...ako pri tom ne osiguramo sigurnosne mjere sprječavanja neželjenog postupanja s osobnim podacima, njihove krađe, kopiranja, brisanja, uništavanja, zlonamjernog kriptiranja, neželjenog mijenjanja, općenito od zlouporabe.

 

Kako to danas izgleda u praksi?

Organizacije izrađuju brojne dokumente kojima žele urediti procese, procedure, načine postupanja ili jednostavno dokazati da su usklađene s GDPR-om. I to je sasvim u redu, to je ispravno postupanje.

Međutim, nije tajna, da mnoge organizacije jednostavno samo kupuju dokumente, koriste šprance, kako bi ih imali za pokazati nadzornicima AZOP-a kad pokucaju na vrata. GDPR registrator je spreman.

Taman kad smo napunili registrator dokumentacijom, dogodi nam se da na nekoj društvenoj mreži ili chat aplikaciji saznamo da je naša poslovna dokumentacija dostupna na internetu i da je predmetom komentiranja.

Odemo pogledati o čemu se radi i imamo što vidjeti - neočekivanim načinom nepozvane i neautorizirane osobe mogu pristupiti našim folderima koje smo postavili na vlastitom serveru.

I tamo su popisi članova tima s njihovim osobnim podacima.

Ovaj slučaj nismo izmislili. Svjedočili smo konkretnom slučaju i radilo se o vrlo neugodnoj situaciji za tu organizaciju i članove njenog tima.

Da smo bili na mjestu njihovog Službenika za zaštitu podataka, odmah bismo naložili prijavu povrede AZOP-u. Vjerojatno i jesu...

U takvim trenucima moramo očekivati da nam AZOP pokuca na vrata.

 

Hoće li nam GDPR dokumentacija, pravilnici, privole, izjave, politike privatnosti, kojima sami sebe uvjeravamo da smo usklađeni s GDPR-om pomoći dok istovremeno imamo izravno kršenje GDPR-a?

Jedan od ključnih članaka GDPR-a je zapravo članak 32. - Sigurnost obrade.

Bez ispunjenja sigurnosnih preduvjeta s obzirom na prethodno prepoznate i procijenjene rizike nema nam ni GDPR usklađenosti. A to osiguravamo kroz povjerljivost, integritet, otpornost sustava i kontinuiranu dostupnost podataka, uz obvezu da redovito testiramo sigurnosne mjere.

Minimum minimuma sigurnosnih mjera je edukacija svih članova tima, s posebnim naglaskom na današnje online prijetnje.

Drugi minimum je da provodimo testiranja sigurnosnih mjera i svih mogućih scenarija kojima bi osobni podaci u našim sustavima mogli biti kompromitirani.

Samo tako možemo znati da imamo sigurnosne rupe i koje mjere osigurati.

 

Dobar primjer je ovaj iz Rumunjske gdje su izostankom primjerenih mjera sigurnosti kompromitirani osobni podaci više od 26.000 osoba, nakon što je njihova baza propustom i nemarom objavljena na web stranici.

Iznos kazne je bio 3.000 EUR.

Više o slučaju:

https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_Fine_against_S.C._Delivery_Solutions_S.A._(Sameday)&mtc=today

 

 

#gdprcroatia