Externalizare funcție Responsabil cu protectia datelor cu caracter personal - servicii GDPR
SEAPIDStare
DA25710054
Data28 Mai 2020
Valoare1.000 RON
Oferta acceptata
Autoritatea contractantaLocalitateBucuresti, Bucuresti
FurnizorTipul contractuluiServicii
Cod CPVDescriere:Externalizare funcție Responsabil cu protectia datelor cu caracter personal - servicii GDPR
Achizitii1.000 RON
Cantitate: 1
Unitate masura: lunar
Externalizare funcție Responsabil cu protectia datelor cu caracter personal - servicii GDPR - DPO
Serviciul se referă la externalizarea funcției "Responsabil cu protecția datelor cu caracter personal", cod COR 242231, conform prevederilor art. 37 al. (6) din Regulamentul UE nr. 679/2016 (GDPR).
Activitățile ce vor fi prestate în urma achiziției acestui serviciu, vor fi:
1. Elaborarea documentelor care descriu procedurile (politicile) de prelucrare a datelor cu caracter personal, după o analiză prealabilă și evaluare a impactului prelucrării (dacă este cazul), conform Deciziei ANSPDCP nr. 174/2018.
2. Informarea și consilierea permanentă a personalului cu funcții manageriale, cu privire la respectarea și eficiența procedurilor de prelucrare a datelor cu caracter personal, la necesitatea adaptării acestora în funcție de eventuale deficiențe constatate precum și ori de câte ori intervin schimbări legislative, elemente de noutate privind decizii emise de ANSPDCP ori determinate de activitatea Autorității Contractante.
3. Informarea și consilierea permanentă a personalului Autorității Contractante, cu privire la modalitățile de aplicare a procedurilor de prelucrare a datelor cu caracter personal, ori de câte ori se solicită acest lucru precum și cu frecvența sau în situațiile impuse prin documentele procedurale.
4 Elaborarea documentelor suport solicitate sau necesare pentru îndeplinirea obligațiilor de informare, consiliere și aplicare a procedurilor (politicilor) de prelucrare a datelor cu caracter personal – documente de informare, documente de obținere a acordurilor, documente (contractuale) cu caracter juridic, privind reglementarea relațiilor de parteneriat care implică accesarea sau transferarea datelor cu caracter personal, conform prevederilor art. 26 sau art. 28 din GDPR, etc.
5 Monitorizarea continuă a respectării GDPR, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanelor împuternicite de operator (dacă este cazul) în ceea ce privește protecția datelor cu caracter personal. Impusa prin art. 32 din GDPR, activitatea are caracter periodic și reprezintă un audit complex care necesită:
-> verificarea modului de respectare a principiilor prelucrării datelor cu caracter personal, conform art. 5 din GDPR, cu precădere a modalităților prin care Beneficiarul poate îndeplini obligația prevăzută de art. 5 al. (2) din GDPR;
-> verificarea modurilor de asigurare a legalității datelor prelucrate, conform prevederilor art. 6-11 din GDPR si Legea 190/2018;
-> verificarea legalității prelucrărilor de date în colaborare cu parteneri comerciali, din perspectiva art. 26 și 28 din GDPR;
-> verificarea modurilor în care se asigură respectarea/exercitarea drepturilor prevăzute de art. 12-22 din GDPR, de art. 4-5 din Legea 190/2018 și cele prevăzute prin Legea 506/2004 (dacă e cazul);
-> verificarea modurilor de asigurare a evidenței activităților de prelucrare, conform art. 30 din GDPR, sau din perspectiva necesității respectării principiilor limitării datelor colectate si perioadei de prelucrare strict în funcție de scopul declarat;
-> verificarea necesității de evaluare a impactului operațiunilor de prelucrare asupra protecției datelor cu caracter personal, prevăzută de art. 35 din GDPR și Decizia 174/18.10.2018 a ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) publicată în M.Of. nr. 919 din 31.10.2018;
-> verificarea eficienței măsurilor și politicilor de securitate implementate pentru sistemele electronice de prelucrarea a datelor cu caracter personal (sisteme de calcul, sisteme de supraveghere video, dispozitive de monitorizare GPS, sisteme de control acces și/sau de alarmă, etc.);
-> verificarea respectării prevederilor GDPR privind transferul datelor în afara României (dacă este cazul), conform prevederilor art. 44-49 din GDPR;
-> verificarea încadrării modurilor de prelucrare a datelor cu caracter personal în situațiile prevăzute de Legea 506/2004 și Legea 363/2018 precum și a nivelului de respectare a acestor norme;
-> întocmirea raportului periodic de evaluare, care va conține: rezultatele verificărilor întreprinse, eventuale disfuncții constatate, recomandări pentru eliminarea problemelor sau eficientizarea unor moduri de lucru, precum și urmărirea soluționării acestora si reinstruirea personalului, dacă reiese această necesitate;
6. Furnizarea de consiliere în ceea ce privește evaluarea impactului asupra protecției datelor și consultarea ANSPDCP, în conformitate cu art.35 din GDPR și Decizia ANSPDCP nr. 174 din 2018, asigurându-se totodată managementul continuu al riscurilor și a impactului prelucrărilor, precum și elaborarea tuturor documentelor necesare, în funcție de dinamica activităților desfășurate de Autoritatea Contractantă.
7. Asumarea rolului de punct de contact pentru ANSPDCP privind aspectele legate de prelucrare, elaborarea oricăror documente solicitate de ANSPDCP, inclusiv consultarea prealabilă menționată la art.36 din GDPR, precum și dacă este cazul, consultarea cu privire la orice altă chestiune.
8. Asumarea rolului de punct de contact pentru persoanele vizate prin prelucrarea datelor cu caracter personal, în legătură cu toate chestiunile legate de prelucrarea datelor lor și de exercitare a drepturilor în temeiul GDPR și a altor norme de drept intern.
9. Informarea și instruirea membrilor personalului cu privire la obligațiile ce le revin din perspectiva normelor legale și procedurilor interne care descriu prelucrarea datelor cu caracter personal (inclusiv în format electronic) precum și a recomandărilor formulate în documentele de audit.
Activitățile descrise mai sus vor fi prestate de personal licențiat prin studii universitare de lungă durată atât în domeniul științelor inginerești - domeniul IT&C, cât și în domeniul științelor juridice, cu experiență profesională de peste 20 de ani în domeniul protecției și securității sistemelor informatice.