Odgovoran je voditelj obrade, odnosno, poslodavac.

To je sažetak stajališta poljskog suda i poljskog nadzornog tijela koji dijele prethodno navedeno stajalište i potvrđuju donesenu kaznu od 11.000 EUR poslodavcu, konkretno, sveučilištu u Varšavi, zbog nepoduzimanja primjerenih tehničkih i organizacijskih mjera sprječavanja izlaganja osobnih podataka 80.000 kandidata za upis studija.

 

Stvar je pukla po povredi osobnih podataka, odnosno, krađi privatnog laptopa zaposlenika sveučilišta, na kojem su bili pohranjeni osobni podaci kandidata za upis studija.

Sveučilište se pokušalo braniti činjenicom da je zaposlenik svojevoljno koristio vlastiti laptop u poslovne svrhe bez znanja sveučilišta.

Sud je u konačnici presudio utvrdivši da zaposlenik sveučilišta ne djeluje kao samostalni pravni entitet i da je sveučilište propustilo osigurati mjere zabrane korištenja privatni računala, iznošenja osobnih podataka izvan sustava i prostora sveučilišta i uvesti jasna pravila i sankcije za njihovo kršenje.

 

Da bismo izbjegli takve slučajeve, po nama treba svakako izbjegavati korištenje privatnih računala i zabraniti njihovo korištenje za svrhe obrade osobnih podataka, jer voditelj obrade ili poslodavac teško može osiguravati da su takva računala dobro zaštićena i sadržaj diskova enkriptiran.

A za svako računalo, posebice ako se radi o prijenosnom računalu, svaki bi poslodavac trebao poduzeti ovaj minimum mjera kroz jasne obveze zaposlenicima i zaštitne mjere na samim uređajima:

- Uvijek zaključavajmo naša računala kompleksnijom lozinkom čak i kad ih na kratko ostavljamo bez nadzora, redovito ih mijenjajmo i ne koristimo za druge svrhe

- U postavkama računala osigurajmo da se lozinka traži i nakon što probudimo laptop iz hibernacije ili tzv. sleep moda

- Osigurajmo da su nam diskovi enkriptirani. Danas je to toliko lako na Windows računalima i Apple uređajima.

- Kod nabavke novih laptopa uzmimo Windows 10 Professional ili Enterprise verzije jer nam omogućavaju besplatnu aktivaciju BitLocker enkripcije

- Ako već imamo računala s Windows Home verzijom, koristimo dostupne alate za enkripciju podataka, naša topla preporuka je npr. VeraCrypt

- Nikada ne ostavljajmo laptop u vozilu ili na lako dostupnom mjestu bez nadzora. Laptopi danas nisu više tako teški, a njihov gubitak je sve skuplji

- Osigurajmo da naša računala servisiraju samo pouzdani servisi s kojima smo osigurali zaštitu osobnih podataka putem ugovora iz članka 28. GDPR-a

 

Ako se i dogodi krađa laptopa, nemojmo nipošto ignorirati obveze prijave povrede osobnih podataka AZOP-u i, ako se radi o vrlo osjetljivim osobnim podacima, osobama čiji su osobni podaci krađom kompromitirani.

 

Više o poljskom slučaju:

https://gdprhub.eu/index.php?title=WSA_Warsaw_(Poland)_-_II_SA/Wa_2129/20&mtc=today