„Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)”

Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej



Postępowanie przeprowadza centralny zamawiający


Postępowanie przeprowadza podmiot, któremu zamawiający powierzył/powierzyli przeprowadzenie postępowania



Postępowanie jest przeprowadzane wspólnie przez zamawiających



Postępowanie jest przeprowadzane wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej



Informacje dodatkowe: 

II.1) Nazwa nadana zamówieniu przez zamawiającego: 
„Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)”

Numer referencyjny 
DZP/WR/34/2018

II.4) Krótki opis przedmiotu zamówienia
(wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań):
Określenie wielkości lub zakresu zamówienia: Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)”. Szczegółowy opis przedmiotu zamówienia zawiera zał. nr 1 do zaproszenia, który stanowi integralną część zaproszenia do negocjacji. W ramach Analizy Ochrony Danych Osobowych, w kontekście RODO, należy:  poddać analizie posiadaną dokumentację ochrony danych osobowych pod kątem jej zgodności z prawem oraz aktualności,  zbadać przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych,  zweryfikować zakres i cel przetwarzania danych,  zweryfikować merytoryczną poprawność danych i ich adekwatność, w stosunku do celu przetwarzania,  zweryfikować system techniczno-organizacyjny ochrony danych osobowych,  zweryfikować zabezpieczenia infrastruktury informatycznej (fizyczne i logiczne zabezpieczenia infrastruktury informatycznej),  poddać analizie polityki bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określimy ich wpływ na poziom zabezpieczenia zbiorów danych, przetwarzanych w formie elektronicznej,  zweryfikować funkcjonalności aplikacji i poziom ich zabezpieczeń, a w przypadku wykrycia nieprawidłowości zaproponować rozwiązania,  sprawdzić poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej,  zweryfikować poziom wiedzy i świadomości pracowników w zakresie ochrony danych osobowych,  zweryfikować zawarte umowy pod kątem ewentualnej konieczności uzupełnienia ich umowami powierzenia przetwarzania danych osobowych. Efektem prac będzie raport z analizy wraz z rekomendacjami wdrożeniowymi. Raport będzie odzwierciedlał wymagania Generalnego Inspektora Ochrony Danych Osobowych w zakresie sprawozdawczości Administratora Bezpieczeństwa Informacji. Efektem prac będzie również docelowa dokumentacja w zakresie ochrony danych. Wymagany zakres prac w obszarze Systemu Zarządzania Bezpieczeństwem Informacji W ramach opisywanego zadania, niezbędne jest zbudowanie kompleksowego systemu bezpieczeństwa w oparciu o następujące etapy prac: Etap I – Przygotowanie prac  Określenie zakresu wywiadów i spotkań z: przedstawicielami Dyrekcji, Kierownikami działów, Administratorem Bezpieczeństwa Informacji,  Określenie zakresu Audytu bezpieczeństwa teleinformatycznego i współpracy z pracownikami Działu IT  Przygotowanie planu spotkań i harmonogramu prac. Etap II – Zbieranie danych i wywiady  Zebranie dokumentacji już istniejącej w zakresie ochrony danych osobowych.  Przeprowadzenie wywiadów mających na celu poznanie obecnie funkcjonującego stanu systemu zarządzania ochroną danych osobowych.  Analiza istniejących zabezpieczeń proceduralnych, IT i fizycznych wymaganych przepisami prawa.  Analiza bezpieczeństwa teleinformatycznego w obszarze RODO. Etap III – Przygotowanie dokumentacji i wdrożenie procedur  Opracowanie metodologii analizy ryzyka, przeprowadzenie analizy ryzyka oraz opracowanie planu postępowania z ryzykiem w obszarze danych osobowych.  Przeprowadzenie szkoleń z wdrożonego systemu ochrony danych osobowych ANALIZA RYZYKA  określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,  zdefiniowanie procesów zachodzących w organizacji,  zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,  opracowanie planu postępowania z ryzykiem (wykorzystanie metodologii zgodnej z normą ISO 31000 – System zarządzania ryzykiem) DOSTOSOWANIE ŚRODKÓW TECHNICZNYCH I IT  określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,  określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,  ocena adekwatności zastosowanych zabezpieczeń,  stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków. DOSTOSOWANIE ŚRODKÓW ORGANIZACYJNYCH  określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,  ocena adekwatności zastosowanych do tej pory zabezpieczeń,  wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.). USUWANIE DANYCH  analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane,  analiza metod usuwania danych i ich skuteczności,  stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych. WDROŻENIE ZASADY PRZEJRZYSTOŚCI  zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,  przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości,  przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem. STWORZENIE DOKUMENTACJI OCHRONY DANYCH OSOBOWYCH  przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,  dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka,  stworzenie nowych procedur pod kątem wymogów RODO. REJESTR CZYNNOŚCI PRZETWARZANIA  analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr,  weryfikacja procesów związanych z przetwarzaniem danych osobowych,  stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów. WERYFIKACJA PODSTAW PRZETWARZANIA  przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych,  weryfikacja podstaw do przetwarzania danych wrażliwych,  przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych  dostosowanie formularzy zgód na przetwarzanie danych osobowych. INSPEKTOR OCHRONY DANYCH  analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych,  wskazanie jakie kwalifikacji musi mieć IOD, ustalenie jego kompetencji  i wskazanie zadań,  stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim). WDROŻENIE MECHANIZMU OCHRONY DOMYŚLNEJ I W FAZIE PROJEKTOWANIA  stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych,  stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. ZGŁASZANIE NARUSZEŃ  stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,  stworzenie szablonu rejestru naruszeń ochrony danych osobowych. UMOŻLIWIENIE REALIZACJI PRAW PODMIOTU DANYCH  dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd.,  stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości. DOSTOSOWANIE PROCESU PROFILOWANIA  analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania,  ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany,  stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą. SPEŁNIENIE NOWEOBOWIĄZKU INFORMACYJNEGO  analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane,  stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane. OCENA SKUTKÓW DLA OCHRONY DANYCH  analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,  dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych. ZMIANA WSPÓŁPRACY Z PROCESOREM  analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem,  stworzenie wykazu procesorów,  dostosowanie nowego wzoru umowy powierzenia do wymogów RODO. DOSTOSOWANIE ZASAD TRANSFERU DANYCH POZA EOG  ustalenie podstaw do przekazywania danych do państwa trzeciego,  dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.

II.5) Główny Kod CPV: 79212000-3

II.6) Całkowita wartość zamówienia
(jeżeli zamawiający podaje informacje o wartości zamówienia):
Wartość bez VAT:
Waluta:

III.1) Tryb udzielenia zamówienia:

NAZWA I ADRES WYKONAWCY KTÓREMU ZAMAWIAJĄCY ZAMIERZA UDZIELIĆ ZAMÓWIENIA: