Przetarg 12086908 - Nadzór nad systemem zarządzania bezpieczeństwem...

1. „Nadzór nad systemem zarządzania bezpieczeństwem informacji w tym wykonywanie zadań Inspektora Ochrony Danych w Miejskim Centrum Oświaty w Tychach oraz w publicznych szkołach i placówkach oświatowych miasta Tychy”.2. Przedmiot zamówienia będzie realizowany dla rzecz Miejskiego Centrum Oświaty w Tychach (dalej MCO) oraz obsługiwanych przez MCO szkół i placówek oświatowych, dla których organem prowadzącym jest miasto Tychy, zwanych dalej łącznie Administratorem Danych.3. Do realizacji przedmiotu zamówienia Wykonawca wyznaczy zespół składający się z co najmniej 4 osób jako„Zespół ds. cyberbezpieczeństwa i ochrony danych osobowych”. W zespole tym Wykonawca wyznaczy co najmniej po 1 osobę do pełnienia funkcji Inspektora Ochrony Danych we wskazanych przez Zamawiającego placówkach zgodnie z artykułem 37 ust. 3 o RODO, 1 osobę jako Pełnomocnika Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami normy PN-ISO/IEC27001:2023, oraz 1 osobę jako osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.4. W ramach realizacji przedmiotu zamówienia „Zespół ds. cyberbezpieczeństwa i ochrony danych osobowych” oraz wyznaczone osoby zobowiązane będą do:4.1. Realizacji zadań określonych Rozporządzeniem 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, w szczególności art. 39 oraz innych zadań zleconych przez Administratora Danych, w tym w szczególności:4.1.1. Zapewnienia pomocy Administratorowi Danych w zakresie tworzenia, modyfikacji i aktualizacji dokumentacji ochrony danych osobowych.4.1.2. Opiniowania i doradztwa w zakresie procesów wewnętrznych Administratora Danych, których wprowadzenie lub zaniechanie może mieć wpływ na bezpieczeństwo danych osobowych przetwarzanych przez Administratora Danych.4.1.3. Koordynacji procesu analizy ryzyka związanego z przetwarzaniem danych osobowych.4.1.4. Koordynacji procesu reakcji na incydenty dotyczące ochrony danych osobowych oraz obsługa zgłaszania naruszeń do Prezesa Urzędu Ochrony Danych Osobowych.4.1.5. Niezwłocznego przygotowywania z zachowaniem należytej staranności propozycji odpowiedzi dla osób składających zapytanie w sprawie przetwarzania ich danych osobowych.4.1.6. Nadzorowania zasad bezpieczeństwa danych osobowych przetwarzanych w systemach teleinformatycznych.4.1.7. Monitorowania zmian w przepisach prawnych i interpretacji organu nadzorczego dotyczących sposobu przetwarzania i zabezpieczania danych osobowych.4.1.8. Tworzenia wytycznych dla pracowników Administratora Danych dotyczących stosowania przepisów o ochronie danych osobowych,4.1.9. Współpracy z wyznaczonymi przez Administratora Danych osobami odpowiedzialnymi za IT.4.1.10. Regularnych, co najmniej 1 raz w miesiącu wizyt w każdej z placówek objętych umową, w celu wydawania stosownych zaleceń dotyczących systemu ochrony danych osobowych i kontroli ich realizacji, a w razie potrzeby częściej.4.1.11. Przeprowadzenie minimum raz na dwa miesiące kontroli procesu przetwarzania danych osobowych w każdej placówce w zakresie uzgodnionym z Administratorem Danych.4.1.12. Zapewnienie szkolenia dla wszystkich aktualnie zatrudnionych oraz nowoprzyjętych pracowników Administratora Danych z zasad przetwarzania danych osobowych za pomocą platformy e-learningowej.4.1.13. Przeprowadzenie szkoleń z zakresu ochrony danych osobowych dla przedstawicieli wszystkich placówek, w formie stacjonarnej, a za zgodą Zamawiającego – w formie online, nie rzadziej niż raz na kwartał, zgodnie z zapotrzebowaniem zgłaszanym przez Administratora Danych.4.2. Przeprowadzenia minimum raz w roku kontroli treści publikowanych w BIP przez poszczególne placówki objęte umową, pod kątem zgodności z przepisami o ochronie danych osobowych.4.3. Realizacji zadań określonych Dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu Cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr. 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS2) w zakresie zleconym przez MCO.4.4. Realizacji zadań określonych Rozporządzeniem Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych w tym w szczególności:4.4.1. Przeprowadzenia raz w roku audytu bezpieczeństwa teleinformatycznego na zgodność z § 19 i 20 niniejszego rozporządzenia.4.4.2. W ramach przeprowadzanego audytu bezpieczeństwa teleinformatycznego Wykonawca zobowiązany jest do sporządzenia raportu, z którego jeden egzemplarz przekazywany jest Zamawiającemu, a drugi – placówce lub szkole, w której audyt był realizowany.

MCO-SZP.261.25.2025