Primjeri iz Poljske i Danske nas jasno uvjeravaju u to, nakon što su nadzorna tijelo za zaštitu osobnih podataka utvrdila da organizacije nisu poduzele neophodne sigurnosne mjere u nošenju i korištenju službenih laptopa.
Budimo objektivni, nemali broj zaposlenika danas pohranjuje poslovnu dokumentaciju, strateške informacije i poslovne tajne kao i brojne osobne podatke na svojim laptopima.
Istovremeno se laptopi iznose iz poslovnih prostora, ostavljaju u autima bez nadzora ili na drugim mjestima na kojima kradljivci vrebaju svoju priliku.
Izravno svjedočimo o činjenici koliko je mali udio organizacija koje su osigurale enkripciju diskova u laptopima, upravo sa svrhom da se spriječi neovlašteni pristup kradljivaca sadržaju dokumentacije pohranjene na laptopima.
Iznenađujuće velik broj organizacija u kojima smo radili projekte GDPR usklađivanja nije razumio nužnost enkripcije laptopa i posljedica krađe nezaštićenog laptopa.
Počevši od otkrivanja poslovnih tajni i osjetljivih informacija do povrede osobnih podataka koja se mora prijaviti AZOP-u u roku od 72 sata po saznanju o nestanku nezaštićenog laptopa, a u određenim slučajevima obavješćivanja i svih osoba čiji su osjetljivi osobni podaci možda time kompromitirani.
Svaka organizacija je dužna prema članku 32. GDPR-a osigurati sigurnosne tehničke i organizacijske mjere, koje mogu biti i vrlo jednostavne i besplatne:
- Moramo educirati i upozoravati zaposlenike ili regulirati internim aktima da laptop nikada ne ostavljaju bez nadzora (npr. u vozilu, javnom mjestu...) i da izgovor "išao sam samo nakratko u trgovinu" nije opravdanje.
- Moramo kriptirati sve diskove u računalu, danas je takva mogućnost besplatna putem BitLockera u Windowsima 10/11 Professional ili Enterprise, iskoristimo je odmah, bez čekanja.
Više o slučajevima:
https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.8.2022&mtc=today
https://gdprhub.eu/index.php?title=Datatilsynet_-_To_kommuner_indstillet_til_b%C3%B8de
Photo by Pixabay
#gdprcroatia