U članku ćemo prikazati način kako uspješnije i usmjerenije provesti GDPR unutar organizacije sa konkretnim kriterijima koji se mogu uzeti u obzir. Model se može razlikovati s obzirom na strukturu i interne procedure organizacije.
Iako je Opća uredba o zaštiti podataka (GDPR) na snazi od 25. svibnja 2018. godine, još uvijek postoje organizacije koje su postigle i održavaju potrebnu razinu usklađenosti, ali ne obraćaju dovoljno pažnje na Uredbu prilikom ugovaranja poslovanja s dobavljačima vanjskih usluga (Izvršitelja). Time zanemaruju činjenicu da su, kao Voditelji obrade, izloženi odgovornosti i riziku u cijelom lancu Izvršitelja i njihovih podizvršitelja.
ULOGA SLUŽBENIKA ZA ZAŠTITU PODATAKA
Zadaća svakog službenika za zaštitu podataka (DPO) je ocijeniti dokumente i radnje kao jamstva po kojima se utvrđuje potrebna razina usklađenosti. Da bi takvi dokumenti odražavali zahtjeve Uredbe, a istovremeno slijediti ciljeve organizacije, DPO treba uzeti u obzir znatno širi opseg kriterija koji izlaze iz okvira same Uredbe. U prvom redu to znači upoznavanje sa postupkom Nabave, kako bi prepoznao mjesta u koracima za implementaciju različitih mjera.
Ovisno o organizacijskom modelu, Izvršitelj praktički može biti bilo koji poslovni proces. Pri tome, različiti Izvršitelji imaju različit utjecaj na osobne podatke Voditelja. Načelno, eksternalizacija poslovnih procesa koji obuhvaćaju veliki broj osobnih podataka znači najveći utjecaj na osobne podatke Voditelja.
Primjeri takvih eksternalizacija mogu biti agencije za zapošljavanje, posrednici u prodaji (vanjski kanal prodaje), pružatelji IT usluga, pozivni centri, obračun računa i drugo. Manji utjecaj imaju primjerice vanjske marketinške agencije za poslove rebrendinga ili leasing ugovor za najam vozila.
Osim volumena osobnih podataka i drugi faktori mogu imati utjecaj na osobne podatke. Primjer mogu biti dodatni napori u odabiru mjera zaštite ako je natječaj međunarodni i uključuje tvrtke sa sjedištem koje ne podliježe Odluci o primjerenosti, a očekivano mogu biti ozbiljni kandidati zbog niske cijene usluge.
JAMSTVA USKLAĐENOSTI
Jedna od formi kojom organizacije često reguliraju jamstvo usklađenosti izvršitelja je tipski ugovor ili sporazum o zaštiti osobnih podataka koji obuhvaća i mjere sigurnosti u zaštiti podataka. Ponekad su klauzule o usklađenosti sa GDPR sastavni dio komercijalnog ugovora ili drugog pravnog akta sa Izvršiteljima. Kada je riječ o odabiru Izvršitelja koji svojom uslugom ima znatan utjecaj na osobne podatke koje mu predaje voditelj, revizija usklađenosti izvršitelja je posebno važna.
Osim navedenog, DPO može za specifične vrste Nabave propisati dodatna jamstva i u uvjetima natječaja. Primjer toga može biti natječaj za IT uslugu, a uvjet ekvivalentni i važeći ISO 27xxx certifikat.
Kao rezultat, DPO može kreirati matricu za funkciju Nabave pri čemu će za svaki segment biti jasno koja forma jamstva je potrebna, u kojem koraku postupka Nabave i eventualni dodatni uvjeti.
S obzirom na organizaciju, dobro je uzeti u obzir i frekvenciju natječaja, kao i očekivani broj pristiglih ponuda. Ako tvrtka objavljuje dva natječaja godišnje ili ako ukupni broj očekivanih ponuda ne zahtjeva veliki napor, sistematizacija može postati nepotrebna te se procjena i kriteriji mogu individualno dogovarati za svaki natječaj.
Važni aspekt cijelog procesa je da u finalni krug za konačni izbor dođu kandidati sa potrebnom razinom usklađenosti. U suprotnom, organizacija ugovaranjem Izvršitelja koji nema DPO evaluaciju se izlaže riziku od neusklađenosti s GDPR i dodatnim financijskim troškovima kako bi se postigla naknadna usklađenost.
Autori: Ines i Marko Krečak, DPO Feralis