Ogłoszenie nr 500108596-N-2018 z dnia 16-05-2018 r.
Zawiercie: "Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)" OGŁOSZENIE O ZAMIARZE ZAWARCIA UMOWY -
Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej
nie
Postępowanie przeprowadza centralny zamawiający
nie
Postępowanie przeprowadza podmiot, któremu zamawiający powierzył/powierzyli przeprowadzenie postępowania
nie
Postępowanie jest przeprowadzane wspólnie przez zamawiających
nie
Postępowanie jest przeprowadzane wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej
nie
Informacje dodatkowe:
SEKCJA I: ZAMAWIAJĄCY
I. 1) NAZWA I ADRES:
Szpital Powiatowy w Zawierciu, Krajowy numer identyfikacyjny 27627111000000,
ul. Miodowa
14,
42-400
Zawiercie, woj.
śląskie, państwo
Polska, tel.
326 740 361, e-mail
zampub@szpitalzawiercie.pl, faks
326 721 532.
Adres strony internetowej (url): www.szpitalzawiercie.pl
Adres profilu nabywcy: www.szpitalzawiercie.pl
I. 2) RODZAJ ZAMAWIAJĄCEGO:
Podmiot prawa publicznego
SEKCJA II: PRZEDMIOT ZAMÓWIENIA
II.1) Nazwa nadana zamówieniu przez zamawiającego:
"Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)"
Numer referencyjny
DZP/WR/34/2018
Przed wszczęciem postępowania o udzielenie zamówienia nie przeprowadzono dialogu technicznego
II.2) Rodzaj zamówienia
Usługi
II.3) Informacja o możliwości składania ofert częściowych:
Zamówienie podzielone jest na części:
Nie
II.4) Krótki opis przedmiotu zamówienia
(wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań):
Określenie wielkości lub zakresu zamówienia:
Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)".
Szczegółowy opis przedmiotu zamówienia zawiera zał. nr 1 do zaproszenia, który stanowi integralną część zaproszenia do negocjacji.
W ramach Analizy Ochrony Danych Osobowych, w kontekście RODO, należy:
? poddać analizie posiadaną dokumentację ochrony danych osobowych pod kątem jej zgodności z prawem oraz aktualności,
? zbadać przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych,
? zweryfikować zakres i cel przetwarzania danych,
? zweryfikować merytoryczną poprawność danych i ich adekwatność, w stosunku do celu przetwarzania,
? zweryfikować system techniczno-organizacyjny ochrony danych osobowych,
? zweryfikować zabezpieczenia infrastruktury informatycznej (fizyczne i logiczne zabezpieczenia infrastruktury informatycznej),
? poddać analizie polityki bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określimy ich wpływ na poziom zabezpieczenia zbiorów danych, przetwarzanych w formie elektronicznej,
? zweryfikować funkcjonalności aplikacji i poziom ich zabezpieczeń, a w przypadku wykrycia nieprawidłowości zaproponować rozwiązania,
? sprawdzić poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej,
? zweryfikować poziom wiedzy i świadomości pracowników w zakresie ochrony danych osobowych,
? zweryfikować zawarte umowy pod kątem ewentualnej konieczności uzupełnienia ich umowami powierzenia przetwarzania danych osobowych.
Efektem prac będzie raport z analizy wraz z rekomendacjami wdrożeniowymi. Raport będzie odzwierciedlał wymagania Generalnego Inspektora Ochrony Danych Osobowych w zakresie sprawozdawczości Administratora Bezpieczeństwa Informacji. Efektem prac będzie również docelowa dokumentacja w zakresie ochrony danych.
Wymagany zakres prac w obszarze Systemu Zarządzania Bezpieczeństwem Informacji
W ramach opisywanego zadania, niezbędne jest zbudowanie kompleksowego systemu bezpieczeństwa w oparciu o następujące etapy prac:
Etap I - Przygotowanie prac
? Określenie zakresu wywiadów i spotkań z: przedstawicielami Dyrekcji, Kierownikami działów, Administratorem Bezpieczeństwa Informacji,
? Określenie zakresu Audytu bezpieczeństwa teleinformatycznego i współpracy z pracownikami Działu IT
? Przygotowanie planu spotkań i harmonogramu prac.
Etap II - Zbieranie danych i wywiady
? Zebranie dokumentacji już istniejącej w zakresie ochrony danych osobowych.
? Przeprowadzenie wywiadów mających na celu poznanie obecnie funkcjonującego stanu systemu zarządzania ochroną danych osobowych.
? Analiza istniejących zabezpieczeń proceduralnych, IT i fizycznych wymaganych przepisami prawa.
? Analiza bezpieczeństwa teleinformatycznego w obszarze RODO.
Etap III - Przygotowanie dokumentacji i wdrożenie procedur
? Opracowanie metodologii analizy ryzyka, przeprowadzenie analizy ryzyka oraz opracowanie planu postępowania z ryzykiem w obszarze danych osobowych.
? Przeprowadzenie szkoleń z wdrożonego systemu ochrony danych osobowych
ANALIZA RYZYKA
? określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
? zdefiniowanie procesów zachodzących w organizacji,
? zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
? opracowanie planu postępowania z ryzykiem (wykorzystanie metodologii zgodnej z normą ISO 31000 - System zarządzania ryzykiem)
DOSTOSOWANIE ŚRODKÓW TECHNICZNYCH I IT
? określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
? określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,
? ocena adekwatności zastosowanych zabezpieczeń,
? stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.
DOSTOSOWANIE ŚRODKÓW ORGANIZACYJNYCH
? określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
? ocena adekwatności zastosowanych do tej pory zabezpieczeń,
? wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.).
USUWANIE DANYCH
? analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane,
? analiza metod usuwania danych i ich skuteczności,
? stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.
WDROŻENIE ZASADY PRZEJRZYSTOŚCI
? zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,
? przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości,
? przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem.
STWORZENIE DOKUMENTACJI OCHRONY DANYCH OSOBOWYCH
? przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,
? dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka,
? stworzenie nowych procedur pod kątem wymogów RODO.
REJESTR CZYNNOŚCI PRZETWARZANIA
? analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr,
? weryfikacja procesów związanych z przetwarzaniem danych osobowych,
? stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów.
WERYFIKACJA PODSTAW PRZETWARZANIA
? przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych,
? weryfikacja podstaw do przetwarzania danych wrażliwych,
? przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych
? dostosowanie formularzy zgód na przetwarzanie danych osobowych.
INSPEKTOR OCHRONY DANYCH
? analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych,
? wskazanie jakie kwalifikacji musi mieć IOD, ustalenie jego kompetencji
? i wskazanie zadań,
? stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim).
WDROŻENIE MECHANIZMU OCHRONY DOMYŚLNEJ I W FAZIE PROJEKTOWANIA
? stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych,
? stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.
ZGŁASZANIE NARUSZEŃ
? stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,
? stworzenie szablonu rejestru naruszeń ochrony danych osobowych.
UMOŻLIWIENIE REALIZACJI PRAW PODMIOTU DANYCH
? dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd.,
? stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości.
DOSTOSOWANIE PROCESU PROFILOWANIA
? analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania,
? ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany,
? stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą.
SPEŁNIENIE NOWEOBOWIĄZKU INFORMACYJNEGO
? analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane,
? stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane.
OCENA SKUTKÓW DLA OCHRONY DANYCH
? analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
? dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych.
ZMIANA WSPÓŁPRACY Z PROCESOREM
? analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem,
? stworzenie wykazu procesorów,
? dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.
DOSTOSOWANIE ZASAD TRANSFERU DANYCH POZA EOG
? ustalenie podstaw do przekazywania danych do państwa trzeciego,
? dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.
II.5) Główny Kod CPV:
79212000-3
Dodatkowe kody CPV:
72000000-5
II.6) Całkowita wartość zamówienia
(jeżeli zamawiający podaje informacje o wartości zamówienia):
Wartość bez VAT:
Waluta:
SEKCJA III: PROCEDURA
III.1) Tryb udzielenia zamówienia:
Zamówienie z wolnej ręki
III.2) Podstawa prawna
Postępowanie wszczęte zostało na podstawie 67 ust 1 pkt 4 ustawy Pzp.
III.3 Uzasadnienia wyboru trybu
Należy podać uzasadnienie faktyczne i prawne wyboru trybu oraz wyjaśnić, dlaczego udzielenie zamówienia jest zgodne z przepisami:
Przeprowadzono postępowanie w trybie przetargu nieograniczonego DZP/PN/7/2018 pn.: Serwis wdrożonych systemów Infomedica i AMMS wraz z rozbudową systemu informatycznego i serwisem infrastruktury" gdzie jednym z elementów było: Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)". które zostało unieważnione gdyż jedyna złożona oferta został odrzucona na podstawie art. 89 ust 1 pkt 2 ze względu na jej niezgodność z opisem przedmiotu zamówienia, a pierwotne warunki zamówienia nie zostały w istotny sposób zmienione.
SEKCJA IV: ZAMIAR UDZIELENIA ZAMÓWIENIA
CZĘŚĆ NR: 1
NAZWA: Przeprowadzenie audytu organizacji oraz systemów informatycznych w zakresie dostosowania do wymagań Rozp. Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. RODO
NAZWA I ADRES WYKONAWCY KTÓREMU ZAMAWIAJĄCY ZAMIERZA UDZIELIĆ ZAMÓWIENIA:
Przedsiębiorstwo Konsultingowe AGM Grzegorz Kłunduk ,
,
ul. Morcinka 14,
42-674,
Zbrosławice, kraj/woj.
śląskie
INNE PRZETARGI Z ZAWIERCIA
- "Przebudowa ul. Skarżyckiej i ul. Krótkiej oraz budowa drogi gminnej - Droga nr 5 w ramach prac poscaleniowych w obrębie Rudniki gmina Włodowice" - 2 Części
- Budowa zadaszenia o stałej konstrukcji istniejącego boiska wielofunkcyjnego przy Szkole Podstawowej nr 7 w Zawierciu (...) w ramach programu OLIMPIA (...)
- Budowa drogi gminnej - ul. Ogrodowa (Droga nr 4) w ramach prac poscaleniowych w obrębie Turza gmina Łazy
- Remont drogi dojazdowej wraz z drogami wewnętrznymi w ZPiSdN Zawiercie - Etap III B
- Wykonanie robót budowlanych związanych z przebudową, remontem i wykończeniem części pomieszczeń budynku remizy OSP Blanowice w ramach zadania Przebudowa pomieszczeń (..) w strażnicy OSP Blanowice (..)
- Remont zewnętrznych schodów głównych, schodów zejściowych do lokalu gastronomicznego oraz tarasu frontowego w bud. dawnej willi Dyrektora TAZ Zlokalizowanej przy ul. Szymańskiego 2 w Zawierciu (...)
więcej: przetargi w Zawierciu »
PRZETARGI Z PODOBNEJ KATEGORII
- Świadczenie usługi modernizacji i optymalizacji procesu obsługi pacjentów poprzez wdroż. oraz uruch. autom., telef. syst. inform. Call Center w tym IVR oraz udost. platf. do intern. komun. z pacjentem
- Migracja wraz z rozbudową środowiska baz danych oraz dostawa doposażenia infrastruktury IT
- Rozbudowa Systemu HIS Zamawiającego, poprzez dostawę i wdrożenie dodatkowych obszarów funkcjonalnych
- Usługa zaprojektowania strony internetowej o nazwie" Matchmaking Platform" wraz z wdrożeniem, przeprowadzeniem testów, uruchomieniem, gwarancją i wsparciem technicznym
- Świadczenie usług nadzoru autorskiego modułów oprogramowania aplikacyjnego AMMS Plus oraz InfoMedica Plus
- Świadczenia usług wsparcia technicznego, utrzymania i serwisu IT w Sądach Rejonowych w Wołowie, Miliczu i Trzebnicy.
więcej: Usługi informatyczne: konsultacyjne, opracowywania oprogramowania, internetowe i wsparcia »
Uwaga: podstawą prezentowanych tutaj informacji są dane publikowane przez Urząd Zamówień Publicznych w Biuletynie Zamówień Publicznych. Treść ogłoszenia widoczna na eGospodarka.pl jest zgodna z treścią tegoż ogłoszenia dostępną w BZP w dniu publikacji. Redakcja serwisu eGospodarka.pl dokłada wszelkich starań, aby zamieszczone tutaj informacje były kompletne i zgodne z prawdą. Nie może jednak zagwarantować ich poprawności i nie ponosi żadnej odpowiedzialności za jakiekolwiek szkody powstałe w wyniku korzystania z nich.