Zgodnie z art. 29 ust. 3a ustawy Prawo zamówień publicznych (DzU z 2015r., poz. 2164 ze zm.), zamawiający określa w opisie przedmiotu zamówienia na usługi lub roboty budowlane wymagania zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia, jeżeli wykonanie tych czynności polega na wykonywaniu pracy w sposób określony w art. 22 § 1 Kodeksu pracy.
Jak zaś stanowi art. 36 ust. 2 pkt 8a ustawy, w przypadku gdy jej przepisy nie stanowią inaczej, specyfikacja istotnych warunków zamówienia zawiera – jeżeli zamawiający przewiduje wymagania, o których mowa była powyżej – określenie sposobu dokumentowania zatrudnienia osób oraz uprawnienia zamawiającego w zakresie kontroli spełniania przez wykonawcę wymagań, o których mowa w art. 29 ust. 3a, oraz sankcji z tytułu niespełnienia tych wymagań.
Problem w tym, że przepisy nie precyzują, w jaki sposób zamawiający może kontrolować spełnienie tych wymagań przez wykonawcę – w szczególności zaś nie formułują uprawnienia do pozyskiwania oryginałów lub kopii umów o pracę oraz zakresów obowiązków pracowników, co wiązałoby się z przetwarzaniem przez niego danych osobowych. Również przepisy rozporządzenia Ministra Rozwoju z dnia 26 lipca 2016 r. w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia (DzU z 2016r., poz. 1126) nie odnoszą się do sposobu dokumentowania zatrudnienia osób, o których mowa w art. 29 ust. 3a wspomnianej ustawy. Zatem z przepisów w żaden sposób nie wynika uprawnienie zamawiającego do żądania od wykonawcy będącego pracodawcą kopii umów o pracę i zakresów obowiązków pracowników, ani obowiązek przekazania kopii tychże dokumentów przez wykonawcę.
Legalność przetwarzania
Legalność przetwarzania danych, w tym również ich udostępniania musi znajdować oparcie w jednej z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych – jeśli chodzi o dane osobowe tzw. zwykłe, bądź też w art. 27 ust. 2 – w odniesieniu do danych szczególnie chronionych, których zamknięty katalog określony został w art. 27 ust. 1 ustawy. Koncentrując się na danych zwykłych, to przywołany artykuł wskazuje, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,