Konkurs Ofert nr 30/2024 „Realizacja usługi pełnienia funkcji i wykonywania zadań Inspektora Ochrony Danych”

KONKURS OFERT NR 30/2024

Katowice, 18.11.2024 r.
(miejscowość, data)

Haldex S.A.
Pl. Grunwaldzki 8/10
40-951 Katowice

 

ZAPYTANIE OFERTOWE

na realizację usługi pełnienia funkcji i wykonywania zadań Inspektora Ochrony Danych (IOD)

 

Haldex S.A. zaprasza do składania ofert cenowych na realizację usługi pełnienia funkcji i wykonywania zadań Inspektora Ochrony Danych zgodnie z art. 39 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Rozporządzeniem Rady Ministrów z dnia 31 maja 2019 r. w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych (Dz. U. 2019 poz. 1041).

1. Termin składania oferty – 03.12.2024 r.
2. Nazwa Zamawiającego – Haldex S.A., Pl. Grunwaldzki 8/10, 40-951 Katowice
3. Miejsce i sposób składania ofert – Oferty należy składać osobiście lub listownie
   (z dopiskiem Dział Korporacyjny, liczy się data dostarczenia oferty do siedziby Zamawiającego), w zamkniętej kopercie (na której należy umieścić nazwę oferenta, numer oraz temat konkursu ofert), w dni robocze w godzinach 7:00-14:00 w HALDEX S.A., pl. Grunwaldzki 8/10 w Katowicach w Dziale Korporacyjnym, pokój nr 542 w terminie do dnia 03.12.2024 r. do godz. 11.00.
4. Osoby do kontaktu w sprawie ogłoszenia –

• Jolanta Jamróz – tel. 797 334 164, e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
• Anna Paradecka - tel. 797 334 192, e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

5. Kryteria oceny – 100 % cena netto.
6. Wykluczenia – Zamawiający nie może udzielić zamówienia podmiotom powiązanym
   z nim osobowo lub kapitałowo.
7. Termin realizacji zamówienia/umowy od 01.01.2025 r. do 31.12.2025 r.
8. Termin związania z ofertą – 30 dni od ostatecznego terminu składania ofert.
9. Warunki płatności – 30 dni od daty wpływu faktury VAT do siedziby Zamawiającego.
10. Zakres zamówienia:

• informowanie Zamawiającego oraz pracowników Zamawiającego oraz inne osoby wykonujące prace na innej podstawie prawnej na rzecz Zamawiającego, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy Rozporządzenia (RODO) oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie (merytoryczne wsparcie pracowników organizacji, wsparcie w przypadku wystąpienia naruszeń bezpieczeństwa danych osobowych, doradztwo);
• szkolenie cykliczne przeprowadzone dla pracowników w siedzibie Zamawiającego –min. 1 szkolenie rocznie;
• zapoznawanie nowo zatrudnianych pracowników z przepisami o ochronie danych osobowych (szkolenia stacjonarne lub szkolenia online);
• sprawdzanie zgodności przetwarzania danych osobowych z RODO i innymi przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdania dla Zamawiającego (w ramach przeprowadzanych audytów);
• monitorowanie przestrzegania przez Zamawiającego przepisów RODO, innych przepisów prawnych Unii lub państw członkowskich o ochronie danych osobowych, a także wdrożonych polityk z zakresu ochrony danych osobowych u Zamawiającego lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
• a także wdrożonych polityk z zakresu ochrony danych osobowych;
• reprezentacja Zamawiającego w przypadku kontroli z organu nadzorczego, w tym pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych (w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO);
• udzielanie na żądanie Zamawiającego zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
• przeprowadzanie planowanych audytów systemu ochrony danych osobowych (min. 2 audyty rocznie, w oparciu o przygotowane oraz przedstawione Zmawiającemu plany audytów) oraz audytów doraźnych, przeprowadzanych w sytuacji powzięcia przez Inspektora wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia, oraz przedkładanie Zamawiającemu pisemnego raportu z audytu w terminie:

          − 30 dni od dnia dokonania audytu planowanego,

          − 3 dni od dnia dokonania audytu doraźnego,

• tworzenie, opiniowanie i nadzór nad podpisywaniem umów powierzenia przetwarzania danych osobowych;
• rozpatrywanie zapytań i skarg osób fizycznych i innych podmiotów w związku z podejrzeniem o naruszenie ich praw w zakresie ochrony danych osobowych;
• aktualizacja istniejącej, a w razie potrzeby opracowanie nowej stosownej dokumentacji z zakresu ochrony danych osobowych, w tym:
• systematyczna aktualizacja polityk z zakresu ochrony danych osobowych (m.in. Polityki Bezpieczeństwa Informacji, Instrukcji alarmowej w przypadku naruszenia bezpieczeństwa informacji, Instrukcji Zarządzania Systemem Informatycznym),
• weryfikacja prawidłowości sposobów monitorowania bezpieczeństwa IT,
• analizy przyczyn naruszeń,
• zaleceń pokontrolnych,
• aktualizacja polityk i procedur lub / oraz opracowanie wytycznych dla pracowników na podstawie analizy zaistniałych naruszeń,
• rejestru czynności przetwarzania,
• rejestru kategorii czynności przetwarzania,
• Polityki ochrony danych,
• umów powierzenia,
• formularzy audytowych dla podmiotu przetwarzającego,
• upoważnień do przetwarzania danych osobowych,
• zobowiązań dotyczących przetwarzania danych (dotyczy wykonywania czynności na polecenie administratora oraz zachowania danych w tajemnicy),
• zasad przetwarzania danych osobowych,
• klauzul informacyjnych,
• klauzul zgody na przetwarzanie danych osobowych,
• komunikatów dotyczących przetwarzania danych bez identyfikacji osoby,
• procedur usuwania danych wraz z wytycznymi dot. okresów przechowywania danych,
• procedur realizacji praw osób,
• procedur uwzględnienia ochrony danych w fazie projektowania i domyślnej ochrony danych,
• procedur zgłoszenia naruszenia ochrony danych do organu nadzorczego i zawiadomienia osoby o naruszeniu,
• procedur oceny skutków dla ochrony danych,
• procedur uprzednich konsultacji z organem nadzorczym,
• systematyczna aktualizacja polityk z zakresu ochrony danych osobowych,
• weryfikacja prawidłowości sposobów monitorowania bezpieczeństwa IT,
• przygotowanie rozwiązań umożliwiających przetwarzanie danych osobowych zgodnie z prawem w przypadku konkretnych potrzeb Zamawiającego, np. w sytuacji pracy zdalnej lub konieczności wykonywania badania alkomatem, testów na obecność narkotyków itp.

11. Zamawiający nie wymaga wniesienia wadium.
12. Zamawiający nie dopuszcza składania ofert częściowych - oferta musi obejmować cały zakres zamówienia.
13. Zamawiający nie będzie wymagać od wykonawcy zabezpieczenia należytego wykonania umowy.
14. Zamawiającemu przysługuje prawo swobodnego wyboru oferty, jak też uznania, że Konkurs nie dał rezultatu, bez podania przyczyn.
15. Komisyjne otwarcie ofert nastąpi w dniu 03.12.2024 r. o godz. 11.30 w sali nr 518.
16. Postępowanie prowadzone będzie zgodnie z Regulaminem udzielania zamówień w Haldex S.A., dostępnym na stronie internetowej haldex.com.pl w dziale „Przetargi i Konkursy” oraz do wglądu w Biurze Zarządu w siedzibie Zamawiającego.
17. Wymagania dodatkowe i warunki udziału w postępowaniu:

• uprawnienia do wykonywania określonej działalności lub czynności,
• wiedza i doświadczenie – Oferent musi wykazać się, że w okresie dwóch lat przed terminem składania ofert wykonał należycie przynajmniej jedną usługę w zakresie zgodnym z przedmiotem zamówienia dla/na rzecz Spółek Akcyjnych, lub Spółek z ograniczoną odpowiedzialnością, lub dla jednostek samorządu terytorialnego, jednostek wymiaru sprawiedliwości, jednostek oświatowych itp. Do oferty należy dołączyć referencje, z których wynika spełnienie niniejszego warunku. Jeżeli Oferent w ww. okresie realizował usługę dla Zamawiającego o tożsamym zakresie, to Oferent ten nie jest zobligowany do złożenia dokumentu referencji.
• Oferent musi wykazać się, że dysponuje osobami posiadającymi uprawnienia do wykonania zakresu zamówienia. Kopię dokumentów poświadczające spełnienie warunku należy dołączyć do oferty.
• Wykonawca - IOD będzie pełnił dyżury w siedzibie Zamawiającego (min. 1 x w miesiącu po 2 godz., w godzinach pracy Zamawiającego) oraz ma obowiązek stawić się na każdorazowe wezwanie Zamawiającego, w terminach uzgodnionych z Zamawiającym.
• Dokumentami potwierdzającymi obecność Wykonawcy – IOD oraz wykonanie usługi będzie podpisany przez obie strony protokół.
• W pozostałym zakresie Wykonawca- IOD będzie dostępny w dni robocze, w godzinach pracy Zamawiającego pod wskazanym numerem telefonu i adresem e-mail.
• Czas reakcji na zgłoszenie ze strony Zamawiającego nie może przekroczy 24h. Jako zgłoszenie traktuje się wszystkie próby kontaktu z Wykonawcą poprzez dowolne ogólnodostępne środki komunikacji takie jak: telefon, e-mail.
• Miejsce wykonywania działalności (siedziba) IOD musi znajdować się w odległości nie większej niż 150 km od siedziby Zamawiającego.
• Na Wykonawcy ciąży obowiązek zachowania bezterminowo tajemnicy wszystkich informacji i materiałów udostępnionych przez Zleceniodawcę w trakcie realizacji umowy.

    18. Oferta musi zawierać:

      1. Nazwę Oferenta,

      2. Adres Oferenta,

     3. Numer telefonu oraz adres e-mail,

     4. Datę sporządzenia,

     5. Numer konkursu ofert,

     6.Oferta musi być podpisana przez osobę lub osoby uprawnione do występowania w obrocie prawnym w imieniu Oferenta, przy czym podpis musi być czytelny lub opatrzony pieczątkami imiennymi,

     7.Datę ważności oferty,

     8. Warunki płatności,

     9. Dokumenty potwierdzające spełnienie warunku w zakresie wiedzy i doświadczenia oraz posiadanych uprawnień.

     10. Załącznik nr 1 i nr 2 - oświadczenia – zgodne ze wzorem.

     11. Dokumenty złożone wraz z ofertą należy złożyć w oryginale lub kopii potwierdzonej za zgodność z oryginałem.

Formularz Ofertowy

Załączniki do Oferty