Αρ. Πρωτ.: ΕΛΚΕ-ΕΣΔΥ: 447 Ημερομηνία: 15/03/2018 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196, Αθήνα ΠΕΡΙΛΗΨΗ ΠΡΟΣΚΛΗΣΗΣ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ Ο Ειδικός Λογαριασμός Κονδυλίων Έρευνας (Ε.Λ.Κ.Ε.) της Εθνικής Σχολής Δημόσιας Υγείας (Ε.Σ.Δ.Υ.), έχοντας υπόψη: Ν. 4485/4-8-2017 τεύχος Α, αρ. φύλλου 114, άρθρα 50-68 και παράγραφοι 4, 5 και 11 του άρθρου 87. Ν. 4412/2016 (Α' 147) Δημόσιες Συμβάσεις Έργων, Προμηθειών και Υπηρεσιών (προσαρμογή στις Οδηγίες 2014/24/ ΕΕ και 2014/25/ΕΕ)» Την απόφαση έγκρισης της παρούσας Πρόσκλησης στην 379/09-03-2018 Συνεδρίαση της Επιτροπής Ερευνών. ΑΠΟΦΑΣΙΖΕΙ Την Πρόσκληση Εκδήλωσης Ενδιαφέροντος με απευθείας ανάθεση για την παροχή συμβουλευτικών υπηρεσιών συμμόρφωσης με τον γενικό κανονισμό προστασίας δεδομένων», συνολικού προϋπολογισμού δέκα εννιά χιλιάδων ευρώ(19.000,00 ) πλέον Φ.Π.Α. 1. ΑΝΤΙΚΕΙΜΕΝΟ ΥΠΗΡΕΣΙΩΝ / ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ Αντικείμενο της σύμβασης είναι η Παροχή Συμβουλευτικών υπηρεσιών συμμόρφωσης της Ε.Σ.Δ.Υ. με τον Γενικό Κανονισμό Προστασίας Δεδομένων. Οι
υπηρεσίες κατατάσσονται στους ακόλουθους κωδικούς του Κοινού Λεξιλογίου δημοσίων συμβάσεων (CPV) : 79411000-8 Υπηρεσίες παροχής συμβουλών σε θέματα γενικής διαχείρισης. Πεδίο εφαρμογής του έργου είναι η εναρμόνιση της Εθνικής Σχολής Δημόσιας Υγείας με τις απαιτήσεις του Ευρωπαϊκού Κανονισμού Προστασίας Προσωπικών Δεδομένων 679/2016 (General Data Protection Regulation - GDPR). Σκοπός των ανωτέρω είναι η αναγνώριση των τεχνολογικών και οργανωτικών αναγκών της ΕΣΔΥ και η κάλυψή τους με την υλοποίηση των αντίστοιχων μέτρων για την διαμόρφωση συνεχούς συμμόρφωσής της στις απαιτήσεις του GDPR. Το έργο θα αφορά όλες τις λειτουργικές Μονάδες της ΕΣΔΥ, όπως αναφέρονται παρακάτω: 1. Τομέας Επιδημιολογίας & Βιοστατιστικής 2. Τομέας Οικονομικών της Υγείας 3. Τομέας Μικροβιολογίας της Δημόσιας Υγείας 4. Τομέας Επαγγελματικής & Βιομηχανικής Υγιεινής 5. Τομέας Κτηνιατρικής Δημόσιας Υγιεινής 6. Τομέας Παρασιτολογίας Εντομολογίας & Τροπικών Νοσημάτων 7. Τομέας Δημόσιας & Διοικητικής Υγιεινής 8. Τομέας Διοίκησης & Οργάνωσης Υπηρεσιών Υγείας 9. Τομέας Υγείας του Παιδιού 10. Τομέας Υγιεινής Περιβάλλοντος & Υγειονομικής Μηχανικής 11. Τομέας Κοινωνιολογίας 12. Τομέας Υγιεινής της Διατροφής & Βιοχημείας 13. Οικονομικό Τμήμα 14. Γραφείο Προσωπικού 15. Γραφείο Εκπαίδευσης
16. Βιβλιοθήκη 17. Γραφείο Φοιτητικής Μέριμνας 18. Γραφείο Πληροφορικής 19. Γραφείο Τεχνικής Υποστήριξης 20. Γραφείο Πρωτοκόλλου 21. Ειδικός Λογαριασμός Κονδυλίων Έρευνας της ΕΣΔΥ (ΕΛΚΕ-ΕΣΔΥ). Όπου στο κείμενο αναφέρεται ως Φορέας η ΕΣΔΥ εννοείται ότι συμπεριλαμβάνεται και ο ΕΛΚΕ-ΕΣΔΥ. Η ΕΣΔΥ διατηρεί και επεξεργάζεται πληθώρα δεδομένων προσωπικού χαρακτήρα, καθώς και πληροφορίες σε ηλεκτρονικά ή/και φυσικά αρχεία, τα οποία μπορούν να ταυτοποιήσουν φυσικά πρόσωπα: εργαζομένους, συνεργάτες, φοιτητές, προμηθευτές, κ.α. Επιπλέον, η οργανωτική της δομή απαιτεί την υποστήριξη των εσωτερικών αναγκών επικοινωνίας και διακίνησης εγγράφων. Οι εν λόγω ροές, θα πρέπει να καταγραφούν και να αποτυπωθούν σε ένα σχέδιο διασφάλισης για την ΕΣΔΥ λαμβάνοντας υπόψη και την υποχρέωση της ΕΣΔΥ να εναρμονιστεί στον Κανονισμό GDPR που πρόκειται να εφαρμοσθεί σε όλους τους δημόσιους φορείς από τον Μάιο του 2018. Στο πλαίσιο αυτό, ζητούνται Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (Information Security Management System - ISMS), με βάση το διεθνές πρότυπο ISO/IEC 27001:2013, καθώς επίσης και εφαρμογή Προγράμματος Προστασίας Προσωπικών Δεδομένων, σύμφωνα με το νέο Κανονισμό για την Προστασία των Δεδομένων (GDPR). Το σύστημα αυτό θα εξασφαλίζει ότι στις διαδικασίες της ΕΣΔΥ εμπεριέχονται όλοι οι απαραίτητοι έλεγχοι σε θέματα εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας της πληροφορίας ώστε να προστατεύονται τα δεδομένα και οι εμπλεκόμενοι πόροι σε κάθε δραστηριότητά της. Αντικείμενο του έργου αυτού θα είναι μία μελέτη ωριμότητας της ΕΣΔΥ έναντι του
κανονισμού GDPR, η οποία θα αφορά σε: 1. αξιολόγηση όλων των τομέων δραστηριότητας της ΕΣΔΥ και όλων των λειτουργικών Μονάδων της ως προς την ετοιμότητά τους έναντι του GDPR, 2. εντοπισμό όλων των περιοχών όπου δεν παρατηρείται πλήρης ετοιμότητα και απαιτούνται ενέργειες συμμόρφωσης, 3. πρόταση αναλυτικών μέτρων, ώστε η ΕΣΔΥ να ξεκινήσει εγκαίρως την υλοποίηση όλων των διορθωτικών ενεργειών συμμόρφωσης, 4. ορισμό σημείων ελέγχου για την τήρηση των διαδικασιών και την ορθή εφαρμογή των κανόνων, 5. εκπαίδευση και επιθεώρηση του συνόλου του προσωπικού της ΕΣΔΥ. 6. έλεγχο ορθής υλοποίησης (η υλοποίηση αποτελεί ευθύνη της ΕΣΔΥ) σε πιθανές αλλαγές στη διαμόρφωση των μηχανογραφικών συστημάτων και εφαρμογών της ΕΣΔΥ, 7. τελικό επανέλεγχο και η επιβεβαίωση υλοποίησης των απαιτήσεων του προτύπου ISO 27001 και συμμόρφωσης κατά GDPR, Ο Ανάδοχος, στην αναλυτική τεχνικοοικονομική προσφορά του, θα καταθέσει σαφές και δεσμευτικό χρονοδιάγραμμα ολοκλήρωσης του έργου που θα περιλαμβάνει τουλάχιστον τα παραπάνω επιμέρους βήματα με καταληκτική ημερομηνία για τις απαιτήσεις του GDPR την 25 η Μαΐου 2018, και του ISO 27001 έως το τέλος του 2018. Ο Ανάδοχος θα έχει επίσης την ευθύνη του project management του έργου ως προς τις ενέργειες που έχει αναλάβει. Η ΕΣΔΥ θα διαθέσει τους κατάλληλους πόρους και θα συμμετέχει με τα στελέχη της ενεργά σε όλη τη διάρκεια του έργου για την επιτυχή ολοκλήρωσή του στα προβλεπόμενα χρονικά πλαίσια.
Η εκτιμώμενη αξία της σύμβασης ανέρχεται στο ποσό των 19.000,00 πλέον ΦΠΑ 24 % (προϋπολογισμός χωρίς ΦΠΑ: 19.000,00 με ΦΠΑ : 23.560,00 ). Η σύμβαση θα ανατεθεί με το κριτήριο της χαμηλότερης προσφερόμενης τιμής. 2. ΤΡΟΠΟΣ ΣΥΝΤΑΞΗΣ ΠΡΟΣΦΟΡΩΝ Οι προσφορές πρέπει: να έχουν συνταχθεί στην Ελληνική γλώσσα, με εξαίρεση τους τεχνικούς όρους που αναφέρονται στην προσφορά και μπορούν να υποβάλλονται στην Αγγλική γλώσσα. να είναι δακτυλογραφημένες και να μη φέρουν ξέσματα, παράτυπες διορθώσεις, σβησίματα, διαγραφές, προσθήκες, κλπ. Θα πρέπει να είναι με τα ίδια στοιχεία εκτυπωτικής μηχανής και μονογραμμένες από τον διαγωνιζόμενο. Ο φάκελος της προσφοράς θα πρέπει απαραίτητα να φέρει την ΕΠΩΝΥΜΙΑ και τη ΔΙΕΥΘΥΝΣΗ του Διαγωνιζόμενου και να γράφει ευκρινώς τις παρακάτω ενδείξεις: α. "ΠΡΟΣΟΧΗ - ΝΑ ΜΗΝ ΑΝΟΙΧΘΕΙ Ο ΦΑΚΕΛΟΣ" με κεφαλαία γράμματα β. H λέξη "ΠΡΟΣΦΟΡΑ" με κεφαλαία γράμματα γ. Για την πρόσκληση εκδήλωσης ενδιαφέροντος με Αριθμό πρωτοκόλλου:442/15-03-2018 Οι ενδιαφερόμενοι θα πρέπει απαραίτητα να δηλώνουν τη συμμόρφωσή τους με τις ακόλουθες τεχνικές προδιαγραφές: 3. ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ Αναλυτικά το έργο θα περιλαμβάνει: Ανάλυση της τρέχουσας κατάστασης ως προς την προστασία των προσωπικών δεδομένων, που περιλαμβάνει την αξιολόγηση των υφιστάμενων πρακτικών, των γραπτών πολιτικών και διαδικασιών, των πληροφοριακών συστημάτων
και δικτυακών υποδομών, και κάθε στοιχείου που επηρεάζει την προστασία προσωπικών δεδομένων σε όλες τις δραστηριότητες, τα τμήματα και τις διευθύνσεις της ΕΣΔΥ. Παράλληλα θα αξιολογηθεί η υφιστάμενη κατάσταση ως προς την ασφάλεια των πληροφοριών και την επιχειρησιακή συνέχεια που αποτελούν συστατικά της προστασίας των δεδομένων. Δημιουργία λεπτομερών data flow maps ανά λειτουργική Μονάδα ή ανά κατηγορία προσωπικών δεδομένων, όπου θα απεικονίζονται όλες οι πληροφορίες σχετικά με τη διαχείριση των προσωπικών δεδομένων στον οργανισμό. Τα data flow maps θα καλύπτουν την απαίτηση του GDPR για το αρχείο δραστηριοτήτων επεξεργασίας δεδομένων και θα περιέχουν όλες τις επιπλέον απαραίτητες πληροφορίες, ώστε να απεικονίζεται πλήρως η τρέχουσα κατάσταση ως προς τη διαχείριση προσωπικών δεδομένων και να εντοπίζονται κενά ως προς τις απαιτήσεις του θεσμικού πλαισίου. Εύρεση κενών ως προς την ικανοποίηση των απαιτήσεων του κανονισμού (Gap Analysis), κατηγοριοποιημένα ανά θεματική περιοχή και κρισιμότητα. Για κάθε κενό που εντοπίζεται, καθορισμός των απαραίτητων ενεργειών αντιμετώπισης και δημιουργία ενός λεπτομερούς, προτεραιοποιημένου και ολοκληρωμένου πλάνου συμμόρφωσης (compliance plan and roadmap). Σύνταξη Μελέτης Εκτίμησης αντίκτυπου (Data Privacy Impact Assessment) με βάση τη μεθοδολογία του ISO 29134, την οδηγία του WP29 και τις υφιστάμενες οδηγίες των Ευρωπαϊκών Αρχών Προστασίας Δεδομένων. Σύνταξη των απαραίτητων Πολιτικών και Διαδικασιών Προστασίας Προσωπικών Δεδομένων, Ασφάλειας Πληροφοριών και Επιχειρησιακής Συνέχειας με βάση τα προτεινόμενα μέτρα του πλάνου συμμόρφωσης. Σύνταξη Ανάλυσης Επικινδυνότητας για την ασφάλεια πληροφοριών της ΕΣΔΥ (Information Security Risk Assessment).
Σύνταξη Ανάλυσης Επικινδυνότητας (Risk Assessment) ως προς κινδύνους διακοπής των εργασιών, Πλάνου Επιχειρησιακής Συνέχειας (Business Continuity Plan) και Σχεδίου Ανάκαμψης από Καταστροφή (Disaster Recovery Plan) που να εξασφαλίζουν την επιχειρησιακή συνέχεια της ΕΣΔΥ. Οι ανωτέρω αναλύσεις επικινδυνότητας και εκτίμησης επιπτώσεων θα πρέπει να είναι συμβατές μεταξύ τους και να μη περιέχουν αλληλεπικαλύψεις, κενά ή αλληλοσυγκρουόμενες πληροφορίες. Η ανωτέρω αξιολόγηση θα περιλαμβάνει τουλάχιστον τα εξής: Αξιολόγηση της νομικής βάσης, στην οποία στηρίζεται η συλλογή του συνόλου των συλλεγόμενων προσωπικών δεδομένων, της παρεχόμενης συναίνεσης από τον εκάστοτε συμβαλλόμενο, των παρεχόμενων πληροφοριών κ.λπ. Αξιολόγηση δυνατότητας ικανοποίησης των δικαιωμάτων των φυσικών προσώπων. Αξιολόγηση ικανοποιητικού επιπέδου ασφαλείας και επιχειρησιακής συνέχειας. Αξιολόγηση επαρκούς οργανωτικής δομής. Αξιολόγηση συμβάσεων με τρίτους που εκτελούν επεξεργασία προσωπικών δεδομένων της ΕΣΔΥ. Αξιολόγηση κουλτούρας και ευαισθητοποίησης στα θέματα προστασίας προσωπικών δεδομένων. Αξιολόγηση πληροφορικών συστημάτων και πολιτικών που επιβάλλονται από την πληροφορική. Αξιολόγηση μηχανισμών ελέγχου και διασφάλισης της συμμόρφωσης. Αξιολόγηση σχετικών γραπτών πολιτικών και διαδικασιών. Με σκοπό την επιτυχή υλοποίηση των σκοπών του έργου ο υποψήφιος Ανάδοχος είναι απαραίτητο να: Συμπεριλάβει ανάλυση της τρέχουσας κατάστασης των πληροφοριακών
συστημάτων και δικτυακών υποδομών, των υφιστάμενων πολιτικών, διαδικασιών και πρακτικών, οι οποίες σχετίζονται με την ασφάλεια των πληροφοριών, την επιχειρησιακή συνέχεια και την προστασία των δεδομένων. Διεξάγει συνεντεύξεις με τα αρμόδια στελέχη από κάθε τμήμα της ΕΣΔΥ καλύπτοντας κάθε δραστηριότητα και τμήμα. Διεξάγει λεπτομερή αξιολόγηση των επιπτώσεων στην προστασία δεδομένων, βάσει του προτύπου ISO 29134, της κατευθυντήριας οδηγίας του WP29 και άλλων σχετικών διεθνών κατευθυντήριων γραμμών, οι οποίες αξιολογούν τους κινδύνους που σχετίζονται με θέματα ασφάλειας των πληροφοριών και τα νομικά ζητήματα προστασίας δεδομένων και δίνουν προτεραιότητα στα ευρήματα, ανάλογα με το επίπεδο κινδύνου. Δημιουργήσει λεπτομερές πλάνο ενεργειών αντιμετώπισης και διαχείρισης των ευρημάτων, έτσι ώστε οι επικεφαλής όλων των επιμέρους δραστηριοτήτων να είναι σε θέση να εφαρμόσουν τις απαραίτητές ενέργειες. Παρέχει ένα λεπτομερές data flow map ανά επιχειρησιακή μονάδα, τμήμα ή ανά κατηγορία προσωπικών δεδομένων με σκοπό την πλήρη συμβατότητα με τις απαιτήσεις του κανονισμού GDPR σχετικά με τα αρχεία των δραστηριοτήτων επεξεργασίας. Πραγματοποιήσει έλεγχο σε όλες τις εμπλεκόμενες εφαρμογές λογισμικού, σε όλα τα αποθηκευτικά μέσα (ψηφιακά, έντυπα, ηχητικά, κα) καθώς και να προτείνει με σαφήνεια τις απαιτούμενες αλλαγές και τροποποιήσεις βάσει του νέου κανονισμού. Η αξιολόγηση θα περιλαμβάνει την αξιολόγηση του συνόλου των συλλεγόμενων προσωπικών δεδομένων, της νομικής βάσης πάνω στην οποία
στηρίζεται η συλλογή, της παρεχόμενης συναίνεσης από τον εκάστοτε συμβαλλόμενο, των παρεχόμενων πληροφοριών κ.λπ. Ο Ανάδοχος του έργου θα παρέχει λίστα προτάσεων σχετικά με τις αναγκαίες δράσεις αντιμετώπισης (συμπεριλαμβανομένων και των προτεινόμενων τεχνολογικών λύσεων) για κάθε κενό ή έλλειψη που προκύπτει. Πραγματοποιήσει αξιολόγηση όλων των διαφορετικών τύπων συμβάσεων της ΕΣΔΥ με τρίτους, να εντοπίσει κενά και να προτείνει ενέργειες με σκοπό την προσαρμογή τους στον νέο κανονισμό. Πραγματοποιήσει αξιολόγηση όλων των πρακτικών που σχετίζονται με την επεξεργασία των προσωπικών δεδομένων και να παρέχει συγκεκριμένες και λεπτομερείς προτάσεις για δράσεις συμμόρφωσης με τον νέο κανονισμό. Παρέχει ένα λεπτομερές, προτεραιοποιημένο και ολοκληρωμένο πλάνο συμμόρφωσης. Όλες οι προτεινόμενες ενέργειες συμμόρφωσης είναι απαραίτητο να καλύπτουν ολόκληρο τον κύκλο ζωής των προσωπικών δεδομένων (δηλ. συλλογή, καταγραφή, τροποποίηση / ενημέρωση, αποθήκευση, μεταφορά, διαγραφή / καταστροφή κ.λπ.) και να έχουν συμφωνηθεί με την ομάδα έργου και τους επιχειρησιακούς ιδιοκτήτες των δεδομένων της ΕΣΔΥ πριν την παράδοση του πλάνου συμμόρφωσης. 4. ΦΑΣΕΙΣ ΕΡΓΟΥ ΠΑΡΑΔΟΤΕΑ Φάση 1: Έναρξη έργου - Οργάνωση δράσεων Παρουσίαση στη διοίκηση και τα στελέχη της ΕΣΔΥ. Υποβολή προτάσεων οργάνωσης της ομάδας έργου. Παραδοτέα Πλάνο υλοποίησης έργου (Περιγραφή του Έργου στην οποία
περιγράφεται ο τρόπος προσέγγισης και εκτέλεσης του Έργου, συμπεριλαμβανομένης της σύνθεσης της Ομάδας Έργου, των επιμέρους καθηκόντων των προσώπων που θα την απαρτίζουν, των παραδοτέων και του χρονοδιαγράμματος). Πλάνο ποιότητας έργου. Φάση 2 - Συγκέντρωση δεδομένων & Υλοποίηση Ροών Εργασίας Επισκόπηση των επιχειρησιακών, τεχνικών και λειτουργικών διαδικασιών. Ανάπτυξη του αρχείου δραστηριοτήτων και πόρων επεξεργασίας της ΕΣΔΥ. Ανάπτυξη του αρχείου δραστηριοτήτων και πόρων επεξεργασίας για όλες τις κρίσιμες περιοχές επεξεργασίας. Ανάπτυξη διαγραμμάτων ροής δεδομένων που θα αποτυπώνουν τις φάσεις του κύκλου ζωής των δεδομένων, από τη συλλογή, χρήση, αποθήκευση, μεταφορά μέχρι και την καταστροφή τους. Συγκέντρωση των απαιτούμενων πληροφοριών για τη συλλογή και επεξεργασία των προσωπικών δεδομένων, μέσω της διενέργειας συνεντεύξεων με στελέχη όλων των τμημάτων, των διευθύνσεων και των υποκαταστημάτων. Εντοπισμός των κρίσιμων αποκλίσεων έναντι των απαιτήσεων του Κανονισμού GDPR. Παραδοτέα : Data Flow Maps που θα καλύπτουν την απαίτηση του GDPR για το αρχείο δραστηριοτήτων επεξεργασίας δεδομένων και θα περιέχουν όλες τις επιπλέον απαραίτητες πληροφορίες, ώστε να απεικονίζεται
πλήρως η τρέχουσα κατάσταση ως προς τη διαχείριση προσωπικών δεδομένων και να εντοπίζονται κενά ως προς τις απαιτήσεις του θεσμικού πλαισίου (διαγράμματα ροής δεδομένων προσωπικού χαρακτήρα, με κρίσιμες πληροφορίες). Σύστημα διαχείρισης εγγράφων και ροών εργασίας με εγκατεστημένες τις καταγεγραμμένες ροές εργασίας. Φάση 3 - Μελέτη ανάλυσης αποκλίσεων (Gap Analysis και Maturity Assessment) Μελέτη υφιστάμενης κατάστασης ως προς τη διαχείριση προσωπικών δεδομένων από: άποψης διαδικασιών. νομικής άποψης. άποψης ασφάλειας πληροφοριών. τεχνολογικής άποψης. Εντοπισμός μη συμμορφώσεων στις πρακτικές και διαδικασίες που εφαρμόζονται κατά τον χειρισμό των προσωπικών δεδομένων, ως προς: τις απαιτήσεις του GDPR. του κανονιστικού πλαισίου του έργου, συμπεριλαμβανομένων σχετικών δικαστικών αποφάσεων. των οδηγιών, κατευθύνσεων και αποφάσεων του WP29, της ΑΠΔΠΧ και των Ευρωπαϊκών Αρχών Προστασίας Δεδομένων. τις απαιτήσεις του ISO27001, ISO27002 και ISO27799 για την ασφάλεια πληροφοριών. Μελέτη ως προς τις υφιστάμενες επεξεργασίες δεδομένων (και της διαβαθμίσεώς τους), καθώς και συστημάτων πληροφορικής της ΕΣΔΥ. Αναγνώριση των σχετικών απαιτήσεων του Γενικού Κανονισμού ως προς
τις επιμέρους περιοχές επεξεργασίας προσωπικών δεδομένων. Μελέτη αποκλίσεων της υφιστάμενης κατάστασης της ΕΣΔΥ σε σχέση με τις απαιτήσεις του Κανονισμού για κάθε επεξεργασία. Η μελέτη θα πρέπει να περιλαμβάνεις τουλάχιστον τις παρακάτω περιοχές: Απαιτήσεις ως προς την υποχρέωση τήρησης αρχείου δραστηριοτήτων, Συναίνεση, Συλλογή, Χρήση, Αποθήκευση, Διατήρηση δεδομένων/καταστροφή, Δικαιώματα πρόσβασης, διόρθωσης, αλλαγής, διαγραφής και λήθης, Κοινοποίηση σε Τρίτα Μέρη, Διαβίβαση σε τρίτες χώρες, Ασφάλεια επεξεργασίας προσωπικών δεδομένων, Έλεγχος και παρακολούθηση των οργανωτικών και τεχνολογικών μέτρων, Πόροι, Γνωστοποίηση παραβίασης Προσωπικών Δεδομένων σε εποπτική αρχή ή/και στο υποκείμενο των δεδομένων. Καταγραφή των σχετικών ευρημάτων σε σχέση με το βαθμό ετοιμότητας της ΕΣΔΥ και τις επιμέρους αποκλίσεις που παρουσιάζει σε σχέση με τις ανωτέρω απαιτήσεις. Παραδοτέα Gap Analysis Φάση 4 - Ανάπτυξη σχεδίου διορθωτικών ενεργειών
Καταγραφή αναλυτικού και σαφούς σχεδίου στο οποίο θα συμπεριλαμβάνονται οι προτάσεις βελτίωσης ανά περιοχή/ μονάδα της ΕΣΔΥ, με σκοπό την αντιμετώπιση των ελλείψεων ή/ και αποκλίσεων σε σχέση με τις απαιτήσεις του Κανονισμού και τις απαιτήσεις του ευρύτερου κανονιστικού πλαισίου και των προτύπων, όπως αναλύεται παραπάνω. Προσέγγιση και προσδιορισμός συγκεκριμένων εργασιών ώστε να βελτιωθεί κατά το δυνατόν συντομότερα το επίπεδο συμμόρφωσης. Κατάθεση προτάσεων για τη διατήρηση στο μέλλον ικανοποιητικού επίπεδου συμμόρφωσης με τις απαιτήσεις του Κανονισμού. Κατάθεση προτάσεων αναφορικά με την πραγματοποίηση συγκεκριμένων εργασιών, σχετικά με την τροποποίηση υφιστάμενων διαδικασιών, καθώς και το περιβάλλον λειτουργίας των πληροφοριακών συστημάτων, με σκοπό τη συμμόρφωση με τον Κανονισμό. Παραδοτέα Compliance Plan που να συμπεριλαμβάνει προτάσεις αλλαγών. Privacy Impact Assessment. Information Security Risk Assessment. Business Continuity Plans. Disaster Recovery Plans. Δράσεις ευαισθητοποίησης. Δράσεις εκπαίδευσης. Σύνταξη πολιτικών και διαδικασιών: προστασίας δεδομένων. ασφάλειας δεδομένων κατά ISO 27001, ISO 27002 και ISO 27799. επιχειρησιακής συνέχειας κατά ISO 22301 και ISO 27031.
Internal Audit για τις παραπάνω πολιτικές και διαδικασίες, ώστε αυτές να είναι πιστοποιήσιμες 5. Ελάχιστες Προϋποθέσεις Συμμετοχής Ο υποψήφιος Ανάδοχος θα πρέπει: να υφίσταται ως εταιρεία και να είναι οικονομικά εύρωστος τα τελευταία 5 έτη. να διαθέτει εμπειρία στην παροχή συμβουλευτικών υπηρεσιών στον τομέα της ασφάλειας πληροφοριών σύμφωνα με το πρότυπο ISO27001 ή άλλα διεθνή πρότυπα ασφάλειας. να έχει αποδεδειγμένη γνώση των νομικών και τεχνικών θεμάτων των προσωπικών δεδομένων και σχετική προϋπηρεσία περιλαμβανομένης τυχόν έργων αξιολόγησης έναντι του κανονισμού GDPR και ιδιαίτερα στον κλάδο υπηρεσιών (τουλάχιστον 3 συναφή έργα). Ο υπεύθυνος του έργου να είναι έμπειρος Data Protection Officer και ISO 27001 Auditor. Η ομάδα έργου να περιλαμβάνει: o ειδικούς στην ασφάλεια πληροφοριών, o εξειδικευμένο νομικό στην προστασία δεδομένων, o ειδικούς στις τεχνολογικές υποδομές πληροφορικής και οι οποίοι να έχουν εμπλακεί σε έργα GDPR.
6. ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ ΔΑΠΑΝΗΣ ΠΕΡΙΓΡΑΦΗ ΣΥΝΟΛΟ ΧΩΡΙΣ ΦΠΑ ( ) ΣΥΝΟΛΟ ΜΕ ΦΠΑ ( ) ΠΑΡΟΧΗ ΣΥΜΒΟΥΛΕΥΤΙΚΩΝ ΥΠΗΡΕΣΙΩΝ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΟΝ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ 19.000,00 23.560,00 Διευκρινίζεται ότι οι ενδιαφερόμενοι θα πρέπει να καταθέσουν έγγραφη προσφορά που θα αφορά στο σύνολο της πρόσκλησης.
7. ΤΟΠΟΣ ΚΑΙ ΧΡΟΝΟΣ ΠΑΡΑΔΟΣΗΣ Ο τόπος παράδοσης των υπηρεσιών, είναι η Εθνική Σχολή Δημόσιας Υγείας. 8. ΤΡΟΠΟΣ ΠΛΗΡΩΜΗΣ Η πληρωμή του αναδόχου θα πραγματοποιηθεί στο τέλος του έργου, μετά την ποιοτική και ποσοτική παραλαβή των παραδοτέων, την οριστική παραλαβή του έργου και όλων των προβλεπόμενων δικαιολογητικών και σε χρόνο προσδιοριζόμενο από την αναγκαία διοικητική διαδικασία για έκδοση των σχετικών χρηματικών ενταλμάτων. 9. ΤΡΟΠΟΠΟΙΗΣΗ ΣΥΜΒΑΣΗΣ ΕΠΕΚΤΑΣΗ ΑΝΤΙΚΕΙΜΕΝΟΥ Η σύμβαση τροποποιείται όταν συμφωνήσουν, εγγράφως προς τούτο, τα δύο συμβαλλόμενα μέρη. Η αναθέτουσα Αρχή, με την επιφύλαξη της εξασφάλισης των κατά περίπτωση απαιτούμενων εγκρίσεων, δικαιούται να ζητήσει από τον Ανάδοχο συμπληρωματικές υπηρεσίες από τα προβλεπόμενα στην παρούσα, στην περίπτωση που αυτό αποδειχθεί απαραίτητο για την κάλυψη απρόβλεπτων αναγκών της Αναθέτουσας Αρχής, εξ αιτίας οργανωτικών ή άλλων ρυθμίσεων που είναι πιθανό να προκύψουν και ο Ανάδοχος, στην περίπτωση αυτή, υποχρεούται στην υλοποίηση του συμπληρωματικού αυτού έργου, σε χρόνο και με τρόπο που θα συμφωνηθεί από κοινού και με κόστος ίδιο ή ανάλογο του προσφερόμενου για ίδιες ή αντίστοιχες υπηρεσίες. 10. ΑΞΙΟΛΟΓΗΣΗ ΠΡΟΣΦΟΡΩΝ Κριτήριο ανάθεσης της Σύμβασης είναι η χαμηλότερη προσφερόμενη τιμή.
11. ΠΛΗΡΟΦΟΡΙΕΣ / ΚΑΤΑΛΗΚΤΙΚΗ ΗΜΕΡΟΜΗΝΙΑ ΥΠΟΒΟΛΗΣ Οι προσφορές θα γίνονται δεκτές σε έντυπη μορφή μέχρι και την Παρασκευή 30/03/2018 και ώρα 12:00 στον Ε.Λ.Κ.Ε.-Ε.Σ.Δ.Υ. στα κάτωθι στοιχεία: ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196 Αθήνα Τ.Κ.: 115 21 Τηλ. Επικοινωνίας: 213-2010184,394 Πληροφορίες για την παρούσα πρόσκληση εκδήλωσης ενδιαφέροντος αναφορικά με τις τεχνικές προδιαγραφές οι ενδιαφερόμενοι μπορούν να λαμβάνουν από την κα. Γκαράνη Σταματία στο τηλέφωνο 213-2010251, e-mail : sgarani@esdy.edu.gr, όλες τις εργάσιμες ημέρες, από 10:00 14:00. Η Πρόεδρος της Επιτροπής Ερευνών και Διαχείρισης (Ε.Ε.Δ.) ΕΛΚΕ-ΕΣΔΥ Δρ. Ελπίδα Πάβη