...ako pri tom ne osiguramo sigurnosne mjere sprječavanja neželjenog postupanja s osobnim podacima, njihove krađe, kopiranja, brisanja, uništavanja, zlonamjernog kriptiranja, neželjenog mijenjanja, općenito od zlouporabe.
Kako to danas izgleda u praksi?
Organizacije izrađuju brojne dokumente kojima žele urediti procese, procedure, načine postupanja ili jednostavno dokazati da su usklađene s GDPR-om. I to je sasvim u redu, to je ispravno postupanje.
Međutim, nije tajna, da mnoge organizacije jednostavno samo kupuju dokumente, koriste šprance, kako bi ih imali za pokazati nadzornicima AZOP-a kad pokucaju na vrata. GDPR registrator je spreman.
A AZOP nikako da pokuca na vrata...
Taman kad smo napunili registrator dokumentacijom, dogodi nam se da na nekoj društvenoj mreži ili chat aplikaciji saznamo da je naša poslovna dokumentacija dostupna na internetu i da je predmetom komentiranja.
Odemo pogledati o čemu se radi i imamo što vidjeti - neočekivanim načinom nepozvane i neautorizirane osobe mogu pristupiti našim folderima koje smo postavili na vlastitom serveru.
I tamo su popisi članova tima s njihovim osobnim podacima.
Ovaj slučaj nismo izmislili. Svjedočili smo konkretnom slučaju i radilo se o vrlo neugodnoj situaciji za tu organizaciju i članove njenog tima.
Da smo bili na mjestu njihovog Službenika za zaštitu podataka, odmah bismo naložili prijavu povrede AZOP-u. Vjerojatno i jesu...
U takvim trenucima moramo očekivati da nam AZOP pokuca na vrata.
Hoće li nam GDPR dokumentacija, pravilnici, privole, izjave, politike privatnosti, kojima sami sebe uvjeravamo da smo usklađeni s GDPR-om pomoći dok istovremeno imamo izravno kršenje GDPR-a?
Jedan od ključnih članaka GDPR-a je zapravo članak 32. - Sigurnost obrade.
Bez ispunjenja sigurnosnih preduvjeta s obzirom na prethodno prepoznate i procijenjene rizike nema nam ni GDPR usklađenosti. A to osiguravamo kroz povjerljivost, integritet, otpornost sustava i kontinuiranu dostupnost podataka, uz obvezu da redovito testiramo sigurnosne mjere.
Minimum minimuma sigurnosnih mjera je edukacija svih članova tima, s posebnim naglaskom na današnje online prijetnje.
Drugi minimum je da provodimo testiranja sigurnosnih mjera i svih mogućih scenarija kojima bi osobni podaci u našim sustavima mogli biti kompromitirani.
Samo tako možemo znati da imamo sigurnosne rupe i koje mjere osigurati.
Dobar primjer je ovaj iz Danske na niže navedenom linku, gdje je pronađeno da je na jednoj digitalnoj platformi bio moguć pristup računima drugih korisnika sigurnosnim propustom na sustavu prijave putem posebne ID kartice, a što je otkriveno tek dva mjeseca kasnije.
Naravno, organizacija koja vodi digitalnu platformu i koja je voditelj obrade, smatrala je da to nije njezina pogreška ni odgovornost. Bili su u krivu. Morali su testirati sigurnost svojih sustava za sve scenarije:
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-431-0138&mtc=today
Image by Lukas Bieri from Pixabay
