1. Miejski Zarząd Nieruchomości w Jastrzębiu-Zdroju, ul. 1 Maja 55 jako Zamawiający zaprasza do złożenia oferty na zadanie pn.: „Pełnienie funkcji Inspektora Ochrony Danych Osobowych dla Miejskiego Zarządu Nieruchomości w Jastrzębiu-Zdroju” zgodnie z obowiązującymi przepisami Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. oraz uchylenia dyrektywy 95/46/WE oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).

2. OPIS PRZEDMIOTU ZAMÓWIENIA:

2.1. Do zadań Inspektora Ochrony Danych Osobowych (zwanego dalej IOD) należeć będą:

2.1.1. Czynności ujęte w art. 39 ust. 1 oraz art. 38 ust. 4 RODO:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich z mocy niniejszego Rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego Rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub przedmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Monitorowanie odnosi się do zbierania informacji w celu identyfikacji procesów przetwarzania, analizowanie i sprawdzanie zgodności przetwarzania, informowanie, doradzenia i rekomendowanie określonych działań;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO w kwestiach:

– czy należy przeprowadzić ocenę skutków dla ochrony danych;

– metodologii przeprowadzenia oceny skutków dla ochrony danych;

– zabezpieczeń (w tym środków fizycznych, organizacyjnych i technicznych) stosowanych do minimalizowania zagrożeń praw i interesów osób, których dane dotyczą;

– prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO;

d) współpraca z organem nadzorczym w sprawach związanych z przetwarzaniem danych osobowych;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2.1.2. Pozostałe czynności:

a) wykonywanie obowiązków IOD w siedzibie Zamawiającego przez 4 godziny w miesiącu. Wyjątek stanowią sytuacje, które wymuszone zostaną odrębnymi przepisami prawa oraz inne uzasadnione przypadki, w których Zamawiający dopuszcza przeprowadzenie konsultacji w sposób zdalny;

b) szkolenie pracowników z zakresu RODO w siedzibie Zamawiającego lub on-line;

c) przeprowadzenie okresowo przynajmniej raz w roku audytu wewnętrznego z przestrzegania przepisów unijnych i polskich z zakresu ochrony danych osobowych oraz audytu sprawdzającego zgodność z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych;

d) podejmowanie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia ochrony danych, w tym przeprowadzanie audytu nieobjętego planem sprawdzeń tzw. audytu doraźnego;

e) opiniowanie, aktualizacja i tworzenie bieżącej dokumentacji z zakresu ochrony danych osobowych: polityki ochrony danych, instrukcji zarządzania systemem informatycznych, analiza ryzyka, dokumentacji monitoringu, wzorów upoważnień do przetwarzania danych osobowych, dokumentacji dotyczącej postępowania z incydentami, wzorów umów powierzenia przetwarzania danych osobowych, klauzul informacyjnych, zbiorów/zasobów, rejestru czynności przetwarzania, rejestru kategorii przetwarzania, itp.;

f) sprawowanie nadzoru nad udostępnianiem danych osobowych;

g) współpraca z Działem Informatycznym w zakresie wdrożenia wymaganych ustawowo zabezpieczeń i nadzór nad ich wdrożeniem.

2.2. Dane dotyczące Zamawiającego:

a) Zamawiający posiada dwie lokalizacje w Jastrzębiu-Zdroju (ul. 1 Maja 55 oraz ul. Dworcowa 17E);

b) zatrudnionych jest łącznie 85 pracowników (w tym pracowników fizycznych), którzy przetwarzają dane osobowe na 7 komputerach przenośnych oraz 50 komputerach stacjonarnych na 7 systemach informatycznych służących do przetwarzania danych osobowych;

c) w rejestrze czynności przetwarzania znajduje się 31 procesów przetwarzania;

d) Zamawiający posiada IOD z zewnątrz oraz wdrożył dokumentację z zakresu ochrony danych osobowych.

2.3. W przypadku stwierdzenia konieczności wykonania prac nie ujętych w Zaproszeniu, a niezbędnych do realizacji zadania jako całości – należy je uwzględnić w ofercie lub wnieść uwagi przed złożeniem oferty.

2.4. Szczegółowe warunki realizacji przedmiotu zamówienia określa wzór umowy, który stanowi integralny Załącznik do niniejszego Zaproszenia (Załącznik nr 3) oraz wzór umowy powierzenia przetwarzania danych osobowych (Załącznik nr 4 do Zaproszenia).

3. TERMIN REALIZACJI USŁUGI: od dnia 01.01.2021 r. do dnia 31.12.2021 r.

3.1. Wszelkie zgłoszenia telefoniczne lub przekazane drogą e-mail powinny być realizowane w okresie do 72 godzin, za wyjątkiem spraw, które będą wymagały dłuższego okresu realizacji lub wydania dodatkowej opinii. Czas ich realizacji będzie dłuższy niż 72 godziny, jednak nie może przekroczyć 10 dni kalendarzowych. Terminy podane jw. ulegają wydłużeniu, jeżeli czas na udzielenie odpowiedzi w przedmiotowej sprawie obejmuje: weekendy, święta i dni ustawowo wolne od pracy.

4. WYMAGANIA WOBEC WYKONAWCY:

4.1. Posiadanie polisy OC wobec osób trzecich w zakresie prowadzonej działalności związanej z przedmiotem zamówienia o wartości polisy nie mniejszej niż 100.000,00 zł, zawartej na okres realizowania usług, a w przypadku jej braku inny dokument potwierdzający, że Wykonawca jest ubezpieczony od odpowiedzialności cywilnej wobec osób trzecich w zakresie prowadzonej działalności związanej z przedmiotem zamówienia. Jeżeli z ww. dokumentu nie wynika, że składka została opłacona, Wykonawca winien dołączyć potwierdzenie jej opłaty lub opłaty raty składki wymagalnej na dzień składania ofert. Wykonawca winien posiadać ww. ubezpieczenie przez okres wykonywania zamówienia. Ze względu na specyfikę zawierania umów ubezpieczeniowych, obejmujących okresy nie dłuższe niż jeden rok, dopuszczalne jest, po podpisaniu umowy, sukcesywne przedstawianie dowodów opłacenia polisy, bądź zawarcia nowej umowy na ubezpieczenie, przy czym nie później niż na 5 dni przed upływem terminu do którego polisa była zawarta bądź na 5 dni przed datą opłacenia składki, pod rygorem naliczenia kar umownych za nieterminowe dopełnienie powyższego obowiązku na zasadach określonych w §7 ust. 1 ppkt d) wzoru umowy (Załącznik nr 3 do Zaproszenia), a ponadto Zamawiającemu przysługuje w takiej sytuacji prawo rozwiązania umowy z winy Wykonawcy.

4.2. Dysponowanie min. 1 osobą posiadającą:

a) ukończony kurs, szkolenie lub studia podyplomowe z zakresu ochrony danych osobowych;

b) uprawnienia audytora wiodącego normy ISO 27001.

4.2.1. Zamawiający dopuszcza, aby uprawnienia, o których mowa w pkt 4.2. lit. a)-b) posiadała ta sama osoba.

4.3. Wykazanie pełnienia funkcji IOD w przynajmniej dwóch jednostkach sektora administracji publicznej (potwierdzonych referencjami, poświadczeniami), które Wykonawca świadczył w okresie ostatnich dwóch lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy w tym okresie w zakresie odpowiadającym swym rodzajem przedmiotowi zamówienia.

Uwaga: Jeżeli Wykonawca realizował na rzecz Zamawiającego (MZN) usługi, wówczas nie ma obowiązku przedkładania dokumentów potwierdzających należyte wykonanie usług. Należy w tym przypadku podać nr umowy jaka została zawarta między Wykonawcą a Zamawiającym.

5. INFORMACJE O SPOSOBIE POROZUMIEWANIA SIĘ POMIĘDZY WYKONAWCĄ A ZAMAWIAJĄCYM:

5.1. Zapytania dotyczące zamówienia należy składać przez Platformę Zakupową Open Nexus za pośrednictwem przycisku w prawym dolnym rogu „Pytania do specyfikacji” do dnia 16.12.2020 r. do godz 12⁰⁰.

5.2. Wyjaśnienia i odpowiedzi zamieszczane będą na stronie platformy zakupowej Open Nexus w zakładce właściwego postępowania.

5.3. Szczegółowych informacji w zakresie obsługi platformy udziela Centrum Wsparcia Klienta platformy zakupowej Open Nexus – tel. 22 101 02 02.