjából legfontosabb alapfogalmak, majd azon közbeszerzési jogintézmények, amelyek jellemzően személyes adat kezelésével járhatnak. Ezután az ajánlatkérői oldal adatkezelés szempontjából történő minősítésének, elhatárolásának kérdéseit mutatja be a cikk, majd röviden ismertetésre kerülnek az adtakezelés elvei és jogalapjai. Végezetül néhány gondolat erejéig az értékelési szempont(ok) előírásával kapcsolatban követendő közbeszerzési gyakorlatról kiadott miniszterelnökségi közlemény adatkezelési aspektusai kerülnek felvázolásra.
Természetesen a közbeszerzési eljárások során nem csupán az ajánlatkérői oldal szereplői minősülhetnek adatkezelőnek. A közbeszerzési eljárások konkrét előírásainak való megfelelés érdekében az ajánlattevői oldal részéről is szükségessé válhat a személyes adatok kezelése, amely az adatkezelői minőségüket is megalapozhatja egyben. Az ajánlattevői oldal adatkezelése ugyanakkor túlmutat a jelen cikk terjedelmi keretein, az várhatóan egy későbbi cikk keretében kerül bemutatásra, az érintetti jogok ismertetésével együtt.
Although one and a half year has passed since the mandatory application of the General Data Protection Regulation (25 May 2018), no study has been published so far in Hungary focusing specifically on the processing of personal data related to public procurement procedures. Thus, this article seeks to meet the need of public procurement actors for a study providing overview on certain aspects of processing personal data in public procurements.
This article primarily attempts to address the data processing issues affecting contracting authorities, by considering the provisions of the GDPR and Act CXII of 2011 on the Right of Informational Self-Determination and on Freedom of Information.
The article has seven thematic units. The introduction analyses how the provisions of the GDPR relate to public procurement procedures. Afterwards, the article defines the most important concepts used and the public procurement legal institutions, which may typically entail the processing of personal data. Subsequently, the article elaborates on the qualification and distinction issues from the aspect of data processing by contracting authorities, then the principles and legal bases of data processing are briefly introduced. Finally, the article discusses the data processing aspects of the communication issued by the Prime Minister’s Office on the public procurement practice to be observed upon setting award criteria.
Naturally, not only the representatives of contracting authorities may qualify as controllers. In order to comply with the specific provisions of public procurement procedures, the processing of personal data may also become necessary on the tenderers’ side, which may also qualify them to be controllers. Nevertheless, data processing by tenderers would go beyond the scope of the present article, therefore this issue is likely to be tackled in a future article, together with discussing the rights of data subjects.
1 Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet).
2 GDPR 99. cikk (2) bekezdés.
3 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
1. A GDPR és a közbeszerzések közötti kapcsolat
A hatályos közbeszerzési szabályozás több olyan jogintézményt tartalmaz, amelyek a közbeszerzési eljárások során természetes személyek személyes adatainak kezelését tehetik szükségessé. Ugyan a közbeszerzésekről szóló 2015. évi CXLIII. törvény (Kbt.) kifejezetten feljogosítja az ajánlatkérőt a személyes adatok kezelésére, önmagában ezen feljogosítás alapján az ilyen adatkezelés még nem válik jogszerűvé, szabályossá. Ahhoz ugyanis az ajánlatkérőnek, mint adatkezelőnek több, a közbeszerzési szabályozáson kívül eső kötelezettségnek is eleget kell tennie.
A Kbt. 2015. november 1-jei hatálybalépését követően az uniós jogalkotó 2016. április 27-én fogadta el az ún. általános adatvédelmi rendeletet (GDPR), amely a természetes személyek személyes adatainak valamennyi olyan esetben történő kezelésére alkalmazandó, amelyet a GDPR nem vesz ki a saját hatálya alól.4
Az uniós jogalkotó által rendeleti formában5 elfogadott GDPR 2018. május 25-től Magyarországon is közvetlenül alkalmazandó, ekként a GDPR rendelkezéseinek magyar jogba történő külön átültetése nem szükséges. A magyar jogalkotó a GDPR-ban foglalt szabályokat legfeljebb csak pontosíthatja, illetve korlátozhatja a GDPR által megengedett esetekben.6 Ennek alapján került elfogadásra a 2019. április 26-án hatályba lépett ún. GDPR-Salátatörtvény,7 amely specifikusan a közbeszerzési szabályozást érintő pontosítást, korlátozást nem tartalmazott, a Kbt.-t nem módosította.
Tekintve, hogy a GDPR a személyes adatok közbeszerzésekkel összefüggő kezelését nem veszi ki a saját hatálya alól, így a Kbt. alapján lefolytatásra kerülő közbeszerzési eljárások során szükségessé váló személyes adatkezelés meg kell, hogy feleljen a GDPR és az azt kiegészítő Infotv.8 előírásainak.
Noha a GDPR-ban, valamint az Infotv.-ben előírt kötelezettségek járulékos jellegűnek tűnhetnek a közbeszerzési eljárások szabályos lefolytatása szempontjából, jelentőségük nem alábecsülendő, különös figyelemmel az adatkezelő kártérítési felelősségére9 valamint az adatkezelővel szemben alkalmazható bírság10 mértékére. Márpedig mint azt látni fogjuk, az ajánlatkérő is adatkezelőnek minősül a GDPR alkalmazásában. Emellett a jövőben a közbeszerzési eljárások kiírásainak jogszerűségével kapcsolatban a GDPR rendelkezéseire alapított vitarendezési/kérelmi elemek megjelenésére is sor kerülhet, így például az ajánlatkérő által előírt igazolási módok tekintetében.
Mindezek következtében a személyes adatok jogszerű, szabályos kezelése tudatos, tervszerű intézkedések, folyamatok kialakítását, szabályozását kívánja meg a közbeszerzési eljárások szereplőitől.
4 Ld. különösen: GDPR (14)-(20) preambulumbekezdés, 1-3. cikk.
5 Az Európai Unió Működéséről Szóló Szerződés (EUMSz) 288. cikke értelmében a rendelet általános hatállyal bír. Teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
6 GDPR (8) preambulumbekezdés: Ha e rendelet úgy rendelkezik, hogy a benne foglalt szabályokat tagállami jog által pontosítani, illetve korlátozni lehet, a tagállamok e rendelet egyes elemeit beépíthetik a nemzeti jogukba, ha az a koherencia biztosításához, valamint ahhoz szükséges, hogy a nemzeti rendelkezések a hatályuk alá tartozó személyek számára érthetők legyenek.
7 2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról.
8 Az Infotv. 2. § (2) bekezdése alapján a GDPR hatálya alá tartozó adatkezelésekre a GDPR rendelkezéseit az Infotv. 2. § (2) bekezdése szerinti kiegészítésekkel kell alkalmazni.
9 Ld. különösen: GDPR 82. cikk.
10 Ld. különösen: GDPR 83. cikk (4) bekezdés, Infotv. 61. § (4) bekezdés.
2. A GDPR alapvető fogalom-meghatározásai (személyes adat, adatkezelés, adatkezelő), valamint az érintett
A cikk témája szempontjából alapvető fontosságú a személyes adat, az adatkezelés, valamint az adatkezelő fogalma, amelyet a GDPR 4. cikke (Fogalommeghatározások) a következők szerint határoz meg.
1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.11
2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.12
7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
A GDPR a személyes adat fogalom-meghatározásán belül definiálja, hogy ki minősül érintettnek, vagyis azon természetes személynek, akinek személyes adatai kezelésére sor kerül. A GDPR szabályozásából következően érintett csak élő természetes személy lehet,13 ugyanez következik a közbeszerzési eljárások lényegéből is, lévén, hogy a kizáró okok / alkalmassági követelmények / értékelési szempontok is csak élő természetes személy vonatkozásában írhatók elő, ezen közbeszerzési jogintézmények funkciójára is figyelemmel.
Érintett lehet bármely olyan meghatározott élő természetes személy, aki személyes adata alapján azonosított, vagy – közvetlenül vagy közvetve – azonosítható. Az azonosíthatóság egy küszöbfeltétel, amely meghatározza, hogy az információ személyes adatnak minősül-e.14
Az azonosítást jellemzően – közvetlen vagy közvetett módon – valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező teszi lehetővé. E tekintetben ugyanakkor „minden olyan módszert figyelembe kell venni, amelyről ésszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja” [GDPR (26) preambulumbekezdés].15
Különbséget kell tenni az érintett azonosítása, azonosíthatóság, valamint a személyazonosság megállapítása között. Amíg az azonosítás, illetve az azonosíthatóság ahhoz nyújt segítséget, hogy a kezelt információk mely személyhez tartoznak a csoporton belül, addig a személyazonosság arra a kérdésre is választ ad, hogy pontosan, bármely csoportba helyezve is tudjuk, ki is az adott egyén.16
Az érintett a személyes adatok alanya. A személyes adat definíciójának három fő fogalmi eleme:
- az adat („bármely információ”) formai és tartalmi kritériumai,
- az azonosított vagy azonosítható természetes személy („érintett”),
- az adat és az érintett közötti kapcsolat („vonatkozó”).17
A közbeszerzési eljárások szempontjából érintett az az élő, természetes személy, akinek személyes adatai lekérdezésére, közlésére, felhasználására, igazolására, ellenőrzésére (tipikus adatkezelési műveletek) kerül sor, jellemzően, de nem kizárólagosan a kizáró okok / alkalmasság/ értékelési szempont körében. Közbeszerzési eljárásokban tipikus érintett lehet:
˗ a részvételre jelentkező / ajánlattevő / alvállalkozó / alkalmasságot igazoló más szervezet:
o tényleges tulajdonosa,
o vezető tisztségviselője,
o felügyelőbizottságának tagja,
o cégvezetője,
o gazdasági társaság esetén annak egyedüli tagja,
o személyes joga szerinti hasonló ügyvezető vagy felügyelő szervének tagja,
o személyes joga szerint az előbbieknek megfelelő döntéshozatali jogkörrel rendelkező személy;
˗ a teljesítésbe bevont, alkalmasságot igazoló szakember;
˗ olyan személy, aki az értékelés körében bemutatásra kerül (pl. többlet szakmai tapasztalattal is rendelkező személy, vagy a szociális értékelési szempont [pl. hátrányos helyzetű munkavállaló] tekintetében bemutatott személy);
˗ akik személyes adatainak kezelése a kizáró okok / alkalmasság/ értékelés körén kívül válhat szükségessé:
o mindazok, akik a Kbt. 25. § (6) bekezdése18 alapján ún. összeférhetetlenségi nyilatkozat megtételére kötelesek;
o a közbeszerzési dokumentumok összeállításában résztevő, lebonyolítónak nem minősülő személyek, így különösen a műszaki dokumentáció (tervek, műszaki dokumentáció, megvalósíthatósági tanulmány, egyéb a közbeszerzési kiírás alapjául szolgáló dokumentumok) készítői;
o a közbeszerzési eljárásban tartott helyszíni bejáráson, konzultáción személyesen részt vevők (akik adatai a bejárás / konzultáció során felvételre kerülnek);
o tárgyalásos eljárás, versenypárbeszéd, vagy innovációs partnerség során azon személyek, akik ennek során olyan módon vesznek részt akár az ajánlatkérő, akár az ajánlattevő érdekében, képviseletében, hogy személyes adataik kezelésére is sor kerül.
11 Azt, hogy valamely azonosított, vagy azonosítható természetes személyre vonatkozóan a kizáró okok, az alkalmassági követelmények, továbbá az értékelési szempontok kapcsán milyen személyes adatok kezelése válik szükségessé, elsősorban az ajánlatkérő adott közbeszerzési eljárásban tett konkrét előírásai határozzák meg.
12 Közbeszerzési eljárások során ezek közül jellemzően a következő adatkezelési műveletekre szokott sor kerülni: lekérdezés, betekintés, felhasználás, közlés, továbbítás, egyéb módon történő hozzáférhetővé tétel.
13 GDPR (27) preambulumbekezdés: Ezt a rendelet nem kell alkalmazni az elhunyt személyekkel kapcsolatos személyes adatokra. A tagállamok számára lehetővé kell tenni, hogy az elhunyt személyek személyes adatainak kezelését szabályozzák.
14 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 66. o.
15 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 66-67. o.
16 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 67. o.
17 Vö. Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 64. o.
18 (6) Az ajánlatkérő nevében eljáró és az ajánlatkérő által az eljárással vagy annak előkészítésével kapcsolatos tevékenységbe bevont személy vagy szervezet írásban köteles nyilatkozni arról, hogy vele szemben fennáll-e az e § szerinti összeférhetetlenség.
3. A személyes adatok kezelését jellemzően érintő közbeszerzési jogintézmények (kizáró okok, alkalmassági követelmények, értékelési szempontrendszer)
A Kbt. három olyan jogintézményt szabályoz, amelyekkel összefüggésben a leginkább felmerül, illetve felmerülhet személyes adat kezelésének a szükségessége: a) kizáró okok [Kbt. 62-63. §], b) alkalmassági követelmények [Kbt. 65. §], c) értékelési szempontrendszer / értékelési részszempontok [Kbt. 76-78. §].
Ezen jogintézmények természetes személyek helyzetére, körülményére, tulajdonságára vonatkozó olyan információkkal, mint személyes adatokkal is kapcsolatosak lehetnek, amelyek megléte, illetve hiánya kihathat az ajánlat érvényességére, az ajánlattevő/részvételre jelentkező alkalmasságára, továbbá a nyertes ajánlattevő személyének kiválasztására, s amelyek közlése, igazolása, vizsgálata, ellenőrzése a közbeszerzési eljárásban szükséges lehet.
Ezen jogintézmények mellett ugyanakkor a közbeszerzési eljárás során más körben is szükségessé válhat személyes adatok kezelése, így például az ún. összeférhetetlenségi nyilatkozat [Kbt. 25. § (6) bekezdés] megtételével, a konzultáción /helyszíni bejáráson [Kbt. 56. § (6)-(7) bekezdés] megjelenéssel (jelenléti ív), a képviseleti/aláírási jog igazolásával (aláírási címpéldány, aláírás-minta, meghatalmazás) összefüggésben közölt, felvett személyes adatok vonatkozásában.
3.1. A kizáró okok adatkezelési vonatkozásai
A kizáró okok [Kbt. 62.-63. §] a közbeszerzési eljárásban valamilyen minőségben (részvételre jelentkező/ajánlattevő, alvállalkozó, alkalmasságot igazoló más szervezet) érintett gazdasági szereplővel kapcsolatos olyan körülmények, amelyek hatálya alá tartozás az érintett gazdasági szereplő közbeszerzési eljárásból való kizárását [Kbt. 74. § (1) bekezdés a)-b) pontok], illetve az ajánlat érvénytelenségét [Kbt. 73. § (1) bekezdés b) pont] vonhatja maga után.
A kizáró okokat a Kbt. a gazdasági szereplők vonatkozásában sorolja fel.19 Tekintettel arra, hogy gazdasági szereplő a Kbt. alapján20 természetes személy is lehet, a személyes adatok kezelése mindazon kizáró okokkal összefüggésben felmerülhet, amelyek a természetes személyek vonatkozásában is értelmezhetőek. Különösen vonatkozik ez azokra az esetekre, amikor a természetes személy egyéni vállalkozóként tesz ajánlatot, nyújt be részvételi jelentkezést, kerül bemutatásra alvállalkozóként, vagy alkalmasságot igazoló más szervezetként. Az egyéni vállalkozói minőség egyben sajátos helyzetet teremt az adatkezelés szempontjából, figyelemmel arra, hogy az egyéni vállalkozó olyan természetes személy, aki gazdasági tevékenységet folytat, és e tevékenységével összefüggő bizonyos személyes adatai az egyéni vállalkozóról és az egyéni cégről szóló 2009. évi CXV. törvény (Evectv.) rendelkezése folytán bárki által megismerhetőek.
Az egyéni vállalkozók bárki által megismerhető adatai vonatkozásában a NAIH/2018/5233/4/V. sz. állásfoglalás21 két fontos megállapítást tesz:
˗ ezen adatok az Infotv. 3. §-ának 6. pontja értelmében közérdekből nyilvános adatok, amelyek azonban ezen a vonatkozáson túl megtartják személyes adat minőségüket. Tehát az egyéni vállalkozók ezen adatai személyes adatok és egyben közérdekből nyilvános adatok;
˗ a GDPR 5. cikk (1) bekezdésének b) pontja megköveteli, hogy az adatkezelés célhoz kötötten történjen. Az Infotv. 26. § (2) bekezdése is rögzíti, hogy a közérdekből nyilvános adatok a célhoz kötött adatkezelés elvének tiszteletben tartásával terjeszthetőek. Az adatkezelési célnak tehát az egyéni vállalkozók személyes adatai tekintetében az üzletszerű gazdasági tevékenységhez kell kapcsolódnia. Következésképpen az egyéni vállalkozók személyes adatainak kezelése során figyelemmel kell lenni arra is, hogy az adatkezelés a szükséges mértékre korlátozódjon.
A kizáró okok tartalma kijelöli a kezelésre kerülő személyes adatok kategóriáit. A Kbt. egyebek mellett bizonyos bűncselekményeket is kizáró okként határoz meg, amely bűnügyi adatok kezelésével jár. Az ilyen adatok kezelésére a GDPR 10. cikke22 mellett az Infotv. 5. § (7) bekezdése23 is tartalmaz rendelkezést azon túlmenően, hogy definiálja a bűnügyi személyes adat fogalmát.24 Ennek amiatt van jelentősége, mert az Infotv. 5. § (7) bekezdése a GDPR hatálya alá tartozó adatkezelésekre nézve is alkalmazandó, figyelemmel az Infotv. 2. § (2) bekezdésére.
A büntetőjogi felelősséggel, bűncselekménnyel kapcsolatos személyes adatokat a GDPR ugyan nem minősíti különleges adatnak, s így nem is szerepel a GDPR 9. cikkének (A személyes adatok különleges kategóriáinak kezelése) felsorolásában, ezen adatok kezelésére a különleges adatoknál is szigorúbb követelményt támaszt. Szemben ugyanis a különleges adatok kezelésére vonatkozó tilalom alóli kivételek GDPR 9. cikk (2) bekezdés a)-j) pontjaiban rögzített eseteivel, a GDPR 10. cikke mindössze két esetben teszi lehetővé az ilyen adatok kezelését:
˗ ha az közhatalmi szerv felügyelete alatt történik, vagy
˗ ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi.
Közbeszerzési eljárásokkal összefüggésben a büntetőjogi felelősséggel, bűncselekménnyel kapcsolatos személyes adat, illetve a bűnügyi személyes adat kezelésére a Kbt. 69. § (14) bekezdése kifejezett felhatalmazást ad,25 amely alapján teljesülni látszik a GDPR 10. cikkében foglalt azon feltétel, hogy az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi.
19 Kbt. 62. § (1) Az eljárásban nem lehet ajánlattevő, részvételre jelentkező, alvállalkozó, és nem vehet részt alkalmasság igazolásában olyan gazdasági szereplő, aki […].
Kbt. 63. § (1) Az ajánlatkérő az eljárást megindító felhívásban előírhatja, hogy az eljárásban nem lehet ajánlattevő, részvételre jelentkező, alvállalkozó, illetve nem vehet részt alkalmasság igazolásában olyan gazdasági szereplő, aki […].
20 Kbt. 3. § E törvény alkalmazásában:
10. gazdasági szereplő: bármely természetes személy, jogi személy, egyéni cég vagy személyes joga szerint jogképes szervezet, vagy ilyen személyek vagy szervezetek csoportja, aki, illetve amely a piacon építési beruházások kivitelezését, áruk szállítását vagy szolgáltatások nyújtását kínálja.
21https://www.naih.hu/files/NAIH-2018-5233-4-V.pdf
22 GDPR 10. cikk: A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a 6. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.
23 Infotv. 5. § (7) Bűnügyi személyes adatok kezelése esetén - ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik - a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni.
24 Infotv. 3. § 4. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.
25 Kbt. 69. § (14) Az ajánlatkérő jogosult a kizáró okok fenn nem állása és az alkalmasság megítélése céljából az ajánlatban vagy részvételi jelentkezésben megnevezett személyek természetes személyazonosító adatait, valamint képzettségre és végzettségre, szakmai gyakorlatra, szervezeti, köztestületi tagságra és gazdasági társaságban fennálló tagságra vonatkozó adatait kezelni. A kizáró okok fenn nem állásának ellenőrzése keretében - a külön jogszabályban foglalt igazolási szabályok szerint - a büntetlen előéletre vonatkozó adatról hatósági igazolás is kérhető. A kizáró okok hiányának igazolásához benyújtandó, külön jogszabályban foglalt nyilatkozat gazdasági, valamint szakmai kamara előtt annak tagja által tett nyilatkozat is lehet.
3.2. Az alkalmassági követelmények adatkezelési vonatkozásai
A Kbt. 65. § (1) bekezdése26 az alkalmassági követelmények három fajtáját határozza meg: a) gazdasági és pénzügyi alkalmasság, b) műszaki és szakmai alkalmasság, c) releváns nyilvántartásban szereplés, vagy releváns engedély/ szervezeti tagság megléte.
Az alkalmassági követelmények célja annak biztosítása, hogy a közbeszerzési eljárásban olyan gazdasági szereplők nyújtsanak be részvételi jelentkezést / ajánlatot, akik az ajánlatkérő által meghatározott alkalmassági követelményeknek megfelelnek, ilyen módon valószínűsítve a szerződés teljesítésére való alkalmasságukat. Az alkalmassági követelményeket az eljárást megindító felhívásban pontosan meg kell jelölni, továbbá meg kell határozni, hogy az ajánlatkérő által előírt mely körülmények megléte, illetve hiánya vagy azok milyen mértékű fogyatékossága zárja ki, hogy az ajánlatkérő az ajánlattevőt vagy részvételre jelentkezőt alkalmasnak minősítse a szerződés teljesítésére [Kbt. 50. § (2) bekezdés n) pont, 65. § (2) bekezdés].
Az alkalmassági követelmények körében személyes adatok kezelése amiatt válhat szükségessé, mert az ajánlatkérő által előírt alkalmassági követelménynek való megfelelést – így adott esetben az alkalmasság körében bemutatott természetes személy(ek) releváns személyes helyzetére, körülményeire vonatkozó adatait is – a részvételi jelentkezőknek / ajánlattevőknek igazolniuk kell.
Az alkalmassági követelményeknek való megfelelés igazolására benyújtandó dokumentumokat az ajánlatkérő ugyancsak köteles pontosan meghatározni. Az igazolási módokat és az elfogadható igazolások körét külön jogszabály – a 321/2015. (X. 30.) Korm. rendelet – határozza meg.
Az ajánlatkérők által széles körben előírható alkalmassági követelmények igazolása közül értelemszerűen csak azoknak van személyes adatkezelési vonatkozása, amely alkalmassági követelmények természetes személy(ek)re vonatkozó adatokkal, információkkal kapcsolatosak.
A Kbt. 65. § (1) bekezdés a)-c) pontjai szerinti alkalmassági követelmények közül a gyakorlatban leggyakrabban a műszaki és szakmai alkalmasság körében kerül sor olyan követelmény előírására az ajánlatkérők részéről, amelynek való megfelelés tipikusan személyes adatok közlését, azzal kapcsolatos dokumentumok igazolásként történő csatolását teszi szükségessé.
A személyes adatokkal kapcsolatos igazolások / igazolási módok tekintetében a szabályozás lényegében azonos, azaz független a közbeszerzés tárgyától. A 321/2015. (X. 30.) Korm. rendelet 21. §-a alapján a személyes adat kezelését maga után vonó alkalmassági követelmények a következők:
- azoknak a szakembereknek (szervezeteknek) - különösen a minőség-ellenőrzésért felelősöknek - a megnevezése, végzettségük vagy képzettségük, szakmai tapasztalatuk ismertetése, akiket a részvételre jelentkező / ajánlattevő be kíván vonni a teljesítésbe;
- az ajánlattevő vagy részvételre jelentkező, vagy vezetői végzettségének vagy képzettségének ismertetése, és különösen azon személyek végzettségének vagy képzettségének ismertetése, akik a szerződés / építési beruházás / szolgáltatás teljesítéséért felelősek, feltéve, hogy ezeket az ajánlatok értékelése során nem értékelik.
Ennek megfelelően az alkalmassági követelmények vonatkozásában tipikusan közlendő személyes adatok az alkalmasság igazolására bemutatott személy/szakember vonatkozásában:
˗ név,
˗ tanulmányi adatok (képzettség/végzettség),
˗ szakmai tapasztalattal kapcsolatos adatok: elvégzett releváns munkák/feladatok, a munkavégzés időtartama (kezdő-befejező időpont), az egyes munkák során betöltött pozíció/beosztás, ellátott szakmai feladatok,
˗ fennálló jogviszony,
˗ nyelvismeret,
˗ szakmagyakorlási jogosultságok,
˗ szakmai tisztségek, szervezeti tagságok.
A GDPR magyarázata27 a személyes adatok körében példálózó jelleggel megjelöli a következőket, amely egyúttal a fenti adatok személyes adat voltát is alátámasztja:
˗ név, születési adatok, lakcím, foglalkozás, beosztás, munkahely;
˗ életrajzi adatok;
˗ a bizonyítvány tartalma, stb.
A kért személyes adatokat a részvételi jelentkezők / ajánlattevők az ajánlatkérő által a közbeszerzési dokumentumok részeként – a Kbt. 57. § (1) bekezdés b) pontjára figyelemmel – rendelkezésre bocsátott iratminták (jellemzően szakmai önéletrajz minta) kitöltésével, illetve az ajánlatkérő által előírt releváns körülmény meglétét igazoló dokumentum másolatának benyújtásával adják meg. Emellett az ajánlatkérő bizonyos személyes adatokat az azokat vezető nyilvántartásokból is megszerez, ellenőriz, amely ellenőrzés eredményét dokumentálnia szükséges.
26 Kbt. 65. § (1) Az ajánlatkérő alkalmassági követelményeket határozhat meg az ajánlattételhez megkövetelt
a) gazdasági és pénzügyi helyzetre;
b) műszaki és szakmai alkalmasságra;
c) ha a szerződés teljesítéséhez szükséges, a gazdasági szereplő letelepedése szerinti ország nyilvántartásában való szereplésre, vagy a letelepedés szerinti országban előírt engedéllyel, jogosítvánnyal vagy szervezeti, kamarai tagsággal való rendelkezésre
vonatkozó feltételek előírásával.
27 A GDPR magyarázata. Szerkesztette: Jóri András, HVG-ORAC Lap- és Könyvkiadó Kft. 2018., 76-77. o.
3.3. Az értékelési szempontrendszer / részszempontok adatkezelési vonatkozásai
Az értékelési szempontrendszer [Kbt. 76. § - 78. §] célja, hogy az alapján az ajánlatkérő által meghatározott alkalmassági követelményeknek megfelelő (azaz alkalmas), és egyben érvényes ajánlatot benyújtó gazdasági szereplők közül a nyertes ajánlattevő kiválasztásra kerüljön.
Az ajánlattevőnek – akárcsak az alkalmassági követelmények vonatkozásában – igazolnia kell tudni az értékelés körében tett megajánlása valós voltát. Ilyen esetekben, noha a megajánlás jellemzően számszerűsített módon kerül megtételre, azt – akárcsak az alkalmassági követelmény esetében – meghatározott természetes személy vonatkozásában kell megtenni, azaz a megajánlás mögött természetes személy(ek) állnak, aki(k) személyes adatai közlésére, igazolására, kezelésére is sor kerül a megajánlás valós voltának alátámasztása/ellenőrzése során.
A Kbt.-ben meghatározott értékelési szempontok közül tipikusan a 76. § (2) bekezdés c) pontja28 szerinti szempont (legjobb ár-érték arányú megajánlás) vonatkozásában válhat szükségessé személyes adat közlése, igazolása, a Kbt. 76. § (3) bekezdés a) és b) pontjaira29 is figyelemmel.
A gyakorlatban az ajánlatkérők a Kbt. 76. § (3) bekezdés b) pontja szerinti részszempontot sok esetben az általuk előírt alkalmassági követelménnyel kötik össze (többlet szakmai tapasztalat), vagyis az adott szakember tekintetében ugyanazon követelményt kell tudni megajánlani és egyben igazolni, ami az alkalmasság körében is előírásra került, azzal a megkötéssel, hogy az értékelés körében tett megajánlás vonatkozásában már csak olyan adat közölhető, illetve fogadható el, amelyet az ajánlatkérő az alkalmasság körében nem vett figyelembe [Kbt. 76. § (6) bekezdés d) pont].
A Kbt. 76. § (2) bekezdés c) pontja pedig a legjobb ár-érték arányú megajánlások között említi a szociális szempontokat. Ehhez kapcsolódóan a Kbt. 76. § (3) bekezdés a) pontja lehetséges szempontként nevesíti a hátrányos helyzetű munkavállalók alkalmazását, míg a Kbt. 76. § (8) bekezdése a munkanélküli vagy tartósan munkanélküliek foglalkoztatásának megajánlott mértékét, valamint az adott szerződés teljesítésének keretében munkanélküliek képzését célzó intézkedések végrehajtását.
Ezen értékelési részszempont kapcsán szükségesnek tűnik utalni a Miniszterelnökség 2019. június 11-i közleményére,30 amelynek több pontja is közvetlen adatkezelési vonatkozással bír (pl. a hátrányos helyzetű munkavállaló név szerinti bemutatása, a hátrányos helyzetű munkavállalói minőség alátámasztása, pl. életkor igazolására személyi igazolvány másolata vagy más közokirat másolat), figyelemmel arra is, hogy a közleményben foglaltak különleges adatok kezelését is szükségessé tehetik.
28 76. § (2) Értékelési szempontként alkalmazhatóak
c) a legjobb ár-érték arányt megjelenítő olyan - különösen minőségi, környezetvédelmi, szociális - szempontok, amelyek között az ár vagy költség is szerepel.
29 76. § (3) A legjobb ár-érték arányt megjelenítő értékelési szempontok vonatkozhatnak különösen az alábbiakra:
a) minőség, műszaki érték, esztétikai és funkcionális tulajdonságok, valamennyi felhasználó számára való hozzáférhetőség, hátrányos helyzetű munkavállalók alkalmazása és egyéb szociális, környezetvédelmi és innovatív tulajdonságok, forgalmazási feltételek, vevőszolgálat és műszaki segítségnyújtás, pótalkatrészek biztosítása, készletbiztonság, a teljesítés időpontja, időszaka
b) a szerződés teljesítésében részt vevő személyi állomány szervezettsége, képzettsége és tapasztalata, ha a személyzet minősége jelentős hatással lehet a szerződés teljesítésének színvonalára.
30 KÖZLEMÉNY (az) értékelési szempont(ok)előírásával kapcsolatban követendő közbeszerzési gyakorlatról, https://kozbeszerzes.hu/dokumentumok/megtekint/1561108141/3106/
4. Az ajánlatkérői oldal adatkezelői minősége – elhatárolási nehézségek
A GDPR 4. cikk 7. pontjában szereplő fogalom-meghatározásból következően az adatkezelői minőség lényegi eleme az adatkezelés céljának és eszközeinek a meghatározása. A közbeszerzési eljárásokkal összefüggő adatkezelések tekintetében az adatkezelő/adatfeldolgozó személyének meghatározását több körülmény is nehezíti:
˗ az ajánlatkérő által előírható kizáró okok, alkalmassági követelmények, értékelési szempontrendszer, valamint az azokkal kapcsolatos igazolások körét, szabályait a kógens Kbt. és végrehajtási rendeletei határozzák meg. Ez alapján kérdésként merül fel, hogy a közbeszerzési eljárásokban az adatkezelés célja valójában ki – az ajánlatkérő vagy a jogalkotó – által meghatározott;
˗ a közbeszerzési eljárásokban az ajánlatkérők gyakran nem saját maguk folytatják le a közbeszerzési eljárást, hanem külső tanácsadót/lebonyolítót vesznek igénybe (pl. felelős akkreditált közbeszerzési szaktanácsadót, vagy ilyennel jogviszonyban álló szervezetet, továbbá ügyvédet, ügyvédi irodát), akik az ajánlatkérő nevében lefolytatják az adott eljárást, ennek szerves részeként jellemzően közreműködnek az alkalmassági követelmények, értékelési szempontrendszer ajánlatkérő általi kialakításában, továbbá ellátják az eljárásban benyújtott részvételi jelentkezések / ajánlatok bontásával, közbeszerzési szempontú vizsgálatával, ellenőrzésével kapcsolatos teendőket, melynek során szükségszerűen adatkezelési műveleteket végeznek. Ez alapján kérdés, hogy adatkezelési szempontból minek minősül a lebonyolító.
4.1. Az ajánlatkérő, mint adatkezelő
Az, hogy egy konkrét közbeszerzési eljárásban milyen személyes adatok tekintetében merül fel személyes adatkezelés szükségessége, elsődlegesen az ajánlatkérő által meghatározott kizáró okok, alkalmassági követelmények, értékelési szempontok függvénye. A kezelendő személyes adatok köre és a konkrétan kezelésre kerülő személyes adatok kategóriái tehát nagymértékben az ajánlatkérő döntésén múlnak. Az ajánlatkérő adatkezelői minőségével összefüggésben kérdés ugyanakkor, hogy mindez egyben azt is jelenti-e, hogy az adatkezelés célját is az ajánlatkérő határozza-e meg ilyen esetekben.
A kizáró okok előírása tekintetében a Kbt. – a 114. § (1) bekezdésében és a 117. § (4) bekezdésben foglalt kivételektől eltekintve – az ajánlatkérő számára csak a Kbt. 63. §-a szerinti kizáró okok alkalmazása kapcsán biztosít választási lehetőséget, míg a Kbt. 62. § szerinti kizáró okok előírása, hiányának ellenőrzése, ennek kapcsán pedig személyes adatok kezelésének szükségessége is közvetlenül a Kbt.-ből fakad. Ilyen esetekben az adatkezelés célját valójában nem az ajánlatkérő, hanem jogszabály határozza meg.
Az adatkezelő GDPR-beli fogalom-meghatározása rögzíti, hogy ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja. A Kbt. és végrehajtási rendeletei a GDPR alkalmazása szempontjából olyan tagállami jogként értelmezhetők, amelyek immanens módon meghatározzák az adatkezelés célját és eszközeit, és – legalábbis az ajánlatkérő vonatkozásában – az adatkezelő személyét is. Tekintve, hogy a Kbt. 69. § (14) bekezdése kifejezetten feljogosítja az ajánlatkérőt a kizáró okokkal kapcsolatos adatkezelésre, így a kizáró okokkal összefüggő személyes adatkezelés kapcsán az ajánlatkérő adatkezelői minősége nem kérdőjeleződik meg.
A kizáró okokhoz képest az alkalmassági követelmények, valamint az értékelési szempontok tekintetében a Kbt. alapvetően garanciális szabályokat rögzít, meghagyva az ajánlatkérő számára azt a döntési szabadságot, hogy az adott közbeszerzési eljárásban konkrétan milyen tartalommal írja elő az alkalmassági követelményeit, illetve az értékelése szempontjait.
Azáltal, hogy az ajánlatkérő a Kbt. keretei között személyes adatot érintő alkalmassági követelményt (pl. teljesítésben részt vevő szakember) / értékelési részszempontot (teljesítésben részt vevő szakember többlet szakmai tapasztalata) is meghatároz(hat), ezen döntése egyúttal egyértelműen megalapozza az adatkezelői minőségét. Ezen megadni kért személyes adatok, információk alapján fogja ugyanis ajánlatkérő vizsgálni és megállapítani az alkalmasságot, és kiválasztani a nyertes ajánlattevőt. Mindez egyúttal az adatkezelés célját és egyben GDPR szerinti jogalapját is determinálja.
4.2. A közbeszerzési eljárás lebonyolítójának (felelős akkreditált közbeszerzési szaktanácsadó, ügyvédi iroda, ügyvéd) minősítése az adatkezelés szempontjából
A cikk szempontjából alapvető jelentőségű adatkezelési fogalmak körében még nem került sor egy további – az alábbiakban kifejtésre kerülő elhatárolási, minősítési kérdésekre tekintettel –alapvető fontosságú fogalom, az adatfeldolgozó ismertetésére. A GDPR 4. cikk 8. pontja szerinti fogalom-meghatározás értelmében:
8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Az ajánlatkérők a közbeszerzési eljárást számos esetben nem saját maguk bonyolítják le, hanem külső tanácsadót (tipikusan felelős akkreditált közbeszerzési szaktanácsadókat, ügyvédi irodákat, ügyvédeket) bíznak meg a közbeszerzési eljárás lefolytatásával. Az igénybevétel bizonyos körben az ajánlatkérő szabad döntése, míg a Kbt. 27. § (3) bekezdés a)-d) pontok szerinti esetekben az ajánlatkérő köteles felelős akkreditált közbeszerzési szaktanácsadót bevonni.
4.2.1. A lebonyolító által végzett adatkezelési műveletek
A közbeszerzési eljárás lebonyolítója aktív szerepet játszik a közbeszerzési dokumentumok összeállításában, ideértve különösen az eljárást megindító felhívás tartalmát, a szerződéstervezetet, az iratmintákat, és a közbeszerzési dokumentációt. Ennek keretében a lebonyolító tanácsokkal látja el az ajánlatkérőt az adott közbeszerzés követelményrendszerének kialakításakor (ideértve az alkalmassági követelményekkel, értékelési szempontokkal kapcsolatos ajánlatkérői kötelezettségek jogszerűségét, és az arra vonatkozó joggyakorlatot), és egyfelől előkészíti a közbeszerzési dokumentumokat, másfelől a benyújtott részvételi jelentkezések / ajánlatok tekintetében ellenőrzi azok tartalmát. A lebonyolító tehát számos olyan eljárási cselekményt végez, amelynek során szükségszerűen személyes adatok kerülnek a birtokába, személyes adatokat vizsgál, megismer, továbbít, őriz, azaz adatkezelési műveleteket végez velük.
Mindezek alapján kérdésként merülhet fel, hogy a közbeszerzési eljárás lebonyolítója adatkezelőnek minősül-e. Az elhatárolással, minősítéssel kapcsolatos magyarázatok, iránymutatások, vélemények alapján arra vonható le következtetés, hogy a lebonyolító adatkezelői minősége tekintetében generális jelleggel állást foglalni nem lehet, a minősítést esetről-esetre, a lebonyolító és az ajánlatkérő közötti – jellemzően megbízási – szerződés előírásai és a lebonyolító által végzett adatkezelés konkrét körülményei alapján lehet elvégezni.
Mindebből pedig az következik, hogy a lebonyolító minősülhet akár adatkezelőnek, akár adatfeldolgozónak. (A kifejezetten közbeszerzésekre vonatkozóan készített, nyilvánosan elérhető adatkezelési tájékoztatók között egyaránt fellelhető olyan, amelyben a lebonyolító adatkezelőként, míg más esetben adatfeldolgozóként kerül feltüntetésre.)
4.2.2 Az elhatárolás, minősítés lényeges kritériumai
Önmagában az, hogy a lebonyolító aktív szerepet játszik a közbeszerzési eljárás dokumentumainak összeállításában, így az alkalmassági követelmények, értékelési szempontok kialakításában, még nem jelenti automatikusan azt, hogy a lebonyolító határozná meg az adatkezelés célját. A lebonyolító ugyanis – szerepéből és az ajánlatkérővel fennálló jogviszonyából adódóan – sem az alkalmassági követelmények, sem az értékelési szempontrendszer, sem az azokkal kapcsolatos adatkezelési célok tekintetében nem hoz döntéseket. Döntési helyzetben az ajánlatkérő van, a lebonyolítónak jellemzően véleményező, javaslattevő, támogató, közreműködő szerepe és státusza van a közbeszerzési eljárás jogszerű lebonyolítása érdekében. A beszerzési igény ugyanis az ajánlatkérőé, ennélfogva a közbeszerzési eljárás feltételeinek meghatározása is az ajánlatkérő beszerzési igényének kielégítését szolgálja, ez pedig determinálja, hogy a beszerzési igény kielégítése céljából lefolytatott közbeszerzési eljárásban szükségessé váló adatkezelés célját és eszközeit elsődlegesen maga az ajánlatkérő határozza meg.
A felelős akkreditált közbeszerzési szaktanácsadó a közbeszerzési eljárás előkészítése és lefolytatása során a közbeszerzési szakértelmet biztosítja, az általa nyújtott szaktanácsadói tevékenység keretében ismerteti a Kbt. és végrehajtási rendeletei által szabályozott azon követelményeket, amelyeket a nem közbeszerzési szakértelem körébe eső személyeknek és szervezeteknek a közbeszerzési tevékenységük során az általuk biztosított szakértelem körében be kell tartaniuk.31
Noha az adatkezelő GDPR szerinti fogalom-meghatározásának központi eleme az adatkezelés céljának és eszközeinek a meghatározása, utalni szükséges a NAIH-10-24/2013/H. sz. határozatára,32 amelyre – annak ellenére, hogy még a GDPR elfogadása előtt született – a GDPR magyarázatok jelenleg is utalnak,33,34 kiemelve, hogy a GDPR fogalom-meghatározása alapján az adatkezelői minőség lényegi ismérve, az adatkezelő definíciójának központi eleme az adatkezelésre vonatkozó érdemi döntés meghozatala.
Mindez azt is jelenti, hogy az adatkezelői minőség meghatározása többrétűbb vizsgálatot igényel annál, hogy ki határozza meg az adatkezelés céljait, eszközeit.
A NAIH-10-24/2013/H. sz. határozat az alábbi döntési sarokpontokat rögzíti, amelyek alapján meghatározható az adatkezelő személye:
- az adatkezelés céljának meghatározása,
- az adatkezelés időtartamának meghatározása,
- az adatkezelés során alkalmazott eszközöknek kiválasztása,
- az adatok megismerésére jogosult személyek körének meghatározása,
- az adatok továbbításáról való döntés,
- az adatbiztonsági intézkedések meghozatala,
- az érintettek tájékoztatására vonatkozó kötelezettség teljesítése,
- az adatfeldolgozó kiválasztása.
Fentieken túl a Magyarázat a GDPR-ról további döntési pontokat is tartalmaz35 :
- a kezelt adatok körének meghatározása (milyen személyes adatokra terjedjen ki az adatkezelés),
- az adatkezelés jogalapjáról szóló döntés (a GDPR mely jogalapját alkalmazza a szóban forgó adatkezelésre),
- az adatkezelés módjának kialakítása, az adatkezelés végrehajtása (pl. formanyomtatvány, űrlap kidolgozása),
- a személyes adatok felhasználása más adatkezelési célból, más tevékenység során.
31 Ld. a felelős akkreditált közbeszerzési szaktanácsadói tevékenységről szóló 257/2018. (XII. 18.) Korm. rendelet 21. § (2) bekezdés a) pont és (5) bekezdés.
32https://www.naih.hu/files/010_2013_hatarozat_anonim.pdf
33 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 81. o.
34 A GDPR magyarázata. Szerkesztette: Jóri András, HVG-ORAC Lap- és Könyvkiadó Kft. 2018., 227-228. o.
35 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 81. o.
4.2.3 Az autonóm szakmai szabályok jelentősége az elhatárolás, minősítés szempontjából
A GDPR magyarázata szerint az, hogy az adatkezelő rendelkezésének milyen mélységben kell megszabnia az adatfeldolgozás folyamatát, azaz a döntés mely szintje minősül „érdeminek”, s mely döntéseket hozhatja meg az adatfeldolgozó, az adott tényállástól függ, elsősorban az adatfeldolgozás célja, az adatok jellege szerint ítélendő meg.35 A GDPR magyarázata továbbá utal a 29-es munkacsoport által kiadott 1/2010. sz. véleményre37 az adatkezelő és az adatfeldolgozó fogalmáról, amely szerint a saját jogalapon, autonóm szakmai szabályok szerint működő alanyok (pl. az ügyvédek) adatkezelőnek minősülnek, míg más esetekben (pl. könyvelők, könyvvizsgálók) esetén a minősítés az ellátott feladathoz igazodik. Az 1/2010. sz. vélemény vonatkozó példái:
„Az ügyvéd az ügyfelét a bíróságon képviseli, és ezzel a feladattal kapcsolatban az ügyfele ügyéhez kapcsolódó személyes adatokat dolgoz fel. A szükséges információ felhasználásának jogalapja az ügyféltől kapott megbízás. Ez a megbízás azonban nem az adatkezelésre, hanem a bíróság előtti képviseletre összpontosít, amely tevékenységre az ilyen hivatásoknak hagyományosan megvan a saját jogalapjuk. Az ilyen hivatások képviselői ezért független „adatkezelőnek” tekintendők, amikor az ügyfeleik jogi képviselete során adatot dolgoznak fel. [21. példa]”
„Ha nagyon általános utasítások („készítse el az adóbevallásomat”) alapján nyújt szolgáltatásokat a nagyközönségnek és kisvállalkozóknak, akkor – mint a hasonló körülmények között és hasonló okokból eljáró ügyvédek esetén – a könyvelő adatkezelő. Ha azonban egy cég alkalmazza, és részletes utasításokat kap a cég belső könyvelőjétől pl. részletes könyvvizsgálat elvégzésére, akkor a könyvelő általában – ha nem rendes alkalmazott – adatfeldolgozó lesz, az egyértelmű utasítások és az azokból következő korlátozott mérlegelési jogkör miatt. [23. példa].”
Az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény (a továbbiakban: Ügyvédi tv.) 3. § (1) bekezdés h) pontja értelmében:
3. § (1) Az ügyvédi tevékenység gyakorlása keretében kiegészítő jelleggel folytatható:
h) felelős akkreditált közbeszerzési szaktanácsadói tevékenység.
A fentiek sajátos helyzetet eredményezhetnek abban az esetben, ha az ajánlatkérő és a lebonyolító közötti megbízási szerződés ugyan részletesen szabályozza a lebonyolító által ellátandó feladatokat, sőt a megbízás ellátása során felmerülő adatkezelésre nézve is olyan kimerítő rendelkezéseket tartalmaz, amelyek az ajánlatkérő adatkezelői, a lebonyolító adatfeldolgozói minőségét erősítenék, azonban maga a lebonyolító ügyvéd, vagy ügyvédi iroda. Ezzel szemben ugyanakkor felhozható lehet, hogy az Ügyvédi tv. 2. § (1) bekezdésére, valamint 3. § (1) bekezdés h) pontjára figyelemmel a felelős akkreditált közbeszerzési szaktanácsadói tevékenység nem minősül ügyvédi tevékenységnek, így az Ügyvédi tv. a felelős akkreditált közbeszerzési szaktanácsadói tevékenység vonatkozásában vélhetően nem tekinthető a 29-es munkacsoport 1/2010-es sz. véleménye szerinti autonóm szakmai szabálynak, mivel ezen tevékenység ellátására az Ügyvédi tv. nem tartalmaz szakmaspecifikus (autonóm) szabályokat.
A felelős akkreditált közbeszerzési szaktanácsadói tevékenységgel kapcsolatban pedig a hatályban lévő két fő végrehajtási rendelet 38 szabályozása inkább keretjellegű, így vélhetően azok sem tekinthetők a 29-es munkacsoport 1/2010-es sz. véleménye szerinti autonóm szakmai szabálynak.
Fentiekből arra vonható le következtetés, hogy a fenti jogszabályok nem tekintendők olyan autonóm szabályoknak, amik eleve adatkezelői minőség felé billentenék ezen lebonyolítók minősítését, a lebonyolító adatkezelői minősége tehát nem automatikus, illetve nem törvényszerű, de nem is zárható ki. E tekintetben az adott közbeszerzési eljárásban a lebonyolító által végzett adatkezelési műveleteknek, valamint az ajánlatkérővel létesített jogviszony – adatkezelést is meghatározó – tartalmának lehet döntő jelentősége. Emellett pedig a GDPR 28. cikk (10) bekezdése39 szerinti eset is megalapozhatja, hogy az egyébként adatfeldolgozónak minősített lebonyolító bizonyos körben adatkezelőnek minősüljön.
Ugyanez elmondható a lebonyolító közös adatkezelői minőségével kapcsolatban is, a GDPR 26. cikke (Közös adatkezelők)40 vonatkozásában.
36 A GDPR magyarázata. Szerkesztette: Jóri András, HVG-ORAC Lap- és Könyvkiadó Kft. 2018., 227-227. o.
37https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_hu.pdf, 29-30. o.
38 Ld. a felelős akkreditált közbeszerzési szaktanácsadói tevékenységről szóló 257/2018. (XII. 18.) Korm. rendelet; és a felelős akkreditált közbeszerzési szaktanácsadók kötelező közbeszerzési szakmai képzéséről szóló 217/2017. (VII. 31.) Korm. rendelet.
39 GDPR 28. cikk (10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
40 GDPR 26. cikk (1) Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.
(2) Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.
(3) Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.
4.2.4 Az adatfeldolgozói minőséget megalapozó körülmények
A fentebb jelzettek szerint a lebonyolító a közreműködésével – ideértve a kizáró okok, az alkalmassági követelmények, az értékelési szempontrendszer kialakításához a közbeszerzési szakértelem biztosítását – lefolytatott közbeszerzési eljárásban az alkalmassági követelményeknek való megfelelést, az értékelési szempontra tett megajánlást, továbbá az előírt kizáró okok fennálltát/hiányát maga is ellenőrzi, vizsgálja. Ennélfogva közreműködik a bírálatban, az értékelésben, mindezek keretében pedig – az ajánlatkérő érdekében – számos olyan eljárási cselekményt végez (pl. hiánypótlási felhívás, felvilágosítás-, és árindokolás kérés összeállítása, előzetes vitarendezési kérelmek fogadása, megválaszolása, helyszíni bejárás tartása, tárgyalások levezetése), amely során személyes adat kezelésére is sor kerülhet.
Mindez megfeleltethető az adatfeldolgozó definíciója azon kulcselemének, hogy az adatfeldolgozó az adatkezelő nevében végez adatkezelést, hajt végre egy vagy több adatkezelési műveletet.
Még egyértelműbbé tehető a minősítés, ha – akár a lebonyolításra vonatkozó szerződés részeként, akár önálló megállapodás keretében – az ajánlatkérő, mint adatkezelő és a lebonyolító, mint adatfeldolgozó rendelkeznek a személyes adatok kezeléséről a GDPR 28. cikk (3) bekezdésében41 előírt tartalmi elemekkel.
Fontos kiemelni, hogy az adatfeldolgozói minőség alapvető feltétele, hogy az adatfeldolgozó az adatkezelőtől elkülönült, önálló jogalany legyen (leggyakrabban természetes vagy jogi személy). Nem jön létre ugyanis adatfeldolgozói státusz abban az esetben, ha az adatkezelő a munkavállalói útján, vagy valamely – önálló jogalanynak nem minősülő – szervezeti egységének közreműködésével végzi az adatkezelést.42 Ennélfogva az előzőekben kifejtettekhez képest külön eset, és nem eredményez adatfeldolgozói minőséget, ha az ajánlatkérő a közbeszerzési eljárást nem független felelős akkreditált közbeszerzési szaktanácsadó43 igénybevételével folytatja le.
4.3. A bírálóbizottsági tag minősítése az adatkezelés szempontjából
A Kbt. 27. § (4) bekezdése értelmében az ajánlatkérő a 27. § (3) bekezdésben meghatározott szakértelemmel44 együttesen rendelkező, legalább háromtagú bírálóbizottságot köteles létrehozni az ajánlatoknak - szükség esetén a hiánypótlás, felvilágosítás vagy indokolás [71-72. §] megadását követő - e törvény szerinti elbírálására és értékelésére. A bírálóbizottság írásbeli szakvéleményt és döntési javaslatot készít az eljárást lezáró döntést meghozó személy vagy testület részére. A bírálóbizottsági munkáról jegyzőkönyvet kell készíteni, amelynek - amennyiben az ajánlatkérő alkalmaz ilyet - részét képezhetik a tagok indokolással ellátott bírálati lapjai.
A bírálóbizottság tagjainak feladata tehát az eljárás meghatározott szakaszában az ajánlatok bírálata, értékelése, valamint írásbeli szakvélemény és döntési javaslat készítése az ajánlatkérő döntéshozója részére. Ezen feladatok ellátása során a tagok részéről éppúgy sor kerülhet személyes adat kezelésére, mint a lebonyolító esetében. A bírálóbizottsági tagok feladata ugyanakkor szűkebb, kötöttebb a lebonyolítóénál, amely legfeljebb az adatfeldolgozói minőséget alapozhat meg, abban az esetben, ha a bírálóbizottsági tag szervezetileg elkülönül az ajánlatkérőtől. (Ennek hiányában a bírálóbizottsági tag adatkezelési szempontból a nem független felelős akkreditált közbeszerzési szaktanácsadóval esik egy tekintet alá.)
Mindez amiatt lehet fontos, mert a gyakorlat alapján az ajánlatkérő döntéshozója a tagok kijelölésével szokta létrehozni a bírálóbizottságot. A bírálóbizottság tagjainak kijelölése jellemzően az érintett közbeszerzés beazonosítható feltüntetésére, és a bírálat során a Kbt. által megkövetelt valamely szakértelem biztosítására, valamint a kijelölt személy bírálóbizottságban betöltött minőségére (tag vagy elnök, esetleg tanácskozási joggal rendelkező megfigyelő) korlátozódik. A bírálóbizottság kijelölt tagjai jellemzően ún. titoktartási és összeférhetetlenségi nyilatkozatot tesznek. Ez a gyakorlat a jövőben – az elkülönülő jogviszonyuk esetére adatfeldolgozónak minősülő bíráló bizottsági tagok tekintetében – feltehetően változni fog, különös figyelemmel a GDPR 28. cikk (3) bekezdésére, amely megköveteli, hogy adatkezelő és az adatfeldolgozó között szerződés vagy más jogi aktus szabályozza az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit. Emellett az adatfeldolgozó kötelezettségeit és jogait meghatározó szerződésnek, más jogi aktusnak egyben meg kell felelnie a GDPR 28. cikk (3) bekezdés a)-h) pontban rögzített tartalmi követelményeknek is.
41 GDPR 28. cikk (3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
42 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 84. o.
43 Nem független felelős akkreditált közbeszerzési szaktanácsadó: azon felelős akkreditált közbeszerzési szaktanácsadó, aki tevékenységét kizárólag egy ajánlatkérő részére, munkaviszonyban, közalkalmazotti, közszolgálati tisztviselői, kormányzati szolgálati jogviszonyban vagy foglalkoztatásra irányuló egyéb jogviszonyban látja el; a nem független felelős akkreditált közbeszerzési szaktanácsadó külön meghatalmazás nélkül, a munkaviszonya, közalkalmazotti, közszolgálati tisztviselői, kormányzati szolgálati jogviszonya vagy egyéb foglalkoztatási jogviszonya alapján képviseli munkáltatóját a közbeszerzési eljárásokban [a felelős akkreditált közbeszerzési szaktanácsadói tevékenységről szóló 257/2018. (XII. 18.) Korm. rendelet 1. § 6. pont].
44 a) közbeszerzés tárgya szerinti szakmai; b) közbeszerzési; c) jogi és d) pénzügyi szakértelem.
5. Az adatkezeléssel kapcsolatos legfőbb követelmények a GDPR rendelkezései alapján és ezek közbeszerzési jogi sajátosságai
Az adatkezelés GDPR szerinti elvei alapvető kötelezettségeket támasztanak az adatkezelővel és az általa végzett adatkezelésekkel szemben, míg az érintett számára különböző jogokat biztosítanak. A cikk ezen részében ezen kötelezettségek kerülnek áttekintésre kifejezetten azok közbeszerzési jogi aspektusaira figyelemmel.
5.1. A személyes adatok kezelésének elveinek [GDPR 5. cikk] megvalósulása a közbeszerzések során
A GDPR 5. cikke rögzíti az adatkezelés elveit, amelyek a következők:
a) jogszerűség, tisztességes eljárás és átláthatóság;
b) célhoz kötöttség;
c) adattakarékosság;
d) pontosság;
e) korlátozott tárolhatóság;
f) integritás és bizalmas jelleg;
g) elszámoltathatóság.
5.1.2. Jogszerűség, tisztességes eljárás és átláthatóság
A GDPR 5. cikk (1) bekezdés a) pontja értelmében a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
A jogszerűség követelménye alapján az adatkezelő akkor kezelhet személyes adatokat, amennyiben azok tekintetében az adatkezelés valamelyik, GDPR-ban rögzített jogalapja [GDPR 6. cikk] fennáll.
Az adatkezelés tisztességes volta az emberi méltóság védelmével áll szoros kapcsolatban, a tisztességtelen adatkezelési magatartás az érintetteket nemcsak személyes adataikhoz fűződő jogában – így a helyesbítéshez, törléshez való jogukban –, de emberi méltóságukban is súlyosan sértheti.45
Az adatkezelés érintett számára történő átláthatósága az jelenti, hogy az adatalany követni tudja az adatai sorsát, hogy információja legyen az adatkezelés folyamatáról.46 Érdemes itt utalni a GDPR (39) és (60) preambulum-bekezdéseire, amelyek az érintett tájékoztatásával kapcsolatban támasztanak követelményeket. Eszerint a tájékoztatásnak könnyen hozzáférhetőnek, közérthetőnek, világos, egyszerű nyelvezettel megfogalmazottnak kell lennie. A tájékoztatásnak ki kell terjednie az adatok kezelésével összefüggő kockázatokra, szabályokra, garanciákra, az érintetti jogokra, valamint e jogok gyakorolhatóságára.
Közbeszerzési szempontból az érintett tájékoztatása az ajánlatkérő, valamint a lebonyolító tekintetében mutathat bizonyos sajátosságokat más adatkezelőéhez (pl. az alvállalkozó / alkalmasságot igazoló más szervezet, mint az alkalmasság/értékelés körében bemutatott szakember munkáltatója) képest. Noha a Kbt. ilyen kötelezettséget nem támaszt, az ajánlatkérőnek / lebonyolítónak az adatkezelési tájékoztatót vagy az azzal kapcsolatos információt a közbeszerzési dokumentumok részeként közvetlenül megismerhetővé szükséges tennie, akár olyan módon, hogy a közbeszerzési dokumentumok részeként bocsátja az érdeklődő gazdasági szereplők rendelkezésére, vagy legalább az eljárást megindító felhívásban közli az adatkezelési tájékoztató elérhetőségét. Ezáltal az ajánlattevők / részvételre jelentkezők, alvállalkozók, alkalmasságot igazoló más szervezetek a saját adatkezelési tájékoztatásuk mellett az ajánlatkérő / lebonyolító adatkezelésével kapcsolatos információkat is meg tudják osztani az érintettel, ami egyúttal ezen adatkezelési láncolat átláthatóságát, nyomon követhetőségét is elősegítheti.
A Közbeszerzési Értesítőben közzétett eljárást megindító hirdetményekben ennek gyakorlata még nem elterjedt, a „GDPR”, „személyes adat”, „adatkezelés” keresőszavak alapján kevés olyan hirdetmény lelhető fel, amely e körben bármiféle tájékoztatást tartalmazna. Azonban még a tájékoztatást tartalmazó hirdetmények is meglehetősen általánosak, az olyan hirdetmények száma pedig, amely megadná egy részletes(ebb) adatkezelési tájékoztató elérhetőségét, még elenyészőbb.
A Közbeszerzési Értesítőben elérhető eljárást megindító felhívásokban az adatkezelésre vonatkozóan az alábbi tartalmú tájékoztatások lelhetők fel:
˗ „Ajánlatkérő GDPR rendelet alapján tájékoztatja az Ajánlattevőket, hogy az eljárás keretében a gazdasági szereplők személyes adatait a jogszabályokban meghatározott feladatok ellátása és a közbeszerzési eljárás lefolytatása céljából kezeli.”
˗ „Ajánlatkérő tájékoztatja az ajánlattevő(ke)t, hogy az eljárás keretében a gazdasági szereplők személyes adatait az EU 2016/679 rendelete (GDPR rendelet) 6. cikk (1) bek. a) és c) pont alapján kezeli. A GDPR rendelet alapján ajánlattevőnek űrlapon kell megerősítenie az ajánlatban közölt személyes adatok kezeléséhez való hozzájárulását.”
˗ „Ajánlatkérő a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 Európai Parlamenti és Tanácsi (EU) rendelet (GDPR) 13. és 14. cikkei alapján a személyes adatok kezelésével kapcsolatban a ………………. linken ad tájékoztatást az ajánlattevők és szerződéses partnerek, kapcsolattartóik részére.”
˗ „Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (GDPR rendelet) alapján ajánlattevő ajánlatához csatolja nyilatkozatát személyes adatainak ajánlatkérő általi kezeléséhez való hozzájárulásáról.”
Az interneten a fentieken túl már fellelhetőek olyan általános adatkezelési tájékoztatók, amelyek kifejezetten a közbeszerzési eljárásokkal összefüggésben szükségessé váló személyes adatkezelési műveletekkel kapcsolatosak, bár jelenleg ennek gyakorlata még nem tűnik elterjedtnek.
5.1.3. Célhoz kötöttség
A GDPR 5. cikk (1) bekezdés b) pontja megköveteli, hogy a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
A 15/1991. (IV. 13.) AB határozat szerint személyes adatot kezelni/feldolgozni csak pontosan meghatározott és jogszerű célra lehet, és minden szakaszban meg kell felelni ennek a célnak. Az adatkezelés/adatfeldolgozás célját – és annak megváltozását is – közölni kell az érintettel, hogy megalapozottan dönthessen az adatok kiadásáról, megítélhesse az adatkezelés/feldolgozás hatását a jogaira. A célhoz kötött adatkezelés elvéből az következik, hogy a meghatározott cél nélküli, előre nem meghatározott jövőbeni felhasználásra, vagyis készletre való adatgyűjtés és -tárolás alkotmányellenes.47
A személyes adatok közbeszerzési eljárásokkal összefüggésben történő kezelésének célját az ajánlatkérő oldalán elsődlegesen az adott közbeszerzési jogi intézmény (kizáró okok, alkalmassági követelmények / értékelési szempontra tett megajánlás) által biztosítani hivatott cél, valamint az ajánlatkérőnek a Kbt.-ben előírt ellenőrzési kötelezettsége határozza meg.
5.1.4. Adattakarékosság
A GDPR 5. cikk (1) bekezdés c) pontja érelmében a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
Az adattakarékosság elve vonatkozásában a kizáró okok kapcsán rögzíthető, hogy azok tekintetében – mind az előírható kizáró okok köre, mind azok igazolása tekintetében – minimális döntési szabadságot ad a Kbt. az ajánlatkérő számára, amely okán a kizáró okok igazolásai és azok adattartalma is kötött. Így e körben az adattakarékosság jogszerű szintje jogszabály által meghatározottnak tekinthető.
Az alkalmassági követelményekkel összefüggésben érdemes továbbá utalni a Kbt. 65. § (3) bekezdésére, amely értelmében az ajánlatkérőnek az alkalmassági követelmények meghatározását az esélyegyenlőségre, az egyenlő elbánásra és a verseny tisztaságára vonatkozó alapelvek figyelembevétele mellett a közbeszerzés tárgyára kell korlátoznia, és azokat - a közbeszerzés becsült értékére is tekintettel - legfeljebb a szerződés teljesítéséhez ténylegesen szükséges feltételek mértékéig lehet előírni.
Ez az előírás az adattakarékosság elvével olyan módon függ össze, hogy az ajánlatkérő eleve csak olyan alkalmassági követelményt írhat elő, ami ténylegesen szükséges a szerződés teljesítéséhez, azt is csak a feltétlenül szükséges mértékig, mindez pedig ugyancsak kihat az ajánlatkérő által előírt alkalmassági követelmények igazolásához szükséges személyes adatok körére is. Az ajánlatkérő tehát csak olyan személyes adat közlését követelheti meg az alkalmasság körében, amely a szerződés teljesítésére való képesség igazolása szempontjából releváns.
Az adattakarékosság elve vonatkozásában utalni szükséges a beépített és alapértelmezett adatvédelem követelményére is [GDPR (78) premabulumbekezdés, valamint 25. cikk (1) és (2) bekezdés], amelyre – kapcsolódása okán – az integritás és bizalmas jelleg elve körében még kitérünk.
Az értékelési szempontok körében pedig a Kbt. 76. § (6)-(8) bekezdéseiben foglalt követelmények hatnak ki közvetve az ajánlatkérő által meghatározott értékelési szempontra tett megajánlás igazolásához szükséges személyes adatok körére.
Ennek kapcsán kérdésként merülhet fel, hogy támadható-e egy közbeszerzési kiírás a Közbeszerzési Hatóság Közbeszerzési Döntőbizottság előtt arra alapítottan, hogy ajánlatkérő olyan személyes adat közlését követeli meg a közbeszerzési eljárásban, amely nem felel meg az adattakarékosság elvének.
5.1.5. Pontosság
A GDPR 5. cikk (1) bekezdés d) pontja érelmében a személyes adatok(nak) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
Fontos tényező az adatok állapotában az időmúlás. A személyes adatok valójában a magánszemélyek életútjának változásait rögzítik, az érintettekkel kapcsolatban felmerülő korképek tükrei, egy momentumhoz köthető állapot leírásai.48 Az érintett születési dátuma, anyja neve, valamint – névváltozás hiányában – neve olyan természetes személyazonosító adatok, amelyek örökös tartalmúak, azaz nem változnak, míg a személyes adatok többsége változhat.
Közbeszerzési szempontból fontos kiemelni, hogy a naprakészséget a GDPR csak szükség esetére követeli meg. Közbeszerzési eljárásokban a közölt és kezelt személyes adatok – a közbeszerzési eljárás jellegéből adódóan – egy meghatározott időpontban/időszakban (részvételi jelentkezés benyújtásakor /ajánlattételkor) fennálló állapotot tükröznek. Az ajánlatkérőnek a részvételi jelentkezés benyújtása, ajánlattétel, valamint a hiánypótlás során közölt személyes adatok alapján kell elvégezni az adatkezelési műveleteket, és azok alapján kell meghoznia a közbeszerzési eljárással kapcsolatos döntéseit, azok időközbeni változása az ajánlatkérő, mint adatkezelő tekintetében nem érinti, nem érintheti a közbeszerzési eljárás során közölt adatokat.
Mindezek alapján a közbeszerzési eljárásokban közölt adatok későbbi, folyamatos naprakészsége nem lehet követelmény. Ezt erősíti a Kbt. 46. § (2) bekezdésében előírt iratmegőrzési kötelezettség is, amely a közbeszerzési eljárásban benyújtott, vagyis az akkori állapotokat tükröző / adatokat tartalmazó iratokra vonatkozik, amely iratmegőrzési kötelezettségnek egyúttal a korlátozott tárolhatóság elve szempontjából is jelentősége van.
5.1.6. Korlátozott tárolhatóság
A GDPR 5. cikk (1) bekezdés e) pontja értelmében a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
A közbeszerzési eljárásokkal összefüggésben kezelt személyes adatok tárolhatóságának időbeli korlátja tekintetében több jogszabályi előírásra is figyelemmel kell lenni. Egyfelől a Kbt. 46. § (2) bekezdése az ajánlatkérők számára legalább 5 éves iratmegőrzési kötelezettséget ír elő. A Kbt. 46. § (2) bekezdése értelmében a közbeszerzési eljárás előkészítésével, lefolytatásával kapcsolatban keletkezett összes iratot a közbeszerzési eljárás lezárulásától [37. § (2) bekezdés], a szerződés teljesítésével kapcsolatos összes iratot a szerződés teljesítésétől számított legalább öt évig meg kell őrizni. Ha a közbeszerzéssel kapcsolatban jogorvoslati eljárás indult, az iratokat a Közbeszerzési Döntőbizottság határozatának megtámadására nyitva álló határidő elteltéig, közigazgatási per esetén a közigazgatási per jogerős befejezéséig, de legalább öt évig kell megőrizni. Az ajánlatkérő az EKR-ben szereplő adatokat legalább ezen időtartam alatt - amennyiben jogszabály hosszabb iratmegőrzési időt ír elő, az előírt hosszabb időtartam alatt - megőrzi.
Emellett a 4/2011. (I. 28.) Korm. rendelet 80. § (3) bekezdése legalább 2020. december 31-ig, míg a 272/2014. (XI. 5.) Korm. rendelet 110/A. §-a legalább 2027. december 31-ig előírja a kedvezményezett számára az uniós támogatás felhasználásával megvalósult projekttel – így az annak keretében megvalósított közbeszerzési eljárással – kapcsolatos minden dokumentum megőrzésének a kötelezettségét.
A 4/2011. (I. 28.) Korm. rendeletben, a 272/2014. Korm. rendeletben, valamint a Kbt.-ben előírt iratmegőrzési kötelezettségek lejártával egyes személyes adatok kezelésének céljai is megszűnhetnek, vagyis a korlátozott tárolhatóság elve és a közbeszerzési iratok megőrzésének kötelezettsége szorosan összefügghet. A jelenleg elérhető adatkezelési tájékoztatókból az tűnik ki, hogy a közbeszerzésekkel összefüggésben kezelt személyes adatok tárolásának időtartamát az adatkezelők az iratmegőrzési kötelezettségekkel kötik össze, amely mellett más szempontok is felmerülnek (pl. Ptk. szerinti 5 éves általános elévülési idő, vagy a számviteli törtvényben a pénzügyi bizonylatokkal kapcsolatban meghatározott 8 éves időtartam). Az interneten elérhető közbeszerzési vonatkozású adatkezelési tájékoztatók alapján az a megállapítás tehető, hogy a közbeszerzési eljárások adatkezelői döntően a Kbt.-ben előírt iratmegőrzési időtartammal kötik össze a személyes adatok kezelésének időtartamát.
Hangsúlyozandó, hogy a fenti – jogszabályokban előírt – iratmegőrzési kötelezettségek csak az ajánlatkérőt/kedvezményezettet kötik, így a további adatkezelők (részvételre jelentkező / ajánlattevő, alvállalkozó, alkalmasságot igazoló más szervezet) vonatkozásában kiemelt jelentőséggel vélhetően nem bírnak.
A korlátozott tárolhatóság elvével összefüggésben kérdésként merülhet fel, hogy ezen adatkezelési alapelv miként érvényesül a lebonyolítók esetében. A lebonyolítók általi adatkezelés elsődleges célja a közbeszerzési eljárás eredményes lebonyolítása, így felmerülhet olyan értelmezés is, hogy az eljárás eredményéről szóló tájékoztató közzétételével – amellyel a közbeszerzési eljárás lezárul – a lebonyolító esetében egyúttal a személyes adatok kezeléséhez fűződő cél is megszűnik. Ez az értelmezés azonban túlságosan megszorítónak minősülhet, figyelemmel a lebonyolító polgári jogi felelősségére, valamint arra, hogy az általa lebonyolított közbeszerzési eljárás esetleges ellenőrzése során az ő részéről is szükségessé válhat a közbeszerzési eljárás iratainak rendelkezésre bocsátása az annak ellenőrzésére jogosult hatóságok részére.
Mindez egyúttal kihat arra is, hogy a lebonyolító, mint adatfeldolgozó miként állapodik meg az ajánlatkérővel, mint adatkezelővel, illetve a lebonyolító, mint adatkezelő miként tájékoztatja az érintetteket a személyes adatok kezelése szükségességének időtartamáról.
5.1.7. Integritás és bizalmas jelleg
A GDPR 5. cikk (1) bekezdés f) pontja érelmében a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Az integritás és a bizalmas jelleg mindenekelőtt azt követeli meg az ajánlatkérőtől / lebonyolítótól, hogy fő szabály szerint csak azok a személyek férjenek hozzá a személyes adatokhoz, akik a közbeszerzési eljárás lebonyolításában részt vesznek, és az ennek során felmerülő feladataik ellátásához ezen adatok megismerése, a velük végzett adatkezelési műveletek szükségesek. Mindez azt jelenti, hogy a személyes adatokat tartalmazó közbeszerzési iratokhoz, dokumentumokhoz – akár papír alapon, akár digitális formában áll az rendelkezésre – csak olyan személyek férjenek hozzá, akik munka-, illetve feladatkörüknél fogva ehhez jogosultságot kaptak. Emellett az ajánlatkérő / lebonyolító kötelezettsége annak biztosítása, hogy a személyes adatokat is tartalmazó közbeszerzési iratok csak az arra jogszabály által feljogosított személyek, szervezetek – így különösen a közbeszerzések ellenőrzésére hatáskörrel rendelkező szervezetek – számára kerüljenek továbbításra.
E vonatkozásban szükséges utalni a GDPR 25. cikkére, amely a beépített és alapértelmezett adatvédelemmel kapcsolatos,49 valamint a GDPR (78) preambulum bekezdésére, amely a GDPR szabályozásában egyedüliként kifejezett kötelezettséget ír elő a közbeszerzési eljárások vonatkozásában.
A GDPR (78) preambulum bekezdése értelmében a természetes személyeket személyes adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az e rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát. Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit. Az említett intézkedések magukban foglalhatják a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mihamarabbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.
Az olyan alkalmazások, szolgáltatások és termékek kifejlesztésekor, tervezésekor, kiválasztásakor és felhasználásakor, amelyek személyes adatok kezelésén alapulnak vagy rendeltetésük teljesítéséhez személyes adatokat kezelnek, a termékek, szolgáltatások és alkalmazások előállítóit arra kell ösztönözni, hogy e termékek, szolgáltatások és alkalmazások kifejlesztésekor és tervezésekor szem előtt tartsák a személyes adatok védeleméhez való jogot, és a tudomány és technológia állását kellően figyelembe véve gondoskodjanak arról, hogy az adatkezelők és az adatfeldolgozók adatvédelmi kötelezettségeiknek eleget tegyenek. A beépített és az alapértelmezett adatvédelem elveit a közbeszerzések során is figyelembe kell venni.
A beépített és alapértelmezett adatvédelem tehát az adattakarékosság elve mellett az integritás és bizalmas jelleg GDPR-beli elvének érvényesülését is szolgálja, és az annak való megfelelés a közbeszerzések szereplőit kihívások elé fogja állítani a személyes adatok kezelése során.50
5.1.8. Elszámoltathatóság
A GDPR 5. cikk (2) bekezdése érelmében az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
Az elszámoltathatóság a GDPR szuperelve, amely a közbeszerzési eljárás valamennyi szintjén álló adatkezelővel szemben megköveteli nemcsak a GDPR rendelkezéseinek a betartását, hanem annak bizonyítását is, hogy adatkezelése megfelel a GDPR előírásainak.
6. A személyes adatok közbeszerzési eljárással összefüggő kezelésének jogalapjai [GDPR 6. cikk]
Az adatkezelés jogalapjait a GDPR 6. cikke (Az adatkezelés jogszerűsége) ismerteti. A jogalapok között nem áll fenn sorrendiség.
Az adatkezelésnek egy jogalapja lehet. Nem fogadható el, ha ugyanahhoz az adatkezeléshez különböző jogalapokat rendel az adatkezelő, minthogy a több jogalap egyidejű alkalmazása sérti az átláthatóság és a tisztesség elvét.51
Az adatkezelőnek nem valamely konkrét személyes adat kezelésére kell jogalapot találnia, hanem az általa végzett, egymástól elhatárolható tevékenységekre kell kiválasztania a megfelelő jogalapot. Ha egy adatkezelő különböző adatkezelési célokból, különböző jogalapokon kezelheti az érintett ugyanazon személyes adatait, akkor az egyik adatkezelési cél és jogalap megszűnése nem érinti a többi jogalapon végzett adatkezelést.52
Önmagában az a körülmény, hogy az adatkezelő megfelelő jogalappal rendelkezik az adatkezeléshez, még nem jelenti azt, hogy az adatkezelés jogszerű, és mindenben megfelel a törvényi elvárásoknak.53 A megfelelő jogalapon végzett adatkezelés egyúttal meg kell feleljen az adatkezelés elveinek.
A GDPR (40)-(41) preambulum-bekezdései szerint:
(40) Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.
(41) Amikor ez a rendelet jogalapra vagy jogalkotási intézkedésre hivatkozik, ez nem szükségszerűen jelent – az érintett tagállam alkotmányos rendjéből fakadó követelmények sérelme nélkül – valamely parlament által elfogadott jogszabályt. Mindazonáltal az ilyen jogalapnak vagy jogalkotási intézkedésnek világosnak és pontosnak kell lennie, alkalmazásának pedig előreláthatónak kell lennie a hatálya alá tartozó személyek számára, összhangban az Európai Unió Bíróságának (a továbbiakban: Bíróság) és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlatával.
A GDPR 6. cikk (1) bekezdése értelmében a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
Ezen jogalapok tekintetében a GDPR 7-10. cikkei kiegészítő, speciális szabályokat tartalmaznak.
45 ld. Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 96. o. hivatkozott: Révész Balázs – Somogyvári Katalin (2012): Az információszabadság jelentése, tartalma. In Péterfalvi Attila (szerk.): Adatvédelem és információszabadság a mindennapokban. HVG-Orac, Budapest, 2012. 180-182.
46 Az új általános európai adatvédelmi szabályozás és az adatkezelői kötelezettségek. NKE, 2018., (szerzők: Dr. Árvay Viktor, Dr. Balogh Gyöngyi, Dr. Buzás Péter, Dr. Eszteri Dániel, Dr. Hackspacher Andrea, Dr. Kiss Ernő, Dr. Majsa Ágnes, Dr. Révész Balázs) 19. o.
47 Az új általános európai adatvédelmi szabályozás és az adatkezelői kötelezettségek. NKE, 2018., (szerzők: Dr. Árvay Viktor, Dr. Balogh Gyöngyi, Dr. Buzás Péter, Dr. Eszteri Dániel, Dr. Hackspacher Andrea, Dr. Kiss Ernő, Dr. Majsa Ágnes, Dr. Révész Balázs) 19. o.
48 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 102. o.
49 GDPR 25. cikk (1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
50 Vö. Közbeszerzési Szemle 2018/8. - Közbeszerzési aktualitások - A szakember válaszol – 7. kérdés [A 2018. május 25-én életbe lépett általános adatvédelmi rendelet (GDPR) a közbeszerzési eljárások során ajánlatkérőnél keletkező adatok kezelése tekintetében milyen változtatási kötelezettséget jelenthet az eljárások adminisztrációjában?], válasz: Dr. Dudás Gábor.
51 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 111. o.
52 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 112. o.
53 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 113. o.
6.1. A közbeszerzési eljárásokkal összefüggő adatkezelések tekintetében releváns jogalapok
A GDPR 6. cikk (1) bekezdésében felsorolt jogalapok közül a 6. cikk (1) bekezdés d) pont szerinti jogalap (érintett vagy másik természetes személy létfontosságú érdekeinek védelme) jellegénél fogva nagy valószínűséggel kizárható a releváns jogalapok köréből.
A többi jogalap pedig az adatkezelőnek a közbeszerzési eljárásban betöltött minősége függvényében változik.
6.2. Az érintett hozzájárulása [6. cikk (1) bekezdés a) pont]
Az érintett hozzájárulása és konkrét volta tekintetében a GDPR több együttes követelményt támaszt:
- megfelelő tájékoztatás,
- a hozzájárulás önkéntessége,
- a hozzájárulás konkrét volta,
- a hozzájárulás egyértelműsége,
- egyéb feltételek.
A fenti követelmények kapcsán utalni szükséges a GDPR (32) preambulum-bekezdésére, amely értelmében az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. […] A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
A megfelelő tájékoztatás az érintett hozzájárulásával kapcsolatos többi fogalmi elem (önkéntesség, a hozzájárulás konkrét volta, egyértelműsége) előfeltétele is. Az érintett abban az esetben tud a személyes adatai kezelésébe beleegyezni, ha az adatkezelés részletei ismertek előtte, vagyis tisztában van azzal, hogy milyen konkrét adatkezeléshez szükséges a hozzájárulása.
Az adatkezelőnek a GDPR. 13. cikk (1)-(2), valamint 14. cikk (1)-(2) bekezdéseiben rögzített körülményekről szükséges tájékoztatnia az érintettet, aszerint, hogy a személyes adatokat az érintettől gyűjtik, vagy azokat nem az érintettől szerezték be. Formai szempontból a tájékoztatónak tömörnek, átláthatónak, világosan és közérthetően megfogalmazottnak kell lennie.54
A hozzájárulás önkéntessége vonatkozásában utalni szükséges GDPR (42) és (43) preambulum-bekezdéseire, valamint 7. cikkére:
GDPR (42) […] A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
GDPR (43) Annak biztosítása érdekében, hogy a hozzájárulást önkéntesen adták, a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, különösen ha az adatkezelő közhatalmi szerv, és az adott helyzet valamennyi körülményét figyelembe véve ezért valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt. A hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes adatkezelési műveletekhez, noha az adott esetben megfelelő, illetve ha egy – például szolgáltatási – szerződés teljesítését a hozzájárulástól teszik függővé, annak ellenére, hogy a hozzájárulás nem szükséges a szerződés teljesítéséhez.
A GDPR 7. cikk (3) bekezdése rögzíti, hogy az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Az érintett hozzájárulása, mint jogalap – éppen a hozzájárulással szemben támasztott követelmények miatt – visszaszorulóban van, különös tekintettel a hozzájárulás önkéntességének követelményére.
A közbeszerzési eljárásokban az alkalmasság / értékelés körében bemutatott természetes személyek, mint érintettek (pl. szakemberek, hátrányos helyzetű munkavállaló) jellemzően valamilyen foglalkoztatásra irányuló jogviszonyban állnak azzal a közbeszerzési szereplővel, aki az érintett adatainak bemutatásával valamilyen minőségben részt kíván venni a közbeszerzési eljárásban. Márpedig a gyakorlat a munkaviszony kapcsán kivételes esetben fogadja el a munkavállaló hozzájárulását jogalapként, a munkáltató és a munkavállaló közötti alá-fölérendeltségi viszonyra való tekintettel.
Közbeszerzési eljárások során az érintett bemutatása az alkalmasság/értékelés körében azt a célt szolgálja, hogy a közbeszerzési szerződés elnyerése esetén az érintett részt vegyen a teljesítésben, ez következik egyúttal a Kbt. 138. § (2) és (4) bekezdéséből is.55 A szakember igénybevétele történhet közvetett és közvetlen módon, az ajánlattétel konstrukciójától, azaz attól függően, hogy pl. az adott szakembert ki biztosítja az eljárásban a teljesítéséhez, maga az ajánlattevő, vagy az általa a teljesítésbe bevont alvállalkozó, vagy a teljesítésben részt nem vevő, de a szakembere teljesítésben való részvételét lehetővé tevő alkalmasságot igazoló más szervezet.
A munkáltató által végzett adatkezelések esetében a hozzájárulás abban az esetben lehet megfelelő jogalap az adatkezelésre, ha az adatkezelés nem hat ki a munkavállaló munkaviszonyára. Márpedig az alkalmasság / értékelés körében az érintett bemutatása azzal jár, hogy a Kbt. 138. § (2) és (4) bekezdéseiben rögzített kötelezettség miatt az érintettnek részt kell vennie a szerződés teljesítésében, amely a teljesítés helyétől és körülményeitől függően kihatnak a munkavállalóra.
Ilyen esetben az önkéntesség jogalapként csak kivételes esetben merülhet fel, annak hangsúlyozásával, hogy a hozzájárulást és annak önkéntességét a GDPR 5. cikk (2) bekezdéséből adódóan az adatkezelőnek igazolnia kell tudni (elszámoltathatóság).
54 Vö. Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 113-114. o.
55 138. § (2) Az ajánlattevőként szerződő fél a teljesítéshez az alkalmasságának igazolásában részt vett szervezetet a 65. § (7) bekezdése szerint az eljárásban bemutatott kötelezettségvállalásnak megfelelően, valamint a 65. § (9) bekezdésében foglalt esetekben és módon köteles igénybe venni, valamint köteles a teljesítésbe bevonni az alkalmasság igazolásához bemutatott szakembereket. E szervezetek vagy szakemberek bevonása akkor maradhat el, vagy helyettük akkor vonható be más (ideértve az átalakulás, egyesülés, szétválás útján történt jogutódlás eseteit is), ha az ajánlattevő e szervezet vagy szakember nélkül vagy a helyette bevont új szervezettel vagy szakemberrel is megfelel - amennyiben a közbeszerzési eljárásban az adott alkalmassági követelmény tekintetében bemutatott adatok alapján az ajánlatkérő szűkítette az eljárásban részt vevő gazdasági szereplők számát, az eredeti szervezetekkel vagy szakemberrel egyenértékű módon megfelel - azoknak az alkalmassági követelményeknek, amelyeknek az ajánlattevőként szerződő fél a közbeszerzési eljárásban az adott szervezettel vagy szakemberrel együtt felelt meg.
(4) Az eljárás során az ajánlattevő által bemutatott valamely szervezet vagy szakember bevonásától nem lehet eltekinteni olyan esetben, ha az érintett szerződés sajátos tulajdonságait figyelembe véve az adott személy (szervezet) igénybevétele a közbeszerzési eljárásban az ajánlatok értékelésekor meghatározó körülménynek minősült. Ilyen esetben csak a jogutódlás olyan eseteiben változhat a bevont szervezet, ha az új szervezet az értékeléskor figyelembe vett minden releváns körülmény - különös tekintettel a 76. § (3) bekezdés b) pontja szerinti esetben az értékelt személyi állomány - tekintetében az eljárásban bemutatott szervezet jogutódjának tekinthető. Az értékeléskor meghatározó szakember személye csak az ajánlatkérő hozzájárulásával és abban az esetben változhat, ha az értékeléskor figyelembe vett minden releváns körülmény tekintetében az értékelttel legalább egyenértékű szakember kerül bemutatásra.
6.3. A szerződés teljesítése [6. cikk (1) bekezdés b) pont]
A szerződés teljesítése, mint jogalap tekintetében a GDPR 6. cikk (1) bekezdés b) pontja két vagylagos feltételt támaszt:
˗ az adatkezelés olyan szerződés teljesítéséhez legyen szükséges, amelyben az érintett az egyik szerződő fél; vagy
˗ az adatkezelés a szerződés megkötését megelőzően bizonyos lépéseknek az érintett kérésére történő megtételéhez szükséges.56
Az első esetben, vagyis, amikor az érintett az egyik szerződő fél, szükséges, hogy a személyes adatok kezelése és a szerződés teljesítésének célja között közvetlen, objektív kapcsolat álljon fenn.57
Amennyiben jogszabály szerződéskötési kötelezettséget írt elő az adatkezelő számára, és így jön létre olyan szerződés, amelyben az egyik fél az érintett, akkor ebben az esetben is alkalmazható a szerződés teljesítésének jogalapja. Ugyanakkor az ilyen adatkezelések esetében felmerülhet a jogi kötelezettség jogalapjának alkalmazása is, hiszen szerződéskötési kötelezettséget (kötelező adatkezelésként) többnyire törvény ír elő, meghatározva az adatkezelés alapvető körülményeit (az adatkezelés célja, jogalapja, a kezelt adatok köre). Az adatkezelőnek mérlegelnie kell, hogy ezen adatkezelések esetében melyik jogalapot alkalmazza, mivel az adatkezelésnek csak egyetlen jogalapja lehet.58
Nem alkalmazható a szerződés jogalapja az olyan esetekben, amikor az adatkezelésre valójában nem a szerződés, hanem az adatkezelőt terhelő jogi kötelezettség teljesítése miatt van szükség. [...] Nem tekinthető a szerződés teljesítéséhez szükségesnek az olyan adatkezelés, mikor az adatkezelő és harmadik fél közötti szerződés teljesítése indokolja az érintett személyes adatainak kezelését (így például továbbítását), azonban az adatkezelő és az érintett közötti szerződést az adatkezelő teljesíteni tudja a szóban forgó adatkezelés nélkül is.59
A második eset tekintetében a Magyarázat a GDPR-ról azt a példát hozza fel, amikor az adatkezelőnek az ajánlat elkészítése érdekében ismernie kell az érintett személyes adatait (pl. kötelező gépjármű-felelősségbiztosítással kapcsolatos ajánlat elkészítéséhez ismerni kell a gépjármű adatait, illetve az annak használatával kapcsolatos adatokat, stb.).60
Ez a jogalap – noha az interneten elérhető adatkezelési tájékoztatókban történik rá hivatkozás – közbeszerzési eljárások eredményeként kötött szerződések esetében csak szűk körben merülhet fel, mégpedig az érintett – adatkezelő relációja és az adatkezelés szintje függvényében. Emellett szól az is, hogy az adatkezelésnek vélhetően akad megfelelőbb jogalapja, már pedig – miként arra fentebb már utalás történt – az adatkezelésnek csak egy jogalapja lehet.
56 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 123. és 125. o.
57 Vö. Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 123. o.
58 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 124. o.
59 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 124. o.
60 Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 125. o.
6.4. Jogi kötelezettség teljesítése [6. cikk (1) bekezdés c) pont]
A jogi kötelezettség teljesítése, mint lehetséges jogalap indokoltabbnak tűnik a korábban ismertetett jogalapokhoz képest, a személyes adatok közbeszerzési eljárással összefüggő adatkezelése kapcsán, legalábbis az ajánlatkérők vonatkozásában. Ugyanakkor ezen jogalap alkalmazhatósága ellen hat, hogy sok esetben a közbeszerzési eljárással összefüggésben szükségessé váló adatkezelés tekintetében a jogi kötelezettség teljesítése konkurál az adatkezelő jogos érdekével. Ilyen esetben – különösen akkor, ha az adatkezelésre okot adó jogszabály adatkezelés körülményeivel kapcsolatos előírásai általánosak, nem kellően konkrétak, részletezettek – indokoltabb lehet a jogos érdek jogalapját választani, amely esetben ugyanakkor az adatkezelőnek ún. érdekmérlegelési tesztet kell elvégeznie.
Annak eldöntését, hogy a közbeszerzéssel összefüggő adatkezelés tekintetében a jogi kötelezettség teljesítése vagy a jogos érdek a megfelelő jogalap, több körülmény is nehezíti.
Egyfelől a jogalap aszerint változhat, hogy az adatkezelő konkrétan milyen minőségben vesz részt a közbeszerzési eljárásban: ajánlatkérő, vagy részvételre jelentkező / ajánlattevő, alvállalkozó, vagy alkalmasságot igazoló más szervezet.
Másfelől, amint arra fentebb utalás történt, a Kbt. 69. § (14) bekezdése csak az ajánlatkérőt – a közbeszerzési eljárás ajánlattevői oldalának szereplőit nem – jogosítja fel a személyes adatok kezelésére és csak az alkalmassággal, valamint a kizáró okokkal kapcsolatos, meghatározott adatok vonatkozásában, míg a kezelendő személyes adatok köre ennél bővebb lehet. Kérdés, hogy ezen feljogosítás kötelezettséget keletkeztet-e egyben az ajánlatkérőre nézve. Mindezen dilemmák ellenére arra vonható le következtetés, hogy – figyelemmel az ajánlatkérőnek a Kbt. 69. §-ában a bírálattal kapcsolatban előírt meggyőződési, ellenőrzési kötelezettségére – a jogi kötelezettség fennáll.61
Maga a Kbt. 69. § (14) bekezdésében foglalt ajánlatkérői feljogosítás tekintetében pedig kérdéses, hogy az Infotv. 5. § (3) bekezdésében foglalt követelményeket kielégíti-e, vagyis az e körben végzett adatkezelés kötelező adatkezelésnek minősül-e. A megfelelés vizsgálatát a következő táblázat mutatja be:
*Az adatok megismerhetőségére, az adatkezelés időtartamára, vagy szükségessége időszakos felülvizsgálatára nézve a Kbt. 69. § (14) bekezdése nem tartalmaz rendelkezést. A Kbt. egyéb rendelkezései ugyanakkor, így pl. a nyilvánosság (ideértve az iratbetekintés), az iratmegőrzési kötelezettség szabályai – noha nem személyes adat specifikusak – ezen tartalmi elemeket is determinálhatják.
Az adatkezelés időtartamára vagy szükségessége időszakos felülvizsgálatára vonatkozó kifejezett Kbt. rendelkezés hiánya tekintetében pedig utalni szükséges arra, hogy az Infotv. 5. § (5) bekezdése generális szabálya is releváns lehet, amely szerint, ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.
Mindezek alapján a kizáró okok fenn nem állása és az alkalmasság megítélése körében az ajánlatkérők számára a jogi kötelezettség teljesítése megfelelő jogalap lehet a Kbt. 69. § (14) bekezdésében felsorolt személyes adatok kezelése vonatkozásában.
Egyéb személyes adatok esetében – a Kbt. 69. § (14) bekezdése szerinti felhatalmazás hiányában – az ajánlatkérők számára is más jogalap szolgálhat a jogszerű adatkezeléshez.
6.5. Közérdekű feladat ellátása és közhatalom gyakorlása [6. cikk (1) bekezdés e) pont]
A Magyarázat a GDPR-ról szerint 62 ezen jogalap első fordulatában szereplő közérdekű feladat kitétel vonatkozásában irányadónak tekinthető a magyar jogszabályokból ismert „közfeladat” kifejezés. Általánosságban a közigazgatás két nagy alrendszerébe (államigazgatás, önkormányzati igazgatás) tartozó szervek, valamint a jogszabály által létrehozott, meghatározott feladatkörrel rendelkező szervek, személyek látnak el közfeladatot. Emellett e körbe tartozhat a közszakmai szervezetek, mint köztestületek létrehozatala a feladat ellátáshoz szükséges szervezettel és hatáskörökkel.
Ezen jogalap második fordulata pedig a közhatalom gyakorlásához szükséges személyes adatok kezelése esetén alkalmazható, azzal, hogy ebben az esetben is fennáll az a kötelezettség, hogy az adatkezelés alapját uniós jognak vagy tagállami jognak kell meghatároznia.
A közfeladat ellátása és a közhatalom gyakorlása átfedésben is áll egymással, az adatkezelő általi közfeladat ellátása közhatalom gyakorlását is feltételezi. A Magyarázat a GDPR-ról szerint a közhatalmi tevékenység vonatkozásában irányadó lehet az ÁFA tv. 7. § (2) bekezdésében szereplő felsorolás.
A közfeladat ellátása és a közhatalom gyakorlása körében végzett adatkezelések az Infotv. 5. § (3) bekezdése szerinti kötelező adatkezelések tipikus példái.
Ezen jogalapnak a közbeszerzések szempontjából a Nemzeti Adatvédelmi és Információszabadság Hatóság 2018. évi beszámolója ad különös aktualitást, amelyben szereplő értelmezés a közfeladatot ellátó, illetve közhatalmat gyakorló szervek által ajánlatkérőként lefolytatott közbeszerzései eljárások során történő adatkezelésre is kihat. A beszámoló63 36. oldalán a következő megállapítás szerepel: „Az adatkezelő közfeladatait meghatározó jogszabályi rendelkezéseken alapuló adatkezelések jogalapja tehát a GDPR 6. cikk (1) bekezdés e) pontja. Fontos kiemelnünk azt is, hogy egy közhatalmi tevékenységet vagy egyéb közfeladatot ellátó szerv – mint költségvetési szerv – minden közjogi és magánjogi jogviszonyának, és az ahhoz járulékosan kapcsolódó adatkezelési jogviszonyainak kizárólag közfeladatai ellátásával összefüggésben lehet alanya, ettől eltérő minősége fogalmilag kizárt. Ebből fakadóan e jogalap, mintegy magába olvasztja, elnyeli a további adatkezelési jogalapokat. E felfogást tükrözi – az általános adatvédelmi rendelettel szemben a magánszféra adatkezelésére tárgyi és szervi hatálya folytán egyáltalán nem alkalmazandó – bűnügyi adatvédelmi irányelv is, ahol az adatkezelés jogalapja kizárólag az irányelv hatálya alá tartozó tevékenység, mint közfeladat lehet [8. cikk].”
Mindez azzal jár, hogy a közhatalmi tevékenységet vagy egyéb közfeladatot ellátó költségvetési szervnek minősülő ajánlatkérő közbeszerzési eljárással összefüggően végzett adatkezelését a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalapon végzi.
Okkal tűnhet vitathatónak a NAIH beszámoló azon értelmezése, hogy egy közhatalmi tevékenységet vagy egyéb közfeladatot ellátó szerv – mint költségvetési szerv – minden közjogi és magánjogi jogviszonyának, és az ahhoz járulékosan kapcsolódó adatkezelési jogviszonyainak kizárólag közfeladatai ellátásával összefüggésben lehet alanya. Számos olyan élethelyzet felhozható ugyanis, amelyben az egyébként közfeladatot ellátó, közhatalmat gyakorló szerv ezen minősége teljességgel indifferens (pl. az adott szervnél megrendezésre kerülő szabadidős tevékenységek: családi nap, utazás, sportesemény, stb.). Emellett a beszámoló értelmezése beszerzési/közbeszerzési szempontból amiatt tűnik vitathatónak, mert sok esetben például maga a beszerzési igény tisztán üzemeltetési természetű (pl. takarítószerek, takarítási szolgáltatás, energetikai korszerűsítés, stb. beszerzése), vagyis nem kapcsolódik szorosan a közfeladat ellátáshoz, közhatalom gyakorlásához.
6.6 Jogos érdek [6. cikk (1) bekezdés f) pont]
A Magyarázat a GDPR-ról szerint,64 noha a GDPR nem állít fel sorrendet az adatkezelési jogalapok között, az érdekmérlegelés jogalapja akkor alkalmazható, ha a másik öt jogalap nem illeszkedik a konkrét adatkezelésre. Ha például egy adatkezelés esetében mind a hozzájárulás, mind az érdekmérlegelés jogalapja alkalmazható, és a hozzájárulás valamennyi fogalmi eleme, feltétele megfelelően érvényesülhet, akkor főszabályként az érintett hozzájárulását kell kérni az adatkezeléshez. Amennyiben valamely személyes adat kezelése szerződés teljesítéséhez szükséges, ugyanakkor az adatkezelés az adatkezelő érdekében áll, akkor elsősorban a szerződés teljesítése jogalapjának alkalmazása indokolt.
Közbeszerzési jogi szempontból – különösen az ajánlattevői oldal szereplői – vonatkozásában a jogi kötelezettség mellett a jogos érdek szolgálhat az adatkezelés jogalapjául.
7. A Miniszterelnökség közleménye65 az értékelési szempont(ok) előírásával kapcsolatban követendő közbeszerzési gyakorlatról
Az adatkezelés GDPR szerinti elvei és jogalapjai bemutatását követően szükségesnek mutatkozik röviden kitérni a miniszterelnökségi közlemény66 tartalmának GDPR-t érintő vonatkozásaira.
A közlemény a Társadalmi/szociális szempontok vonatkozásában egyebek mellett az alábbiakat tartalmazza:
„[…] elvárás, hogy ajánlatkérők a közbeszerzési dokumentumokban kifejezetten rögzítsék (az adott értékelési szempont alkalmazása esetén), hogy a hátrányos helyzetű munkavállaló dokumentáltan és kimutathatóan az adott szerződés teljesítésével összefüggésben kerül foglalkoztatásra, azaz a vonatkozó értékelési szempontra bemutatott hátrányos helyzetű munkavállaló(k)az eljárás eredményeként megkötésre kerülő szerződés teljesítésében fog(nak)részt venni, az értékelési szempont meghatározásának módjától függően, figyelemmel a szerződés teljesítési határidejének (esetleges) módosításaira is
[…]
A fentiek átültetése a gyakorlatba
A közbeszerzési dokumentációban rögzítésre kerül, hogy az értékelési szempontra figyelemmel bemutatásra kerülő hátrányos helyzetű munkavállaló(k) az adott közbeszerzési eljárás eredményeként létrejövő szerződés teljesítésében fog(nak)részt venni (az értékelési szempont meghatározásának módjától függően figyelembe véve a szerződés végrehajtására vonatkozó határidő módosítását is), továbbá a kiírás feltételrendszerének meghatározása során arra figyelemmel szükséges eljárni, hogy az adott értékelési szemponttal összefüggésben bemutatásra kerülő hátrányos helyzetű munkavállaló(k)az ajánlatban
˗ név szerint kerüljenek megjelölésre;
˗ kerüljön bemutatásra, hogy a hátrányos helyzetű munkavállaló mi alapján/milyen szempontokra tekintettel (mely jogszabályi rendelkezés alapján) minősül hátrányos helyzetű munkavállalónak;
˗ a szerződés teljesítésével összefüggésben (annak során) milyen konkrét feladatokat fog ellátni (munkakör, pl. „betanított munkás” megjelölése nem elegendő, konkrétan fel kell tüntetni az adott műszaki tartalom keretében elvégzendő feladatokat);
˗ továbbá szükséges a hátrányos helyzetű munkavállalói „minőség” igazolására vonatkozó dokumentumok ajánlatban történő csatolása/bemutatása (pl. életkor igazolására személyi igazolvány másolata vagy más közokirat másolata).
Az adott ajánlattevői vállalásnak/megajánlásnak történő megfelelés ellenőrzése az ajánlatkérő részéről a szerződés teljesítése során is elvárás, azaz a kiírásoknak (közbeszerzési dokumentumoknak) részét kell képeznie annak is, hogy az értékelési szempont keretében az ajánlattevő által tett vállalás betartását milyen módszerrel és időközönként (az adott beszerzés sajátosságaira tekintettel) fogja ajánlatkérő ellenőrizni a szerződés teljesítése során, mely ellenőrzésnek alkalmasnak kell lennie arra, hogy lehetővé tegye az ajánlattevők általi vállalások hatékony ellenőrzését (pl. jelenléti ív, olyan igazoló dokumentum, amely bemutatja, hogy az érintett szerződés teljesítése során mely napon, az adott szerződéssel, annak teljesítésével összefüggésben milyen feladatot végzett el/látott el az értékelési szempontra bemutatott hátrányos helyzetű munkavállaló, amely tartalmazza az ajánlattevő, ajánlatkérő képviseletében eljáró személyek és a szerződés teljesítésében közreműködő hátrányos helyzetű munkavállaló aláírását). A közbeszerzési dokumentumokban arra vonatkozó előírást is szükséges szerepeltetni, hogy milyen jogi következményekkel jár (a nyertes) ajánlattevőre (szerződő félre) amennyiben a szerződés teljesítése során nem tesz eleget az értékelési szempontra tett vállalásának, ezen jogkövetkezmény nem lehet csupán névleges vagy elhanyagolható, azaz kellő súlyú joghátrányt kell biztosítania. […]”
A tárgyi közlemény a Társadalmi/szociális értékelési szempontok tekintetében több személyes adat (név, hátrányos helyzetet megalapozó körülmény, valamint személyazonosító okmány, vagy egyéb közokirat másolatainak) közlését, csatolását is elvárja az ajánlattevőktől, illetve ezek megkövetelését az ajánlatkérők részéről.
Ahhoz, hogy az ajánlattevői oldal szereplői az ajánlatkérő által a Társadalmi/szociális értékelési szempontok körében előírt igazolási kötelezettségnek jogszerűen eleget tehessenek, az ajánlattevőnél és adott esetben az általa bevont alvállalkozónál, alkalmasságot igazoló más szervezetnél is igazolható módon fenn kell állnia az adatkezelés jogalapjának. A jogalap igazolt megléte teszi lehetővé ezen alanyi kör számára, hogy az ajánlatkérő által a Társadalmi/szociális értékelési szempontok körében kért adatokat az ajánlatkérő számára a közbeszerzési eljárásban közölni tudják.
Mindez szükségessé teszi az ajánlattevői oldal szereplői részéről a GDPR szerinti adatkezelési jogalapok vizsgálatát, valamint azon természetes személyek, másképpen az érintettek (jellemzően munkavállalók) adatkezelő (azaz jellemzően a munkáltató/foglalkoztató) általi tájékoztatását, akiknek e körben releváns személyes adatai az ajánlatkérő számára megadására kerülnek.
Az adatkezelés jogalapjai [GDPR 6. cikk] kapcsán fontos kiemelni, hogy az érintett hozzájárulása – akár kifejezetten, írásban, akár hallgatólagos magatartással kerül megadásra – jogalapként nagy valószínűséggel nem fogadható el. A GDPR (43) preambulum-bekezdésében foglaltak szerint ugyanis a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, különösen, ha az adatkezelő közhatalmi szerv, és az adott helyzet valamennyi körülményét figyelembe véve ezért valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt. Márpedig munkaviszony esetén az alá-fölérendeltségi viszony hasonlóképpen fennállónak tekinthető.
Erre tekintettel ilyen esetekben az adatkezelés lehetséges jogalapjaként leginkább a GDPR 6. cikk (1) bekezdés f) pont (adatkezelő jogos érdeke) merülhet fel, amely esetben az adatkezelőnek – a jogszerűség és átláthatóság, valamint az elszámoltathatóság elveire is figyelemmel – ún. érdekmérlegelési tesztet kell elvégeznie.
Az adatkezelés jogalapjaként felmerülhet még a jogi kötelezettség teljesítése [GDPR 6. cikk (1) bekezdés c) pont], jelen esetben azonban az értékelési részszempontra tett megajánlás igazolása, mint ajánlattevői kötelezettség az ajánlatkérőnek a konkrét közbeszerzési eljárásban tett előírásaiból fakad, így az igazolás, mint (közbeszerzési)jogi kötelezettség inkább közvetettnek tekinthető. Ezt az értelmezést erősítheti egyúttal az is, hogy az igazolás konkrét módját nem a Kbt. határozza meg, hanem a miniszterelnöki közlemény.
A miniszterelnökségi közlemény kapcsán továbbá kérdésként merülhet fel, hogy a közleményben előírt adatok köre mennyiben egyeztethető össze a GDPR 5. cikk (1) bekezdés c) pontjában rögzített adattakarékosság elvével, amely szerint a megadni, közölni kért személyes adatnak az adatkezelés céljai szempontjából megfelelőnek, relevánsnak kell lennie, és a szükségesre kell korlátozódniuk. Vagyis, hogy feltétlenül szükség van-e a közlemény által felsorolt adatok mindegyikének megadására, ahhoz, hogy az adatkezelés célja megvalósulhasson (pl. név helyett elegendő lehet-e az érintett monogramja).
Emellett a közlemény különleges adat [például etnikai származás] kezelését is felveti, figyelemmel a hátrányos helyzetű munkavállaló fogalom-meghatározására,67 márpedig a GDPR 9. cikk (1) bekezdése értelmében a különleges adatok kezelése – főszabály szerint – tilos. Ezzel kapcsolatban vizsgálandó, hogy a főszabály alóli kivételi esetkörök [GDPR 9. cikk (2) bekezdés] valamelyike [különösen a 9. cikk (2) bekezdés b) pont] fennáll-e.
További kérdéseket vethet fel az okmánymásolat készítésének előírása, tekintve, hogy annak ugyancsak kivételes esetben, kifejezett jogszabályi felhatalmazás alapján lehet helye [például a Pmtv. 7. § (8) bekezdés alapján].
Záró gondolatok helyett
A cikkben foglaltak nagyrészt az ELTE JOTOKI által szervezett adatbiztonsági és adatvédelmi szakjogász képzés (2018-2019) keretében készített szakdolgozatomat veszik alapul, amelyhez nyújtott konzulensi segítségét ezúton is hálásan köszönöm dr. Tényi Géza ügyvéd kollegának, barátomnak.
61 69. § (1) Az ajánlatok és részvételi jelentkezések elbírálása során az ajánlatkérőnek meg kell vizsgálnia, hogy az ajánlatok, illetve részvételi jelentkezések megfelelnek-e a közbeszerzési dokumentumokban, valamint a jogszabályokban meghatározott feltételeknek.
(2) Az ajánlatkérő köteles megállapítani, hogy mely ajánlat vagy részvételi jelentkezés érvénytelen, és hogy van-e olyan gazdasági szereplő, akit az eljárásból ki kell zárni. Az ajánlatkérő a bírálat során az alkalmassági követelmények, a kizáró okok és a 82. § (5) bekezdése szerinti kritériumok előzetes ellenőrzésére köteles az egységes európai közbeszerzési dokumentumba foglalt nyilatkozatot elfogadni, valamint minden egyéb tekintetben a részvételi jelentkezés és az ajánlat megfelelőségét ellenőrizni, szükség szerint a 71-72. § szerinti bírálati cselekményeket elvégezni. Az ajánlatkérő az egységes európai közbeszerzési dokumentum szerinti nyilatkozattal egyidejűleg - több szakaszból álló eljárásban a részvételi szakaszban - ellenőrzi a nyilatkozatban feltüntetett, a (11) bekezdés szerint elérhető adatbázisok adatait is.
(4) […] az ajánlatkérő köteles az értékelési szempontokra figyelemmel legkedvezőbbnek tekinthető ajánlattevőt megfelelő határidő tűzésével felhívni a kizáró okok, az alkalmassági követelmények, valamint - adott esetben - a 82. § (5) bekezdése szerinti objektív kritériumok tekintetében a közbeszerzési dokumentumokban előírt igazolások benyújtására. […]
(5) […] Az ajánlatkérő az eljárást lezáró döntésben csak olyan ajánlattevőt nevezhet meg nyertes ajánlattevőként, aki az alkalmassági követelmények, a kizáró okok és a 82. § (5) bekezdése szerinti kritériumok tekintetében az e törvényben és a jogszabályban foglaltak szerint előírt igazolási kötelezettségének eleget tett.
62 Vö. Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 129. o.
63 https://www.naih.hu/files/Beszamolo-2018-MR.PDF
64 Vö. Magyarázat a GDPR-ról. Szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter, Wolters Kluwer, 2018., 130. o.
65 https://kozbeszerzes.hu/dokumentumok/megtekint/1561108141/3106/
66 A miniszterelnökségi közlemény az uniós támogatásból megvalósuló közbeszerzési eljárások vonatkozásában támaszt adatkezelési vonatkozású követelményeket a kedvezményezett ajánlatkérőkkel szemben.
67 A Bizottság 651/2014/EU rendelet 2. cikk 4. pontja: „hátrányos helyzetű munkavállaló”: bármely olyan személy, aki: […] g) egy tagállam etnikai kisebbségéhez tartozik, és akinek szakmai, nyelvi képzésre vagy szakmai tapasztalatszerzésre van szüksége ahhoz, hogy javuljon a tartós foglalkoztatásra való esélye.