Vodič za voditelje nabave o GDPR-u

Što je GDPR?

GDPR (Opća uredba o zaštiti podataka) je pravni okvir koji standardizira i štiti osobne podatke unutar Europske unije.

Njime se propisuju stroga pravila o tome kako treća strana treba postupati s osobnim podacima, a pojedincima se omogućuje i potpuna kontrola nad njihovim osobnim podacima.

Na koga se primjenjuje GDPR?

GDPR se primjenjuje na sve organizacije koje posjeduju i obrađuju bilo koji oblik osobnih podataka. Na primjer posrednici u distribuciji podataka, informacijski sustavi i aplikacije koje uključuju osobne podatke o  ljudskim resursima (obrazovanje, sveučilišta, financije, plaće, egrađani, škole), zdravlju (bolnice, klinički bolnički centri), osiguranju.

Kada se GDPR primjenjuje?

Što se tiče geografskog položaja, GDPR će se primjenjivati u sljedećim scenarijima:

• Sve organizacije koje djeluju unutar EU (Europske unije)
• Bilo koja organizacija izvan EU, ali i dalje nudi bilo koji oblik robe i usluga pojedincima ili tvrtkama u EU

U odnosu na aktivnosti u pripremi i provedbi postupaka, kao i upravljanju ugovorima o javnoj nabavi svih resursa prepoznaju se sljedeći rizični koraci za objavljivanje osobnih podataka :

• objave naručitelja u Elektroničkom oglasniku javne nabave
• objave gospodarskih subjekata i upravljanja osobnim podacima koje su ponuditelji dostavili u postupcima nabave do objave rezultata
• objave Državne komisije o kontroli postupaka javne nabave
• sve vrste drugih objava (Visoki upravni sud, druge institucije koje funkcioniraju u sustavu javne nabave i financiranja javnog sektora)
• upravljanje osobnim podacima zaposlenika naručitelja i krajnjih korisnika kod naručitelja
• transfer, arhiviranje osobnih podataka prema drugim sustavima, prema vanjskim dionicima.

Zaštita podataka u javnim nadmetanjima mogla bi biti kriterij za odabir ekonomski najpovoljnije ponude, ali i obvezni element minimalne sposobnosti ponuditelja, kao i obvezni sastavni dio tehničkih specifikacija i/ili klauzula o upravljanju podacima tijekom trajanja ugovora.

Osjetljivo pitanje, također, predstavlja zaštita osobnih podataka prenesenih izvan Europske unije u treće zemlje.

Ključni standardi i certifikati koje ističu rješenja za e-nabavu (Ariba, Coupa, Zycus) u pogledu svojih napora prema usklađivanju s GDPR-om su ISO 27001, SOC1, SOC2, certifikati za sigurnost u oblaku itd.

Budući izgledi GDPR-a:

GDPR je korak u pravom smjeru prema zaštiti osobnih podataka i privatnosti pojedinca. Značajan trud i ulaganja u usklađenost s GDPR-om vidljivi su kod kupaca, dobavljača, konzultanata i drugih posrednika u lancu opskrbe.

U području nabave i nabave očekuje se da će GDPR dodatno pooštriti način rukovanja osobnim podacima. Rastuća digitalna transformacija (od alata za e-nabavu do pametnih ugovora) dodatno će povećati opseg GDPR-a u industriji nabave i nabave.
Budući da organizacije moraju biti usklađene s GDPR-om, a također i pokazati usklađenost među svojim dobavljačima, fokus bi trebao biti na internim i eksternim procesima.

Za internu usklađenost s GDPR-om: Timovi za internu usklađenost, upravljanje rizicima i namjenski timovi za GDPR moraju kontinuirano provjeravati oblikovanje smjernica, pratiti i pregledavati kako podaci ulaze, obrađuju se, pohranjuju i koriste.

Za vanjsku usklađenost s GDPR-om: organizacije moraju imati pisane ugovore sa svojim dobavljačima i provoditi dubinsku analizu u periodičnim intervalima. Također je bitno provjeriti ima li dobavljač GDPR ugovore sa svojim dobavljačima.

Više o utjecaju GDPR pravnog okvira na sustav javne nabave poslušajte u Zagrebu 01. kolovoza 

GDPR, tehničke mjere i kibernetička sigurnost u kontekstu javne nabave -  interaktivna radionica u Zagrebu - 8 bodova

za više informacija kliknite na naslov radionice

Hvala Vam.