1. Miejski Zarząd Nieruchomości w Jastrzębiu-Zdroju, ul. 1 Maja 55 jako Zamawiający zaprasza do złożenia oferty na zadanie pn.: „Pełnienie funkcji Inspektora Ochrony Danych Osobowych dla Miejskiego Zarządu Nieruchomości w Jastrzębiu-Zdroju” zgodnie z obowiązującymi przepisami Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. oraz uchylenia dyrektywy 95/46/WE oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781 ze zm.).

2. OPIS PRZEDMIOTU ZAMÓWIENIA:

2.1. Do zadań Inspektora Ochrony Danych Osobowych (zwanego dalej IOD) należeć będą:

2.1.1. Czynności ujęte w art. 39 ust. 1 oraz art. 38 ust. 4 RODO:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich z mocy niniejszego Rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego Rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub przedmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Monitorowanie odnosi się do zbierania informacji w celu identyfikacji procesów przetwarzania, analizowanie i sprawdzanie zgodności przetwarzania, informowanie, doradzenia i rekomendowanie określonych działań;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO w kwestiach:

– czy należy przeprowadzić ocenę skutków dla ochrony danych;

– metodologii przeprowadzenia oceny skutków dla ochrony danych;

– zabezpieczeń (w tym środków fizycznych, organizacyjnych i technicznych) stosowanych do minimalizowania zagrożeń praw i interesów osób, których dane dotyczą;

– prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO;

d) współpraca z organem nadzorczym w sprawach związanych z przetwarzaniem danych osobowych;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2.1.2. Pozostałe czynności:

a) wykonywanie obowiązków IOD w siedzibie Zamawiającego przez 4 godziny w miesiącu. Wyjątek stanowią sytuacje, które wymuszone zostaną odrębnymi przepisami prawa oraz inne uzasadnione przypadki, w których Zamawiający dopuszcza przeprowadzenie konsultacji w sposób zdalny;

b) prowadzenie szkoleń dla nowoprzyjętych i zatrudnionych pracowników MZN w Jastrzębiu-Zdroju oraz wolontariuszy
i stażystów z zakresu RODO i obowiązujących przepisów związanych z ochroną danych osobowych w siedzibie Zamawiającego lub on-line;

c) opracowanie i przedłożenie Zamawiającemu do końca pierwszego kwartału danego roku planu audytu na okres świadczonych usług;

d) przeprowadzenie audytu zerowego, w celu zweryfikowania stanu przetwarzania danych osobowych przez Zamawiającego, wdrożonych dokumentów, czy są aktualne i zgodne z obowiązującymi przepisami z zakresu ochrony danych osobowych, z uwzględnieniem zakresu wymagań; technicznych, organizacyjnych i formalno-prawnych oraz przedstawienie wyników z audytu w formie raportu;

e) przeprowadzenie okresowo przynajmniej raz w roku audytu wewnętrznego z przestrzegania przepisów unijnych i polskich z zakresu ochrony danych osobowych oraz audytu sprawdzającego zgodność z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz sporządzenie stosownych raportów;

f) podejmowanie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia ochrony danych, w tym przeprowadzanie audytu nieobjętego planem sprawdzeń tzw. audytu doraźnego;

g) opiniowanie, aktualizacja i tworzenie bieżącej dokumentacji z zakresu ochrony danych osobowych: polityki ochrony danych, instrukcji zarządzania systemem informatycznych,obowiązkowych procedur, analizy ryzyka, dokumentacji monitoringu, wzorów upoważnień do przetwarzania danych osobowych, dokumentacji dotyczącej postępowania
z incydentami, wzorów umów powierzenia przetwarzania danych osobowych, klauzul informacyjnych, zbiorów/zasobów, rejestru czynności przetwarzania, rejestru kategorii przetwarzania, karty oceny podmiotu przetwarzającego i innych dokumentów z zakresu danych osobowych;

h) parafowanie wszelkiej dokumentacji z zakresu ochrony danych osobowych;

i) opracowywanie i wydawanie opinii z zakresu ochrony danych w formie pisemnej;

j) ocena karty oceny podmiotu przetwarzającego. Kartę dotyczącą oceny podmiotu przetwarzającego należy dostarczyć do Działu Logistyki najpóźniej do 3 dni roboczych od otrzymania jej na adres e-mail;

k) na żądanie Zamawiającego wykonanie wstępnej oceny skutków dla ochrony danych, analizy procesu i jego wpływu na prywatność, analizę ryzyka oraz postępowanie z ryzykiem;

l) sprawowanie nadzoru nad udostępnianiem danych osobowych oraz nadzór nad procesem powierzenia danych osobowych;

m) rozpatrywanie skarg i wniosków związanych z ochroną danych;

n) analizowanie i zatwierdzanie wniosków w zakresie realizacji praw osób, których dane dotyczą oraz praw do informacji o możliwości odszkodowania;

o) współpraca z Działem Informatycznym w zakresie wdrożenia wymaganych ustawowo zabezpieczeń i nadzór nad ich wdrożeniem.

p) ewidencjonowanie naruszeń z zakresu ochrony danych osobowych oraz przeprowadzanie wewnętrznych postępowań wyjaśniających w przypadku powstania naruszenia;

q) zabezpieczenie naruszeń z zakresu ochrony danych osobowych i zgłaszanie ów faktu do PUODO zgodnie
z obowiązującymi przepisami prawa;

r) doradztwo w toku postępowań kontrolnych i pomoc we wdrożeniu zaleceń podkontrolnych;

s) obowiązkowy udział w przeprowadzonych przez UODO kontroli oraz udzielenie wszelkich wyjaśnień i odpowiedzi kontrolującym z zakresu przestrzegania ochrony danych osobowych.

2.2. Dane dotyczące Zamawiającego:

a) Zamawiający posiada dwie lokalizacje w Jastrzębiu-Zdroju (ul. 1 Maja 55 oraz ul. Dworcowa 17E);

b) zatrudnionych jest łącznie 90 pracowników (w tym 28 pracowników fizycznych). Dane osobowe przetwarzane są na 7 komputerach przenośnych oraz 58 komputerach stacjonarnych, a także posiadamy 6 systemów informatycznych służących do przetwarzania danych osobowych;

c) w rejestrze czynności przetwarzania znajduje się 32 procesów przetwarzania;

d) Zamawiający posiada IOD z zewnątrz oraz wdrożył dokumentację z zakresu ochrony danych osobowych.

2.3. W przypadku stwierdzenia konieczności wykonania prac nie ujętych w Zaproszeniu, a niezbędnych do realizacji zadania jako całości – należy je uwzględnić w ofercie lub wnieść uwagi przed złożeniem oferty.

2.4. Szczegółowe warunki realizacji przedmiotu zamówienia określa wzór umowy, który stanowi integralny Załącznik do niniejszego Zaproszenia (Załącznik nr 3) oraz wzór umowy powierzenia przetwarzania danych osobowych (Załącznik nr 4 do Zaproszenia).

3. TERMIN REALIZACJI USŁUGI: od dnia 01.01.2022 r. do dnia 31.12.2024 r.

3.1. Wszelkie zgłoszenia telefoniczne lub przekazane drogą e-mail powinny być realizowane w okresie do 72 godzin, za wyjątkiem spraw, które będą wymagały dłuższego okresu realizacji lub wydania dodatkowej opinii. Czas ich realizacji będzie dłuższy niż 72 godziny, jednak nie może przekroczyć 10 dni kalendarzowych. Terminy podane jw. ulegają wydłużeniu, jeżeli czas na udzielenie odpowiedzi w przedmiotowej sprawie obejmuje: weekendy, święta i dni ustawowo wolne od pracy.

4. WYMAGANIA WOBEC WYKONAWCY:

4.1. Posiadanie polisy OC wobec osób trzecich w zakresie prowadzonej działalności związanej z przedmiotem zamówienia o wartości polisy nie mniejszej niż 100.000,00 zł, zawartej na okres realizowania usług, a w przypadku jej braku inny dokument potwierdzający, że Wykonawca jest ubezpieczony od odpowiedzialności cywilnej wobec osób trzecich w zakresie prowadzonej działalności związanej z przedmiotem zamówienia. Jeżeli z ww. dokumentu nie wynika, że składka została opłacona, Wykonawca winien dołączyć potwierdzenie jej opłaty lub opłaty raty składki wymagalnej na dzień składania ofert. Wykonawca winien posiadać ww. ubezpieczenie przez okres wykonywania zamówienia. Ze względu na specyfikę zawierania umów ubezpieczeniowych, obejmujących okresy nie dłuższe niż jeden rok, dopuszczalne jest, po podpisaniu umowy, sukcesywne przedstawianie dowodów opłacenia polisy, bądź zawarcia nowej umowy na ubezpieczenie, przy czym nie później niż na 5 dni przed upływem terminu do którego polisa była zawarta bądź na 5 dni przed datą opłacenia składki, pod rygorem naliczenia kar umownych za nieterminowe dopełnienie powyższego obowiązku na zasadach określonych w §7 ust. 1 ppkt d) wzoru umowy (Załącznik nr 3 do Zaproszenia), a ponadto Zamawiającemu przysługuje w takiej sytuacji prawo rozwiązania umowy z winy Wykonawcy.

4.2. Dysponowanie min. 1 osobą posiadającą:

a) ukończony kurs, szkolenie lub studia podyplomowe z zakresu ochrony danych osobowych;

b) uprawnienia audytora wiodącego normy ISO 27001.

4.2.1. Zamawiający dopuszcza, aby uprawnienia, o których mowa w pkt 4.2. lit. a)-b) posiadała ta sama osoba.

4.3. Wykazanie pełnienia funkcji IOD w przynajmniej dwóch jednostkach sektora administracji publicznej oraz w dwóch firmach prywatnych (potwierdzonych referencjami, poświadczeniami), które Wykonawca świadczył
w okresie ostatnich dwóch lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy w tym okresie w zakresie odpowiadającym swym rodzajem przedmiotowi zamówienia.

Uwaga: Jeżeli Wykonawca realizował na rzecz Zamawiającego (MZN) usługi, wówczas nie ma obowiązku przedkładania dokumentów potwierdzających należyte wykonanie usług. Należy w tym przypadku podać nr umowy jaka została zawarta między Wykonawcą a Zamawiającym.