Prilikom usklađivanja s GDPR obvezama prvo se sami moramo zapitati: ulažemo li u GDPR usklađenost jer želimo izbjeći kazne nadzornog tijela (u Hrvatskoj je Agencija za zaštitu osobnih podataka, AZOP)? Ili smo strateški opredijeljeni poštivati sve norme, propise i obveze te želimo i na tom planu pokazati da smo tvrtka visoke reputacije i tržišni sudionik koji se time ističe u odnosu na svoje konkurente?
Bez obzira na izvršeno ulaganje u vremenu i novcu i vlastitu stratešku opredijeljenost za postizanjem GDPR usklađenosti, još je uvijek premali broj poslovnih subjekata svjestan da neusklađenost poslovanja našeg angažiranog dobavljača usluga ili njegovog podugovornog poslovnog partnera može donijeti i nama značajne rizike, počevši od financijskih do reputacijskih.
KAKO GDPR NEUSKLAĐENOST MOŽE DONIJETI RIZIKE?
Približit ćemo temu na konkretnom primjeru. Angažirali smo dobavljača usluga izrade i održavanja poslovnog IT sustava u obliku programskog rješenja za vođenje evidencija naših zaposlenika, od dosjea zaposlenika do radnog vremena, evidencija osposobljavanja iz zaštite na radu i liječničkih pregleda, obračuna putnih naloga, edukacija, obračuna plaća, bonusa i isplatnih lista, bolovanja, alimentacija, ovrha i drugih ustezanja s plaća. Odabrali smo ga kao najboljeg temeljem pomno utvrđenih kriterija, utvrdili rokove, uvjete i cijene isporuka usluga te poslovna suradnja kreće punim zamahom.
U vrhuncu dinamike ugovorenih poslovnih aktivnosti, od strane nadzornog tijela za zaštitu podataka neočekivano dobivamo dopis kojim nas u kratkom roku traže detaljno očitovanje o okolnostima javno objavljenih isplatnih lista zaposlenika na internetu i obavještavaju nas o terminu nadzora koji će obaviti u našim poslovnim prostorima. Nama je to prva informacija i ostavlja nas zatečene. Žurno organiziramo sastanak uprave i voditelja pojedinih organizacijskih jedinica koje bi mogle biti involvirane. Zaustavljamo sve aktivnosti našeg IT odjela kako bismo prioritetno pronašli uzroke incidentne situacije i saznajemo da je moguće da je do “curenja” isplatnih lista došlo kod našeg dobavljača programskog rješenja.
Nazivamo kontakte dobavljača. Njihov prodajni predstavnik s kojim smo dogovarali uvjete nije upoznat sa situacijom. Njihov tehnički odjel se ne odaziva jer ih pritišću rokovi isporuke velikih projekata. Direktor im je na putu. Ali srećom, u tvrtki je ostao najmlađi član IT tima koji nam odaje tajnu da je vjerojatnije da je “stvar” pukla kod njihovog pružatelja Cloud usluga. Koga? Tko je to? Kako?
Istovremeno i naši zaposlenici otkrivaju da su njihovi vrlo osjetljivi osobni podaci, ne samo iznosi plaća, već i podaci o kućnoj adresi, OIB-u, bolovanjima ili ovrhama javno dostupni širem krugu ljudi i da mediji već pišu o tome. Sad nam još samo fali Andrija Jarak…
Već je sad lako uočiti da nam se sprema nemjerljiva reputacijska šteta, nadzorno tijelo nam dolazi u inspekciju, prijete nam kazne i pitamo se zašto mi trpimo posljedice, a nismo ništa krivi. Jel’ tome zaista tako?
Najkraće rečeno, naša tvrtka je pogriješila u samom postupku nabave dobavljača programskog rješenja.
GDJE MOŽE TVRTKA POGRIJEŠITI U POSTUPKU NABAVE?
Da pojasnimo, kada angažiramo druge poslovne subjekte ili suradnike, bez obzira radilo se o trgovačkim društvima ili obrtima ili fizičkim osobama na ugovor o djelu, sa svrhom da u naše ime i za naš račun vrše određenu vrstu obrade osobnih podataka, npr. naših bivših i sadašnjih zaposlenika, naših kupaca ili korisnika, posjetitelja ili gostiju, takvi se poslovni subjekti prema GDPR-u nalaze u ulozi naših izvršitelja obrade, dok je naša tvrtka voditelj obrade.
Primjeri takvog angažmana su najčešće u području isporuke i održavanja programskih rješenja, održavanja IT sustava i računala, održavanja sustava praćenja prisutnosti na radnom mjestu, video nadzora, praćenja vozila GPS nadzorom, pohrane dokumentacije putem Cloud servisa, usluge knjigovodstva ili osposobljavanja u području zaštite na radu i zaštite od požara ili pak usluge tehničko-fizičke zaštite i vođenja evidencije posjetitelja. Mnoštvo je mogućnosti i teško je zamisliti ijednu tvrtku bez barem jednog izvršitelja obrade osobnih podataka.
Svaki od prethodno navedenih vanjskih izvršitelja obrade ima pristup i uvid u osobne podatke za koje odgovara voditelj obrade, odnosno, naša tvrtka. Definitivno nam kriteriji odabira takvih poslovnih partnera više ne mogu biti samo cijena, uvjeti, rokovi isporuke ili SLA uvjeti.
Od početka pune primjene GDPR-a, točnije od svibnja 2018., jedan od nezaobilaznih kriterija odabira poslovnih partnera i suradnika mora biti i njihova usklađenost i dokazivost usklađenosti s GDPR obvezama.
KAKO GDPR OBVEZE UKLJUČITI U EVALUACIJU POTENCIJALNIH DOBAVLJAČA?
Kada bi dobavljač programskog rješenja iz prethodno navedenog slučaja bio na taj način izabran, tada bismo već u evaluaciji potencijalnih dobavljača utvrdili da isti osigurava:
- dovoljna jamstva za provedene odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka,
- striktno slijeđenje svih pisanih uputa koje mu dostavimo u vezi obrade osobnih podataka koje provodi u naše ime,
- bespogovorno sklapanje ugovora o obradi osobnih podataka kojim određujemo da:
- može postupati s osobnim podacima samo onako kako mu mi dozvolimo i pisanim putem naložimo,
- mora osigurati trajnu povjerljivost svojih zaposlenika koji sudjeluju u obradama osobnih podataka koje smo im dali na obradu,
- mora osigurati sve prikladne mjere sigurnosti i zaštite osobnih podataka s obzirom na prethodno utvrđene rizike, uključujući trajnu povjerljivosti, integritet, dostupnost i otpornost sustava i pružanih usluga i mogućnost osiguranja kontinuiteta obrade i nakon eventualnog sigurnosnog incidenta,
- mora omogućiti naše redovito testiranje i provjeru implementiranih mjera za osiguranje sigurnosti obrada osobnih podataka i poštivanja naših pisanih uputa,
- ne smije angažirati svoje podugovaratelje za obradu osobnih podataka bez našeg znanja i bez prethodnog osiguranja njihove dokazane usklađenosti s GDPR obvezama,
- mora sklopiti ugovor o obradi i zaštiti osobnih podataka kojim svom podugovaratelju u cijelosti prenosi sve obveze koje smo mu mi nametnuli kroz naš ugovor,
- nam mora dati svu podršku u našem usklađivanju s GDPR obvezama, posebice ako se radi o našoj obvezi provođenja postupka procjene učinka na zaštitu podataka,
- nam mora u najkraćem roku bez odlaganja javiti svaku sumnju ili saznanje o mogućoj povredi osobnih podataka zajedno s detaljima o istoj,
- ne smije, bez naše pisane upute, zadržavati osobne podatke koje smo mu dali na obradu i da mora izbrisati vlastite evidencije i eventualne kopije.
Kako bismo uopće bili u mogućnosti učinkovito definirati ovakve ugovorne odnose s angažiranim izvršiteljima obrade osobnih podataka, moramo prije svega u “svom dvorištu” izvršiti predradnje:
- moramo prepoznati naše obrade osobnih podataka: identificirati koje osobne podatke kojih kategorija osoba i u koje svrhe te na koji rok želimo ili moramo dati na uvid, pohranu ili svaku drugu vrstu obrade vanjskom izvršitelju, koji će ih u naše ime obrađivati,
- izvršiti sve potrebne procjene i dokazivanje jesu su naši vanjski izvršitelji ili kandidati za vanjske izvršitelje spremni ispuniti sve zahtjeve iz GDPR okvira, štoviše, ako nemamo takva jamstva ne smijemo ih ni angažirati,
- jasno detektirati hoće li naši angažirani vanjski izvršitelji podugovoriti treće strane za svrhe obrade osobnih podataka za koje mi odgovaramo,
- imati puna jamstva da naši vanjski izvršitelji imaju implementirane i testiranje procese i procedure za pravovremeno otkrivanje povreda osobnih podataka, uklanjanje negativnih posljedica ako je moguće, i naše promptno izvješćivanje o svim činjenicama povrede osobnih podataka koje smo im dali na obradu i na povjerenje.
Praktična preporuka s naše strane je da svim kandidatima za dobavljače dostavimo prijedlog ugovora o zaštiti osobnih podataka sa svim stavkama iz prethodnog dijela teksta. Temeljem njihove povratne reakcije lako ćemo prepoznati one koji su spremni na zadane izazove.
Tek nakon ispunjenja ovih radnji možemo sklapati ugovore o nabavi usluga ili proizvoda.
Autor: Igor Barlek, BI CONSULT d.o.o. za savjetovanje
