Svaka organizacija suočava se s fluktuacijom svojih zaposlenika i odlaskom dijela njih.
Svaki od bivših zaposlenika imao je određena prava pristupa našim poslovnim sustavima, CRM-u, ERP-u, nekoj bazi podataka ili HR aplikaciji.
Po raskidu ugovora o radu s takvim zaposlenikom promptno smo ugasili i njegove račune na našim poslovnim sustavima, zar ne?
Jesmo li barem provjerili postoje li možda ipak i dalje otvoreni računi bivših zaposlenika koji nam, iako više nisu djelom naše organizacije, mogu pristupati poslovnim sustavima i našim poslovnim tajnama?
Autor ovog posta će potvrditi da se i osobno našao u takvoj situaciji...
A što može poći po zlu?
Može li možda naš bivši zaposlenik biti hakiran ili mu lozinka može biti probijena jer istu koristi i za pristup Facebooku i drugim društvenim mrežama ili aplikacijama?
U takvim slučajevima, iako to nije više naš zaposlenik, našpa organizacija je definitivno kriva što računi bivšeg zaposlenika zajedno s njegovim pravima pristupa nisu pravovremeno ukinuti.
Čak i da se ne dogodi neki sigurnosni incident, organizacija je kriva.
Takav slučaj dolazi nam iz Njemačke, gdje je nadzorno tijelo utvrdilo, iako nije bilo izravnih posljedica, da je opisanim propustom tvrtka propustila ispuniti obveze osiguranja sigurnosnih organizacijskih i tehničkih mjera iz članka 32. GDPR-a, bez kojih nema usklađenosti s GDPR-om bez obzira na sve papire koje smo pripremili.
Više o slučaju:
https://gdprhub.eu/index.php?title=LG_K%C3%B6ln_-_28_O_328/21&mtc=today
Photo from Pexels