Ogłoszenie nr 500108596-N-2018 z dnia 16-05-2018 r.

Zawiercie: "Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)" OGŁOSZENIE O ZAMIARZE ZAWARCIA UMOWY -

Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej

nie

nie

nie

nie

nie

SEKCJA I: ZAMAWIAJĄCY

I. 1) NAZWA I ADRES: Szpital Powiatowy w Zawierciu, Krajowy numer identyfikacyjny 27627111000000, ul. Miodowa 14, 42-400 Zawiercie, woj. śląskie, państwo Polska, tel. 326 740 361, e-mail zampub@szpitalzawiercie.pl, faks 326 721 532.
Adres strony internetowej (url): www.szpitalzawiercie.pl
Adres profilu nabywcy: www.szpitalzawiercie.pl

I. 2) RODZAJ ZAMAWIAJĄCEGO:

Podmiot prawa publicznego

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) Nazwa nadana zamówieniu przez zamawiającego: "Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)"
Numer referencyjny DZP/WR/34/2018

Przed wszczęciem postępowania o udzielenie zamówienia nie przeprowadzono dialogu technicznego

Usługi

Nie

II.4) Krótki opis przedmiotu zamówienia (wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań):
Określenie wielkości lub zakresu zamówienia: Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)". Szczegółowy opis przedmiotu zamówienia zawiera zał. nr 1 do zaproszenia, który stanowi integralną część zaproszenia do negocjacji. W ramach Analizy Ochrony Danych Osobowych, w kontekście RODO, należy: ? poddać analizie posiadaną dokumentację ochrony danych osobowych pod kątem jej zgodności z prawem oraz aktualności, ? zbadać przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych, ? zweryfikować zakres i cel przetwarzania danych, ? zweryfikować merytoryczną poprawność danych i ich adekwatność, w stosunku do celu przetwarzania, ? zweryfikować system techniczno-organizacyjny ochrony danych osobowych, ? zweryfikować zabezpieczenia infrastruktury informatycznej (fizyczne i logiczne zabezpieczenia infrastruktury informatycznej), ? poddać analizie polityki bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określimy ich wpływ na poziom zabezpieczenia zbiorów danych, przetwarzanych w formie elektronicznej, ? zweryfikować funkcjonalności aplikacji i poziom ich zabezpieczeń, a w przypadku wykrycia nieprawidłowości zaproponować rozwiązania, ? sprawdzić poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej, ? zweryfikować poziom wiedzy i świadomości pracowników w zakresie ochrony danych osobowych, ? zweryfikować zawarte umowy pod kątem ewentualnej konieczności uzupełnienia ich umowami powierzenia przetwarzania danych osobowych. Efektem prac będzie raport z analizy wraz z rekomendacjami wdrożeniowymi. Raport będzie odzwierciedlał wymagania Generalnego Inspektora Ochrony Danych Osobowych w zakresie sprawozdawczości Administratora Bezpieczeństwa Informacji. Efektem prac będzie również docelowa dokumentacja w zakresie ochrony danych. Wymagany zakres prac w obszarze Systemu Zarządzania Bezpieczeństwem Informacji W ramach opisywanego zadania, niezbędne jest zbudowanie kompleksowego systemu bezpieczeństwa w oparciu o następujące etapy prac: Etap I - Przygotowanie prac ? Określenie zakresu wywiadów i spotkań z: przedstawicielami Dyrekcji, Kierownikami działów, Administratorem Bezpieczeństwa Informacji, ? Określenie zakresu Audytu bezpieczeństwa teleinformatycznego i współpracy z pracownikami Działu IT ? Przygotowanie planu spotkań i harmonogramu prac. Etap II - Zbieranie danych i wywiady ? Zebranie dokumentacji już istniejącej w zakresie ochrony danych osobowych. ? Przeprowadzenie wywiadów mających na celu poznanie obecnie funkcjonującego stanu systemu zarządzania ochroną danych osobowych. ? Analiza istniejących zabezpieczeń proceduralnych, IT i fizycznych wymaganych przepisami prawa. ? Analiza bezpieczeństwa teleinformatycznego w obszarze RODO. Etap III - Przygotowanie dokumentacji i wdrożenie procedur ? Opracowanie metodologii analizy ryzyka, przeprowadzenie analizy ryzyka oraz opracowanie planu postępowania z ryzykiem w obszarze danych osobowych. ? Przeprowadzenie szkoleń z wdrożonego systemu ochrony danych osobowych ANALIZA RYZYKA ? określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO, ? zdefiniowanie procesów zachodzących w organizacji, ? zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń, ? opracowanie planu postępowania z ryzykiem (wykorzystanie metodologii zgodnej z normą ISO 31000 - System zarządzania ryzykiem) DOSTOSOWANIE ŚRODKÓW TECHNICZNYCH I IT ? określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie, ? określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO, ? ocena adekwatności zastosowanych zabezpieczeń, ? stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków. DOSTOSOWANIE ŚRODKÓW ORGANIZACYJNYCH ? określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie, ? ocena adekwatności zastosowanych do tej pory zabezpieczeń, ? wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.). USUWANIE DANYCH ? analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane, ? analiza metod usuwania danych i ich skuteczności, ? stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych. WDROŻENIE ZASADY PRZEJRZYSTOŚCI ? zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem, ? przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości, ? przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem. STWORZENIE DOKUMENTACJI OCHRONY DANYCH OSOBOWYCH ? przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych, ? dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka, ? stworzenie nowych procedur pod kątem wymogów RODO. REJESTR CZYNNOŚCI PRZETWARZANIA ? analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr, ? weryfikacja procesów związanych z przetwarzaniem danych osobowych, ? stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów. WERYFIKACJA PODSTAW PRZETWARZANIA ? przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych, ? weryfikacja podstaw do przetwarzania danych wrażliwych, ? przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych ? dostosowanie formularzy zgód na przetwarzanie danych osobowych. INSPEKTOR OCHRONY DANYCH ? analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych, ? wskazanie jakie kwalifikacji musi mieć IOD, ustalenie jego kompetencji ? i wskazanie zadań, ? stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim). WDROŻENIE MECHANIZMU OCHRONY DOMYŚLNEJ I W FAZIE PROJEKTOWANIA ? stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych, ? stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. ZGŁASZANIE NARUSZEŃ ? stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych, ? stworzenie szablonu rejestru naruszeń ochrony danych osobowych. UMOŻLIWIENIE REALIZACJI PRAW PODMIOTU DANYCH ? dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd., ? stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości. DOSTOSOWANIE PROCESU PROFILOWANIA ? analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania, ? ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany, ? stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą. SPEŁNIENIE NOWEOBOWIĄZKU INFORMACYJNEGO ? analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane, ? stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane. OCENA SKUTKÓW DLA OCHRONY DANYCH ? analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, ? dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych. ZMIANA WSPÓŁPRACY Z PROCESOREM ? analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem, ? stworzenie wykazu procesorów, ? dostosowanie nowego wzoru umowy powierzenia do wymogów RODO. DOSTOSOWANIE ZASAD TRANSFERU DANYCH POZA EOG ? ustalenie podstaw do przekazywania danych do państwa trzeciego, ? dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.

II.5) Główny Kod CPV: 79212000-3

Dodatkowe kody CPV:

72000000-5

II.6) Całkowita wartość zamówienia (jeżeli zamawiający podaje informacje o wartości zamówienia):
Wartość bez VAT:
Waluta:

SEKCJA III: PROCEDURA

III.1) Tryb udzielenia zamówienia:

Zamówienie z wolnej ręki

III.2) Podstawa prawna
Postępowanie wszczęte zostało na podstawie 67 ust 1 pkt 4 ustawy Pzp.
III.3 Uzasadnienia wyboru trybu
Należy podać uzasadnienie faktyczne i prawne wyboru trybu oraz wyjaśnić, dlaczego udzielenie zamówienia jest zgodne z przepisami:
Przeprowadzono postępowanie w trybie przetargu nieograniczonego DZP/PN/7/2018 pn.: Serwis wdrożonych systemów Infomedica i AMMS wraz z rozbudową systemu informatycznego i serwisem infrastruktury" gdzie jednym z elementów było: Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)". które zostało unieważnione gdyż jedyna złożona oferta został odrzucona na podstawie art. 89 ust 1 pkt 2 ze względu na jej niezgodność z opisem przedmiotu zamówienia, a pierwotne warunki zamówienia nie zostały w istotny sposób zmienione.

SEKCJA IV: ZAMIAR UDZIELENIA ZAMÓWIENIA

CZĘŚĆ NR: 1

NAZWA: Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozp. Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. RODO

Przedsiębiorstwo Konsultingowe AGM Grzegorz Kłunduk , , ul. Morcinka 14, 42-674, Zbrosławice, kraj/woj. śląskie