Zašto je GDPR važan profesionalcima u nabavi?

Premda je Opća uredba o zaštiti podataka (GDPR) na snazi od 25. svibnja 2018. godine, još uvijek postoje tvrtke koje su postigle i održavaju potrebnu razinu usklađenosti, ali ne obraćaju dovoljno pažnje na Uredbu prilikom ugovaranja poslovanja s dobavljačima vanjskih usluga (Izvršiteljima). Time zanemaruju činjenicu da su, u pogledu GDPR-a, izloženi odgovornosti i riziku u cijelom lancu nabave s dobavljačima i njihovim partnerima.

ULOGA SLUŽBENIKA ZA ZAŠTITU PODATAKA

Zadaća svakog službenika za zaštitu podataka (DPO) je ocijeniti dokumente i radnje kao jamstva po kojima se utvrđuje potrebna razina usklađenosti. Da bi takvi dokumenti odražavali zahtjeve Uredbe, a istovremeno slijedili ciljeve tvrtke, službenik za zaštitu podataka treba uzeti u obzir znatno širi opseg kriterija koji izlaze iz okvira same Uredbe. U prvom redu to znači upoznavanje s postupkom Nabave, kako bi prepoznao mjesta u koracima za provedbu različitih mjera.

Ovisno o organizacijskom modelu, gotovo svaki poslovni proces se može ugovoriti sa vanjskim dobavljačem. Pri tome, različiti dobavljači imaju različit utjecaj na osobne podatke tvrtke. Načelno, eksternalizacija poslovnih procesa koji obuhvaćaju veliki broj osobnih podataka znači najveći utjecaj na osobne podatke tvrtke.

Primjeri takvih eksternalizacija mogu biti agencije za zapošljavanje, posrednici u prodaji (vanjski kanal prodaje), pružatelji IT usluga, pozivni centri, obračun računa i drugo. Manji utjecaj imaju primjerice vanjske marketinške agencije za poslove rebrendinga ili leasing ugovor za najam vozila.

Osim volumena osobnih podataka i drugi faktori mogu imati utjecaj na osobne podatke. Primjeri mogu biti dodatni napori u odabiru mjera zaštite ako je natječaj međunarodni i uključuje tvrtke sa sjedištem koje ne podliježe Odluci o primjerenosti, a očekivano mogu biti ozbiljni kandidati zbog niske cijene usluge. Dodatne mjere zaštite su neophodne i za nabavu pružatelja usluga koji će obrađivati osjetljive osobne podatke, što mogu biti zdravstveni podaci poput automatskog mjerenja temperature ili biometrijski podaci poput sustava za evidenciju radnog vremena autentifikacijom otiska prsta.

JAMSTVA USKLAĐENOSTI

Jedna od formi kojom tvrtke često reguliraju jamstvo usklađenosti dobavljača je tipski ugovor ili sporazum o zaštiti osobnih podataka koji obuhvaća i mjere sigurnosti u zaštiti podataka. Ponekad su klauzule o usklađenosti sa GDPR sastavni dio komercijalnog ugovora ili drugog pravnog akta sa Izvršiteljima. Kada je riječ o odabiru dobavljača koji svojom uslugom ima znatan utjecaj na osobne podatke koje mu predaje tvrtka, revizija usklađenosti dobavljača je posebno važna.

Osim navedenog, službenik za zaštitu podataka može za specifične vrste Nabave propisati dodatna jamstva i u uvjetima natječaja.

Kao rezultat, službenik za zaštitu podataka može kreirati matricu za funkciju Nabave pri čemu će za svaki segment biti jasno koja forma jamstva je potrebna, u kojem koraku postupka Nabave i eventualni dodatni uvjeti.

S obzirom na organizaciju, dobro je uzeti u obzir i frekvenciju natječaja, kao i očekivani broj pristiglih ponuda. Ako tvrtka objavljuje dva natječaja godišnje ili ako ukupni broj očekivanih ponuda ne zahtjeva veliki napor, sistematizacija može postati nepotrebna te se procjena i kriteriji mogu individualno dogovarati za svaki natječaj.

Važan aspekt cijelog procesa sastoji se u tome da u finalni krug za konačni izbor dođu kandidati s potrebnom razinom usklađenosti. U suprotnom, tvrtka ugovaranjem dobavljača koji nema GDPR evaluaciju se izlaže riziku od neusklađenosti s Uredbom i mogućim dodatnim financijskim troškovima.