Zamislimo da nosimo USB stick na kojem se nalaze dokumenti s osobnim podacima osoba koje protiv kojih se vode kazneni postupci. I zamislimo da izgubimo taj USB stick ili nam ga ukradu.

Otkrivanje i neovlašten pristup tolikim vrlo osjetljivim osobnim podacima definitivno može nanijeti veliku štetu pojedincima o čijim se osobnim podacima radi, odnosno, stvoriti visoke rizike na njihova prava i slobode.

Prvo valja postaviti pitanje zašto se uopće tako osjetljivi osobni podaci spremaju na USB stick i zašto se USB stick uopće koristi.

Uvijek moramo biti svjesni da su USB stickovi dana dimenzijama sve manji a kapacitetom sve veći i vjerojatnost da izgubimo i otkrijemo poslovne tajne i osobne podatke svakim danom sve više raste.

Ako je baš iz nekog razloga NUŽNO i nezaobilazno koristiti USB stick, tada trebamo taj USB stick kriptirati. Time sprječavamo da i u slučaju gubitka USB sticka ili u slučaju neovlaštenog pristupa sadržaju USB sticka osobni podaci ili poslovne tajne na njemu ostaju nedostupni nalazniku USB sticka ili njegovom kradljivcu.

To je NUŽNA organizacijska i tehnička mjera ako već moramo koristiti USB stickove, i GDPR nam to jasno nalaže kroz svoj članak 32. A tako ih je jednostavno kriptirati.

Uzmemo naše računalo s Windows 10/11 Professional ili Enterprise operativnim sustavom, u kojem je omogućena i BitLocker funkcionalnost. Priključimo USB stick na takvo računalo, potražimo u Control panelu "BitLocker", potražimo naš USB stick u popisu diskova za aktiviranje BitLockera, i pokrenimo postupak kroz kojeg nas vode Windowsi.

Na MacOS računalima možemo isto napraviti putem Disk Utility aplikacije koju Mac ima predinstaliranu.

Tijekom takvih postupaka morat ćemo upisati i potvrditi željenu lozinku za otključavanje USB sticka, a kojom osiguravamo da do sadržaja USB sticka možemo doći samo mi, bez obzira jesmo li ga izgubili ili ga nam je netko uzeo. I u takvom slučaju gubitak USB sticka ne predstavlja povredu osobnih podataka ili Data Breach.

Samo trebamo zapamtiti upisanu lozinku. Ako to ne učinimo slijedi veliki problem.

 

Možda nas slučaj iz Španjolske može potaknuti na poduzimanje sigurnosnih mjera, u kojem je konzultantska tvrtka iz nama neobjašnjenih razloga koristila USB stickova za držanje vrlo osjetljivih podataka i nakon što im je ukraden, stvar je eskalirala.

Nadzorno tijelo za zaštitu osobnih podataka potvrdilo je da je učinjen veliki propust u sigurnosnim mjerama izostankom kriptiranja USB stickova, unatoč raznim opisanim i dokumentiranim sigurnosnim procedurama unutar organizacije.

A tako je malo trebalo da se zaštite od nepotrebnih problema i kazne od 145.000 EUR.

 

Više o slučaju:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202100318&mtc=today

 

Image by FreePik

#gdprcroatia