SERVICII DE GESTIONARE A DATELOR CU CARACTER PERSONAL – CONFORMARE GDPR
SEAPIDStare
DA34385793
Data27 Octombrie 2023
Valoare10.000 RON
Oferta acceptata
Autoritatea contractantaLocalitateBucuresti, Bucuresti
FurnizorTipul contractuluiServicii
Cod CPVDescriere:1. Auditul fluxului de date GDPR - Identificarea prelucrǎrilor de date desfǎșurate ȋn cadrul organizației și realizarea registrului activitǎților de prelucrare de date (conform art.30 din Regulamentul 679/ 2016)
Auditul prelucrǎrilor de date trebuie sa cuprinda urmatoarele etape:
• Identificarea datelor personale
Primul pas în cadrul auditului privind protecția datelor cu caracter personal este identificarea datelor personale de care dispune organizația, a prelucrărilor efectuate folosind aceste date şi a resurselor utilizate în cadrul prelucrărilor. Identificarea iniţială este realizată de către personalul organizaţiei, ulterior datele fiind analizate în detaliu de către personalul Business Generator. În cazul în care sunt necesare mai multe informaţii, este posibilă solicitarea de informaţii suplimentare sau consultarea angajaților.
• Clasificarea datelor
După identificarea datelor şi a prelucrărilor, urmează clasificarea acestora după diferite criterii (exemplu: date comune/ speciale, baza legală, mijloace de suport şamd). Pe baza tipurilor de date şi a prelucrărilor se va putea stabili necesitatea realizării evaluării de impact privind protecţia datelor personale. De asemenea, este posibil să fie identificate date neutilizate sau la care se poate renunţa şi care pot să nu mai fie prelucrate, conform principiului minimizării datelor.
Auditul situaţiei existente va presupune evaluarea situaţiei organizaţiei atât din punct de vedere al politicilor, procedurilor şi controalel
Achizitii5.000 RON
Cantitate: 2
Unitate masura: bucata
SERVICII DE GESTIONARE A DATELOR CU CARACTER PERSONAL – CONFORMARE GDPR
1. Auditul fluxului de date GDPR - Identificarea prelucrǎrilor de date desfǎșurate ȋn cadrul organizației și realizarea registrului activitǎților de prelucrare de date (conform art.30 din Regulamentul 679/ 2016)
Auditul prelucrǎrilor de date trebuie sa cuprinda urmatoarele etape:
• Identificarea datelor personale
Primul pas în cadrul auditului privind protecția datelor cu caracter personal este identificarea datelor personale de care dispune organizația, a prelucrărilor efectuate folosind aceste date şi a resurselor utilizate în cadrul prelucrărilor. Identificarea iniţială este realizată de către personalul organizaţiei, ulterior datele fiind analizate în detaliu de către personalul Business Generator. În cazul în care sunt necesare mai multe informaţii, este posibilă solicitarea de informaţii suplimentare sau consultarea angajaților.
• Clasificarea datelor
După identificarea datelor şi a prelucrărilor, urmează clasificarea acestora după diferite criterii (exemplu: date comune/ speciale, baza legală, mijloace de suport şamd). Pe baza tipurilor de date şi a prelucrărilor se va putea stabili necesitatea realizării evaluării de impact privind protecţia datelor personale. De asemenea, este posibil să fie identificate date neutilizate sau la care se poate renunţa şi care pot să nu mai fie prelucrate, conform principiului minimizării datelor.
Auditul situaţiei existente va presupune evaluarea situaţiei organizaţiei atât din punct de vedere al politicilor, procedurilor şi controalelor legate de protecţia şi securitatea datelor personale, cât şi din punct de vedere al activelor pe care se bazează prelucrările de date personale.
2. Evaluarea organizației din punct de vedere al politicilor, procedurilor și controalelor legate de protecția datelor
Acest audit presupune evaluarea situaţiei organizaţiei din punct de vedere al politicilor, procedurilor şi controalelor legate de protecţia datelor personale cât şi din punct de vedere al activelor pe care se bazează prelucrările de date personale.
Controalele evaluate trebuie sa fie:
• Controale specifice datelor prelucrate;
• Controale generale de securitate privind sistemul în care se efectuează prelucrările de date;
• Controale organizaţionale.
3. Realizarea Evaluǎrii de impact asupra protecției datelor (conform art.35 din Regulamentul 679/ 2016);
Pentru operaţiunile de prelucrare identificate ca susceptibile să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, vor fi efectuate evaluări ale impactului asupra protecţiei datelor, care să estimeze, în special, originea, natura, specificitatea şi gravitatea acestui risc.
Rezultatul evaluării va fi luat în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă regulamentul.
Vor fi analizate trei categorii de riscuri ce pot afecta prin materializare confidenţialitatea datelor:
• Accesarea neautorizată a datelor;
• Modificarea neautorizată a datelor;
• Pierderea datelor.
În urma evaluării riscurilor, va rezulta un plan de acțiune cuprinzând politici, controale şi măsuri tehnice sau organizaţionale necesare pentru atenuarea riscurilor identificate.
4. Realizarea Evaluǎrii interesului legitim al organizaţiei (conform motivației 47 din Regulamentul 679/ 2016);
Pentru operaţiunile de prelucrare la care a fost identificat ca bază legală art.6(f) – Intersul legitim, va fi efectuată evaluarea interesului legitim al organizaţiei ce va cuprinde testarea echilibrului (balancing test) între interesul organizației și interesele și drepturile fundamentale ale persoanelor vizate. Rezultatul evaluării va fi luat în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă regulamentul.
5. Asistențǎ la adaptarea politicilor, procedurilor și controalelor existente la cerințele GDPR sau la realizarea lor, ȋn cazul ȋn care acestea nu existǎ;
În acest serviciu sunt incluse următoarele activităţi:
• Elaborarea politicilor și procedurilor de protecție a datelor identificate în planul de acţiune (în cazul în care acestea nu există);
• Propuneri de adaptare a procedurilor interne de protecție a datelor existente, la cerințele GDPR;
• Propunerea de măsuri tehnice pentru securitatea datelor cu caracter personal;
• Evaluări privind interesul legitim, în cazul în care există prelucrări care se bazează pe această bază legală.
6. Asistențǎ pentru realizarea documentației impusǎ de cǎtre GDPR (Regulamentul 679/ 2016);
Sunt incluse activităţile de pregătire/ menţinere a Documentației de conformitate: Registrul notificărilor către Autoritatea Națională, Registrul solicitărilor primite de la persoanele vizate, Registrul furnizorilor, Registrul încălcărilor securităţii datelor cu caracter personal, Registrul prelucrărilor de date pentru operator, Registrul prelucrarilor ca persoană împuternicită, planul de audit privind modul de respectare a cerinţelor regulamentului şamd).
7. Instruirea angajaților
În cadrul acestui serviciu, se va realiza instruirea şi conştientizarea angajaţilor cu privire la protecţia datelor. Acest serviciu se va realiza on-site sau off-site (prin intermediul platformei Docview pusă la dispoziţie pe durata contractului pentru instruiri legate de obiectul contractului) şi va cuprinde:
• Pregătirea documentaţiei necesare pentru instruirea şi conştientizarea angajaţilor;
• Cursuri de conștientizare a cerințelor privind protecţia datelor;
• Instruire specifică a angajaţilor privind protecţia datelor;
• Postarea cursurilor şi informărilor pe platforma Docview (ex:politici şi proceduri, cursuri, ştiri)
• Asistenţă angajaţi cu privire la utilizarea platformei Docview;
• Completarea evidenței privind instruirea personalului.
Pentru conştientizarea angajaţilor se vor transmite şi notificări prin e-mail legate de diferite subiecte privind protecţia datelor precum şi amenzi date de ANSPDCP şi măsuri de evitare a acestora.