Imali smo prilike u organizacijama vidjeti stvarne slučajeve da ispisani popisi zaposlenika i njihove djece stoje na vrhu kutije smještene u hodniku i dostupne svima.
Gdje je problem?
GDPR, između ostalog, nalaže obvezu ograničavanja pristupa osobnim podacima samo ovlaštenim osobama organizacije ili trećih strana. Kontrola pristupa osobnim podacima mora biti uspostavljena, kao i opravdanost za svaku pojedinu osobu koja ima pravo pristupiti im.
U prethodno su opisanom primjeru osobni podaci ostavljeni dostupni i osobama koje nemaju ovlast pristupa istima.
Ali odakle taj popis zaposlenika i njihove djece? Tko je pogriješio?
Pogreška je, u stvari, učinjena od strane zaposlenika koji je popise zaposlenika i djece u čitljivoj i lako dostupnoj formi stavio izvan nadzora pristupa ubacivanjem u kutiju za zbrinjavanje otpada, a koja je lako dostupna na hodnicima organizacije a njezin sadržaj svim prolaznicima tim hodnikom.
Kada bismo danas u svojoj organizaciji proveli vježbu provjere sadržaja odbačene poslovne dokumentacije u "ekološkim" kutijama za zbrinjavanje papira, s visokom sigurnošću možemo očekivati pronalaženje raznih dokumenata i bilješki koji sadrže poslovne tajne, strateški važne odluke ili smjernice ili njihove prijedloge, pa i razne osobne podatke.
Svi smo svjesni da se u papirima koje zbrinjavamo nalaze i dopisi, ugovori, draftovi ugovora, ispisane evidencije i preslike mnogih vrsta dokumenata, koji sadrže poslovne tajne i osobne podatke koje je naša organizacija na različite načine prikupila i obrađivala.
Periodički se takve kutije prazne na način da ih preuzimaju vanjske tvrtke za zbrinjavanje otpada.
Stavljanjem takvih dokumenata u kutije za recikliranje papira tvrtke u suštini predaju osobne podatke vanjskoj tvrtki koja bi ih trebala zbrinuti i uništiti.
No, znamo li pouzdano da li će i u kojem roku ta vanjska tvrtka trajno i sigurno ekološki zbrinuti naše papire?
Znamo li pouzdano da nijedan komad papira neće završiti u pogrešnim rukama, medijima, društvenim mrežama?
Prisjetimo se slučaja od prije tri godine kada su djeca jednog dječjeg vrtića dobila "reciklirane" papire za crtanje na čijoj poleđini jednog je bio ispunjen obrazac zahtjeva određene osobe za promjenu spola. Komad papira s nemjerljivo osjetljivim podacima čije otkrivanje neovlaštenim osobama i javnosti predstavlja teško kršenje GDPR-a i neopisiv udarac na privatnost te osobe. Tim gore kada stvar završi i u medijima, kao što je i bilo.
Možemo se samo pitati koliko je ljudi vidjelo osobne podatke osobe koja je zatražila promjenu spola? Dakako, dječji vrtić nije ovdje ništa kriv, već organizacija, vjerojatno zdravstvena, iz koje su izašli takvi dokumenti.
Da zaključimo, ukoliko se rješavamo starih papira u tvrtki, prvo ih sigurno uništimo UNUTAR tvrtke, pa tek onda ekološki zbrinemo.
Nabavimo uništavače papira, tzv. šredere.
Na usporediv način postupajmo i sa starim računalima, laptopima, hard diskovima, kopirnim uređajima, snimačima video nadzora....
Pobrinimo se isključiti svaku mogućnost povrede osobnih podataka, jer jednom kad se dogodi povreda podataka, gotovo sigurno je da je crta iza koje nema povratka prijeđena.
