GDPR izazovi u lancu opskrbe

Europska unija se ovog mjeseca (25.5.2018.) priprema za uvođenje značajnog novog pravila poznatog kao Uredba o općoj zaštiti podataka ili GDPR, čiji je cilj jačanje i objedinjavanje zaštite podataka korisnika unutar EU.

GDPR obuhvaća i izlazak osobnih podataka izvan EU, budući da osobni podaci više ne poznaju i ne poštuju međunarodne granice. Ovaj mandat je osobito važan s obzirom na nedavna otkrića o Facebookovoj ugrozi korisničkih podataka miješanjem treće strane u korist predsjedničkih izbora u SAD-u 2016. godine.

Uz GDPR europski građani imaju pravo na zaborav osobnih podataka, bez obzira na to kako je organizacija dobila/prikupila informacije. Drugim riječima, Europljani će imati pravo odustati od vanjskog zadržavanja svojih osobnih podataka, ako tako izaberu. Nažalost, mnogi će možda neozbiljno shvatiti GDPR dok ne dođe do prvih žrtava i nekih teških kazni.

Usvajanje ovog pravila obećavajući je korak naprijed za privatnost osobnih podataka diljem Europe. Ipak, izaziva zabrinutost tehničkim menadžerima koji su odgovorni za pohranu i zaštitu informacija svojih organizacija dok informacije teku unutar i izvan dobavljačkih mreža.

Većina poduzeća djeluje spremno pridržavati se GDPR-a, što predstavlja logičku evoluciju pravila pridržavanja pravila koja su izvan dosadašnjih propisa. Problem za većinu IT menadžera je što osobe unutar organizacija koje su potencijalno izložene osobnim informacijama moraju biti spremne za GDPR – ali kako možete zaštititi svoje ljude od nečega što ne razumiju? Nadalje, kako možete zaštititi svoje podatke o kupcima kada se oni dijele s partnerima ili dobavljačima?

Vjerojatno najveći izazov u implementaciji GDPR-a uključuje masivne i rastuće količine podataka te napetost između zaštite internih podataka, uz istodobno dijeljenje informacija o proizvodima i potrošačima s partnerima diljem distribuiranih opskrbnih lanaca. Glavni je problem što većina organizacija ne razumije u potpunosti kakve podatke posjeduje u svojim korporativnim bazama podataka, katalozima proizvoda, sustavima e-pošte, proračunskim tablicama i HR zapisima, a da ne spominjemo bezbroj Wordovih dokumenata, prezentacija i objavljivanja preko društvenih medija.

Uzmimo primjerice nedavnu povredu podataka koja je pogodila poznatu organizaciju za utovar. Podaci, koji su bili dio prethodne akvizicije tvrtke, su propustili jer se na njih zaboravilo, pa su ostali nezaštićeni. Prema novom mandatu GDPR-a, ova brodarska organizacija će biti pogođena teškim novčanim kaznama za ovakav propust. Ipak, prijetnja ovakvim kaznama je neizbježna ili ju je ipak moguće izbjeći?  To je još uvijek nedovoljno jasno.

U pogledu zaštite internih podataka i nadilaženja izazova dobavljača, glavni cilj bi trebao biti provoditi stroge postupke za klasifikaciju, zaštitu i zbrinjavanje podataka.

Gotovo svaki veliki dobavljač morat će se pridržavati GDPR-a, čak i oni koji ne posluju izravno unutar EU, s obzirom da takvi dobavljači i dalje vjeruju da će uključiti neke podatke koji se odnose na podatke o građanima EU.

Osim toga, organizacije obično zahtijevaju neki oblik ugovora o otkazivanju ili sporazumu o glavnim uslugama s njihovim dobavljačima. GDPR će pojačati pritisak na sporazume o informacijama potrošača i pravilnom rukovođenju. Tvrtke će se morati vratiti i preispitati sporazume koje su potpisali s dobavljačima te ih ažurirati kako bi pokrili sve nove zahtjeve za zaštitu podataka.

Kako bi bili u skladu s GDPR-om, ovdje je šest zakonskih osnova za obradu nečijih osobnih podataka:

  1. Suglasnost – Osoba je jasno dala tvrtki pravo da obradi osobne podatke u određenu svrhu.
  2. Ugovor – Obrada je potrebna za ugovor potpisan od strane pojedinca ili zbog toga što su od društva zatražili poduzimanje određenih koraka prije sklapanja ugovora.
  3. Pravna obveza – Obrada je neophodna da bi tvrtka bila u skladu sa zakonom, ne uključujući ugovorne obveze.
  4. Vitalni interesi – Obrada je potrebna kako bi se zaštitio nečiji život ili dobrobit.
  5. Javna zadaća – Obrada je neophodna za obavljanje zadaća u javnom interesu ili za službene funkcije, a zadatak ili funkcija moraju biti jasno osnovane u zakonu.
  6. Legitimni interesi – Obrada je potrebna za legitimne interese tvrtke ili legitimne interese treće strane, osim ako postoji dobar razlog za zaštitu osobnih podataka pojedinca koji nadvisuje te iste legitimne interese.

Očekivanje da se osoba zaboravi nalazi se u središtu svih novih zahtjeva za GDPR. Građani EU-a imaju pravo da se svi njegovi osobni podaci čuvaju unutar sustava za pohranu podataka tvrtke.

Malo je prostora za propuste u nadzoru podataka pod mandatom GDPR-a. Da bi se zajamčila točnost cjelokupnog lanca opskrbe, organizacije moraju znati koje podatke posjeduju, kako zaštititi svoje podatke i kako nadzirati njihove podatkovne sustave radi usklađenosti.

Postizanje ovog ishoda zahtijevat će sveobuhvatan pregled internih pravila za zadržavanje podataka, poslovne procese i tehnološke sustave. S druge strane, svi ti elementi moraju zajednički raditi u koordinaciji s dobavljačima kako bi se prevladali značajni izazovi ispunjavanja usklađenosti s GDPR-om.

Za više informacija o tome što GDPR donosi lancu opskrbe svakako nas kontaktirajte.

SHARE
More than 20 years of ICT business development and management experience. Involved in both management, sales and development of complex ICT solutions. Specialties: Expert in enterprise mobility, ie: mobile computing solutions for the enterprise.