Według nowych przepisów dotyczących ochrony danych osobowych (rozporządzenia RODO) na stanowisko inspektora ochrony danych (DPO) w firmie czy urzędzie, będzie mógł zostać wyznaczony pracownik administratora lub podmiotu przetwarzającego, ale również osoba spoza grona pracowników. Jednak w przypadku niedostatecznej wiedzy podwładnych w zakresie wchodzących z końcem maja regulacji, warto pomyśleć o outsourcingu. Tu z pomocą może przyjść przedsiębiorca, który wyłącznie specjalizuje się w zakresie ochrony danych osobowych.

Dla większych spółek i holdingów mających przymiot publicznych oraz administracji (urzędów i samorządów), w przypadku zleceń zewnętrznych, trzeba liczyć się koniecznością zastosowania reżimu ustawy z 29 stycznia 2014 r. Prawo zamówień publicznych (t.j. Dz. U. z 2017 r. poz. 1579 ze zm.).

W świetle przepisów u p.z.p, umowa o zatrudnienie inspektora danych osobowych z firmy outsorcingowej może być traktowana jako umowa o podwykonawstwo usług. Zaś przez pojęcie „usługi” należy rozumieć wykonanie wszelkich świadczeń, których przedmiotem nie są roboty budowlane lub dostawy. Może się okazać, że jeśli wartość kwotowa przekroczy odpowiedni próg, to niezbędne będzie ogłoszenie w tej sprawie przetargu. Przy czym należy pamiętać, że wykonywanie obowiązków przez urząd/spółkę własnymi środkami np. poprzez zatrudnienie odpowiedniej osoby oczywiście jest wyłączone ze stosowania ustawy p.z.p.

- Ustawa stanowi, że podstawowym sposobem udzielania zamówienia jest tryb przetargowy (czyli tryb przetargu ograniczonego lub nieograniczonego), dopuszczając odejście od niego w określonych, ściśle wymienionych w ustawie przypadkach – mówi Weronika Nowak, radca prawny w Omega Kancelarie Prawne. - Jednym z nich jest wartość zamówienia, określona w ustawie na 30.000 euro (art. 4 ust. 8 PZP). Sposób przeliczenia tej kwoty na złotówki jest co dwa lata określany w odrębnym rozporządzeniu – przypomina Nowak.

Urszula Szefler, radca prawny z Kancelarii Prawnej Dr Krystian Ziemski & Partners dodaje, że przed zleceniem usługi firmie zewnętrznej urząd czy spółka powinien dokładnie określić wartość tych usług. Jeżeli tak wycenione zlecenie nie będzie przekraczać wartości 30 tys. euro (obecnie w przeliczeniu 129.351 złotych) umowa nie będzie musiała być zwierana w trybie ustawy p.z.p. Prawnik jest też zdania, że w przypadku gdy w urzędzie został ustalony „regulamin udzielania zamówień publicznych o wartości nieprzekraczającej kwoty wskazanej w art. 4 pkt 8 ustawy Prawo zamówień publicznych” – to przy zawieraniu umowy, powinny zostać uwzględnione zasady tam wskazane.

Kryteria zamówienia

Na co zatem warto zwrócić uwagę? W przypadku, gdy stwierdzimy obowiązek stosowania u. p.z.p., zmawiający powinien przyjrzeć się:
• warunkom udziału w postępowaniu, które pozwolą wybrać podmiot zdolny do wykonania usługi (np. posiadający odpowiednie doświadczenie lub zasoby osobowe)
• pozacenowym kryteriom oceny ofert, które pozwolą wybrać najkorzystniejszą ofertę (np. posiadanie odpowiedniego certyfikatu)
W umowie powinny zostać dokładnie określone obowiązki wykonawcy i wskazane ewentualne kary umowne, gdyż naruszenie RODO może się wiązać z odpowiedzialnością po stronie spółki/urzędu.


- Jeżeli chodzi o kwestie, które szczególnie należy wziąć pod uwagę w takim postępowaniu, to pierwszorzędne jest rozważenie jakości świadczonych przez przyszłego podwykonawcę usług. Niestety powszechna jest praktyka, że wybór wykonawcy uzależniony jest głównie od ceny. Zazwyczaj cena to 60-90 proc. kryterium wyboru. – uczula Anita Poniatowska-Maj radca prawny, partner w GP Kancelaria Radców Prawnych.
- W przypadku inspektora danych osobowych, istotnym kryterium wyboru powinno być doświadczenie w zakresie ochrony danych osobowych. Ale tutaj również należy być ostrożnym ponieważ wykazanie przez kogoś, że pracował jako inspektor, nie gwarantuje, że będzie miał on odpowiednią wiedzę i zapewni wysoką jakość świadczonych usług – mówi radca.

Warto zatem ustalić czy podmiot da rękojmię prawidłowego wypełniania zobowiązań płynących z rozporządzenia. Zamawiający mogą to czynić już przy składaniu zapytań ofertowych. W ten sposób, uwzględniając kwestie, płynące z treści RODO, mogą w łatwy sposób zweryfikować, które podmioty już je wdrożyły, a którym jeszcze do tego daleko.

Opinia. Przetarg a zatrudnienie IOD
Małgorzata Gołyńska-Minkiewicz, Senior Associate w SMM Legal podmiot publiczny (duża spółka, urząd) może zatrudnić IOD na podstawie umowy o pracę, ale może również zlecić jego zadania osobie zatrudnionej na podstawie umowy cywilnoprawnej. Może także wyłonić firmę, która będzie zapewniać wykonywanie zadań IOD w drodze outsourcingu usług. Co ważne, wyłącznie zawarcie umowy o pracę nie podlega przepisom prawa zamówień publicznych. Zawarcie przez podmiot zobowiązany do stosowania ustawy PZP umowy obejmującej świadczenie usług IOD, czy to bezpośrednio z kandydatem na IOD, czy to ze specjalistyczną firmą, musi nastąpić w zgodzie z prawem zamówień publicznych. Należy przy tym pamiętać, że nie jest dopuszczalne dzielenie zamówienia (np. poprzez zawieranie wielu umów w jednym roku) w celu ominięcia stosowania ustawy PZP. Powyżej progu 30 tys. euro konieczne będzie zastosowanie jednego z trybów wynikającego z ustawy PZP. Wydaje się, że to przetarg nieograniczony lub ograniczony będą w większości przypadków właściwym trybem dla wyboru oferty świadczenia usług IOD. W postępowaniu (również prowadzonym poniżej progu 30 tys. euro) szczególną uwagę należy zwrócić na sformułowanie warunków udziału dotyczących doświadczenia wykonawcy, jak również dysponowania osobami spełniającymi kwalifikacje wymagane zgodnie z przepisami RODO. Konieczne jest również nałożenie na wykonawcę obowiązku osobistego wykonywania zamówienia przez wskazaną w ofercie osobę. Świadczenie usług IOD nie wymaga posiadania szczególnych uprawnień (RODO ogranicza się do ogólnego sformułowania w art. 37 ust. 5 wskazującego, że podstawą do wyznaczenia danej osoby na funkcję IOD powinno być posiadanie przez nią kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań nakładanych na niego przez RODO). W świetle tych ogólnych wytycznych ciężar właściwej weryfikacji kandydata na IOD będzie spoczywał zatem na zamawiającym przeprowadzającym postępowanie.