Pojam „ESG“ izvještavanje (“Environmental, Social and Governance”) prvi put se pojavio još 2005. godine u izvješću radne skupine za upravljanje imovinom financijske inicijative u okviru Programa Ujedinjenih naroda za okoliš. Potrošači i ulagači sve više koriste ESG pokazatelje za usmjeravanje svojih odluka, podržavajući tvrtke i njihove poslovne prakse koje su održive i društveno osviještene.
Okolišni, društveni i upravljački zahtjevi (ESG) sve su više na dnevnom redu za mnoge tvrtke jer su danas važan kriterij za investitore, kupce, dobavljače i zaposlenike pri odlučivanju hoće li surađivati s tvrtkom ili ne.
Tradicionalno se pojam "ESG" povezuje s "klasičnim" negativnim utjecajima na ljude i okoliš poput emisije stakleničkih plinova, prisilnog rada ili dječjeg rada. Privatnost i zaštita podataka mogu se smatrati jednako važnim elementima korporativne društvene odgovornosti i održivosti.
Uobičajeno, ESG izvještavanje primjenjuje se kao instrument u okviru kojeg poduzeća raspravljaju o različitim nefinancijskim aspektima poslovanja. Predstavlja se zajedno s drugim naporima poduzeća koji ne moraju nužno biti profitne prirode, ali se mogu dobro odraziti na ugled organizacije i poboljšati opću percepciju javnosti.
Odgovarajuća politika privatnosti podrazumijeva da tvrtka poštuje tri ESG kriterija u načinu na koji postupa s osobnim podacima. S aspekta upravljanja, tvrtke moraju osigurati temeljna prava na privatnost i zaštitu podataka fizičkih osoba prilikom obrade osobnih podataka. S tim u vezi, Opća uredba o zaštiti podataka fizičkim osobama daje veću kontrolu nad njihovim osobnim podacima, prisiljava tvrtke da podatke obrađuju zakonito i transparentno, te osigurava učinkovitu provedbu kroz ozbiljne sankcije.
Prema važećoj regulativi, poduzeća se već smatraju odgovornima za obradu osobnih podataka, bez obzira na ulogu koju imaju prilikom obrade podataka. Na primjer, tvrtka mora sklopiti ugovor o obradi podataka sa svakim izvršiteljem obrade, a prijenos osobnih podataka obrađivačima izvan Europske unije mora osigurati odgovarajuće zaštitne mjere za zaštitu prava fizičkih osoba.
Važnost odgovarajućih politika privatnosti prema poslovnim partnerima dodatno je naglašena u novom zakonodavstvu specifičnom za ESG izvještavanje. Na temelju zapažanja da se postojeće zakonodavstvo Europske unije ne primjenjuje uvijek na vrijednosne lance tvrtki izvan Europske unije, predložena Direktiva o korporativnoj održivosti (CSDD Direktiva) potiče tvrtke da procjenjuju i upravljaju povredama ljudskih prava u vezi s privatnošću i zaštitom podataka kroz cijeli globalni lanac vrijednosti, primjenjujući odgovarajuće mjere dubinske analize, slijedeći OECD-ove Smjernice za odgovorno poslovno ponašanje. Ni lanci opskrbe podacima nisu iznimka jer su često izvori povreda ili druge nezakonite obrade osobnih podataka.
Danas se mnoge tvrtke oslanjaju na dobrovoljne standarde kao što su Standardi Globalne inicijative za izvješćivanje (GRI) za svoje ESG izvještavanje. Prema GRI standardu 418, tvrtke se obvezuju pružati informacije o svojim učincima na privatnost kupaca, posebno u vezi s pritužbama o povredama podataka i gubitku podataka o kupcima. Europska unija posljednjih godina radi na kreiranju pravnog okvira za ESG izvještavanje s ciljem standardizacije nefinancijskog izvještavanja, što je rezultiralo donošenjem nove Direktive o korporativnom izvješćivanju o održivosti (CSRD direktiva).
S obzirom na problem standardizacije, Europska unija je uz pomoć EFRAG-a (European Financial Reporting Advisory Group) odlučila je izraditi svoje standarde kao temelj za ESG izvještavanje na razini Europske unije. Novi standardi za izvještavanje o održivosti (ESRS) proširuju opseg izvještavanja te će se primjenjivati prema svim obveznicima s tendencijom da u budućnosti sve veći broj poduzeća postanu obveznici nefinacijskog izvještavanja.
Prema standardu potrošača i krajnjih korisnika (ESRS – S7), zaštita podataka postaje element ESG izvještavanja, što obveznici moraju imati u vidu prilikom sveobuhvatnog izvještavanja o održivosti.
Veza između zaštite osobnih podataka, zaštite privatnosti i ESG-a nadilazi usklađenost sa zakonima ili standardima o privatnosti. S obzirom na dalekosežnu prirodu tehnologija koje se temelje na podacima kao što su umjetna inteligencija i „rudarenje velikih podataka“, tvrtke moraju biti svjesnije nego ikad etičkih implikacija određene obrade (društveni aspekt). To još više vrijedi kada se obrađuju posebne kategorije podataka kao što su zdravstveni podaci, genetski podaci ili podaci o etničkom podrijetlu. Uostalom, tvrtke imaju društvenu odgovornost za zaštitu osobnih podataka.
Poduzeća će morati vagati između svoje dugoročne reputacije i kratkoročne dobiti od nezakonite obrade podataka, jer će dioničari sve više voditi računa o etičkom rastu svojih tvrtki.
Štoviše, tu je i ekološki aspekt privatnosti i zaštite podataka koji se ne smije podcijeniti. Maksimiziranje predanosti načelima minimalne obrade podataka i ograničenja pohrane, zamjena fizičkih podatkovnih centara za pohranu u oblaku kad god je to moguće i namjerno korištenje energetski učinkovitih tehnologija, dovest će do održivijeg okoliša za ljude i planet.
Ukratko, privatnost i zaštita podataka neodvojivi su od ESG-a i nadilaze usklađenost s Općom uredbom o zaštiti podataka. Odgovorno upravljanje podacima (i interno i u odnosu na globalni lanac opskrbe podacima) ključno je za održavanje potrebnog povjerenja kupaca, zaposlenika, poslovnih partnera i investitora.
