To je ključna zabluda današnje stvarnosti u Hrvatskoj.
Svakodnevno se prilikom provođenja projekata usklađivanja korporacija, srednji i malih tvrtki susrećemo s izostankom razumijevanja što je istinska usklađenost s GDPR-om.
Ovdje ćemo prikazati jedan primjer na koji često nailazimo.
Tvrtka ima 6-7 zaposlenih, nalazi se u unajmljenom poslovnom prostoru, kojeg dijele s drugim tvrtkama. Naravno, svi se međusobno poznaju i druže. Uglavnom sjede u uredima po 3-4 osobe, i sva su vrata uglavnom otvorena. Nakon napuštanja ureda, nikada ne zaključavaju prostore jer im popodne dolazi servis za čišćenje ureda. Nikada ne čiste svoj stol od mnoštva papira i dokumentacije koja uključuje poslovne tajne i osobne podatke drugih osoba.
Još zanimljiviji dio zbiva se po pitanju računala, koja su sva umrežena. Uklonili su sve dokumente s osobnim podacima i poslovnim tajnama na tzv. shared folders ili na cloud, kako bi izbjegli štete u slučaju krađe ili kvara računala, ili spriječili povrede podataka uslijed krađe laptopa. Međutim, nije uvedena obveza zaključavanja računala odmah po napuštanju radnog mjesta, ili se unutar tvrtke međusobno dijele passwordi ili se ne ažuriraju antivirusni programi, niti su instalirani kvalitetni vatrozidovi i zaštite na IT infrastrukturi, kao što ni hard diskovi na računalima nisu enkriptirani.
Time se otvaraju sva vrata za neovlaštenim pristupom vašim poslovnim tajnama, osobnim podacima i vašim privatnim dokumentima. Povreda osobnih podataka, koja može uzrokovati i velike štete za pojedince, a i za samu tvrtku, je vrlo izvjesna.
Sad se pitate kakve to veze ima s GDPR-om.
Ta uredba u više navrata jasno određuje obvezu da poduzmemo sve prikladne tehničke i organizacijske mjere radi zaštite osobnih podataka.
A toliko tvrtki ne uočava prethodno opisane prijetnje i važnost ovih “sitnica”.
Papiri, tzv. GDPR šprance, obrasci i reciklirana dokumentacija, koju vam jeftino prodaju na tržištu, nadamo se da je sad jasnije, ništa ne mogu pomoći.Općenito, GDPR dokumentacija dolazi na kraju, i nastaje kao rezultat razumijevanja GDPR-a, ali tek nakon što smo poduzeli sve prikladne tehničke i organizacijske mjere.