Quase todas as empresas lidam diariamente com dados pessoais. Estes são coletados, armazenados e processados. A GDPR inclui regulamentos uniformes da UE, que são urgentemente necessários devido à crescente globalização. Assim, as mesmas regras se aplicam aos parceiros comerciais, clientes e fornecedores no país e no exterior.

Os dados dos fornecedores também são coletados e utilizados, especialmente em compras. Isto inclui dados de contato, listas de pedidos, detalhes bancários e similares. Mas quais regulamentos se aplicam exatamente aqui? Como as empresas podem implementá-las melhor? E inversamente, o que os fornecedores estão autorizados a fazer com seus dados? Este artigo lhe mostra o que você precisa considerar.

Você precisa de apoio individual? Nossa equipe é composta por especialistas das áreas de direito de proteção de dados, TI e segurança. Teremos prazer em apoiá-lo na implementação dos regulamentos de proteção de dados. Entre em contato diretamente para uma consulta inicial sem compromisso.

Os fatos mais importantes em resumo

  • Semelhante a lidar com clientes, as empresas também devem proteger o dados pessoais de fornecedores.
  • Em caso de não conformidade com as exigências do GDPR, as empresas enfrentam multas elevadas: Até 20 milhões de euros ou 2% do faturamento anual podem ser impostos como penalidades.
  • Auditorias de fornecedores são uma ferramenta para facilitar a seleção e avaliação dos fornecedores, que pode melhorar e garantir a proteção de dados.
  • Se os fornecedores também são processadores, os acordos de processamento de pedidos tornam-se obrigatórios. Estes regulam o que o fornecedor está autorizado a fazer com os dados. Este contrato o vincula, e o cumprimento deve ser auditado anualmente.

Proteção de dados em compras: Como proteger os dados pessoais

Os dados pessoais normalmente são sempre envolvidos quando mercadorias e componentes são adquiridos, e as entregas são gerenciadas. Desde 2018, o Regulamento Geral de Proteção de Dados (GDPR) está em vigor para proteger esses dados e ditar como certas informações devem ser tratadas.

Mas regulamentos sobre proteção de dados não existem apenas desde 2018. O GDPR padroniza as regras nacionais em toda a Europa. No entanto, há exceções a isto, as chamadas cláusulas de abertura.

A padronização tem a vantagem, especialmente para empresas multinacionais, que as mesmas regulamentações relativas à proteção de dados se aplicam aos parceiros comerciais, fornecedores e clientes com os quais interagem em outros países da UE.

Por exemplo, você não precisa se preocupar se cumpre com os regulamentos da legislação espanhola (exceto as cláusulas de abertura, por exemplo, muitas vezes na legislação trabalhista e dados médicos), mas também não precisa se preocupar se seus dados estão seguros na Espanha.

O que é proteção de dados?

A proteção de dados descreve principalmente a segurança dos dados pessoais para que não sejam acessíveis a ninguém em público. Existe uma base legal para o processamento desses dados. Isto significa, por um lado, que somente o quantidade mínima dos dados necessários podem ser coletados e, por outro lado, que os dados coletados devem ser protegidos contra o acesso de terceiros.

Em linguagem simples, a proteção de dados requer,

  1. para coletar somente os dados absolutamente necessários (princípio da minimização de dados),

  2. para armazenar estes dados somente pelo tempo absolutamente necessário,

  3. para tomar as medidas de segurança necessárias para proteger os dados em todos os processos de dados.

  4. deve haver uma base legal para o processamento (contrato, consentimento, interesses legítimos, etc.).

Para isso, há algumas exigências que as empresas devem cumprir, tais como avaliações de impacto da proteção de dados ou registros de processamento. Já escrevemos vários artigos sobre estes tópicos, que cobrem o respectivo assunto em detalhes.

Além disso, os sujeitos dos dados têm o direito de controlar seus dados (autodeterminação informativa). Por exemplo, eles podem revogar seus consentimento para o processamento ou solicitar informações sobre os dados armazenados a qualquer momento.

O que são dados pessoais?

Dados pessoais são qualquer informação que pode ser atribuída a uma pessoa física específica e fornece informações sobre essa pessoa. Informações sobre religião, saúde, filiação sindical, sexualidade, origem étnica e visões políticas é especialmente digno de proteção.

Mas outros dados pessoais também estão sujeitos à proteção; no caso de fornecedores, isto inclui, em particular:

  • Dados pessoais gerais (nomes, datas de nascimento, números de telefone, endereços),
  • Números de identificação (número da previdência social, número do imposto, número da carteira de identidade),
  • dados bancários,
  • Dados online (locais, endereços IP, senhas),
  • Características físicas (cor da pele, tamanho da roupa, sexo),
  • Dados de propriedade (registros de registro de imóveis, placas de veículos, etc.)
  • Dados do cliente (pedidos, dados de conta, etc.)
  • Documentos (depoimentos, escrituras, certificados) e muito mais.

O que é "Privacy by Design"?

O princípio "Privacy by Design" descreve a obrigação de desenvolver produtos para que o produto final colete e armazene o mínimo possível de dados do usuário. Isto desempenha um papel em todos os dispositivos que coletam informações sobre seus usuários e deve ou deve transmitir dados para o fabricante. Como empresa, você deve sempre se perguntar por que precisa dos dados e se existem outros meios (com menos dados pessoais) para atingir o objetivo pretendido.

Se os produtos devem ser otimizados através do uso e coleta de dados, os fabricantes geralmente exigem o consentimento dos usuários. Para proteger a privacidade do cliente, os fabricantes devem armazenar os dados para que não possam mais ser atribuídos a uma pessoa física, por exemplo, através de anonimato ou pseudonimato.

Pode não ser imediatamente aparente, mas isso também afeta a forma como a compra encomendas de fornecedores. Afinal, os desenvolvedores e compradores devem ter o cuidado de selecionar componentes, funcionalidades e fornecedores que levem em conta o princípio de "privacidade por projeto".

Quem é o responsável pela proteção de dados?

A empresa, não o fornecedor, é responsável pelo cumprimento das exigências e princípios legais. Isto também se aplica à instalação de componentes de proteção de dados. Os compradores, em particular, devem garantir que os fornecedores cumpram com as exigências da GDPR - mesmo que apenas de acordo com suas declarações. Isto se aplica aos componentes de hardware, mas também de software.

A compra também deve ser verificada junto com o departamentos de desenvolvimento, produção e responsáveis pela proteção de dados se as coletas de dados planejadas são necessárias ou podem ser minimizadas. Lembre-se de que um grande volume de dados também significa que a proteção de dados será posteriormente mais complexa e de custo mais intensivo.

Também deve ser sempre verificado se outros prestadores de serviços, tais como empresas de logística e serviços na nuvem, atender às exigências do GDPR. Portanto, antes de contratá-los, os responsáveis por compras e proteção de dados devem verificar se todos os regulamentos são cumpridos para proteger os sujeitos dos dados e a empresa sob a lei de proteção de dados.

Obter o consentimento dos fornecedores

Os dados pessoais são diversos e coletados por quase todas as empresas, especialmente nas compras e na interação com os fornecedores. Mesmo um assinatura em um pedido é pessoal e, portanto, sujeito à proteção de dados.

Esses dados podem, portanto, ser apenas armazenado durante o prazo de validade do pedido e deve então ser apagado de acordo com os períodos de retenção legais.

Suponha que os dados sejam coletados, por exemplo, para entrar no banco de dados do fornecedor ou porque são necessários para o acesso às instalações da empresa. Nesse caso, o fornecedor deve ser amplamente informado sobre a coleta de dados e instruído sobre seu direito de revogação. Isto geralmente é feito através de referência ou anexando as informações de proteção de dados aos contratos relevantes.

Aqueles que não cumprirem as obrigações legais devem esperar multas pesadas de até 20 milhões de euros ou 2% do faturamento anual.

Quais são as obrigações das empresas?

A lista de obrigações para as empresas é longa. Explicá-las todas em detalhes iria longe demais aqui, mas você encontrará artigos detalhados sobre as obrigações gerais em nosso site. Portanto, a seguir, trataremos apenas dos pontos mais importantes que desempenham um papel relativo aos fornecedores.

A coleta e processamento de dados em relação a compras e suprimentos também devem ser registrados no registros de atividades de processamento (ROPA). Além da ação, a finalidade e as pessoas de contato relevantes também devem ser especificadas.

Qualquer pessoa que processe dados em larga escala deve, entre outras coisas, realizar um avaliação do impacto da proteção de dados, ou seja, um avaliação de risco que determina se existe uma relação de propósito. Somente se o equilíbrio entre os direitos e liberdades dos sujeitos dos dados e os interesses econômicos da empresa for a favor da empresa é que isso pode ser feito legalmente.  

Em relação a todo processamento, medidas técnicas e organizacionais devem ser estabelecidas nas estruturas da empresa que protejam os dados pessoais da melhor maneira possível e minimizem ou, se possível, até eliminem os riscos de processamento de dados. Isto também se aplica aos dados dos fornecedores e aos dados que são transferidos aos fornecedores. Uma proteção cem por cento nunca é possível, mas você deve chegar perto.

Se um violação da proteção de dados Se os dados forem afetados, os fornecedores também devem ser informados o mais rápido possível. As empresas devem desenvolver e integrar um plano de emergência para este fim, que pode ser recuperado automaticamente em caso de dúvida. Isto também inclui o contato com o autoridade supervisora.

Nossa equipe já criou milhares de ROPAs e terá o maior prazer em apoiá-lo. Comece imediatamente com o plano de emergência certo, e contate nossa equipe para uma inicial sem compromisso consulta. Com o Plataforma de proteção de dados Priverion, você tem tudo sob controle o tempo todo.

PEÇA UMA INSTÂNCIA DE TESTE HOJE

Teste nossa solução

Começar

Informações de privacidade para fornecedores

Uma das questões essenciais para as empresas e fornecedores é o fornecimento de avisos de privacidade ou informações para o processamento dos dados pessoais dos contatos do fornecedor.

Estas são informações de acesso público, por exemplo, no website, que podem ser acessadas a qualquer momento para encontrar informações sobre proteção de dados.

As seguintes informações podem ser encontradas regularmente nesta página:

  1. Controlador de dados: aqui deve estar o nome, endereço e detalhes de contato relacionados com o processamento de fornecedores e suas informações.
  2. Responsável pela proteção de dados: os dados de contato da empresa ou o responsável externo pela proteção de dados podem ser encontrados aqui. Em alguns casos, as informações se sobrepõem às do controlador de dados, mas ainda assim devem ser listadas duas vezes para criar transparência.
  3. Coleta e processamento de dados pessoais: Isto lista quais categorias de dados são coletados e armazenados de quais fontes de dados.
  4. Objetivo do processamento de dados e base legal: Aqui, você encontrará a finalidade do processamento e as exigências legais associadas. Para os fornecedores, os dados são normalmente coletados para iniciar, estabelecer e tratar as relações comerciais.
  5. Destinatários dos dados: Os destinatários serão categorizados e nomeados aqui. Se necessário, os dados são passados a terceiros como clientes, advogados, subcontratados, notários, autoridades, empresas de auditoria, consultores fiscais, ou similares durante o processamento. Em grandes empresas, as filiais podem passar dados para as empresas-mãe ou vice-versa, o que também deve ser observado.
  6. Transferência para países terceiros: deve ser declarado se e para quais países terceiros os dados são transferidos e para quem exatamente.
  7. Período de armazenamento: deve ser descrito por quanto tempo os dados serão armazenados. Uma declaração de que os dados serão armazenados apenas pela duração legalmente permitida é suficiente aqui, ou seja, apenas pelo período necessário ou se as obrigações de retenção assim o exigirem.
  8. Direitos dos sujeitos dos dados: Informe seus fornecedores que eles têm o direito à informação, correção, exclusão, restrição de processamento, portabilidade de dados e objeção.
  9. Uso da página inicial: Consulte as informações gerais sobre proteção de dados na página inicial.
  10. Informações sobre o direito de objeção: também é obrigatório fornecer informações sobre o direito de objeção seguindo o Art. 21 GDPR.

Outras informações podem ser necessárias ou úteis em casos individuais, tais como cláusulas de emenda, tomada de decisão automatizada ou requisitos de provisão.

O que é uma auditoria de fornecedores?

Uma auditoria de fornecedor é uma instrumento para avaliar e selecionar fornecedores novos ou já existentes. Aqui, o condições reais dos fornecedores são comparados com os condições de destino e dividido em várias categorias, tais como administração, pessoal, equipamento técnico, etc.

Desta forma, erros, lacunas e potencial de melhoria podem ser filtrados. O objetivo de uma auditoria de fornecedores é, portanto, geralmente:

  • Avaliação
  • Seleção
  • Desenvolvimento
  • Otimização
  • Garantia de qualidade

Cuidado: Os dados dos fornecedores e da empresa devem ser utilizados para avaliação. Durante uma auditoria do fornecedor, grandes quantidades de dados são coletadas, que podem estar sujeitas à proteção de dados.

Se um prestador de serviços for utilizado para tal auditoria, deve-se ter o cuidado, neste caso, de assegurar que um acordo de processamento de contratos ("CPA") é elaborado para garantir que o prestador de serviços externo cumpra as exigências do GDPR.

Uma auditoria de fornecedores faz sentido, também com relação à proteção de dados. Tal auditoria também avalia se os fornecedores cumprem com a GDPR ou se há potencial para melhorias aqui.

Quais são as obrigações de proteção de dados que os fornecedores têm?

Como empresas, os fornecedores naturalmente também cumprem as obrigações legais da GDPR para com seus clientes. Assim, os fornecedores também podem armazenar, processar e utilizar os dados de seus clientes somente se a GDPR o permitir.

Como sempre, este só é o caso se a coleta e o processamento dos dados forem necessário. Aqui, também, os dados podem ser armazenados apenas pelo tempo que a relação comercial exigir. Portanto, a questão da finalidade e proporcionalidade da coleta de dados também se coloca para os fornecedores.

Especialmente para fornecedores, a questão de compartilhamento de dados freqüentemente surge. Em geral, os fornecedores, como todas as empresas, devem ser capazes de demonstrar uma base legal quando coletam, armazenam e processam seus dados.

Caso contrário, resta afirmar que os fornecedores estão sujeitos aos mesmos direitos e obrigações que todas as outras empresas. Isto é particularmente relevante quando as fronteiras da UE são atravessadas. Os clientes devem, portanto, também ter o cuidado de trabalhar com fornecedores que observem e cumpram os princípios da GDPR.

Conclusão

Em princípio, os fornecedores têm os mesmos direitos e obrigações sob o GDPR que todos os outros sujeitos de dados e empresas. Todas as empresas devem ter o cuidado de cumprir com a GDPR. 

Algumas das disposições do GDPR são particularmente importantes para as relações comerciais com os fornecedores e devem, portanto, receber atenção especial.

Você tem perguntas abertas sobre proteção de dados? Nosso pessoal legal e tecnicamente treinado o aconselhará de forma abrangente sobre todas as questões da lei de proteção de dados. Esteja à vontade para entre em contato conosco a qualquer momento.

Artigos relacionados

Reserve uma demonstração

+41 44 586 97 90

hello@www.priverion.com