e-Επιμελητήριο - για ηλεκτρονικά πιστοποιητικά και πληρωμές συνδρομών χωρίς αναμονή

«ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ 12/2018: ΥΠΟΒΟΛΗΣ ΠΡΟΤΑΣΗΣ ΣΥΝΕΡΓΑΣΙΑΣ «GDPR COMPLIANCE SERVICES ΚΑΙ DPO ΑΠΟ ΤΟ ΕΠΙΜΕΛΗΤΗΡΙΟ ΙΩΑΝΝΙΝΩΝ»

Δημοσιεύθηκε στις 20/09/2018 14:38
  1. Εισαγωγή

Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις, όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους, ενώ τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στα κράτη - μέλη της ΕΕ, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς.  Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα, ενώ θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές.

Το κενό αυτό επιχειρείται να καλυφθεί από τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 «Για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών», η ισχύς του οποίου άρχεται  την 25η Μαΐου 2018, επιβάλλοντας αυστηρές αρχές και κανόνες για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ευρωπαϊκής Ένωσης. Ο εν λόγω Κανονισμός τυγχάνει ευρείας εφαρμογής και ως εκ τούτου οι διατάξεις του διέπουν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων της εγκατάστασης υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ευρωπαϊκή Ένωση. Ως εκ τούτου το πεδίο εφαρμογής του Κανονισμού καταλαμβάνει πάσης φύσεως επιχειρήσεις, ελεύθερους επαγγελματίες, φορείς του Δημοσίου, ΝΠΔΔ ΚΑΙ ΝΠΙΔ, οργανώσεις, επιστημονικές εταιρίες, ενώσεις φυσικών ή νομικών προσώπων, σωματεία κ.λπ., που επεξεργάζονται στο πλαίσιο των δραστηριοτήτων τους προσωπικά δεδομένα. Συνεπώς ο Κανονισμός καταλαμβάνει και όλα τα Επιμελητήρια της χώρας.

Περαιτέρω,

Σύμφωνα με τις διατάξεις του εν λόγω Κανονισμού, ο υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τους όρους και τις διατάξεις του εν λόγω Κανονισμού. Τα μέτρα αυτά επανεξετάζονται και επικαιροποιούνται, όταν κρίνεται απαραίτητο, και περιλαμβάνουν την εφαρμογή i) κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας, ii) κωδίκων δεοντολογίας και iii)  μηχανισμών πιστοποίησης (άρθρο 24 του Κανονισμού). 

Η ανάγκη συμμόρφωσης των υπεύθυνων επεξεργασίας και των εκτελούντων την επεξεργασία προσωπικών δεδομένων με τις διατάξεις της νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα είναι διττή:

Α) αφενός καθίσταται επιτακτική λόγω του αυστηρού κανονιστικού πλαισίου, που διέπει την επεξεργασία των προσωπικών δεδομένων, αλλά και των συνεχώς αυξανόμενων προστίμων που επιβάλλονται σε περιπτώσεις όπου διαπιστώνεται παραβατική συμπεριφορά, αποκλίνουσα από τις θεσμοθετημένες πρακτικές και διαδικασίες. 

Ενδεικτικά αναφέρεται ότι οι παραβάσεις των βασικών αρχών για την επεξεργασία των προσωπικών δεδομένων και των δικαιωμάτων των υποκειμένων των δεδομένων επισύρουν διοικητικά πρόστιμα έως 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο, ενώ οι παραβάσεις των υποχρεώσεων του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, επισύρουν διοικητικά πρόστιμα έως 10.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. 

Β) αφετέρου καθίσταται επιβεβλημένη για λόγους εμπορικούς και απολύτως επιχειρηματικούς. Ειδικότερα, η δραστηριοποίηση του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία είναι πλέον απολύτως συνυφασμένη με την επεξεργασία προσωπικών δεδομένων (πολλές φορές ακόμη και ευαίσθητων προσωπικών δεδομένων). 

Επομένως, η εκ μέρους μας  τήρηση της νομοθεσίας περί προστασίας προσωπικών δεδομένων αποτελεί στοιχείο ”sine qua non”: i) για τη σύννομη δραστηριοποίησή μας και  ii) για τη συμμόρφωσή μας προς αντίστοιχες υποχρεώσεις τους που προβλέπονται σε συμβάσεις συνεργασίας με τρίτους καθώς και ιιι) την προστασία των μελών μας. 

Επειδή η ευθυγράμμιση και εναρμόνιση με τον εν λόγω Κανονισμό κρίνεται υποχρεωτική και επίσης κρίνεται υποχρεωτικός ο ορισμός υπευθύνου προστασίας προσωπικών δεδομένων ( DPO) για κάθε Επιμελητήριο της Επικράτειας , ως συνάγεται από το άρθρο 37 του εν λόγω Κανονισμού. 

Στο πλαίσιο αυτό και προκειμένου να διασφαλιστεί η προσαρμογή του Επιμελητηρίου μας στον εν λόγω Κανονισμό προβαίνουμε σε Ανοιχτή Πρόσκληση Ενδιαφέροντος  Υποβολής Πρότασης Συνεργασίας «GDPR Compliance Services»

 

  1. Σκοπός

Με την έκδοση της παρούσας πρόσκλησης εκδήλωση ενδιαφέροντος, εφεξής «Πρόσκληση», προσβλέπει στην υποβολή προτάσεων από τους ενδιαφερόμενους, εφεξής «Υποψήφιοι», οι οποίοι μπορούν να προσφέρουν σύμφωνα με τις απαιτήσεις, υπηρεσίες πλήρους συμμόρφωσης του Επιμελητηρίου Ιωαννίνων στις διατάξεις του Κανονισμού 2016/679 της ΕΕ "Γενικός Κανονισμός Προστασίας Δεδομένων - GDPR", προκειμένου να επιλεγεί κατόπιν αξιολόγησης ο προτιμώμενος Υποψήφιος.

Οι Υποψήφιοι υποβάλλουν πρόταση συνεργασίας συνολικά για το «GDPR Compliance Services», περιλαμβανομένου και των υπηρεσιών DPO.

Η Πρόταση δεν συνιστά σε καμία περίπτωση δέσμευση του Επιμελητηρίου Ιωαννίνων για τη σύναψη σύμβασης με οποιοδήποτε από τους Υποψηφίους ως αποτέλεσμα της παρούσας διαδικασίας.

Το Επιμελητήριο έχει να ανακαλέσει την παρούσα Πρόσκληση οποτεδήποτε, αζημίως και αναιτιολόγητα.

Η τελική επιλογή εκ μέρους του Επιμελητηρίου Ιωαννίνων του προεπιλεγμένου Υποψηφίου δεν θεμελιώνει υποχρέωση του Επιμελητηρίου Ιωαννίνων κατάρτισης σύμβασης με τον προεπιλεγμένο Υποψήφιο.

 

  1. Συμμετοχή και προθεσμία υποβολής προτάσεων

Δικαίωμα συμμετοχής στην παρούσα έχουν φυσικά πρόσωπα, νομικά πρόσωπα και ενώσεις προσώπων. Οι Υποψήφιοι οι οποίοι θα συμμετάσχουν στην Πρόσκληση, παρακαλούνται όπως υποβάλλουν τις προτάσεις τους πλήρεις και σύμφωνα με τις προβλεπόμενες στην Πρόσκληση προϋποθέσεις έως και την Παρασκευή 05.10.2018 και ώρα 12:00, στη διεύθυνση Οπλ.Πουτέτση 14, Ιωάννινα, ΤΚ 45221 σε φυσική μορφή σε δύο (2) αντίτυπα.

Για τυχόν διευκρινίσεις οι Υποψήφιοι παρακαλούνται όπως επικοινωνήσουν με αποστολή μηνύματος στη διεύθυνση ηλεκτρονικού ταχυδρομείου: info@cci-ioannina.gr και στο τηλέφωνο 26510 64013 έως την καταληκτική ημερομηνία.

Οι Υποψήφιοι δύνανται να υποβάλουν τις Προτάσεις τους χωρίς περιορισμό, εφόσον μπορούν να επιδείξουν αξιοσημείωτη τεχνογνωσία επί του αντικειμένου και εμπειρία συνεργασίας με πελατολόγιο.

Η πρόταση θα πρέπει να είναι ευανάγνωστη και σαφής, ώστε να μην υπάρχει καμία αμφιβολία ως προς το λεκτικό και τα αριθμητικά στοιχεία, και να συνοδεύεται με όλα τα αναφερόμενα δικαιολογητικά.

 

  1. Εύρος έργου (Scope):

Ο προτιμώμενος πάροχος υπηρεσιών θα πρέπει να λάβει υπόψη του ότι το πεδίο εφαρμογής καταλαμβάνει το σύνολο των υπηρεσιών του Επιμελητηρίου Ιωαννίνων συμπεριλαμβανομένων επιχειρησιακών λειτουργιών / μονάδων λειτουργίας, των λειτουργιών υποστήριξης, των ισοτόπων και των πληροφοριακών συστημάτων που εμπλέκονται στην αποθήκευση, επεξεργασία, διαβίβαση και διαγραφή δεδομένων προσωπικού χαρακτήρα.

 

  1. Περιεχόμενο πρότασης – Αιτούμενες Υπηρεσίες & Παραδοτέα

Η πρόταση θα πρέπει να περιλαμβάνει και να ανταποκρίνεται πλήρως στις αιτούμενες υπηρεσίες και τα παραδοτέα που αναφέρονται στο συνημμένο Πίνακα Α΄ του το οποίο αποτελεί αναπόσπαστο τμήμα της παρούσας, και πιο συγκεκριμένα να καλύπτει και τους τρεις (3) κατωτέρω πυλώνες:

α Σχεδιασμός και αξιολόγηση των υφιστάμενων δομών, διαδικασιών, συστημάτων κ.λπ. του Επιμελητηρίου Ιωαννίνων

β Προσαρμογή, δημιουργία και αναβάθμιση των απαραίτητων δομών, διαδικασιών, συστημάτων με βάση τις επιταγές του GDPR κλπ.

γ Παροχή υπηρεσιών Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (DPO) για λογαριασμό του Επιμελητηρίου Ιωαννίνων για το διάστημα μετά την προσαρμογή και για περίοδο1 έτους ( με δυνατότητα επέκτασης).

 

6.ι. Περιεχόμενο της πρότασης – Προϋποθέσεις

  • Παρουσίαση του Υποψηφίου και των συνεργατών του με σαφή αναφορά στα τυπικά τους προσόντα και την σχετική επαγγελματική εμπειρία.
  • Τουλάχιστον 1ετής εμπειρία στην κανονιστική συμμόρφωση σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα.
  • Παρουσίαση της ομάδας έργου καθώς και της σχετικής εμπειρίας των μελών αυτής
  • Δήλωση έλλειψης συνδρομής συνθηκών σύγκρουσης συμφερόντων.
  • Κόστος παροχής υπηρεσιών ανά προσφερόμενη υπηρεσία, σύμφωνα με τον συνημμένο στην Πρόσκληση Πίνακα Α του Παραρτήματος Ι
  • Προσκόμιση όλων των απαιτούμενων δικαιολογητικών που αναφέρονται διεξοδικά.

 

ιι. ΕΙΔΙΚΑ ΓΙΑ ΤΟΝ DPO

Ο υπεύθυνος προστασίας δεδομένων (φυσικά πρόσωπα, νομικά πρόσωπα ή/ και ενώσεις προσώπων) πρέπει να διαθέτει, μεταξύ άλλων, τις ακόλουθες αποδεικτέες δεξιότητες και εμπειρογνωμοσύνη, η δε πιστοποιημένη παρακολούθηση εξειδικευμένων σεμιναρίων DPO (για τα φυσικά πρόσωπα) κρίνεται ως επιπλέον προσόν, χωρίς όμως να μπορεί να υποκαταστήσει την εμπειρία στον τομέα προστασίας προσωπικών δεδομένων   :

  • εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων,
  • γνώση των πράξεων επεξεργασίας που διενεργούνται,
  • γνώση του τομέα των τεχνολογιών πληροφοριών και της ασφάλειας δεδομένων
  • γνώση του τομέα δραστηριότητας και του φορέα,
  • ικανότητα ανάπτυξης νοοτροπίας προστασίας των δεδομένων στους κόλπους του οργανισμού.

Ο υπεύθυνος προστασίας δεδομένων δύναται να είναι δικηγόρος ή/και δικηγορική εταιρεία ή ένωση αυτών ή/και εταιρεία πληροφορικής  ή/και επιστήμονες πληροφορικής ή/και εταιρείες συμβουλευτικής  σε σύμπραξη ή μη με εταιρείες πιστοποίησης. 

Τα Καθήκοντα του DPO  ορίζονται στο άρθρο 39 του Κανονισμού και το Επιμελητήριο οφείλει να παράσχει τα οριζόμενα στο άρθρο 38 του αυτού.

  1. Γενικοί όροι Συμμετοχής

 

Α. Καθήκον Εχεμύθειας

Δεν επιτρέπεται οποιαδήποτε αναδημοσίευση ή ανακοίνωση από τον Υποψήφιο σχετικά με την διαδικασία της Πρόσκλησης, ή οποιαδήποτε δημοσίευση της πρότασης του καθώς και οιαδήποτε είδους συζήτηση του Υποψηφίου με τρίτους ή λοιπούς συνυποψήφιους σχετικά με την διαδικασία της παρούσας Πρόσκλησης και των επικοινωνιών που θα λάβουν χώρα με τους Υποψήφιους μετά τη δημοσίευση αυτής.

Όλες οι πληροφορίες που περιέχονται σε αυτή την Πρόσκληση και παρέχονται καθ’ οποιονδήποτε άλλο τρόπο στους Υποψηφίους τίθενται στη διάθεσή τους υπό την προϋπόθεση ότι οι Υποψήφιοι δεν επιτρέπεται, χωρίς την προηγούμενη έγγραφη συγκατάθεση του Επιμελητηρίου Ιωαννίνων

  • Να αποκαλύψουν, να αντιγράψουν, να αναπαράγουν, να διανέμουν ή να μεταβιβάσουν πληροφορίες σχετικά με την υλοποίηση της παρούσας Πρόσκλησης συνολικώς ή μερικώς σε οποιοδήποτε άλλο πρόσωπο.
  • Να χρησιμοποιήσουν τις παρεχόμενες πληροφορίες από το Επιμελητήριο Ιωαννίνων, για οποιονδήποτε άλλο σκοπό εκτός από τους σκοπούς της ανάπτυξης και υποβολής των προτάσεων τους.

Β. Το Επιμελητήριο Ιωαννίνων αναλαμβάνει την υποχρέωση σεβασμού της εμπιστευτικότητας των υποβαλλόμενων προτάσεων. 

Γ. Οι πληροφορίες που υποβάλλονται από τον Υποψήφιο θα εξεταστούν και θα αξιολογηθούν από το Επιμελητήριο, με βάση την ποιότητα των βιογραφικών, την εμπειρία και το πελατολόγιο που θα καταθέσει και αποδείξει ο Υποψήφιος (ποιοτικό κριτήριο), σε συνδυασμό με την Οικονομική του Προσφορά (οικονομικό κριτήριο).

Η ανάθεση πραγματοποιείται βάσει της ποιοτικότερης και οικονομικότερης προσφοράς και σε καμία περίπτωση το ποσό της ανάθεσης δεν μπορεί να ξεπερνά το όριο της απευθείας ανάθεσης, όπως αυτό ορίζεται εκ του νόμου για τους φορείς του Δημοσίου. Ισχύον Νόμος 4412/2016.

Δ. Προς αποφυγή οποιασδήποτε αμφιβολίας, κάθε Υποψήφιος με την υποβολή της πρότασης του, συμφωνεί ότι το Επιμελητήριο Ιωαννίνων δικαιούνται να χρησιμοποιήσουν τις πληροφορίες που περιέχονται στην πρόταση του και τυχόν συνοδευτικά αυτής προσκομιζόμενα έγγραφα σε φυσική ή ηλεκτρονική μορφή, στο βαθμό που είναι απαραίτητο, προς επίτευξη του σκοπού της Πρόσκλησης και προκειμένου να αξιολογήσουν το ενδεχόμενο συνεργασίας μαζί του. Το Επιμελητήριο  θα διατηρήσει στο αρχείο του την πρόταση και κάθε σχετική παρεχόμενη πληροφορία του Υποψηφίου για όσο διάστημα θεωρεί ότι χρειάζεται προς εξυπηρέτηση του σκοπού της παρούσας.

Ε. Έξοδα Συμμετοχής

Το Επιμελητήριο σε καμιά περίπτωση δεν ευθύνεται  για οποιοδήποτε κόστος των Υποψηφίων σχετιζόμενο με την διερεύνηση, διαδικασία και συμμετοχή στην Πρόσκληση, ακόμη και σε περίπτωση ακύρωσης ή τερματισμού της διαδικασίας από το Επιμελητήριο, ή μη ανάθεσης οποιασδήποτε ενέργειας (από τους 3 πυλώνες του όρου 5) σε οποιονδήποτε Υποψήφιο.

ΣΤ. Κανόνες αποκλεισμού και σύγκρουση συμφερόντων

ι. Οποιαδήποτε προσπάθεια του Υποψηφίου ή/και συμβούλου του να επηρεάσει τη διαδικασία με οποιονδήποτε τρόπο μπορεί να οδηγήσει στον αποκλεισμό του.

Συγκεκριμένα, οι Υποψήφιοι απαγορεύεται, άμεσα ή έμμεσα, ανά πάσα στιγμή:

  • να αναθεωρήσουν ή να τροποποιήσουν το περιεχόμενο της πρότασής τους
  • να συνάπτουν οποιαδήποτε συμφωνία ή ρύθμιση με οποιοδήποτε άλλο πρόσωπο σχετικά με τη μορφή ή το περιεχόμενο της πρότασης ή να προσφέρουν χρηματικό αντίτιμο σε οποιοδήποτε πρόσωπο για να πραγματοποιήσει αλλαγές στη μορφή ή το περιεχόμενο οποιασδήποτε άλλης πρότασης,
  • να συνάπτουν οποιαδήποτε συμφωνία ή ρύθμιση με οποιοδήποτε άλλο πρόσωπο που έχει ως αποτέλεσμα τον αποκλεισμό του προσώπου αυτού από την υποβολή πρότασης,
  • να λάβει πληροφόρηση από οποιονδήποτε από τους υπαλλήλους ή συνεργάτες του Επιμελητηρίου σχετικά με άλλο Υποψήφιο ή Πρόταση.

ιι. Οι Υποψήφιοι είναι υπεύθυνοι να διασφαλίσουν ότι δεν υφίσταται σύγκρουση συμφερόντων μεταξύ του Υποψήφιου, των συνεργατών και των συμβούλων του και του Επιμελητηρίου. Κάθε Υποψήφιος που δεν συμμορφώνεται με αυτήν την απαίτηση μπορεί να αποκλειστεί από τη διαδικασία κατά την κρίση του Επιμελητηρίου .

Ο Υποψήφιος συμφωνεί ότι κάθε υποβαλλόμενη Πρόταση συμπεριλαμβανομένης της Οικονομικής Προσφοράς, θα παραμένει σε ισχύ για περίοδο τριών μηνών από την καταληκτική ημερομηνία υποβολής της Πρότασης σύμφωνα με την παρούσα Πρόσκληση.

Ζ. Όροι πληρωμής

Σε περίπτωση συνεργασίας, η τιμολόγηση θα γίνεται προς το Επιμελητήριο Ιωαννίνων στο οποίο προσφέρονται οι παρεχόμενες υπηρεσίες.

Τα τιμολόγια για τις παρεχόμενες υπηρεσίες θα εκδίδονται με τη παράδοση του κάθε παραδοτέου έργου  σύμφωνα με τα ανωτέρω και θα εξοφλούνται από το Επιμελητήριο.

 

Συνημμένα

ΠΑΡΑΡΤΗΜΑ 1

ΠΑΡΑΡΤΗΜΑ 2

 


ΠΑΡΑΡΤΗΜΑ 1

ΕΞΕΛΙΞΗ ΤΟΥ ΕΡΓΟΥ ΓΙΑ ΥΠΗΡΕΣΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ GDPR ΚΑΙ ΟΡΙΣΜΟΥ DPO

 

ΠΙΝΑΚΑΣ Α΄

ΥΠΗΡΕΣΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ GDPR – ΠΑΡΑΔΟΤΕΑ

ΥΠΗΡΕΣΙΕΣ/ ΠΑΡΑΔΟΤΕΑ

 

ΦΑΣΗ 1 : ΣΧΕΔΙΑΣΜΟΣ/ ΑΞΙΟΛΟΓΗΣΗ

 

  1. ΠΡΟΚΑΤΑΡΚΤΙΚΕΣ ΕΝΕΡΓΕΙΕΣ

Χρονοδιάγραμμα Λεπτομερές χρονοδιάγραμμα με το πλήθος των στόχων, των ορόσημων, των παραδοτέων και των πόρων που θα χρησιμοποιηθούν στη φάση 1 και 2 του παρόντος πίνακα, με ρητή αναφορά στις ημερομηνίες ολοκλήρωσης - παράδοσης.

Συγκρότηση Ομάδας για την υλοποίηση των προαπαιτούμενων για τη συμμόρφωση με τον GDPR.

Προσδιορισμός των απαιτούμενων πόρων (αριθμός προσώπων, εξειδίκευση, εμπειρία, πιστοποίηση, κλπ.) για τον συντονισμό και τη διενέργεια των απαιτούμενων εργασιών για την υλοποίηση του έργου συμμόρφωσης με τον GDPR.

Παροχή του ανθρώπινου δυναμικού, με φυσική παρουσία στην έδρα του Επιμελητηρίου, έως και την ολοκλήρωση του έργου.

 

  1. ΚΥΡΙΑ ΠΑΡΑΔΟΤΕΑ

Α. Data Mapping/ Καταγραφή πράξεων επεξεργασίας

Κατάρτιση πρότυπου ερωτηματολογίου για την καταγραφή των επεξεργασιών μετά από διαβούλευση με το Επιμελητήριο για την προσαρμογή του ερωτηματολογίου στις ανάγκες του Επιμελητηρίου.

Καταγραφή όλων των πράξεων επεξεργασίας που πραγματοποιούνται από το Επιμελητήριο, καθώς και το είδος των δεδομένων, την χρήση αυτών, τους εκτελούντες την επεξεργασία, τους αποδέκτες των δεδομένων, τους σκοπούς επεξεργασίας κ.λπ.

Β. Privacy Data Process & Assets Register

Διαδικασία διαχείρισης δεδομένων, με τις κύριες πηγές δεδομένων, τη συλλογή δεδομένων και τα μέσα αποθήκευσης δεδομένων του Επιμελητηρίου.

Γ. GAP Analysis Summary Report & Detailed GAP analysis Report

Εκτενής και συνοπτική έκθεση των κενών που εντοπίστηκαν σύμφωνα με τις διατάξεις του GDPR και αξιολόγηση αποτελεσμάτων.

Δ. Data Privacy Impact Assessment (DPIA)

Διενέργεια DPIA κατά τα κάτωθι ενδεικτικώς αναφερόμενα:

- Προσδιορισμός της ανάγκης για DPIA - καθορισμός εγγενών κινδύνων της επεξεργασίας που επιβάλλουν την DPIA.

- Περιγραφή της ροής πληροφοριών – συλλογή αποθήκευση, χρήση, διαγραφή- οι οποίες περιέχονται στη διαδικασία επεξεργασίας.

- Προσδιορισμός των συναφών της ιδιωτικότητας κινδύνων και του αντίκτυπου τους για το Επιμελητήριο και ιεράρχηση προτεραιοτήτων βάσει των επιπτώσεων τους.

- Εύρεση και αξιολόγηση των λύσεων για κάθε διαπιστωμένο κίνδυνο, λήψη απόφασης απόρριψης ή αποδοχής του. Λήψη κατάλληλων μέτρων περιορισμού του κινδύνου.

- Εξαγωγή και καταγραφή των αποτελεσμάτων της DPIA σε έκθεση που υποβάλλεται από τον ανάδοχο στο Επιμελητήριο  με εισήγηση για την ανάγκη διαβίβασης της στη ρυθμιστική αρχή για διαβούλευση.

- Ενσωμάτωση των αποτελεσμάτων της DPIA στο σχέδιο του έργου της συμμόρφωσης στον GDPR, περιοδική αναδρομή στη DPIA, για αξιολόγηση της τήρησης των ληφθέντων μέτρων και της αποτελεσματικότητας τους έως την 21.12.2018

 

ΦΑΣΗ 2 ΠΡΟΣΑΡΜΟΓΗ

  1. ΝΟΜΙΜΗ ΒΑΣΗ ΕΠΕΞΕΡΓΑΣΙΑΣ
  • Αξιολόγηση της νόμιμης βάσης έκαστης επεξεργασίας και πρόταση αναζήτησης εναλλακτικής βάσης επεξεργασίας σε περίπτωση διαπίστωσης ελλείψεων.
  • Συναίνεση
  • Επικαιροποίηση ή/και παροχή πρόσθετης συναίνεσης σύμφωνα με τις επιταγές του GDPR.
  • Σύνταξη προτύπων δηλώσεων συναίνεσης, σε αντιστοιχία με τις χρήσεις/επεξεργασίες
  • Ενημέρωση Υποκειμένων

 

  1. (PRIVACY NOTICES)
  • Σύνταξη ενημερώσεων (Privacy Notices) για έκαστη επεξεργασία προς τα αντίστοιχα υποκείμενα, όπως ενδεικτικά: εργαζόμενους, αντισυμβαλλόμενους προμηθευτές, μέλη  κτλ
  • Διαμόρφωση προτύπων των απαιτούμενων όρων ανά κατηγορία συμβάσεως (εργασίας, ανεξαρτήτων υπηρεσιών, έργου κλπ.)
  • Διαμόρφωση Δηλώσεων Προστασίας Προσωπικών Δεδομένων για την ιστοσελίδα του Επιμελητηρίου.

 

  1. ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΕΠΕΞΕΡΓΑΣΙΑ PROFILING
  • Έλεγχος πραγματοποίησης αυτοματοποιημένης επεξεργασίας από το Επιμελητήριο ή/και τρίτους εκτελούντες την επεξεργασία για λογαριασμό της, συμπεριλαμβανομένης της κατάρτισης προφίλ. 
  • Αξιολόγηση των επιπτώσεων τους στο υποκείμενο των δεδομένων. Αξιολόγηση αναγκαιότητας συγκατάθεσης. Διαμόρφωση ειδικών δηλώσεων συναίνεσης.

 

 

  1. PRIVACY BY DESIGN & PRIVACY BY DEFAULT
  • Έλεγχος εν γένει της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων σχεδιασμένων για την εφαρμογή αρχών προστασίας των δεδομένων και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία και για να διασφαλιστεί ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. 
  • Αξιολόγηση της αποδοτικότητας και καταλληλόλητας των μέτρων αυτών.
  • Ανάπτυξη προτάσεων/λύσεων για τη βελτίωση των μέτρων ασφαλείας κατά τρόπο ώστε να πληρούν τις απαιτήσεις του GDPR..
  • Εκτελούντες την επεξεργασία Δημιουργία πρότυπων συμβάσεων με τους εκτελούντες την επεξεργασία και τροποποίηση των υφιστάμενων των συμβάσεων με τους εκτελούντες την επεξεργασία σύμφωνα με τις επιταγές του GDPR.
  • Εσωτερικές Πολιτικές και Διαδικασίες Αναθεώρηση ή/και σύνταξη εσωτερικών πολιτικών και διαδικασιών σύμφωνων με τα προβλεπόμενα στον GDPR και προσαρμοσμένες στις ανάγκες και ιδιαιτερότητες (Privacy Policy, Acceptable Use Policy, Information Security Policy, κλπ.)
  • Διεθνείς Διαβιβάσεις Αξιολόγηση των εγγυήσεων υπό τις οποίες πραγματοποιούνται τυχόν διεθνείς διαβιβάσεις.
  • Ανάπτυξη προτάσεων/λύσεων για τη νομιμότητα εν γένει διεθνών διαβιβάσεων.
  • Σύνταξη εταιρικών κανόνων για τις διεθνείς διαβιβάσεις.

 

  1. ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ

Εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση του κατάλληλου επίπεδου ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας,

γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

 

  1. ΠΕΡΙΣΤΑΤΙΚΑ ΑΣΦΑΛΕΙΑΣ

Αναθεώρηση ή/και σύνταξη πολιτικής για την καταγραφή περιστατικών ασφαλείας με στόχο την ενημέρωση των αρχών και των υποκειμένων εντός των προβλεπόμενων προθεσμιών, σύμφωνα με τον GDPR.

 

  1. ΔΙΑΔΙΚΑΣΙΑ ΙΚΑΝΟΠΟΙΗΣΗΣ ΔΙΚΑΙΩΜΑΤΟΣ ΠΡΟΣΒΑΣΗΣ, ΔΙΑΓΡΑΦΗΣ ΚΑΙ ΕΝΑΝΤΙΩΣΗΣ

Σύνταξη πολιτικής και διαμόρφωση διαδικασίας σχετικής με το δικαίωμα πρόσβασης του υποκειμένου στα δεδομένα του και διαγραφής αυτών κατά τα προβλεπόμενα στον GDPR.

 

  1. ΣΥΜΒΟΥΛΕΥΤΙΚΗ ΚΑΙ ΤΕΧΝΙΚΗ ΥΠΟΣΤΗΡΙΞΗ ΜΕΤΑ ΤΗΝ ΟΛΟΚΛΗΡΩΣΗ ΤΗΣ ΠΡΟΣΑΡΜΟΓΗΣ (IMPLEMENTATION FOLLOW UP)

Υποστήριξη σε συμβουλευτικό και τεχνικό επίπεδο για την αναπροσαρμογή του συνόλου των παραδοτέων βάσει των δεδομένων που θα διαμορφωθούν από τη ημερομηνία εφαρμογής του GDPR έως την 30.06.2019.

 

ΦΑΣΗ 3 ΠΑΡΟΧΗ ΥΠΗΡΕΣΙΩΝ DPO

Υπεύθυνος Προστασίας Προσωπικών Δεδομένων (DPO)

  • Ανάλυση του προτεινόμενου μοντέλου DPO, συμπεριλαμβανομένου του προφίλ των αρμοδιοτήτων, ευθυνών.
  • Παροχή υπηρεσιών DPO μετά την ολοκλήρωση της προσαρμογής και για χρονικό διάστημα ενός έτους.

 

 

ΠΑΡΑΡΤΗΜΑ  2

ΕΛΑΧΙΣΤΑ ΔΙΚΑΙΟΛΟΓΗΤΙΚΑ ΣΥΜΜΕΤΟΧΗΣ

  1. Πιστοποιητικά περί μη κήρυξης σε κατάσταση πτώχευσης και υπαγωγής σε παρόμοιες καταστάσεις.
  2. Πιστοποιητικά περί μη κατάθεσης αίτησης για κήρυξη σε πτώχευση ή υπαγωγής σε παρόμοιες καταστάσεις.
  3. Απόσπασμα ποινικού μητρώου
  4. Βεβαίωση ασφαλιστικής ενημερότητας
  5. Πιστοποιητικό φορολογικής ενημερότητας
  6. Έγραφα νομιμοποίησης νομικών προσώπων
  7. Αποδοχή της Πρόσκλησης Υποβολής Προσφοράς
  8. Καταστατικό Σε περίπτωση που ο ενδιαφερόμενος είναι νομικό πρόσωπο
  9. Ειδικές περιπτώσεις: Σε περίπτωση υποβολής κοινής προσφοράς από ένωση προσώπων, όλα τα Δικαιολογητικά Συμμετοχής του Πίνακα Β΄ θα πρέπει να υποβληθούν για καθένα από τα μέλη που συμμετέχουν στην ένωση. Η ένωση προσώπων δύναται να υποβάλλει επιπρόσθετα έγγραφα και πληροφορίες.

 

 

 

 

Ο Πρόεδρος

Του Επιμελητηρίου Ιωαννίνων

Ιωάννης Β. Μήτσης