Πρόσκληση για την εκδήλωση ενδιαφέροντος για την παροχή συμβουλευτικών υπηρεσιών για την συμμόρφωση του Ιατρικού Συλλόγου Θεσσαλονίκης στον κανονισμό 2016/679 της ΕΕ και την εκτέλεση καθηκόντων Υπεύθυνου Προστασίας Δεδομένων (DPO) του Συλλόγου.

Ο Ιατρικός Σύλλογος Θεσσαλονίκης σας καλεί να εκδηλώσετε το ενδιαφέρον σας για τη σύναψη σύμβασης παροχής συμβουλευτικών υπηρεσιών προς τον Ι.Σ.Θ. προκειμένου να συμμορφωθεί στον Κανονισμό 2016/679 της ΕΕ και να υποστηριχθεί από τις υπηρεσίες Υπεύθυνου Προστασίας Δεδομένων.

Οι προτάσεις θα πρέπει να είναι σύμφωνες με τους ακόλουθους επισυναπτόμενους όρους του Διαγωνισμού, που αποτελούν αναπόσπαστο τμήμα του παρόντος.

Ο Ιατρικός Σύλλογος Θεσσαλονίκης δεν αναλαμβάνει δέσμευση ή υποχρέωση με την παρούσα πρόσκληση ενδιαφέροντος έναντι οποιουδήποτε τρίτου ή τρίτων που θα υποβάλουν προτάσεις για την ανάληψη έργου και επιφυλάσσεται να λάβει ελεύθερα τις αποφάσεις του, προκειμένου να διαφυλάξει την καλύτερη δυνατή  εξυπηρέτηση των μελών του σύμφωνα με την άποψη του Διοικητικού Συμβουλίου του Ιατρικού Συλλόγου Θεσσαλονίκης.

Σε ουδεμία περίπτωση γεννάται οποιοδήποτε δικαίωμα υπέρ των υπολοίπων υποψηφίων που μετέχουν στην πρόταση για αποζημίωση ή άλλη ικανοποίηση εις βάρος του Ιατρικού Συλλόγου Θεσσαλονίκης.

Το άνοιγμα των προτάσεων θα γίνει ενώπιον της αρμοδίας Επιτροπής σε ημερομηνία που θα οριστεί από το Διοικητικό Συμβούλιο και την αρμόδια Επιτροπή, η οποία μπορεί να καλέσει τους ενδιαφερόμενους για περαιτέρω προφορικές διευκρινίσεις, εφόσον το κρίνει. Κάθε θέμα που θα ανακύψει θα λύνεται από την αρμόδια Επιτροπή του Ιατρικού Συλλόγου Θεσσαλονίκης και το Διοικητικό Συμβούλιο του Ι.Σ.Θ.

Οι προτάσεις θα κατατεθούν από 22/5/2020 έως 29/5/2020.

ΓΙΑ ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ

ΤΟΥ ΙΑΤΡΙΚΟΥ ΣΥΛΛΟΓΟΥ ΘΕΣΣΑΛΟΝΙΚΗΣ

Ο ΠΡΟΕΔΡΟΣ                               Ο ΓΕΝ. ΓΡΑΜΜΑΤΕΑΣ

                                       Ν.ΝΙΤΣΑΣ                                     Μ.ΧΑΤΖΗΔΗΜΗΤΡΙΟΥ

ΟΡΟΙ ΔΙΑΓΩΝΙΣΜΟΥ

Προϋποθέσεις συμμετοχής

Δικαίωμα συμμετοχής έχουν πρόσωπα με τα ακόλουθα προσόντα:

·         Αποδεδειγμένη εμπειρία στην παροχή συμβουλευτικών υπηρεσιών ως προς την συμμόρφωση των επιχειρήσεων με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679 και στην παροχή υπηρεσιών Υπεύθυνου Προστασίας Δεδομένων. Για την τεκμηρίωση της ως άνω εμπειρίας, οι συμμετέχοντες θα πρέπει να έχουν αναλάβει αντίστοιχα έργα παροχής υπηρεσιών συμμόρφωσης προς τον Κανονισμό 2016/679 στον κλάδο παροχής υπηρεσιών υγείας, καθώς και ανάληψη του ρόλου του DPO.

·         Αποδεδειγμένα εξειδικευμένη κατάρτιση και εμπειρία σε σχέση με το αντικείμενο του διαγωνισμού, με επιθυμητή την τεκμηριωμένη εκπαίδευση ως DPO Executive.

Απαιτούμενα δικαιολογητικά

·         Δήλωση ότι έλαβε γνώση και αποδέχεται ανεπιφύλακτα όλους τους όρους διαγωνισμού.

·         Δήλωση για την ισχύ της προσφοράς 90 ημερών από την υποβολή της προσφοράς

Περιεχόμενο προσφορών

Κάθε προσφορά πρέπει να περιέχει:

·         Τεχνική προσφορά με ανάλυση των παρεχόμενων υπηρεσιών από τον συμμετέχοντα

·         Πληροφορίες και άλλα στοιχεία σε σχέση με τη ζητούμενη εμπειρία και τη γενικότερη κατάρτιση του συμμετέχοντα

·         Οικονομική προσφορά για το κόστος των παρεχόμενων υπηρεσιών για την συμμόρφωση του Ιατρικού Συλλόγου Θεσσαλονίκης στον κανονισμό 2016/679 και την εκτέλεση καθηκόντων Υπεύθυνου Προστασίας Δεδομένων (DPO) του Συλλόγου.

Αξιολόγηση -ανάθεση

·         Ο Ιατρικός Σύλλογος Θεσσαλονίκης δε δεσμεύεται να κατοχυρώσει το διαγωνισμό υπέρ του συμμετέχοντος που θα προσφέρει το χαμηλότερο κόστος αλλά έχει τη δυνατότητα να αναθέσει το έργο ελεύθερα και κατά την απόλυτη κρίση του, σύμφωνα με άλλα και ανεξάρτητα της μειοδοσίας κριτήρια, προκειμένου να επιλέξει τον συμμετέχοντα που θα προσφέρει τα καλύτερα δυνατά εχέγγυα για την αποτελεσματική παροχή των ζητούμενων υπηρεσιών εντός του επιθυμητού κόστους .

·         Στις περιπτώσεις αυτές δεν γεννάται κανένα δικαίωμα υπέρ των υπολοίπων συμμετεχόντων που μετέχουν στο διαγωνισμό για αποζημίωση ή άλλη ικανοποίηση εις βάρος του Ιατρικού Συλλόγου Θεσσαλονίκης.

Περιγραφή Έργου

Το έργο συνίσταται στην παροχή συμβουλευτικών υπηρεσιών προς τον Ι.Σ.Θ. προκειμένου να διασφαλιστεί η συμμόρφωση του Ι.Σ.Θ. με τις υποχρεώσεις που απορρέουν από τον 2016/679 Γενικό Κανονισμό Προστασίας Δεδομένων, καθώς και τον ορισμό υπεύθυνου προστασίας δεδομένων (DPO) για την μετέπειτα υποστήριξη του Συλλόγου.

1) Σχετικά με το πρόγραμμα συμμόρφωσης, οι προσφερόμενες υπηρεσίες θα πρέπει να καλύπτουν τα ακόλουθα:

·         Ανάλυση Χαρτογράφησης για την Προστασία Προσωπικών Δεδομένων / Data Mapping. Αποτελεί μια λεπτομερής ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν. Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσία των κινδύνων / ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του Ι.Σ.Θ.

·         Ευρετήριο και Αρχείο Ροών Δεδομένων. Το Ευρετήριο αποτελεί έναν πίνακα με το είδος των προσωπικών δεδομένων που διαχειρίζεται ο Ι.Σ.Θ., τον τρόπο αποθήκευσης και επεξεργασίας τους, τον επιτρεπόμενο χρόνο αποθήκευσης τους, την μεθοδολογία διαγραφής ή καταστροφής τους κλπ. Το Αρχείο Ροών Δεδομένων απεικονίζει τον τρόπο που διακινούνται  τα προσωπικά δεδομένα εντός ή/και εκτός του Ι.Σ.Θ.

·         Αρχείο Δραστηριοτήτων στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Τα παραπάνω παράδοση εντός ενός (1) μηνός.

·         Ανάλυση Αποκλίσεων / Gap Analysis. H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.

·         Αρχείο Ανάλυσης Κινδύνων πριν και μετά την εφαρμογή προτεινόμενων μέτρων για την προστασία των προσωπικών δεδομένων. Η εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.

Τα παραπάνω παράδοση εντός δύο (2) μηνών.

·         Μελέτη Αντικτύπου (Data Privacy Impact Analysis). Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

·         Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων / Action plan. Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον υπεύθυνο προστασίας δεδομένων (DPO), ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

·         Παράδοση όλων των Διαδικασιών, Οδηγιών Εργασίας, Εντύπων κλπ. τα οποία συγκαταλέγονται στα προτεινόμενα μέτρα.

Τα παραπάνω παράδοση εντός τριών (3) μηνών.

Εκτός των άλλων, το στάδιο της συμμόρφωσης θα πρέπει να περιλαμβάνει φυσικές επισκέψεις στους χώρους του Ι.Σ.Θ., καθώς και on-site εκπαιδεύσεις.

Το συνολικό έργο της συμμόρφωσης θα έχει συνολική διάρκεια 3 μηνών (12 εβδομάδες) και τα άνω παραδοτέα αρχεία θα πρέπει να παραδίδονται σταδιακά μέσα στην συγκεκριμένη χρονική περίοδο όπως υποδεικνύεται παραπάνω.

2) Σχετικά με τις υπηρεσίες του Υπεύθυνου Προστασίας Δεδομένων (DPO), οι αρμοδιότητες θα πρέπει να επεκτείνονται τουλάχιστον τα ακόλουθα:

·         Εκπροσώπηση του Ι.Σ.Θ. έναντι της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) καθώς και ουσιαστική συνεργασία με σκοπό την προαγωγή του προγράμματος προστασίας προσωπικών δεδομένων του Ι.Σ.Θ.

·         Διαρκής ενημέρωση και παροχή συμβουλών στον Ι.Σ.Θ. για τις υποχρεώσεις που απορρέουν από τον Κανονισμό και από την κείμενη νομοθεσία, σχετικά με την προστασία δεδομένων.

·         Διαρκής επικαιροποίηση των παραδοτέων αρχείων της αρχικής συμμόρφωσης του Ι.Σ.Θ. και τήρηση ημερολογίου πεπραγμένων DPO.

·         Αντιμετώπιση περιστατικών παραβίασης και διαχείριση ενεργειών ενημέρωσης, συντονισμός της ομάδας αντιμετώπισης κρίσεων στην περίπτωση περιστατικού παραβίασης ασφαλείας δεδομένων που τυχόν συμβεί στον Ι.Σ.Θ.

·         Προώθηση / ανάδειξη της κουλτούρας προστασίας δεδομένων στον Ι.Σ.Θ., μέσω και της διενέργειας σχετικών εκπαιδευτικών προγραμμάτων σε τακτική βάση

·         Διεξαγωγή Data Privacy Impact Assessment (DPIA) για νέες διαδικασίες / δραστηριότητες και επικαιροποίηση παλαιότερων, όπου αυτό απαιτείται.

·         Διενέργεια τακτικών επιθεωρήσεων για τον έλεγχο επιτήρησης συμμόρφωσης του Ι.Σ.Θ. με τις υποχρεώσεις του ως υπευθύνου επεξεργασίας δεδομένων (ή και κατά περίπτωση εκτελούντα την επεξεργασία προσωπικών δεδομένων)

·         Συμβουλευτική υποστήριξη των μελών του Ι.Σ.Θ. μέσω: Ι) της αποστολής ενημερώσεων, υποδειγμάτων, υποδείξεων, οδηγιών σχετικά με την συμμόρφωση των μελών στον Κανονισμό, ΙΙ) της διενέργειας σχετικών εκπαιδευτικών προγραμμάτων / ημερίδων προς τα μέλη και ΙΙΙ) της δυνατότητας ηλεκτρονικής υποβολής ερωτημάτων στον DPO σχετικά με την προστασία δεδομένων (σε καθαρά συμβουλευτική βάση).

Η υποστήριξη των υπηρεσιών του Υπεύθυνου Προστασίας Δεδομένων (DPO) θα έχει διάρκεια ενός (1) ημερολογιακού έτους με την δυνατότητα αυτή να ανανεώνεται επ’ αόριστο κατά την κρίση του Ι.Σ.Θ. Για το χρονικό διάστημα της αρχικής συμμόρφωσης, η υποστήριξη του DPO θα παρέχεται παράλληλα.