Ključne su to značajke istinski zaštićenih sustava obrada osobnih podataka koje se postižu mjerama informacijske sigurnosti i bez kojih nije moguće postići GDPR usklađenost.
Članak 32. GDPR-a nalaže ovo svima nama u ulozi voditelja ili izvršitelja obrade.
Određen broj organizacija u Hrvatskoj potrudio se dokumentirati i raspisati sigurnosne mjere koje provode u smislu sigurnosti obrada osobnih podataka, međutim, ključno je jesu li one zaista provedene u praksi, jesu li učinkovite i jesu li redovito testirane.
Moramo izbjeći da ih cyber kriminalci testiraju i pokažu nam sigurnosne propuste.
Zanimljiv slučaj dolazi nam iz Danske gdje je državna institucija koja brine o zdravstvenim podacima pacijenata gdje je bivši zaposlenik svojevoljno, unatoč jasno raspisanim pravilima postupanja s podacima, pseudonimizirane podatke pohranio na Microsoft Azure cloud platformi za dodjelu i upravljanje radnim zadacima, gdje pristup imaju i drugi zaposlenici koji ih mogu pretvoriti u normalan čitljiv format o zdravstvenom stanju pacijenata.
Stvar je otkrivena tek godinu dana kasnije.
Da, smjernice i interni pravilnici postoje i lijepo su raspisani.
Međutim, institucija se nije potrudila provjeravati provode li se sigurnosne mjere prema zapisanome, nije vršila redovita testiranja i revizije mjera.
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-442-12991&mtc=today
Photo by Pixabay from Pexels
