Przedmiotem zamówienia jest: dostawa oprogramowania wspierającego organizację i zarządzanie systemem ochrony danych osobowych w organizacji w formie usługi (Software as a Service) świadczonej w zasobach informatycznych Zamawiającego zwanej dalej USŁUGĄ. Wymagania techniczno-organizacyjne: 

1. Rozwiązanie ma być posadowione w DMZ Zamawiającego, w taki sposób, aby Zamawiający decydował o pulach adresowych mających dostęp do USŁUGI. 

2. Rozwiązanie musi być posadowione na dwóch odrębnych maszynach fizycznych lub wirtualnych, zlokalizowanych w odrębnych podsieciach w sposób gwarantujący stałą replikacje danych pomiędzy systemem produkcyjnym oraz zapasowym. Zamawiający zapewnia niezbędną infrastrukturę wraz z instalacją wskazanego przez Wykonawcę oprogramowania systemowego. 

3. Rozwiązanie musi umożliwiać wymianę danych z systemami Zamawiającego w zakresie pracowników (jednostka zatrudnienia, stanowisko) oraz studentów (Wydział, kierunek). W szczególności Wykonawca zapewni możliwość ciągłego importu użytkowników z serwera w oparciu o technologię WEBREST w formacie JSON i zastosowaniu tokenów. Komponent informatyczny umożliwiający współprace z USŁUGĄ w systemie Zamawiającego oraz dokumentacja tego rozwiązania udostępniona Wykonawcy leży po stronie Zamawiającego lub będzie przedmiotem odrębnego zlecenia.  

4. Koszty licencyjne oprogramowania systemowego leżą po stronie Wykonawcy. 

5. Dostęp administracyjny do obu systemów dla Wykonawcy ma być realizowany poprzez VPN terminowany na stałym adresie IP. 

6. Administracja informatyczna (system operacyjny, baza danych, serwisy, USŁUGĄ leży w całości po stronie Wykonawcy.  

7. Administracja aplikacją (grupy, użytkownicy, uprawnienia użytkowników) leży po stronie Zamawiającego. Wykonawca przeprowadzi żądaną liczb szkoleń dla 12 osobowych grup administratorów aplikacji w siedzibie Zamawiającego. 

8. Dostęp do USŁUGI dla użytkowników realizowany jest za pomocą połączeń szyfrowanych  

9. Dostęp do USŁUGI możliwy jest za pomocą standardowej przeglądarki WWW (np. Mozilla Firefox, Google Chrome). 

10. USŁUGA świadczona jest w cyklu miesięcznym od 1 do ostatniego dnia miesiąca. Niepełne miesiące będą rozliczane w proporcji do liczby dni objętych usługą. 

11. Zamawiający oczekuje od Wykonawcy aktywnego wsparcia USŁUGI, które będzie mógł „włączać i wyłączać” na wybrane przez siebie miesiące. Pierwsze 6 miesięcy od uruchomienia będą takim wsparciem objęte. 

12. Liczba ani rodzaj użytkowników nie są limitowane licencyjnie. 

13. Uwierzytelnianie użytkowników za pomocą Active Directory lub/i LDAP 

14. Zamawiający ma pełne prawa do kontentu jaki zamieści na platformie, w przypadku rozwiązania umowy, Wykonawca umożliwi eksport danych lub przekaże strukturę bazy umożliwiającą Zamawiającemu dostęp do danych. 

15. Wykonawca podpisze z Zamawiającym umowę o przetwarzanie danych osobowych zgodną z RODO na podstawie opublikowanych przez polski organ nadzorczy wzorców umów pomiędzy Administratorem (Danych Osobowych) a podmiotem przetwarzającym. 

16. USŁUGA, w ramach funkcjonalności szkolenia personelu, ma posiadać kurs dla osób mających być upoważnionymi do przetwarzania danych osobowych zgodny z RODO bez limitu licencyjnego, dopasowany do potrzeb Zamawiającego (zamawiający przekaże po podpisaniu umowy do 50 stron A4 materiałów, które będą musiały być włączone do szkolenia). Zakres szkolenia musi obejmować następujące zagadnienia: dane osobowe, ochrona danych osobowych, cel ochrony danych osobowych, regulacje UE oraz PL w zakresie danych osobowych, publikacje danych w Internecie i mediach społecznościowych, zasady przetwarzania danych osobowych, zgody na przetwarzanie danych osobowych, profilowanie danych, zarządzanie ryzykiem w ochronie danych osobowych, dokumentacja dot. danych osobowych, obowiązki administratora danych osobowych, prawa przysługujące obywatelom w zakresie danych osobowych, zarządzanie incydentami.W czasie trwania umowy Wykonawca zobowiązuje się do aktualizacji treści szkolenia do zmieniających się przepisów. 

17. Treści szkoleniowe o których mowa powyżej, po rozwiązaniu umowy muszą być importowalne do systemu Moodle wersja przynajmniej 3.4. Wykonawca przekaże zamawiającemu prawa autorskie do dalszego wykorzystania szkolenia na własne potrzeby z prawem do jego dalszej modyfikacji bez prawa dalszej odsprzedaży. 

Wymagania funkcjonalne USŁUGI: 

1. Zapewnia istnienie odrębnych systemowych ról dla kandydatów, studentów, pracowników dydaktycznych, pracowników administracji Uczelnianej, administratorów systemu oraz grupy audytorskiej z możliwością kształtowania dostępu do poszczególnych funkcji systemu. 

2. Możliwość dowolnego definiowania grup użytkowników, w szczególności dla Wydziałów oraz Kierunków. Grupy muszą umożliwiać precyzyjne kierowanie do nich informacji w formie ogłoszeń, materiałów w bazie wiedzy, szkoleń e learningowych, ankiet. 

3. Grupy definiowalne mogą być kształtowane w oparciu o dane z systemów Zamawiającego lub ręcznie wg potrzeb przez administratora aplikacji 

4. Możliwość wskazania lokalnych administratorów grup mogących zapisywać użytkowników do grupy bez uprawnień administratora aplikacji. 

5. Możliwość samoobsługi użytkowników w zakresie wypełnienia obowiązku informacyjnego oraz dostępu do danych, o którym mowa w art. 13 i 15 RODO. 

6. Możliwość samoobsługi użytkowników w zakresie ograniczenia przetwarzania, o którym mowa w art. 18 RODO. 

7. Możliwość samoobsługi użytkowników w zakresie składania sprzeciwów, o którym mowa w art. 21 RODO. 

8. Możliwość wiekowania danych osobowych w oparciu o cele ADO zgodnie z art. 5 punkt 1 lit. e) RODO. 

9. Możliwość akwizycji zgód na dowolne cele ADO dopasowane do specyfiki grup systemowych oraz funkcjonalności USŁUGI. 

10. Tablica ogłoszeniowa umożliwiająca kierowanie ogłoszeń do wybranych grup odbiorców; 

11. Obsługa spraw z możliwością prowadzenia rejestrów imiennych osób, których dotyczą sprawy oraz z rejestrami korespondencji wychodzącej i przychodzącej dedykowanym poszczególnym działom. Terminy spraw muszą być włączalne do indywidualnego kalendarza użytkownika. 

12. Obsługa incydentów oparta o system obsługi spraw z możliwością eskalacji do rejestru przekazywanego do organu nadzorującego; 

13. Obsługi projektów oraz programów projektów umożliwiająca opracowanie zadań audytowych wraz z możliwością nadzoru nad wykonaniem zadań z rozliczeniem czasu pracy wykonawców.  

14. Obsługi analizy ryzyka aktywów (w szczególności zbiorów danych) w procesie ich identyfikacji, okresowej powtarzalnej oceny i akceptacji z możliwością wskazywania właścicieli ryzyk oraz wyznaczania zadań dla konkretnych użytkowników. System musi umożliwiać określanie dostępu do analizy ryzyka poszczególnych aktywów w sposób zapewniający poufność informacji.  

15. Możliwość przygotowania ankiet dostosowujących swój kształt w oparciu o udzielone odpowiedzi. Ankiety powinny umożliwiać anonimizację odpowiedzi w sposób uniemożliwiający ponowne wypełnienia, a jednocześnie gwarantujący anonimowość respondenta. Ankiety pozwalają na akwizycję informacji od użytkowników oraz osób nie posiadających konta w systemie (wysyłka zindywidualizowanego linka umożliwiającego jednorazowe wypełnienie ankiety) 

16. Funkcjonalność bazy wiedzy - wewnętrzna Wikipedia - z możliwością budowy odrębnych obszarów roboczych w oparciu o grupy systemowe oraz grupy użytkowników z możliwością definicji obszarowych opisów w formie struktur bazodanowych, w szczególności umożliwiająca budowę wewnętrznego systemu aktów prawnych z możliwością przeszukiwania treściowego w załącznikach popularnych formatów plików (doc, odt, pdf). 

17. Możliwość przygotowania wersjonowalnych dokumentów (polityki, instrukcje, regulaminy) z możliwością automatycznej publikacji dokumentu na stronie WWW oraz w bloku wypełniającym obowiązek informacyjny z art. 13 RODO; 

18. Centralna wyszukiwarka informacji w ramach całego systemu informacyjnego (aktualności, system obsługi spraw, baza wiedzy). 

19. Możliwość, dla wybranych grup użytkowników, zgłaszania udostępnienia danych osobowych podmiotom trzecim. 

20. Możliwość szkolenia personelu w formie e-learning wraz z możliwością nadzoru dla upoważnionych osób nad procesem szkoleń; 

21. Możliwość ewidencji wielu Administratorów Danych Osobowych  oraz podmiotów, którym powierzono przetwarzanie danych osobowych (zwanych dalej łącznie ADO) z możliwością zamiennego ich traktowania. System uprawnień ma umożliwić dostęp wskazanego użytkownika platformy do wybranych ADO. 

22. Dla każdego ADO możliwe ma być ma być utrzymanie ewidencji celów przetwarzania danych, wraz z kompletem informacji niezbędnych dla stworzenia rejestru czynności przetwarzania oraz wypełnienia obowiązku informacyjnego 

23. Dla każdego ADO możliwe ma być ma być utrzymanie ewidencji zbiorów z możliwością wskazania powierzenia przetwarzania pomiędzy administratorami 

24. Dla każdego ADO możliwe ma być ma być utrzymanie rejestrów:1. rejestr umów o powierzenie przetwarzania danych2. rejestr udostępnień danych3. rejestr incydentów zewnętrznych4. rejestr pomieszczeń5. rejestr zmian – nadzór nad zmianami w całym module poświęconym RODO6. rejestr żądań realizacji praw osób, których dane są przetwarzane7. rejestr czynności przetwarzania 8. rejestr wszystkich kategorii przetwarzania 

25. Dla każdego ADO możliwe ma być ma być utrzymanie rejestru upoważnień do przetwarzania danych osobowych opartego na użytkownikach. System ma umożliwić wydruk nadania i odwołania upoważnienia. Treść raportów upoważnień ma być konfigurowalna. System ma umożliwić przygotowanie upoważnień różnych typów z możliwością wskazywania definiowalnych zakresów upoważnienia mają móc być przypisane do zewidencjonowanych zbiorów danych lub celów przetwarzania, a dodatkowo ma istnieć możliwość dookreślenia zakresu upoważnienia. System musi umożliwiać wnioskowanie o wydanie upoważnienia kierownikom Zamawiającego, akceptację zakresu upoważnienia przez osoby upoważnione i wydruk upoważnienia przez kierownika, który składał wniosek.