新的《欧洲数据保护文本》要求采购部门通过专用程序和工具确保供应商联系信息的安全。他们还必须确保遵守代表其公司托管或处理数据的提供商,调整采购合同,以描述出现问题时的新义务和解决方案。
自 5 月 25 日(星期五)起,欧盟的《通用数据保护条例》(GDPR) 已生效。因此,所有总部设在欧洲的公司,以及所有处理在欧盟收集的个人信息的公司,都必须遵守新文本,该文本旨在使个人更容易控制其数据的收集,使用,共享和存储方式。"与指令不同,该法规对所有欧洲国家都具有约束力,适应幅度非常小,只是考虑到每个国家/地区特有的支持(认证,标签等),"采购和数字部门的律师Franklin Brousse说。
如果GDPR特别涉及营销和人力资源部门,这些部门贪婪于与客户/潜在客户或员工相关的数据,则购买也有责任。为什么?首先,因为该功能的信息系统操纵与供应商联系人相关的信息。"GDPR需要特殊措施,即专门的程序和保护解决方案,包括加密工具和匿名化或假名化设备,"Franklin Brousse解释说。
购买 还担心公司使用第三方或IT分包商,可能需要代表其托管或处理数据(员工,客户,供应商等)。"除了在内部实施技术和组织措施外,公司还必须问自己其服务提供商提供的服务的合规性问题,"云主机Ikoula的总裁兼联合创始人Jules-Henri Gavetti证实。为了确保他们遵守GDPR,从而保护自己,必须调整购买合同以描述其义务(安全验证,发生攻击时的通知程序,影响分析等),可能通过"数据保护协议"附在合同中。
GDPR项目首先是摆脱低质量数据的机会。"最好的解决方案是建立一个集中的,基于规则的基础,使公司能够合规,"北美业务发展和营销主管Brenton Walton说。 SynerTrade."通过将数据生命周期注册到集中且可访问的介质上,可以有效地跟踪数据生命周期,"Dataiku首席执行官Florian Douetteau表示同意。"这个周期必须包括现有数据的清单,访问和经常使用它的人,以及数据处理的方法:复制,删除等。通过这种方式,将更容易识别涉及处理个人数据的做法以及存在风险的做法。
对于不符合GDPR的服务提供商,"这也是一个能够重新谈判合同条款和条件并利用它们来节省资金的机会,"Brenton Walton继续说道。该操作可能还需要更新其可能的CLM(合同生命周期管理)工具,特别是如果发布者通过提供特定条款或文档来集成新法规。甚至发起更加全球化的反思,对其采购信息系统的相关部分进行现代化和升级。