GDPR u procesima nabave
Prilikom usklađivanja s GDPR obvezama prvo se sami moramo zapitati ulažemo li u GDPR usklađenost jer želimo izbjeći kazne nadzornog tijela (u Hrvatskoj je Agencija za zaštitu osobnih podataka, AZOP) ili smo strateški opredijeljeni poštivati sve norme, propise i obveze i jer želimo i na tom planu pokazati da smo tvrtka visoke reputacije i tržišni sudionik koji se time ističe u odnosu na svoje konkurente.
Bez obzira na izvršeno ulaganje u vremenu i novcu i vlastitu stratešku opredijeljenost za postizanjem GDPR usklađenosti, još je uvijek premali broj poslovnih subjekata svjestan da, neusklađenost poslovanja našeg angažiranog dobavljača usluga ili njegovog podugovornog poslovnog partnera može donijeti i nama značajne rizike, počevši od financijskih do reputacijskih.
Kako? Približit ćemo temu na konkretnom primjeru.
Angažirali smo dobavljača usluga izrade i održavanja poslovnog IT sustava u obliku programskog rješenja za vođenje evidencija naših zaposlenika, od dosjea zaposlenika do radnog vremena, evidencija osposobljavanja iz zaštite na radu i liječničkih pregleda, obračuna putnih naloga, edukacija, obračuna plaća, bonusa i isplatnih lista, bolovanja, alimentacija, ovrha i drugih ustezanja s plaća. Odabrali smo ga kao najboljeg temeljem pomno utvrđenih kriterija, utvrdili rokove, uvjete i cijene isporuka usluga i poslovna suradnja kreće punim zamahom.
U vrhuncu dinamike ugovorenih poslovnih aktivnosti, od strane nadzornog tijela za zaštitu podataka neočekivano dobivamo dopis kojim nas u kratkom roku traže detaljno očitovanje o okolnostima javno objavljenih isplatnih lista zaposlenika na internetu i obavještavaju nas o terminu nadzora koji će obaviti u našim poslovnim prostorima. Nama je to prva informacija i ostavlja nas zatečene. Žurno organiziramo sastanak uprave i voditelja pojedinih organizacijskih jedinica koje bi mogle biti involvirane. Zaustavljamo sve aktivnosti našeg IT odjela kako bismo prioritetno pronašli uzroke incidentne situacije i saznajemo da je moguće da je do "curenja" isplatnih lista došlo kod našeg dobavljača programskog rješenja.
Nazivamo kontakte dobavljača, njihov prodajni predstavnik s kojim smo dogovarali uvjete nije upoznat sa situacijom, njihov tehnički odjel se ne odaziva jer ih pritišću rokovi isporuke velikih projekata, direktor im je na putu, ali srećom u tvrtki je ostao najmlađi član IT tima koji nam odaje tajnu da je vjerojatnije da je "stvar" pukla kod njihovog pružatelja Cloud usluga.
Koga? Tko je to? Kako?
Istovremeno i naši zaposlenici otkrivaju da su njihovi vrlo osjetljivi osobni podaci, ne samo iznosi plaća, već i podaci o kućnoj adresi, OIB-u, bolovanjima ili ovrhama javno dostupni širem krugu ljudi i da mediji već pišu o tome.
Sad nam još samo fali Andrija Jarak…
Već je sad lako uočiti da nam se sprema nemjerljiva reputacijska šteta, nadzorno tijelo nam dolazi u inspekciju, prijete nam kazne i pitamo se zašto mi trpimo posljedice a nismo ništa krivi.
Jel' tome zaista tako?
Najkraće rečeno, naša tvrtka je pogriješila u samom postupku nabave dobavljača programskog rješenja.
Da pojasnimo, kada angažiramo druge poslovne subjekte ili suradnike, bez obzira radilo se o trgovačkim društvima ili obrtima ili fizičkim osobama na ugovor o djelu, sa svrhom da u naše ime i za naš račun vrše određenu vrstu obrade osobnih podataka, npr. naših bivših i sadašnjih zaposlenika, naših kupaca ili korisnika, posjetitelja ili gostiju, takvi se poslovni subjekti prema GDPR-u nalaze u ulozi naših izvršitelja obrade, dok je naša tvrtka voditelj obrade.
Primjeri takvog angažmana su najčešće u području isporuke i održavanja programskih rješenja, održavanja IT sustava i računala, održavanja sustava praćenja prisutnosti na radnom mjestu, video nadzora, praćenja vozila GPS nadzorom, pohrane dokumentacije putem Cloud servisa, usluge knjigovodstva ili osposobljavanja u području zaštite na radu i zaštite od požara ili pak usluge tehničko-fizičke zaštite i vođenja evidencije posjetitelja. Mnoštvo je mogućnosti i teško je zamisliti ijednu tvrtku bez barem jednog izvršitelja obrade osobnih podataka.
Svaki od prethodno navedenih vanjskih izvršitelja obrade ima pristup i uvid u osobne podatke za koje odgovara voditelj obrade, odnosno, naša tvrtka, i definitivno nam kriteriji odabira takvih poslovnih partnera više ne mogu biti samo cijena, uvjeti, rokovi isporuke ili SLA uvjeti.
Od početka pune primjene GDPR-a, točnije od svibnja 2018., jedan od nezaobilaznih kriterija odabira poslovnih partnera i suradnika mora biti i njihova usklađenost i dokazivost usklađenosti s GDPR obvezama.
Kada bi dobavljač programskog rješenja iz prethodno navedenog slučaja bio na taj način izabran, tada bismo već u evaluaciji potencijalnih dobavljača utvrdili da isti osigurava:
- dovoljna jamstva za provedene odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka,
- striktno slijeđenje svih pisanih uputa koje mu dostavimo u vezi obrade osobnih podataka koje provodi u naše ime,
- bespogovorno sklapanje ugovora o obradi osobnih podataka kojim određujemo da:
- može postupati s osobnim podacima samo onako kako mu mi dozvolimo i pisanim putem naložimo,
- mora osigurati trajnu povjerljivost svojih zaposlenika koji sudjeluju u obradama osobnih podataka koje smo im dali na obradu,
- mora osigurati sve prikladne mjere sigurnosti i zaštite osobnih podataka s obzirom na prethodno utvrđene rizike, uključujući trajnu povjerljivosti, integritet, dostupnost i otpornost sustava i pružanih usluga i mogućnost osiguranja kontinuiteta obrade i nakon eventualnog sigurnosnog incidenta,
- mora omogućiti naše redovito testiranje i provjeru implementiranih mjera za osiguranje sigurnosti obrada osobnih podataka i poštivanja naših pisanih uputa,
- ne smije angažirati svoje podugovaratelje za obradu osobnih podataka bez našeg znanja i bez prethodnog osiguranja njihove dokazane usklađenosti s GDPR obvezama,
- mora sklopiti ugovor o obradi i zaštiti osobnih podataka kojim svom podugovaratelju u cijelosti prenosi sve obveze koje smo mu mi nametnuli kroz naš ugovor,
- nam mora dati svu podršku u našem usklađivanju s GDPR obvezama, posebice ako se radi o našoj obvezi provođenja postupka procjene učinka na zaštitu podataka,
- nam mora u najkraćem roku bez odlaganja javiti svaku sumnju ili saznanje o mogućoj povredi osobnih podataka zajedno s detaljima o istoj,
- ne smije, bez naše pisane upute, zadržavati osobne podatke koje smo mu dali na obradu i da mora izbrisati vlastite evidencije i eventualne kopije.
Kako bismo uopće bili u mogućnosti učinkovito definirati ovakve ugovorne odnose s angažiranim izvršiteljima obrade osobnih podataka, moramo prije svega u "svom dvorištu" izvršiti predradnje:
- moramo prepoznati naše obrade osobnih podataka: identificirati koje osobne podatke kojih kategorija osoba i u koje svrhe te na koji rok želimo ili moramo dati na uvid, pohranu ili svaku drugu vrstu obrade vanjskom izvršitelju, koji će ih u naše ime obrađivati,
- izvršiti sve potrebne procjene i dokazivanje jesu su naši vanjski izvršitelji ili kandidati za vanjske izvršitelje spremni ispuniti sve zahtjeve iz GDPR okvira, štoviše, ako nemamo takva jamstva ne smijemo ih ni angažirati,
- jasno detektirati hoće li naši angažirani vanjski izvršitelji podugovoriti treće strane za svrhe obrade osobnih podataka za koje mi odgovaramo,
- imati puna jamstva da naši vanjski izvršitelji imaju implementirane i testiranje procese i procedure za pravovremeno otkrivanje povreda osobnih podataka, uklanjanje negativnih posljedica ako je moguće, i naše promptno izvješćivanje o svim činjenicama povrede osobnih podataka koje smo im dali na obradu i na povjerenje.
Praktična preporuka s naše strane je da svim kandidatima za dobavljače dostavimo prijedlog ugovora o zaštiti osobnih podataka sa svim stavkama iz prethodnog dijela teksta i temeljem njihove povratne reakcije lako ćemo prepoznati one koji su spremni na zadane izazove.
Tek nakon ispunjenja ovih radnji možemo sklapati ugovore o nabavi usluga ili proizvoda.