U Njemačkoj je tome tako. U postupcima javne nabave moraju se poštivati svi propisi, ponuđači moraju ispunjavati sve zakonske norme pa i osigurati GDPR usklađenost svojih ponuda.
Komisija za kontrolu postupaka javne nabave u jednoj od njemačkih saveznih pokrajina isključila je jednog od ponuđača iz postupka javne nabave zbog izostanka GDPR usklađenosti ponuđenih usluga i proizvoda.
Konkretno se radilo o ponudi digitalnih rješenja za administrativne potrebe jedinica lokalne i regionalne uprave.
Ponuđač A ponudio je rješenje bazirano na američkom AWS-u (Amazon Web Services) i serverima u EU i zbog cijene dobio na natječaju.
Naknadno je Ponuđač A isključen iz postupka jer je utvrđeno da njihov izvršitelj obrade AWS dijeli osobne podatke sa svojom tvrtkom majkom u SAD, odnosno, da zaposlenici američke tvrtke imaju pristup do servera u EU, čime se zapravo vrđi prijenos osobnih podataka iz EU/EEA u SAD, u zemlju koja prema odluci Europskog suda iz 2020. godine ne zaslužuje titulu destinacije na kojoj se osiguravaju primjerene mjere zaštite temeljnih prava građana EU i za takve prijenose osobnih podataka moraju biti osigurane dodatne zaštitne mjere.
To što se serveri nalaze u EU ne znači ništa ako njima mogu pristupati američke tvrtke, koje opet moraju pristup istima dati američkim institucijama u području nacionalne sigurnosti.
Na njihovu žalost, ponuđač A je propustio osigurati da se osobni podaci enkriptiraju prije prijenosa na AWS sustav, kao nužnu dodatnu zaštitnu mjeru, i Komisija za kontrolu postupaka javne nabave je odlučila odbaciti njihovu ponudu.
Nemamo informacije je li bilo takvih slučajeva i kod nas, ali bogato iskustvo s terena nam govori da ih ima...
Njemački slučaj javne nabave je ovdje:
https://gdprhub.eu/index.php?title=VK_Baden-W%C3%BCrttemberg_-_1_VK_23/22&mtc=today
Photo by Edmond Dantès from Pexels
#gdprcroatia