Προς : ΚΑΘΕ ΕΝΔΙΑΦΕΡΟΜΕΝΟ

Transcript

1 ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΝΟΜΟΣ ΔΡΑΜΑΣ ΔΗΜΟΣ ΠΡΟΣΟΤΣΑΝΗΣ Δ/ΝΣΗ ΟΙΚΟΝΟΜΙΚΩΝ ΥΠΗΡΕΣΙΩΝ ΤΜΗΜΑ ΠΡΟΜΗΘΕΙΩΝ Πληρ: Α.ΜΑΝΑΡΙΔΟΥ Τηλ: FAX: ΠΡΟΣΟΤΣΑΝΗ : Αριθμ. Πρωτ Προς : ΚΑΘΕ ΕΝΔΙΑΦΕΡΟΜΕΝΟ ΘΕΜΑ: ΠΡΟΣΚΛΗΣΗ ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΑΣ ΓΙΑ ΤΗΝ ΕΚΤΕΛΕΣΗ ΤΗΣ ΥΠΗΡΕΣΙΑΣΣ ΜΕ ΤΙΤΛΟ ««ΠΑΡΟΧΗ ΥΠΗΡΕΣΙΩΝ ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΟΥ 679/2016 ΕΥΡΩΠΑΪΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΟΡΙΣΜΟΣ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (DPO) ΔΗΜΟΥ ΠΡΟΣΟΤΣΑΝΗΣ» Ο Δήμος Προσοτσάνης λαμβάνοντας υπόψη: 1. Τον Ν.4412/2016 Δημόσιες Συμβάσεις Έργων, Προμηθειών και Υπηρεσιών Προσαρμογή στις οδηγίες 2014/24/ΕΕ και 2014/25/ΕΕ. 2. Την υπ αριθμ. 2799/ τεχνική περιγραφή της αναφερόμενης υπηρεσίας. 3. Το υπ αριθμ. 2802/ τεκμηριωμένο αίτημα. 4. Το γεγονός ότι ο Δήμος Προσοτσάνης υπάγεται στο πλαίσιο της εφαρμογής του κανονισμού της Ε.Ε. 679/2016 του Ευρωπαϊκού Κοινοβουλίου καλεί τους ενδιαφερόμενους οικονομικούς φορείς να παρέχουν υπηρεσίεςπου αφορούν την συμμόρφωση του, στις διατάξεις του Κανονισμού (ΕΕ) 679/2016 καθώς και υπηρεσίες Υπευθύνου Προστασίας Προσωπικών Δεδομένων (D.P.O.) αφού λάβουν υπόψη τους την παρακάτω τεχνική έκθεση: 1) ΤΕΧΝΙΚΗ ΠΕΡΙΓΡΑΦΗ - ΠΡΟΔΙΑΓΡΑΦΕΣ Η παρούσα μελέτη αφορά την ανάθεση των υπηρεσιών που απαιτούνται για τη συμμόρφωση και προσαρμογή του Δήμου Προσοτσάνης με τις επιταγές που θέτει ο Κανονισμός (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ο οποίος έχει ως ημερομηνία άμεσης και καθολικής εφαρμογής του την 25η Μαΐου Για την επικοινωνία με την Αρχή Προστασίας Προσωπικών Δεδομένων, την επικοινωνία με τα υποκείμενα των δεδομένων, την εισήγηση, τον έλεγχο και την εποπτεία των μέτρων συμμόρφωσης, ο ανωτέρω Κανονισμός εισάγει την ιδιότητα του DΡΟ (Data Protection Officer), δηλαδή του υπευθύνου προστασίας δεδομένων για την λήψη και την τήρηση των διαδικασιών και των μέτρων ασφαλείας, ως υποχρεωτική για τους φορείς του Δημοσίου. Διαπιστώνεται, λοιπόν, η αμεσότητα και η ταχύτητα, με την οποία πρέπει να γίνουν συγκεκριμένες ενέργειες, αλλά και η στενότητα των χρονικών περιθωρίων, εφόσον έχει ξεκινήσει η ημερομηνία της εφαρμογής του εν λόγω Κανονισμού η οποία καθίσταται ιδιαιτέρως ασφυκτική αν συνδυαστεί με την πάγια έλλειψη προσωπικού, την άγνοια του προς ανάθεση αντικειμένου, αφού για πρώτη φορά εισάγονται δεσμευτικές ρυθμίσεις εκ μέρους της Ευρωπαϊκής Ένωσης και αυστηρότατα πρόστιμα σε περίπτωση μη επακριβούς συμμόρφωσης του Δήμου με τα προβλεπόμενα στον Κανονισμό (ΕΕ) 2016/679,

2 την πληθώρα των αρμοδιοτήτων και καθηκόντων που έχουν επωμισθεί οι Δήμοι και τα στελέχη τους και τις χρονοβόρες διαδικασίες υλοποίησης δημοτικών έργων, εργασιών, κ.λπ. Ο Δήμος Προσοτσάνης δε διαθέτει εξειδικευμένο και πιστοποιημένο προσωπικό με αντίστοιχη εμπειρία για την υποστήριξη των παραπάνω υπηρεσιών, ώστε να είναι σε θέση να διεκπεραιώσει την άνω υπηρεσία, που είναι υποχρεωτική για τον Δήμο. Εξάλλου, ο Κανονισμός (679/2016) περί Προστασίας Προσωπικών Δεδομένων, εισάγει νέα δεδομένα, ειδικές διαδικασίες, μεθοδολογία και έγγραφα, τα οποία προϋποθέτουν ικανό βαθμό κατάρτισης προκειμένου να προσαρμοσθούν και εφαρμοσθούν στο Δήμο Προσοτσάνης. Σκοπός Ο υποχρεωτικός ορισμός Υπευθύνου Προστασίας Προσωπικών Δεδομένων (DPO) αποτελεί μία νέα, για την τοπική αυτοδιοίκηση, διαδικασία που συνίσταται στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών, αλλά των διαδικασιών και των μεθόδων που χρησιμοποιούνται για την παραπάνω επεξεργασία, με σκοπό να εντοπιστούν λάθη και παραλείψεις που μπορούν να οδηγήσουν σε επιβολή εξοντωτικών διοικητικών προστίμων, αλλά και ν αντιμετωπιστούν επιτυχώς όλες οι προκλήσεις που θα ανακύπτουν κατά την εφαρμογή του νέου αυστηρού νομοθετικού πλαισίου στον χώρο των προσωπικών δεδομένων. Ως εκ τούτου, προς διασφάλιση της αποτελεσματικής προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών, την πρόληψη ενδεχόμενων περιπτώσεων με αρνητικό αντίκτυπο, όπως η διαρροή προσωπικών δεδομένων και η επιβολή ιδιαίτερα υψηλών και εξοντωτικών προστίμων αλλά και ενισχύοντας την εμπιστοσύνη και τη φερεγγυότητα προς τους φορείς και τους πολίτες, κρίνεται αναγκαίο και σκόπιμο, ο Δήμος Προσοτσάνης, να προβεί στην ανάθεση της θέσης του Υπευθύνου Προστασίας Προσωπικών Δεδομένων σε εξωτερικό σύμβουλο, εξειδικευμένο και πιστοποιημένο, ο οποίος στα πλαίσια των καθηκόντων του, θα διέπεται από λειτουργική ανεξαρτησία, όπως ρητά ορίζει ο Κανονισμός και θα είναι υπεύθυνος για την αποτύπωση της υφιστάμενης κατάστασης επεξεργασίας προσωπικών δεδομένων από το Δήμο Προσοτσάνης, την υποβολή σχεδίου συμμόρφωσης με τον υπ αριθμόν 679/2016 Κανονισμό και την τελική προσαρμογή του Δήμου με τις απαιτήσεις του ως άνω Κανονισμού. Στην ουσία, ο υπεύθυνος εξωτερικός σύμβουλος προστασίας προσωπικών δεδομένων θα λειτουργεί ως μια εσωτερική αρχή προστασίας δεδομένων, που θα διασφαλίζει καθημερινά, ότι ο Δήμος Προσοτσάνης τηρεί τις διατάξεις του Κανονισμού και συνεργάζεται με την Εθνική Αρχή Προστασίας προς τον σκοπό αυτό. Αντικείμενο Κύριο Αντικείμενο της παρούσας υπηρεσίας που θα αναλάβει ο πάροχος είναι: α) Μελέτη και σχεδιασμός εργασιών συμμόρφωσης του Δήμου Προσοτσάνης με τον Κανονισμό 679/2016. β) Εκτέλεση Καθηκόντων Υπευθύνου Προστασίας Προσωπικών Δεδομένων για το Δήμο Προσοτσάνης,για δώδεκα (12) μήνες από την παράδοση του έργου συμμόρφωσης με τον κανονισμό.

3 Ειδικότερα στο πλαίσιο των καθηκόντων του ο πάροχος θα προβεί σε: α) Μελέτη και σχεδιασμό εργασιών συμμόρφωσης του Δήμου Προσοτσάνης με τον ως άνω Κανονισμό. Με απόφαση του Δημάρχου Προσοτσάνης θα συγκροτηθεί μια ομάδα από δημοτικούς υπαλλήλους, με επικεφαλής τον DPO-εξωτερικού υπευθύνου προστασίας δεδομένων, που θα αναλάβει το έργο της συμμόρφωσης ακολουθώντας, αρχικά, τα εξής βήματα: Χαρτογράφηση της υφιστάμενης κατάστασης, όσον αφορά την επεξεργασία των προσωπικών δεδομένων που πραγματοποιείται (Data flow mapping). Διάγνωση και αποτύπωση του επιπέδου συμμόρφωσης με τον GDPR με δημιουργία του αρχείου δραστηριοτήτων επεξεργασίας (Gap Analysis). Αξιολόγηση επιπτώσεων (Privacy Impact Assessment) σχετικά με την προστασία δεδομένων για τον εντοπισμό των σημαντικότερων κινδύνων. Πρόταση μέτρων αντιμετώπισης (Compliance Plan), υποστήριξη και καθοδήγηση στην υλοποίησή τους. Ανάπτυξη όλων των απαιτούμενων πολιτικών και διαδικασιών προστασίας προσωπικών δεδομένων, σε ένα πλήρες Σύστημα Διαχείρισης Προσωπικών Δεδομένων. Επιθεωρήσεις ετοιμότητας (Compliance Audit) ως προς τον GDPR. Δημιουργία Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης ΔΠΧ (Incident Response Plan). Ενημέρωση του ανθρώπινου δυναμικού. Δημιουργία κουλτούρας προστασίας προσωπικών δεδομένων. Διαρκής υποστήριξη (Ongoing support). Στη συνέχεια, αφού επιτευχθεί η συμμόρφωση με τον Κανονισμό, ο DPO θα πρέπει σε ημερήσια βάση να εκτελεί τα καθήκοντά του (βλ. παραπάνω). Να λειτουργεί αυτόνομα αλλά και ως επικεφαλής ομάδας ειδικών (Task Force) του αναδόχου, που θα περιλαμβάνει κατ ελάχιστον τις εξής ειδικότητες Project Manager, DPO,Information Security Consultant, IT Auditor, Νομικό Σύμβουλο) που θα αντιμετωπίσει επιτυχώς όλες τις προκλήσεις που θα ανακύπτουν κατά την εφαρμογή του νέου αυστηρού νομοθετικού πλαισίου στον χώρο των προσωπικών δεδομένων. Σε αντίθετη περίπτωση υπάρχει σοβαρότατος κίνδυνος επιβολής ιδιαίτερα αυστηρών διοικητικών προστίμων, αλλά ελλοχεύει και ο κίνδυνος και άσκησης αγωγών με αίτημα την καταβολή εκ μέρους του Δήμου αποζημιώσεων χιλιάδων ευρώ προς τα υποκείμενα των δεδομένων (π.χ. καταναλωτές), που φέρεται να έχουν θιγεί. β) Εκτέλεση Καθηκόντων Υπευθύνου Προστασίας Προσωπικών Δεδομένων για το Δήμο Προσοτσάνης για δώδεκα (12) μήνες από την παράδοση του έργου συμμόρφωσης με τον κανονισμό. Ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων υποχρεούται: - να ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, - να παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων

4 προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, - να παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 του 679/2016 Κανονισμού, - να συνεργάζεται με την εποπτική αρχή, - να ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. Ο υπεύθυνος προστασίας δεδομένων (DPO), σύμφωνα με τον Κανονισμό (άρθρο 37), επιλέγεται βάσει επαγγελματικών προσόντων και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. O DPO είναι μια εσωτερική Αρχή Προστασίας Δεδομένων σε κάθε επιχείρηση ή δημόσιο οργανισμό, που διασφαλίζει ότι ο ιδιωτικός ή ο δημόσιος φορέας τηρεί τις διατάξεις του Κανονισμού και συνεργάζεται με την Εθνική Αρχή Προστασίας για την τήρηση των διατάξεων. Αφού, λοιπόν, οριστεί ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων (DPO), πρώτο μέλημα του θα πρέπει να είναι η παρακολούθηση της συμμόρφωσης του Δήμου Προσοτσάνης με τις επιταγές του Κανονισμού. ΦΑΣΗ 1 η - Έναρξη έργου - Οργάνωση δράσεων (Ενδεικτικός Χρόνος υλοποίησης (3) εβδομάδες : 1.260,00 ευρώ + ΦΠΑ 24%). - Παρουσίαση στη διοίκηση και τα στελέχη του Δήμου. - Υποβολή προτάσεων οργάνωσης της ομάδας έργου. Παραδοτέα Πλάνο υλοποίησης έργου (Περιγραφή του Έργου στην οποία αναφέρεται ο τρόπος προσέγγισης και εκτέλεσης του Έργου, συμπεριλαμβανομένης της σύνθεσης της Ομάδας Έργου, των επιμέρους καθηκόντων των προσώπων που θα την απαρτίζουν, των παραδοτέων και του χρονοδιαγράμματος). ΦΑΣΗ 2 η - Συγκέντρωση δεδομένων και Υλοποίηση Ροών Εργασίας (Ενδεικτικός Χρόνος υλοποίησης, έως (6) εβδομάδες από την ολοκλήρωση της πρώτης φάσης: ευρώ + ΦΠΑ 24%). - Επισκόπηση των επιχειρησιακών, τεχνικών και λειτουργικών διαδικασιών. - Ανάπτυξη του αρχείου δραστηριοτήτων και πόρων επεξεργασίας του Δήμου. - Ανάπτυξη του αρχείου δραστηριοτήτων και πόρων επεξεργασίας για όλες τις κρίσιμες περιοχές

5 επεξεργασίας. - Ανάπτυξη διαγραμμάτων ροής δεδομένων που θα αποτυπώνουν τις φάσεις του κύκλου ζωής των δεδομένων, από τη συλλογή, χρήση, αποθήκευση, μεταφορά μέχρι και την καταστροφή τους. - Συγκέντρωση των απαιτούμενων πληροφοριών για τη συλλογή και επεξεργασία των προσωπικών δεδομένων, μέσω της διενέργειας συνεντεύξεων με στελέχη όλων των τμημάτων και των διευθύνσεων. - Εντοπισμός των κρίσιμων αποκλίσεων έναντι των απαιτήσεων του Κανονισμού GDPR. Παραδοτέα - Data Flow Maps που θα καλύπτουν την απαίτηση του GDPR για το αρχείο δραστηριοτήτων επεξεργασίας δεομένων και θα περιέχουν όλες τις επιπλέον απαραίτητες πληροφορίες, ώστε να απεικονίζεται πλήρως η τρέχουσα κατάσταση ως προς τη διαχείριση προσωπικών δεδομένων και να εντοπίζονται κενά ως προς τις απαιτήσεις του θεσμικού πλαισίου (διαγράμματα ροής δεδομένων προσωπικού χαρακτήρα, με κρίσιμες πληροφορίες). Φάση 3 η - Μελέτη ανάλυσης αποκλίσεων (Gap Analysis και Maturity Assessment) (Ενδεικτικός Χρόνος υλοποίησης έως (4) εβδομάδες από την ολοκλήρωση της δεύτερης φάσης: 1.200,00 ευρώ + ΦΠΑ 24%). - Μελέτη υφιστάμενης κατάστασης ως προς τη διαχείριση προσωπικών δεδομένων από: α) άποψη διαδικασιών. β) νομική θεώρηση. γ) ασφάλεια πληροφοριών. δ) τεχνολογική άποψη. - Εντοπισμός μη συμμορφώσεων στις πρακτικές και διαδικασίες που εφαρμόζονται κατά τον χειρισμό των προσωπικών δεδομένων, ως προς: α) τις απαιτήσεις του GDPR. β) το κανονιστικό πλαίσιο του έργου, συμπεριλαμβανομένων σχετικών δικαστικών αποφάσεων. γ) τις οδηγίες, κατευθύνσεις και αποφάσεις του WP29, της ΑΠΔΠΧ και των Ευρωπαϊκών Αρχών Προστασίας Δεδομένων. δ) τις απαιτήσεις του ISO 27001, ISO και ISO για την ασφάλεια πληροφοριών. - Μελέτη ως προς τις υφιστάμενες επεξεργασίες δεδομένων (και της διαβαθμίσεώς τους), καθώς και συστημάτων πληροφορικής του Δήμου. - Αναγνώριση των σχετικών απαιτήσεων του Γενικού Κανονισμού ως προς τις επιμέρους περιοχές επεξεργασίας προσωπικών δεδομένων. - Μελέτη αποκλίσεων της υφιστάμενης κατάστασης του Δήμου, σε σχέση με τις απαιτήσεις του Κανονισμού για κάθε επεξεργασία. Η μελέτη θα πρέπει να περιλαμβάνει τουλάχιστον τις παρακάτω περιοχές: α) Απαιτήσεις ως προς την υποχρέωση τήρησης αρχείου δραστηριοτήτων. β) Συναίνεση. γ) Συλλογή, Χρήση, Αποθήκευση. δ) Διατήρηση δεδομένων/καταστροφή. ε) Δικαιώματα πρόσβασης, διόρθωσης, αλλαγής και διαγραφής.

6 στ) Κοινοποίηση σε Τρίτα Μέρη. ζ) Διαβίβαση σε τρίτες χώρες. η) Ασφάλεια επεξεργασίας προσωπικών δεδομένων. θ) Έλεγχος και παρακολούθηση των οργανωτικών και τεχνολογικών μέτρων. ι) Πόροι. ια) Γνωστοποίηση παραβίασης προσωπικών δεδομένων σε εποπτική αρχή ή/και στο υποκείμενο των δεδομένων. - Καταγραφή των σχετικών ευρημάτων σε σχέση με το βαθμό ετοιμότητας του Δήμου και τις επιμέρους αποκλίσεις που παρουσιάζει σε σχέση με τις ανωτέρω απαιτήσεις. Παραδοτέα - Gap Analysis. - Privacy Impact Assessment. Φάση 4 η - Ανάπτυξη σχεδίου διορθωτικών ενεργειών- Κατάρτιση σχεδίου συμμόρφωσης (Ενδεικτικός Χρόνος υλοποίησης έως (6) εβδομάδες από την ολοκλήρωση της τρίτης φάσης: 1.710,00ευρώ + ΦΠΑ 24%). - Καταγραφή αναλυτικού και σαφούς σχεδίου, στο οποίο θα συμπεριλαμβάνονται οι προτάσεις βελτίωσης ανά περιοχή/μονάδα του Δήμου, με σκοπό την αντιμετώπιση των ελλείψεων ή/ και αποκλίσεων σε σχέση με τις απαιτήσεις του Κανονισμού και τις απαιτήσεις του ευρύτερου κανονιστικού πλαισίου και των προτύπων, όπως αναλύεται παραπάνω. - Προσέγγιση και προσδιορισμός συγκεκριμένων εργασιών ώστε να βελτιωθεί κατά το δυνατόν συντομότερα το επίπεδο συμμόρφωσης. - Κατάθεση προτάσεων για τη διατήρηση στο μέλλον ικανοποιητικού επίπεδου συμμόρφωσης με τις απαιτήσεις του Κανονισμού. - Κατάθεση προτάσεων αναφορικά με την πραγματοποίηση συγκεκριμένων εργασιών, σχετικά με την τροποποίηση υφιστάμενων διαδικασιών, καθώς και το περιβάλλον λειτουργίας των πληροφοριακών συστημάτων, με σκοπό τη συμμόρφωση με τον Κανονισμό. -Εγχειρίδιο πολιτικών διαδικασιών συλλογής και επεξεργασίας δεδομένων που μπορεί να αποτελεί και στοιχείο πολιτικής ασφαλείας του Δήμου. -Πλήρες κείμενο πολιτικής προστασίας -Πλήρες κείμενο πολιτικής ασφαλείας - Πλήρες κείμενο σχεδίου ανάκαμψης και καταστροφές -Πλήρες κείμενο διαχείρισης συμβάντων Φάση 5 η - Ενημέρωση εκπαίδευση Προσωπικού-Επαναξιολόγηση (Ενδεικτικός Χρόνος υλοποίησης έως (3) εβδομάδες από την ολοκλήρωση της τέταρτης φάσης: 600,00ευρώ + ΦΠΑ 24%). Εκπαίδευση εργαζομένων σε θέματα που αφορούν την τήρηση προϋποθέσεων του κανονισμού. Δημιουργία κουλτούρας προστασίας προσωπικών δεδομένων.

7 Πρόγραμμα εκπαίδευσης ανά οργανωτική μονάδα με ορισμένο εκπαιδευτικό πρόγραμμα υλικό και παρουσιολόγιο. Αποτελεί τμήμα της απαραίτητης για την συμμ ορφωση τεκμηρίωσης. Επαναξιολόγηση του επιπέδου συμμόρφωσης του Δήμου. Φάση 6 η Υπηρεσίες Υπευθύνου Προστασίας δεδομένων ΥΠΟΔ(DPO) Καθήκοντα DPO για δώδεκα (12) μήνες από την παράδοση του έργου συμμόρφωσης με τον κανονισμό. Οι υπηρεσίες κατά τον νέο Ευρωπαϊκό Κανονισμό,που θα παρέχονται από τον Data Protection Officer (DPO), τόσο με επιτόπου επισκέψεις όσο και εξ αποστάσεως,, κατ ελάχιστον περιγράφονται παρακάτω: Ο ανάδοχος θα παρέχει στο Δήμο Προσοτσάνης, κατάλληλα καταρτισμένο και πιστοποιημένο άτομο προκειμένου να αναλάβει τα καθήκοντα του Data Protection Officer. Ο DPO θα πλαισιώνεται από κατάλληλη υποστηρικτική ομάδα, η τεχνογνωσία και κατάρτιση της οποίας θα καλύπτει όλες τις απαιτήσεις συμμόρφωσης προς το Γενικό Κανονισμό για την Προστασία των Δεδομένων (General Data Protection Regulation GDPR). Η υποστηρικτική ομάδα θα περιλαμβάνει κατ ελάχιστο Information Security Consultant, Personal Data Consultant, IT Audit και Νομικό Σύμβουλο. Ο DPO θα παρακολουθεί, αναθεωρεί και βελτιώνει το Πρόγραμμα Προστασίας Προσωπικών Δεδομένων που θα αναπτύξει και θα λειτουργεί ο Δήμος, με βάση τις απαιτήσεις του νέου Κανονισμού για την προστασία των προσωπικών δεδομένων. Επιπλέον, θα παρακολουθεί την εφαρμογή των τεχνικών και οργανωτικών μέτρων που έχει δεσμευτεί να πραγματοποιήσει. Ο Δήμος στο Compliance Plan, θα επικαιροποιεί το/α DPIAs που έχουν δημιουργηθεί για τις επεξεργασίες υψηλού ρίσκου, θα δημιουργεί νέα DPIAs για νέες επεξεργασίες υψηλού ρίσκου, θα αναλαμβάνει τις ενημερώσεις του προσωπικού και τις εσωτερικές επιθεωρήσεις, με στόχο την επίτευξη του βέλτιστου επιπέδου προστασίας. Στη διάρκεια της θητείας του θα προσαρμόζει τις υπηρεσίες διάγνωσης βαθμού ωριμότητας και προετοιμασίας ετοιμότητας του Δήμου για την συμμόρφωσή του στο Ευρωπαϊκό Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ) 2016/679 εάν υπάρξει αλλαγή του Oργανισμού του Δήμου. Στο πλαίσιο των εν λόγω υπηρεσιών και σε περίπτωση που ζητηθεί από το Δήμο ο ανάδοχος θα παρέχει συμβουλευτικές-εκπαιδευτικές υπηρεσίες και της ομάδας GDPR που θα τον/την πλαισιώνει από το προσωπικό του Δήμου. Ο DPO θα συνεργάζεται με την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένων ενεργειών, όπως αναφέρονται και στα άρθρα του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679, και θα πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. Τα στοιχεία επικοινωνίας του DPO δημοσιεύονται υποχρεωτικά και ανακοινώνονται στην εποπτική αρχή. Η πρόσβαση στον DPO θα πρέπει να είναι εύκολη και άμεση (τοπικά ή μη), τόσο από τα υποκείμενα των δεδομένων, όσο και από τους υπαλλήλους και διοίκηση του Δήμου Δράμας (υπεύθυνους/εκτελούντος την επεξεργασία), αλλά και για τις ανάγκες επικοινωνίας με την εποπτική αρχή.

8 Εμπιστευτικότητα Κατά τη διάρκεια παροχής των υπηρεσιών, ο ανάδοχος απαιτείται να χειριστεί ευαίσθητα δεδομένα του Δήμου Προσοτσάνης και για τον λόγο αυτό πρέπει να εγγυάται την εχεμύθεια των αποτελεσμάτων, καθώς επίσης και όσων δεδομένων συλλεχθούν κατά την υλοποίηση της εργασίας μέσω Ειδικού Συμφωνητικού Εχεμύθειας και Εμπιστευτικότητας που θα υπογράψει με την έναρξη της εργασίας και θα καλύπτει όλα τα αποτελέσματα, καθώς και όλες τις πληροφορίες που πρέπει να ανακτηθούν κατά τη διάρκεια της εργασίας. Αναλαμβάνει την ευθύνη για τη διασφάλιση της εμπιστευτικότητας των ατόμων με τα οποία θα συνεργαστεί, όσον αφορά τη μη διαρροή πληροφοριών του είδους, του βαθμού διεκπεραίωσης της εργασίας καθώς και τις λεπτομέρειες αυτού, σε οιοδήποτε άτομο ή ομάδα ατόμων. Αντιθέτως, θα τους επιτραπεί να απευθύνονται για θέματα σχετικά με την εργασία μόνο στα άτομα τα οποία, σαφώς αναφέρονται στο συμφωνητικό εμπιστευτικότητας ως σύνδεσμοι στην επικοινωνία μεταξύ αυτού και της διοίκησης. Χρονοδιάγραμμα Υλοποίησης Ο ανάδοχος θα πρέπει να υποβάλλει σχετικό χρονοδιάγραμμα υλοποίησης/παροχής των παραπάνω υπηρεσιών-παραδοτέων λαμβάνοντας υπόψη ότι η οι υπηρεσίες που σχετίζονται με τη συμμόρφωση του Δήμου Προσοτσάνης θα πρέπει να έχουν ολοκληρωθεί το αργότερο εντός 22 εβδομάδων από την υπογραφή της σύμβασης και ότι οι υπηρεσίες DPO θα έχουν επιπλέον διάρκεια ενός (1) έτους από την ολοκλήρωση της φάσης συμμόρφωσης. Η συνολική διάρκεια της σύμβασης της προαναφερόμενης υπηρεσίας (παροχή υπηρεσιών( φάσεις 1-5) + ορισμός DPO) θα είναι 17,5 μήνες. Ανθρωποπροσπάθεια (μήνες) Σημειώνεται επίσης ότι οι προσφερόμενοι ανθρωπομήνες δεν αποτελούν μέτρο για την παραλαβή/πληρωμή των προσφερόμενων υπηρεσιών αλλά αυτή θα γίνει με βάση τα παραδοτέα που αναφέρονται στη σχετικές φάσεις - ενότητες ανεξάρτητα των πραγματικών ανθρωπομηνών που θα απαιτηθούν για την υλοποίηση τους. Τρόπος καταβολής αμοιβής Η πληρωμή του αναδόχου θα γίνει βάσει την τμηματικής παράδοσης των εργασιών της έκαστης φάσης (1-5) η δε πληρωμή του (DPO) θα καταβληθεί το 20% της συνολικής αμοιβής του DPO μετά την ολοκλήρωση της 2 ης φάσης το 20% της υπόλοιπης αμοιβής μετά την ολοκλήρωση της 5 ης φάσης και υπόλοιπο 60% θα καταβληθεί με την ολοκλήρωση του συνόλου των υποχρεώσεων του αναδόχου DPO.

9 ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΑΡ. ΠΡΩΤ. : 2799/ ΝΟΜΟΣ ΔΡΑΜΑΣ ΑΡ. ΜΕΛΕΤΗΣ : 5/2019 ΔΗΜΟΣ ΠΡΟΣΟΤΣΑΝΗΣ ΠΡΟΫΠΟΛ. : ,80 ΠΗΓΗ : ΙΔ. ΠΟΡΟΙ ΕΡΓΑΣΙΑ : «ΠΑΡΟΧΗ ΥΠΗΡΕΣΙΩΝ ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΟΥ 679/2016 ΕΥΡΩΠΑΪΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΟΡΙΣΜΟΣ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (DPO) ΔΗΜΟΥ ΠΡΟΣΟΤΣΑΝΗΣ» ΕΝΔΕΙΚΤΙΚΟΣ ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ /Α ΕΙΔΟΣ ΕΡΓΑΣΙΑΣ CPV ΜΟΝΑΔΑ ΜΕΤΡΗΣΗΣ ΕΝΔ. ΠΟΣΟ- ΤΗΤΑ ΤΙΜΗ ΜΟΝΑΔΑΣ ΔΑΠΑΝΗ σε ( ) 1. Οργάνωση δράσεων Ανθρωποώρες 42 30, ,00 2. Συγκέντρωση Ανθρωποώρες 70 30, ,00 δεδομένων και Υλοποίηση Ροών Εργασίας 3. Μελέτη ανάλυσης αποκλίσεων (Gap Analysis και Maturity Assessment) Ανθρωποώρες 40 30, ,00 4. Ανάπτυξη σχεδίου διορθωτικών ενεργειών Κατάρτιση σχεδίου συμμόρφωσης Ανθρωποώρες 57 30, ,00 5. Ενημέρωση εκπαίδευση Προσωπικού- Επαναξιολόγηση Ανθρωποώρες 20 30,00 600,00 6. Υπηρεσίες Υπευθύνου Ανθρωποώρες 67 30, ,00 Προστασίας δεδομένων ΠΟΔ(DPO) ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ 8.870,00 Φ.Π.Α. 24 % 2.128,80 ΣΥΝΟΛΟ ,80 Οι Προσφορές των ενδιαφερόμενων θα πρέπει να κατατεθούν στο γραφείο πρωτοκόλλου του Δήμου Προσοτσάνης ως την Τετάρτη και ώρα 12:00μ. η αποσφράγιση τους θα γίνει την ίδια μέρα και ώρα 13:00. Ο σφραγισμένος φάκελος της προσφοράς θα πρέπει να περιέχει τα παρακάτω: β) Αποδεικτικό φορολογικής ενημερότητας της εταιρείας ή του φυσικού προσώπου, κατά περίπτωση, ανάλογα με τη νομική μορφή του προσφέροντα. γ) Αποδεικτικό καταβολής ασφαλιστικών εισφορών της εταιρείας ή του φυσικού προσώπου (του πρώην ΟΑΕΕ για τον εργοδότη και του πρώην ΙΚΑ για το προσωπικό), κατά περίπτωση, ανάλογα με τη νομική μορφή του προσφέροντα.

10 δ)τα αποδεικτικά έγγραφα νομιμοποίησης της εταιρείας, δηλαδή νομιμοποιητικά έγγραφα σύστασης και τελευταίας τροποποίησης από τα οποία προκύπτει η τρέχουσα σύνθεση του Δ.Σ για τις Α.Ε. ή οι διαχειριστές για τις Ε.Π.Ε., Ι.Κ.Ε., Ο.Ε. ή Ε.Ε. και η νόμιμη εκπροσώπηση της εταιρείας. Επίσης αποδεικτικά στοιχεία με τα προσόντα του DPO και του προσωπικού του αναδόχου, όπως αναφέρονται στην τεχνική περιγραφή. ε) Έγγραφο από αρμόδιο επίσημο φορέα, με το οποίο να βεβαιώνεται ότι διαθέτει πιστοποίηση σχετική με το αντικείμενο της σύμβασης. στ)συμβάσεις παρόμοιου είδους με αυτές της προαναφερόμενης υπηρεσίας οι οποίες είτε έχουν ολοκληρωθεί είτε είναι σε εξέλιξη (Για την απόδειξη τεχνικής-επαγγελματικής ικανότητας του αναδόχου ). ζ) Οικονομική προσφορά σύμφωνα με το συνημμένο υπόδειγμα. Ο Δήμαρχος Λύσσελης Άγγελος

11 ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΝΟΜΟΣ ΔΡΑΜΑΣ ΔΗΜΟΣ ΠΡΟΣΟΤΣΑΝΗΣ Δ/ΝΣΗ ΟΙΚΟΝΟΜΙΚΩΝ ΥΠΗΡΕΣΙΩΝ ΤΜΗΜΑ ΠΡΟΜΗΘΕΙΩΝ Πληρ: Α.ΜΑΝΑΡΙΔΟΥ Τηλ: FAX: ΕΝΤΥΠΟ ΟΙΚΟΝΟΜΙΚΗΣ ΠΡΟΣΦΟΡΑΣ Του Έδρα Στοιχεία Επικοινωνίας. /Α ΕΙΔΟΣ ΕΡΓΑΣΙΑΣ CPV ΜΟΝΑΔΑ ΜΕΤΡΗΣΗΣ ΕΝΔ. ΠΟΣΟ- ΤΗΤΑ ΤΙΜΗ ΜΟΝΑΔΑΣ ΔΑΠΑΝΗ σε ( ) 1. Οργάνωση δράσεων Ανθρωποώρες Συγκέντρωση Ανθρωποώρες 70 δεδομένων και Υλοποίηση Ροών Εργασίας 3. Μελέτη ανάλυσης αποκλίσεων (Gap Analysis και Maturity Assessment) Ανθρωποώρες Ανάπτυξη σχεδίου Ανθρωποώρες 57 διορθωτικών ενεργειών Κατάρτιση σχεδίου συμμόρφωσης 5. Ενημέρωση εκπαίδευση Προσωπικού- Επαναξιολόγηση Ανθρωποώρες Υπηρεσίες Υπευθύνου Ανθρωποώρες 67 Προστασίας δεδομένων ΠΟΔ(DPO) ΠΡΟΫΠΟΛΟΓΙΣΜΟΣΣ Φ.Π.Α. 24 % ΣΥΝΟΛΟΟ Ο ΠΡΟΣΦΕΡΩΝ