Zlecenie 12280227 - Świadczenie usług w zakresie zadań Inspektora Ochrony...

Zabezpieczeń Infrastruktury IT w Sądzie Rejonowym w Myśliborzu
1. Opis przedmiotu zamówienia:
Świadczenie usługi pełnienia funkcji Inspektora Ochrony Danych (IOD) oraz wykonanie corocznych Audytów Krajowych Ram Interoperacyjności wraz z corocznym badaniem zabezpieczeń sieciowych w Sądzie Rejonowym w Myśliborzu przez okres 2 lat.
Do zakresu wykonywanej usługi należeć będzie m.in.:
1. Pełnienie funkcji Inspektora Ochrony Danych dla:
a) Prezesa Sądu Rejonowego,
b) Dyrektora Sądu Rejonowego,
c) Sądu Rejonowego
na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO) oraz ustawy z 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), wdrażająca do polskiego porządku prawnego dyrektywę 2016/680 (DODO).
2. Zapewnienie przestrzegania przepisów zgodnych z ochroną danych osobowych w tym prowadzenie ustawowo wymaganych kontroli wewnętrznych, prowadzenie rocznych kontroli (sprawdzeń) zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, sporządzanie raportów pokontrolnych (sprawozdań) i przedłożenie go Administratorom Danych Osobowych (ADO). Raporty kontrolne powinny być sporządzone na piśmie i przedłożone ADO.
3. Przeprowadzenie corocznego sprawdzenia zabezpieczeń stosowanych w ramach infrastruktury sieciowej mającego oraz audytu oprogramowania wg metodyki SAM (Softwere Asset Management) mającej na celu wykluczenie ryzyka związanego z utratą integralności danych osobowych w wyniku niedostosowania środków technicznych do polityki bezpieczeństwa informacji.
4. Dostosowanie procedur i sposobu przetwarzania danych osobowych do wymogów RODO/DODO.
5. Informowanie ADO, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO, innych przepisów Unii oraz przepisów prawa krajowego w zakresie ochrony danych osobowych i doradzanie im w tych sprawach. Poprzez informowanie rozumie się co najmniej jedno szkolenie warsztatowe w ciągu roku dla wszystkich pracowników sądu w wymiarze co najmniej 2 grup 40 osobowych - w tym kuratorów sądowych. Szkolenie winno być przeprowadzone osobiście przez trenera. Dodatkowo w ramach czynności szkoleniowych oferent powinien przygotować prezentację multimedialną pozwalającą na skuteczne szkolenia nowo wdrażanych pracowników podczas nieobecności IOD. (Prezentacja powinna być przygotowana w postaci e-learningu lub strony www w formacie pozwalającym na użytkowanie na dowolnym komputerze).
6. Osobiste monitorowanie przestrzegania RODO/DODO, innych przepisów Unii lub przepisów prawa krajowego o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym: podział obowiązków, działania zwiększające świadomość, bieżące instruktarze oraz szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audytu.
7. Udzielanie zaleceń, co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO.
8. Współpraca z organem nadzorczym.
9. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach.
10. Pełnienie roli punku kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy przepisów.
11. Prowadzenie rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii czynności przetwarzania danych osobowych z podziałem organizacyjnym na poszczególnych trzech Administratorów Danych Osobowych.
12. Monitorowanie wszelkich zmian w przepisach regulujących procesy przetwarzania danych osobowych i informowanie o nich Administratorów.
13. Osobiste uczestniczenie w kontrolach związanych z przetwarzaniem danych osobowych.
14. Opracowywanie/sprawdzanie umów powierzenia przetwarzania danych osobowych.
15. Osobiste prowadzenie rejestru incydentów naruszenia bezpieczeństwa ochrony danych osobowych i reakcja na incydenty.
16. Wspomaganie i doradzanie Administratorom Danych w zakresie przetwarzania danych
osobowych oraz nadzór nad prawidłowym przetwarzaniem danych osobowych.
17. Tworzenie, dbanie o poprawność oraz uaktualnienie dokumentacji dotyczącej ochrony danych osobowych i bezpieczeństwa informacji (opracowanie, aktualizowanie, wdrażanie dokumentów Polityki Bezpieczeństwa, Analizy Ryzyka i Oceny Skutków, Rejestru Czynności Przetwarzania, Rejestru Kategorii Czynności Przetwarzania).
18. Doradzanie przy administrowaniu systemami i infrastrukturą informatyczną w zakresie ochrony informacji.
19. Udział przy planowaniu oraz wdrażaniu rozwiązań IT związanych z wprowadzaniem zmienianiem lub usuwaniem danych osobowych.
20. Uczestniczenie w kontrolach prowadzonych u Zlecającego w zakresie przestrzegania przez Zlecającego przepisów dotyczących ochrony danych osobowych, w tym: udzielanie wyjaśnień, sporządzanie projektów wyjaśnień, uwag, zastrzeżeń Zlecającego do wyników kontroli.
21. Opracowanie wzorów dokumentów wymaganych przez RODO/DODO i inne przepisy prawa, które związane są z ochroną danych osobowych m.in.:
a) Ewidencji osób upoważnionych do przetwarzania danych osobowych,
b) Upoważnienia do przetwarzania danych osobowych,
c) Oświadczenia o zachowaniu w poufności danych osobowych.
22. Reprezentowanie Administratorów Danych Osobowych w kontaktach z UODO poprzez kontakty i korespondencję z UODO w trybie administracyjnym i podczas kontroli zlecanych lub prowadzonych przez UODO.
23. Przygotowywanie wymaganych sprawozdań dla Organu Nadzorczego - Prezesa Sądu Okręgowego w Szczecinie w określonych przez Organ Nadzorczy terminach.
24. Formułowanie wniosków do Prezesa i Dyrektora Sądu, dotyczących poprawy bezpieczeństwa danych osobowych na podstawie osobistych Audytów Ochrony Fizycznej takich jak: zmiany w obszarze zabezpieczeń fizycznych i organizacyjnych oraz propozycje dotyczące wdrożenia rozwiązań poprawiających bezpieczeństwo danych osobowych.
25. Współpraca z pracownikiem IT w zakresie wdrażania zabezpieczeń informatycznych. Wyznaczanie wymaganych ustawowo zabezpieczeń i nadzór nad ich wdrożeniem np.: wprowadzenie polityki haseł, zapewnienie kopii bezpieczeństwa.
26. Nadzór nad współpracą z podmiotami zewnętrznymi w zakresie przekazywania i dostępu do danych osobowych.
27. Wykonanie raz w roku audytu sprawdzającego zgodność jednostki z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.