...ako pri tom ne osiguramo trajnu povjerljivost, integritet, dostupnost i otpornost sustava i procesa obrade osobnih podataka i pravodobnu ponovnu dostupnost podataka u slučaju sigurnosnog incidenta.
 
To je izravna i nezaobilazna GDPR obveza svake organizacije iz članka 32., a koja prečesto biva zanemarena u organizacijama koje misle da se GDPR usklađenost ispunjava "donošenjem pravilnika" ili još gore - kupnjom "copy-paste" dokumentacije.
 
Donosimo slučaj jedne ustanove javne uprave u Italiji koja upravlja sustavom i bazom ozljeda na radu i koja je u određenom vremenskom razdoblju imala čak tri povrede osobnih podataka prilikom kojih su osobni podaci bili dostupni neovlaštenim osobama.
 
Da bude stvar gora, nakon prvog Data Breacha nisu utvrdili njegove uzroke pa su im šanse za sprječavanje slijedeća dva bile bitno umanjene.
 
Posebno bolno je priznanje javne ustanove da sumnjaju na sigurnosne propuste u aplikaciji treće strane nad kojom nemaju kontrolu. Loše, neopisivo loše.
 
Nadzorno tijelo za zaštitu osobnih podataka je nedvojbeno utvrdilo da se radi o propustu organizacije s obzirom na jasne sigurnosne obveze iz članka 32. GDPR-a s naglaskom na propust u osiguranju redovitih testiranja učinkovitosti sigurnosnih mjera, posebice kad se radi o podacima o zdravlju i izreklo je visoku kaznu od 50.000 EUR iako se radilo o povredi osobnih podataka za samo 10 osoba.
 
Talijanski slučaj je ovdje:
 
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9771184&mtc=today