...posebice ako namjeravamo na njima pohranjivati osobne podatke, povjerljive dokumente ili poslovne tajne.
Okružni sud u Poljskoj pohranio je osobne podatke, među ostalim, na prijenosne USB stikove. Zaposlenik suda je izgubio tri USB stika (jedan šifrirani i dva privatna nekriptirana) koji su sadržavali nacrte rješenja i osobne podatke neidentificiranog broja pojedinaca, prikupljene u razdoblju od 2004. do 2020. godine
Po primitku informacija o ovom sigurnosnom incidentu, sud kao voditelj obrade prijavio je povredu podataka poljskom nadzornom tijelu za zaštitu podataka, s obzirom na strogu obvezu iz članka 33. GDPR-a.
Sud je, inače, GDPR obveze shvatio vrlo ozbiljno i proveo je analizu rizika u svojoj procjeni utjecaja na zaštitu podataka (DPIA) u kojoj je gubitak osobnih podataka ocijenio srednjim rizikom te uveo obvezu kriptiranja svih osobnih podataka pohranjenih na prijenosnim medijima. Štoviše, sud je provodio redovitu edukaciju svojih zaposlenika na temu sigurnosti obrada osobnih podataka i provodio je dvogodišnje testiranje opreme osoblja.
Nadzorno tijelo je napomenulo da je odgovornost voditelja obrade prema članku 24. stavku 1. GDPR-a osigurati da su odgovarajuće tehničke i organizacijske mjere uspostavljene, u skladu s člankom 32. GDPR-a, kao i implementaciju načela "Privacy by Design and by Default (članak 25(1) GDPR-a). S tim u vezi je nadzorno tijelo utvrdilo da analiza rizika kontrolora nije uključila sve moguće prijetnje, kao što je gubitak povjerljivosti zbog nedostatka blokiranja USB portova na računalima kako bi se potpuno spriječila upotreba privatnih medija za pohranu.
Također su utvrdili da se sud ogriješio o GDPR jer nije ispravno osigurao da zaposlenici ne koriste privatne i nekriptirane prijenosne uređaje za pohranu osobnih podataka. Osiguranje sigurnosnih mjera i povjerljivosti podataka kontinuirani je proces koji zahtijeva redovite preglede primjerenosti i učinkovitosti usvojenih tehničkih i organizacijskih mjera.
Za ove prekršaje sud je kažnjen iznosom od 6.387 EUR.
A kako kriptirati USB stikove?
Uzmemo naše računalo s Windows 10/11 Professional ili Enterprise operativnim sustavom, u kojem je omogućena i BitLocker funkcionalnost.
Priključimo USB stick na takvo računalo, potražimo u Control panelu "BitLocker", potražimo naš USB stick u popisu diskova za aktiviranje BitLockera, i pokrenimo postupak kroz kojeg nas vode Windowsi.
Tijekom tog postupka morat ćemo upisati i potvriti željenu lozinku za otključavanje USB sticka, a kojom osiguravamo da do sadržaja USB sticka možemo doći samo mi, bez obzira jesmo li ga izgubili ili ga nam je netko uzeo. Samo treba zapamtiti lozinku.
Više o slučaju:
https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.12.2020&mtc=today
Image by Christian Wijaya from Pixabay
#gdprcroatia