Ανακοίνωση Π.Ε.Δ. Θεσσαλίας – Προσφορές για ένταξη των Δήμων στον Ευρωπαϊκό Κανονισμό (GDPR) 2016/679

ΑΝΑΚΟΙΝΩΣΗ

Η Περιφερειακή Ένωση Δήμων Θεσσαλίας

προκειμένου να υποστηρίξει οικονομικά και τεχνικά τους Δήμους της Περιφέρειας Θεσσαλίας ώστε ενταχθούν στον Ευρωπαϊκό Κανονισμό 679 / 2016 (GDPR) περί Προστασίας Προσωπικών Δεδομένων ζητά να υποβληθούν οικονομικές προσφορές για το σύνολο των Δήμων της Περιφέρειας, χωριστά.

Η Π.Ε.Δ. Θεσσαλίας θα χρηματοδοτήσει τους Δήμους, που θα επιλέξουν τη χαμηλότερη οικονομική προσφορά και που θα υλοποιήσουν τα έργα σεβόμενοι απολύτως συγκεκριμένες τεχνικές προδιαγραφές.

Οι οικονομικές προσφορές θα υποβληθούν στα γραφεία της Π.Ε.Δ. Θεσσαλίας στη Λάρισα, οδό Πανός 14, 4ος όροφος, και για λόγους διαφάνειας θα πρέπει να υποβάλλονται κλειστές, έως την 30-05-2018 ημέρα Τετάρτη και ώρα 12:00.

Σας διευκρινίζουμε ότι οι φορείς που θα αναθέσουν το έργο θα είναι οι Δήμοι και όχι η Π.Ε.Δ. Θεσσαλίας.

Οι Τεχνικές προδιαγραφές οι οποίες θα αποτελούν και τη βάση για το τελικό παραδοτέο θα περιλαμβάνουν τα παρακάτω :

Ενέργειες έναρξης καθορισμός διαδικασίας υλοποίησης των εργασιών.
Χαρτογράφηση της ροής των πληροφοριών του Δήμου και των νομικών του προσώπων που αφορούν την συλλογή, διάθεση και επεξεργασία τους, κατόπιν διενέργειας επιθεώρησης, συνεντεύξεων και καταγραφής των ακολουθούμενων διαδικασιών και υφιστάμενων υποδομών του Δήμου.
Αξιολόγηση του υφιστάμενου επιπέδου συμμόρφωσης του Δήμου και των νομικών του προσώπων με τον Κανονισμό ως προς την διαχείριση των προσωπικών δεδομένων.
Εντοπισμός των αποκλίσεων από τον Κανονισμό.
Κατάρτιση Πολιτικών και Κωδίκων Δεοντολογίας διαχείρισης προσωπικών δεδομένων. Σύνταξη σχεδίου συμμόρφωσης για την υιοθέτηση τεχνολογικών μεθόδων και μέτρων ασφαλείας, για την διαχείριση των προσωπικών δεδομένων, εναρμόνισή της λειτουργίας των οργανικών μονάδων.
Νομική υποστήριξη που αφορά στην κατάρτιση προτάσεων για την ανάληψη διορθωτικών ενεργειών με σκοπό τη συμμόρφωση με τον Κανονισμό, καθώς και σύνταξη και παράδοση υποδειγμάτων συναινέσεων και κειμένων προς ένταξη στις ήδη υπάρχουσες συμβάσεις. Νομική αξιολόγηση της διαχείρισης των δεδομένων προσωπικού χαρακτήρα και των συμβάσεων που συνάπτει ο Δήμος και των νομικών του προσώπων, υπό το φως των θεμελιωδών αρχών του Κανονισμού (Λογοδοσία, Περιορισμός του σκοπού, Διαφάνεια, Νομιμότητα και Αντικειμενικότητα, ελαχιστοποίηση δεδομένων, ακρίβεια, χρόνος διατήρησης/διαγραφή, Διαβιβάσεις, Δικαιώματα δημοτών.)
Διόρθωση διαδικασιών και πρακτικών στην διαχείριση προσωπικών δεδομένων μετά την εφαρμογή του σχεδίου συμμόρφωσης.
Ευαισθητοποίηση της Διοίκησης, Εκπαίδευση του Προσωπικού που επεξεργάζεται προσωπικά δεδομένα, με στόχο την συμμόρφωση του με τις απαιτήσεις του Κανονισμού.
Διαρκής, περιοδικός έλεγχος συμμόρφωσης του Δήμου, Υποστήριξη με εξειδικευμένο στέλεχος – υπεύθυνο επεξεργασίας δεδομένων (DPO).
Εκπαίδευση Στελεχών του Δήμου και των νομικών του προσώπων με πιστοποίηση κατά Ε.ΣΥ.Δ, που δύναται να αναλάβει τον ρόλο του Υπευθύνου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Data Protection Officer)
Πιστοποίηση του διοικητικού προσωπικού σε γνώσεις Πληροφορικής (Word, Excel, Intenet), η οποία είναι αναγνωρισμένη από τον Ε.Ο.Π.Π.Ε.Π. και αποδεκτή από το Α.Σ.Ε.Π. για πρόσληψη στο Ελληνικό Δημόσιο, και διαπιστευμένο από το Ε.ΣΥ.Δ. κατά ISO/IEC 17024:2012

Κατωτέρω παρατίθενται αναλυτικότερα, οι ζητούμενες υπηρεσίες και τα παραδοτέα, που θα τις συνοδεύουν σύμφωνα με τις απαιτήσεις του κανονισμού 679/2016:

1. Στάδιο προετοιμασίας –αποτύπωση υφιστάμενης κατάστασης

1.1 Δέσμευση Διοίκησης

Παρουσίαση στις Διοικήσεις του Δήμου, των νομικών του προσώπων και στα στελέχη των, των απαιτήσεων που θέτει ο Κανονισμός, προσδιορισμός όλων των απαραιτήτων ενεργειών που απαιτούνται για την εφαρμογή του, δέσμευση της διοίκησης, προσδιορισμός πόρων και προσβάσεων που θα παρασχεθούν στην ομάδα έργου και ενημέρωση του προσωπικού του Δήμου και των νομικών του προσώπων.

Παραδοτέο:

Ενέργειες πρώτης ενημέρωσης Διοικήσεων – προσωπικού συνοδευόμενο από Δήλωση Δέσμευσης των Διοικήσεων.

1.2 Καταγραφή υπευθύνων ανά οργανωτική μονάδα.

Προσδιορίζονται οι διευθύνσεις και τα τμήματα του Δήμου και των νομικών του προσώπων, γίνεται καταγραφή των ανά τμήμα και ανά αρχείο, δεδομένων των υπευθύνων. Η καταγραφή αποτυπώνεται στο μητρώο επεξεργασιών δεδομένων.

1.3 Καταγραφή διαθεσίμων φυσικών πόρων

Καταγραφή των διαθεσίμων ανθρώπινων πόρων ανά τμήμα που τίθενται στην διάθεση του Υπεύθυνου Προστασίας. Δημιουργία αντιπροσωπευτικής ομάδας εργασίας σε σχέση με τα υφιστάμενα δεδομένα και τις οργανωτικές μονάδες που τα επεξεργάζονται.

Παραδοτέο:

Έγγραφη αναφορά σε συμφωνία με τα μέλη της ομάδας εργασίας και προσδιορισμός αρμοδιοτήτων και υποχρεώσεων.

1.4 Καταγραφή και χαρτογράφηση των δεδομένων προσωπικού χαρακτήρα που τηρούνται στο Δήμο, της επεξεργασίας και της κυκλοφορίας τους.

Καταγραφή ανά επεξεργασία, αρχείο και είδος δεδομένων που τηρούνται και διακινούνται. Αποτύπωση ροής των προσωπικών δεδομένων (data flow map) ανά κατηγορία, ώστε να δημιουργηθούν τα Αρχεία των Δραστηριοτήτων Επεξεργασίας, κατ’ απαίτηση του Κανονισμού (ΕΕ) 2016/679 (άρθρο 30) και να υπάρχει πλήρης αποτύπωση της διαχείρισης των προσωπικών δεδομένων. Καθορισμός είδους επεξεργασίας, πηγές προέλευσης δεδομένων, χρόνος τήρησής τους.

Παραδοτέο:

«Αρχείο Δραστηριοτήτων Επεξεργασίας» σύμφωνα με το άρθρο 30 του Κανονισμού που είναι υποχρεωτικό, δεδομένου ότι ο Δήμος έχει περισσότερο από 250 άτομα προσωπικό.

1.5 Προσδιορισμός Νομικής Βάσης – έλεγχος ορθότητας.

Προσδιορίζεται η Νομική Βάση που στηρίζεται η επεξεργασία των δεδομένων, εξετάζεται, η ορθότητα, η πληρότητα και εγκυρότητα, η καταγραφή και τεκμηρίωση και ο τρόπος γνωστοποίησης στα υποκείμενα.

Παραδοτέο:

Πρότυπα κείμενα θεμελίωσης νομιμοποιητικής βάσης – οδηγίες ενσωμάτωσης στην κάθε μορφή επεξεργασίας, καταγραφής τεκμηρίωσης και γνωστοποίησης.

1.6 Χαρτογράφηση του εγκατεστημένου πληροφοριακού συστήματος

Έλεγχος, αξιολόγηση, καταγραφή πληροφοριακού συστήματος και δικτυακών υποδομών και διαδικασιών λειτουργίας.

Παραδοτέο:

Σχηματικό διάγραμμα του πληροφοριακού συστήματος με τις επί μέρους λειτουργίες αυτού.

1.7 Έλεγχος και αξιολόγηση πολιτικών και διαδικασιών.

Ελέγχονται οι πολιτικές και τα οργανωτικά μέτρα, η πολιτική ασφαλείας, οι διαδικασίες και η δυνατότητα ικανοποίησης των δικαιωμάτων των υποκειμένων ως προς την επάρκειά τους, η ύπαρξη σχεδίου σε περιστατικά παραβίασης. Έλεγχος αξιολόγησης διαδικασιών και τήρησής τους από το προσωπικό.

1.8 Καταγραφή τεκμηρίωσης

Χαρτογράφηση της υπάρχουσας τεκμηρίωσης, που αφορά την ασφάλεια των προσωπικών δεδομένων, εξέταση πληρότητας και ασφάλειάς της.

1.9 Εκτίμηση κινδύνων για τις δραστηριότητες επεξεργασίας

Παραδοτέο:

Αναφορά εκτίμησης κινδύνου για κάθε δραστηριότητα επεξεργασίας

1.10 Ανάπτυξη μεθοδολογίας για την διερεύνηση απαίτησης διεξαγωγής Μελέτης Εκτίμησης Αντικτύπου για την επεξεργασία των προσωπικών δεδομένων (DataPrivacyImpactAssessment-DPIA)

Παραδοτέο: ‘Έκθεση αξιολόγησης για απαίτηση ή μη διεξαγωγής DPIA

Μελέτη Εκτίμησης Αντικτύπου (DPIA) εφόσον προκύψει ότι απαιτείται

1.11. Έκθεση αποκλίσεων από τον κανονισμό (GapAnalysis)

Παραδοτέο: ‘Έκθεση αποκλίσεων (GapAnalysis)

Στάδιο ολοκλήρωσης διαδικασίας συμμόρφωσης

2.1 Προτεινόμενα μέτρα – Κατάρτιση σχεδίου συμμόρφωσης

Με βάση τις διαπιστώσεις, θα υπάρξει σχεδιασμός λεπτομερούς και ολοκληρωμένου πλάνου συμμόρφωσης με τις επιταγές του κανονισμού, που θα καλύπτει όλο το φάσμα των επεξεργασιών που γίνονται σε όλο τον κύκλο της ζωής των δεδομένων και αποτελούν αντικείμενο επεξεργασίας.

Παραδοτέο :

Αναλυτικό σχέδιο συμμόρφωσης με τον κανονισμό, που θα περιλαμβάνει όλα τα οργανωτικά και τεχνικά μέτρα που θα πρέπει να λάβει ο Δήμος και τα νομικά του πρόσωπα, αλλά και πιθανές συστάσεις που θα συντείνουν στην εν γένει εύρυθμη λειτουργία του.

2.2 Συγγραφή πολιτικών συλλογής, χρήσης, επεξεργασίας, αποθήκευσης, διόρθωσης, διαγραφής δεδομένων

Παραδοτέο:

Εγχειρίδιο πολιτικών διαδικασιών συλλογής και επεξεργασίας δεδομένων που μπορεί να αποτελεί και στοιχείο της πολιτικής ασφαλείας του Δήμου και των νομικών του προσώπων.

2.3 Συγγραφή πολιτικής ασφαλείας

Η πολιτική Ασφαλείας (Securitypolicy) αποτελεί έγγραφο του υπεύθυνου επεξεργασίας στο οποίο περιγράφονται οι στόχοι της ασφάλειας και οι αντίστοιχες διαδικασίες που πρέπει να ακολουθούνται. Καθορίζει την δέσμευση της Διοίκησης και του Δήμου, αναφορικά με την ασφάλεια των πληροφοριακών συστημάτων και δικτύων και την προστασία των δεδομένων που τηρεί ο υπεύθυνος επεξεργασίας και περιγράφονται οι βασικές αρχές προστασίας προσωπικών δεδομένων και ασφαλείας που εφαρμόζονται και αφορούν α) οργανωτικά μέτρα ασφαλείας αναφορικά με τις αρμοδιότητες όσων εμπλέκονται στην διαχείριση και επεξεργασία προσωπικών δεδομένων, εκπαίδευση, διαχείριση περιστατικών ασφαλείας, καταστροφή προσωπικών δεδομένων β) τεχνικά μέτρα ασφαλείας, αναφορικά με διαχείριση χρηστών, αναγνώριση, ασφάλεια, λειτουργία πληροφοριακού συστήματος. γ) μέτρα φυσικής ασφαλείας, προσδιορίζοντας επακριβώς τον ρόλο κάθε εμπλεκομένου εντός του Δήμου και των νομικών του προσώπων τις αρμοδιότητες τις ευθύνες και τα καθήκοντα που αφορούν την ασφάλεια.

Παραδοτέο:

Πλήρες κείμενο πολιτικής ασφάλειας

2.4 Συγγραφή σχεδίου ανάκαμψης από καταστροφές.

Το σχέδιο ανάκαμψης από καταστροφές (disasterrecoveryandcontingencyplan) είναι το έγγραφο που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περίπτωση έκτακτης ανάγκης. Συμπληρώνει ή αποτελεί μέρος του σχεδίου ασφαλείας και ελέγχεται περιοδικά.

Παραδοτέο:

Πλήρες κείμενο σχεδίου ανάκαμψης από καταστροφές.

2.5 ‘Έλεγχος και εφαρμογή μηχανισμού παραβιάσεων.

‘Έλεγχος υφιστάμενου ή εφαρμογή νέου μηχανισμού εντοπισμού παραβιάσεων (securityBreaches) ή απλών περιστατικών ασφαλείας (securityincident) με αυτόματη καταγραφή (Securitylog). Αποτελεί μέρος της υποχρεωτικής τεκμηρίωσης και απαραίτητο προαπαιτούμενο για την έγκαιρη αντίδραση σε κοινοποίηση παραβιάσεων.

2.6. Κατάρτιση σχεδίου διαχείρισης συμβάντων

Το σχέδιο διαχείρισης συμβάντων είναι το έγγραφο που αναφέρεται στις διαδικασίες που θα ακολουθηθούν σε περίπτωση παραβίασης ασφαλείας. Περιγράφει δε και την κατάλληλη διαδικασία αναθεώρησής της.

Παραδοτέο:

Πλήρες κείμενο διαχείρισης συμβάντων

2.7 Κατάρτιση Σχεδίου Αναγγελίας Διαρροής στην Αρχή Προστασίας Προσωπικών Δεδομένων

Κατάρτιση σχεδίου ώστε να είναι δυνατή η αναγγελία της διαρροής εντός 72 ωρών, όπως προβλέπεται από τον κανονισμό.

Παραδοτέο:

Σχέδιο Αναγγελίας Διαρροής.

2.8 Δημιουργία αρχείου καταγραφής ενεργειών (AuditLog)

Αποτελεί σημαντικό αρχείο της τεκμηρίωσης της συμμόρφωσης ή της προόδου που έχει γένει στην κατεύθυνση της συμμόρφωσης προς τις απαιτήσεις του κανονισμού. Περιλαμβάνει την καταγραφή των διαδικασιών συλλογής και επεξεργασίας των δεδομένων, το ποσοστό ολοκλήρωσης των διαφόρων σχεδίων.

Παραδοτέο:

Συλλογή αρχείων καταγραφής, αυτοματοποιημένων και μη.

2.9 Έλεγχος και προσαρμογή των συμβάσεων του οργανισμού εσωτερικά και με τρίτους:

Γίνεται έλεγχος των υπαρχουσών συμβάσεων του Δήμου και των νομικών του προσώπων, τόσον με το προσωπικό όσον και με εξωτερικούς συνεργάτες. Όπου χρειάζεται γίνεται αναμόρφωσή τους. Όπου δεν υπάρχουν συγγράφονται νέες.

Παραδοτέο:

Αναμορφωμένες συμβάσεις και πρότυπα συμβάσεων προσαρμοσμένα στον κανονισμό.

2.10 Εκπαίδευση εργαζομένων

Εκπαίδευση εργαζομένων, σε θέματα που αφορούν την τήρηση των προϋποθέσεων του κανονισμού. Δημιουργία κουλτούρας προστασίας προσωπικών δεδομένων.

Παραδοτέο:

Πρόγραμμα εκπαίδευσης ανά οργανωτική μονάδα με ορισμένο εκπαιδευτικό πρόγραμμα υλικό και παρουσιολόγιο. Αποτελεί τμήμα της απαραίτητης για την συμμόρφωση τεκμηρίωσης.

2.11 Επαναξιολόγηση.

Με την ολοκλήρωση του συνόλου των ενεργειών γίνεται επαναξιολόγηση του επιπέδου συμμόρφωσης του Δήμου και των νομικών του προσώπων.

Υπηρεσίες Υπεύθυνου προστασία δεδομένων DPO (DataProtectionOfficer)

Ορίζεται με ευθύνη του αναδόχου φυσικό πρόσωπο που θα διαθέτει την σχετική εκπαίδευση και Πιστοποίηση, ως Υπεύθυνος Προστασίας Δεδομένων του Δήμου και των νομικών του προσώπων. Εκτελεί όλα τα καθήκοντα του DPO σε όλο το χωρικό εύρος ανάπτυξης των υπηρεσιών του Δήμου και των νομικών του προσώπων, είναι προσβάσιμος από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αλλά και από τα υποκείμενα των δεδομένων για 24ώρες το 24ωρο και 365 το χρόνο. Οι υπηρεσίες του εξωτερικού DPO, θα παρέχονται από τον ανάδοχο από την ημερομηνία ολοκλήρωσης και παράδοσης των παραδοτέων της σύμβασης και για διάστημα 12 μηνών.