Unutar GDPR teksta se ni na koji način izravno ne spominje ova obveza.
 
Ali je utkana u tekst članka 32. kojim se od svakog voditelja obrade, bez obzira radilo se o tvrtki, ustanovi, tijelu javne vlasti, udruzi ili fizičkoj osobi, zahtijeva uvođenje učinkovitih zaštitnih mjera za IT sustave i sve druge sustave obrade i pohrane osobnih podataka, kao i redovito testiranje, mjerenje i ocjenjivanje učinkovitosti tehničkih i organizacijskih mjera.
 
Moramo se redovito zapitati jesmo li ažurirali naše antivirusne programe i njihove baze, jesmo li ažurirali naše operativne sustave na laptopima, stolnim računalima, serverima, pametnim telefonima i tabletima.
 
Jesmo li svjesni u koliki rizik ulazimo ako propustimo na koji tjedan ažurirati baze naših antivirusnih programa, odnosno, aplikacija za otkrivanje zlonamjernih programa, raznih kategorija virusa, phishing mailova i sl. Pri tom moramo biti svjesni da su, oni koji stvaraju zlonamjerne programe, uvijek dva koraka ispred nas i ispred najboljih alata za njihovo otkrivanje. Stoga svakim danom kašnjenja u ažuriranju bitno povećavamo šanse da zarazimo naša računala ili da nam zlonamjernici preuzmu kontrolu nad računalima i dokumentacijom.
 
Samo Microsoft je ove godine izbacio za svoju Windows 10 verziju niz kritičnih i nužnih nadogradnji operativnog sustava kao posljedicu neprestanog otkrivanja sigurnosnih "rupa" u softveru.
 
Izostanak redovitog ažuriranja aplikacija, softvera bilo koje vrste i operativnih sustava može našu organizaciju dovesti u povredu osobnih podataka, a tada se stvari bitno kompliciraju.
 
Ne samo da ćemo morati o tome izvijestiti AZOP ili pogođene osobe, već će AZOP imati obvezu provjeriti jesmo li prije povrede poduzeli sve neophodne mjere za osiguranje odgovarajuće razine sigurnosti osobnih podataka i sprječavanje slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
 
Kao primjer donosimo slučaj iz Poljske koji je završio samo opomenom nadzornog tijela:
 
https://gdprhub.eu/index.php?title=UODO_-_DKN.5130.2815.2020&mtc=today
 
Tvrtka koja se bavi pružanjem usluga spa turizma, nakon dužeg vremena nemogućnosti rada uslijed epidemioloških mjera, uočila je da ne može pristupiti svojoj bazi klijenata i pacijenata.
 
Utvrdili su da im je ransomwareom "zarobljena" baza podataka o 80.000 klijenata, uključujući imena, prezimena, datume rođenja, IBAN, adrese stanovanja, email adrese, brojeve osobnih dokumenata, telefonske brojeve i zdravstvene podatke.
 
Srećom, imali su izrađene sigurnosne kopije (backup) svih podataka i vraćanjem backupa podaci su im bili na raspolaganju za nastavak rada.
 
Nadzorno tijelo je utvrdilo da nije bila ugrožena povjerljivost osobnih podataka 80.000 klijenata, već su samo bili zaključani enkripcijom od strane hakera.