GDPR u procesima nabave

Prilikom usklađivanja s GDPR obvezama prvo se sami moramo zapitati ulažemo li u GDPR usklađenost jer želimo izbjeći kazne nadzornog tijela (u Hrvatskoj je Agencija za zaštitu osobnih podataka, AZOP) ili smo strateški opredijeljeni poštivati sve norme, propise i obveze i jer želimo i na tom planu pokazati da smo tvrtka visoke reputacije i tržišni sudionik koji se time ističe u odnosu na svoje konkurente.

Bez obzira na izvršeno ulaganje u vremenu i novcu i vlastitu stratešku opredijeljenost za postizanjem GDPR usklađenosti, još je uvijek premali broj poslovnih subjekata svjestan da, neusklađenost poslovanja našeg angažiranog dobavljača usluga ili njegovog podugovornog poslovnog partnera može donijeti i nama značajne rizike, počevši od financijskih do reputacijskih.

Kako? Približit ćemo temu na konkretnom primjeru.

Angažirali smo dobavljača usluga izrade i održavanja poslovnog IT sustava u obliku programskog rješenja za vođenje evidencija naših zaposlenika, od dosjea zaposlenika do radnog vremena, evidencija osposobljavanja iz zaštite na radu i liječničkih pregleda, obračuna putnih naloga, edukacija, obračuna plaća, bonusa i isplatnih lista, bolovanja, alimentacija, ovrha i drugih ustezanja s plaća. Odabrali smo ga kao najboljeg temeljem pomno utvrđenih kriterija, utvrdili rokove, uvjete i cijene isporuka usluga i poslovna suradnja kreće punim zamahom.

U vrhuncu dinamike ugovorenih poslovnih aktivnosti, od strane nadzornog tijela za zaštitu podataka  neočekivano dobivamo dopis kojim nas u kratkom roku traže detaljno očitovanje o okolnostima javno objavljenih isplatnih lista zaposlenika na internetu i obavještavaju nas o terminu nadzora koji će obaviti u našim poslovnim prostorima. Nama je to prva informacija i ostavlja nas zatečene. Žurno organiziramo sastanak uprave i voditelja pojedinih organizacijskih jedinica koje bi mogle biti involvirane. Zaustavljamo sve aktivnosti našeg IT odjela kako bismo prioritetno pronašli uzroke incidentne situacije i saznajemo da je moguće da je do "curenja" isplatnih lista došlo kod našeg dobavljača programskog rješenja.

Nazivamo kontakte dobavljača, njihov prodajni predstavnik s kojim smo dogovarali uvjete nije upoznat sa situacijom, njihov tehnički odjel se ne odaziva jer ih pritišću rokovi isporuke velikih projekata, direktor im je na putu, ali srećom u tvrtki je ostao najmlađi član IT tima koji nam odaje tajnu da je vjerojatnije da je "stvar" pukla kod njihovog pružatelja Cloud usluga.

Koga? Tko je to? Kako?

Istovremeno i naši zaposlenici otkrivaju da su njihovi vrlo osjetljivi osobni podaci, ne samo iznosi plaća, već i podaci o kućnoj adresi, OIB-u, bolovanjima ili ovrhama javno dostupni širem krugu ljudi i da mediji već pišu o tome.

 

Sad nam još samo fali Andrija Jarak…

Već je sad lako uočiti da nam se sprema nemjerljiva reputacijska šteta, nadzorno tijelo nam dolazi u inspekciju, prijete nam kazne i pitamo se zašto mi trpimo posljedice a nismo ništa krivi.

 

Jel' tome zaista tako?

Najkraće rečeno, naša tvrtka je pogriješila u samom postupku nabave dobavljača programskog rješenja.

Da pojasnimo, kada angažiramo druge poslovne subjekte ili suradnike, bez obzira radilo se o trgovačkim društvima ili obrtima ili fizičkim osobama na ugovor o djelu, sa svrhom da u naše ime i za naš račun vrše određenu vrstu obrade osobnih podataka, npr. naših bivših i sadašnjih zaposlenika, naših kupaca ili korisnika, posjetitelja ili gostiju, takvi se poslovni subjekti prema GDPR-u nalaze u ulozi naših izvršitelja obrade, dok je naša tvrtka voditelj obrade.

Primjeri takvog angažmana su najčešće u području isporuke i održavanja programskih rješenja, održavanja IT sustava i računala, održavanja sustava praćenja prisutnosti na radnom mjestu, video nadzora, praćenja vozila GPS nadzorom, pohrane dokumentacije putem Cloud servisa, usluge knjigovodstva ili osposobljavanja u području zaštite na radu i zaštite od požara ili pak usluge tehničko-fizičke zaštite i vođenja evidencije posjetitelja. Mnoštvo je mogućnosti i teško je zamisliti ijednu tvrtku bez barem jednog izvršitelja obrade osobnih podataka.

Svaki od prethodno navedenih vanjskih izvršitelja obrade ima pristup i uvid u osobne podatke za koje odgovara voditelj obrade, odnosno, naša tvrtka, i definitivno nam kriteriji odabira takvih poslovnih partnera više ne mogu biti samo cijena, uvjeti, rokovi isporuke ili SLA uvjeti.

 

Od početka pune primjene GDPR-a, točnije od svibnja 2018., jedan od nezaobilaznih kriterija odabira poslovnih partnera i suradnika mora biti i njihova usklađenost i dokazivost usklađenosti s GDPR obvezama.

Kada bi dobavljač programskog rješenja iz prethodno navedenog slučaja bio na taj način izabran, tada bismo već u evaluaciji potencijalnih dobavljača utvrdili da isti osigurava:

  • dovoljna jamstva za provedene odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka,
  • striktno slijeđenje svih pisanih uputa koje mu dostavimo u vezi obrade osobnih podataka koje provodi u naše ime,
  • bespogovorno sklapanje ugovora o obradi osobnih podataka kojim određujemo da:
    • može postupati s osobnim podacima samo onako kako mu mi dozvolimo i pisanim putem naložimo,
    • mora osigurati trajnu povjerljivost svojih zaposlenika koji sudjeluju u obradama osobnih podataka koje smo im dali na obradu,
    • mora osigurati sve prikladne mjere sigurnosti i zaštite osobnih podataka s obzirom na prethodno utvrđene rizike, uključujući trajnu povjerljivosti, integritet, dostupnost i otpornost sustava i pružanih usluga i mogućnost osiguranja kontinuiteta obrade i nakon eventualnog sigurnosnog incidenta,
    • mora omogućiti naše redovito testiranje i provjeru implementiranih mjera za osiguranje sigurnosti obrada osobnih podataka i poštivanja naših pisanih uputa,
    • ne smije angažirati svoje podugovaratelje za obradu osobnih podataka bez našeg znanja i bez prethodnog osiguranja njihove dokazane usklađenosti s GDPR obvezama,
    • mora sklopiti ugovor o obradi i zaštiti osobnih podataka kojim svom podugovaratelju u cijelosti prenosi sve obveze koje smo mu mi nametnuli kroz naš ugovor,
    • nam mora dati svu podršku u našem usklađivanju s GDPR obvezama, posebice ako se radi o našoj obvezi provođenja postupka procjene učinka na zaštitu podataka,
    • nam mora u najkraćem roku bez odlaganja javiti svaku sumnju ili saznanje o mogućoj povredi osobnih podataka zajedno s detaljima o istoj,
    • ne smije, bez naše pisane upute, zadržavati osobne podatke koje smo mu dali na obradu i da mora izbrisati vlastite evidencije i eventualne kopije.

 

Kako bismo uopće bili u mogućnosti učinkovito definirati ovakve ugovorne odnose s angažiranim izvršiteljima obrade osobnih podataka, moramo prije svega u "svom dvorištu" izvršiti predradnje:

  • moramo prepoznati naše obrade osobnih podataka: identificirati koje osobne podatke kojih kategorija osoba i u koje svrhe te na koji rok želimo ili moramo dati na uvid, pohranu ili svaku drugu vrstu obrade vanjskom izvršitelju, koji će ih u naše ime obrađivati,
  • izvršiti sve potrebne procjene i dokazivanje jesu su naši vanjski izvršitelji ili kandidati za vanjske izvršitelje spremni ispuniti sve zahtjeve iz GDPR okvira, štoviše, ako nemamo takva jamstva ne smijemo ih ni angažirati,
  • jasno detektirati hoće li naši angažirani vanjski izvršitelji podugovoriti treće strane za svrhe obrade osobnih podataka za koje mi odgovaramo,
  • imati puna jamstva da naši vanjski izvršitelji imaju implementirane i testiranje procese i procedure za pravovremeno otkrivanje povreda osobnih podataka, uklanjanje negativnih posljedica ako je moguće, i naše promptno izvješćivanje o svim činjenicama povrede osobnih podataka koje smo im dali na obradu i na povjerenje.

 

Praktična preporuka s naše strane je da svim kandidatima za dobavljače dostavimo prijedlog ugovora o zaštiti osobnih podataka sa svim stavkama iz prethodnog dijela teksta i temeljem njihove povratne reakcije lako ćemo prepoznati one koji su spremni na zadane izazove.

Tek nakon ispunjenja ovih radnji možemo sklapati ugovore o nabavi usluga ili proizvoda.