Kao tvrtka ili ustanova ili općenito voditelj obrade angažirali smo IT tvrtku da nam osigurava administriranje i održavanje IT sustava.
I sve štima dok se odjednom ne desi curenje osobnih podataka iz naših IT sustava.
Kako? Odakle? Tko je kriv?
Zaposlenik IT tvrtke kao izvršitelja obrade je nemarom krivoj osobi emailom poslao link na web aplikaciju kojom se upravlja osobnim podacima drugih osoba.
Naravno, taj link se munjevito proširio i brojni pojedinci imali su neovlašteni pristup do osobnih podataka 3.500 osoba.
Definitivno se dogodila povreda osobnih podataka, ali tu problem tek počinje.
IT tvrtka, svjesna problema koji je prouzročila, bez informiranja i dozvole voditelja obrade angažira drugu IT tvrtku radi analize logova pristupa i IP adresa neovlašenih pristupa bazi osobnih podataka.
Talijansko nadzorno tijelo zaključilo je temeljem istrage da je definitivno krivica na prvoj IT tvrtki - izvršitelju obrade zbog propusta u sigurnosnim mjerama.
Isto tako, druga IT tvrtka angažirana da analizira logove i IP adrese proglašena je podizvršiteljem ili drugim izvršiteljem obrade.
Izostanak obavještavanja voditelja obrade o podangažiranju drugog izvršitelja obrade i izostanak njegovog pristanka dodatna je pogreška IT tvrtke, koja očigledno u danom trenutku nije poznavala GDPR obveze iz članka 28.
Kazna IT tvrtki iznosila je 10.000 EUR.
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9754332&mtc=today
Photo from Pexels