Tvrtka kojoj je ukraden laptop prijavila je krađu policiji ali nije poznato je li postupila i u skladu s obvezama iz GDPR-a:

- izvršila analizu povrede, vrste i opsega kompromitiranih osobnih podataka (da li na laptopu ima osobnih podataka, koliko, čijih i da li možda spadaju u posebne kategorije kao npr. zdravstveni podaci, vjerska opredijeljenost, članstvo u sindikatu...)

- utvrdila razine zaštićenosti podataka na laptopu (npr. enkripcija)

- procjenu rizika na pojedince

- evidentiranje povrede u vlastitoj evidenciji

- definiranje mjera za ublažavanje posljedica za pojedince

- prijava AZOP-u najkasnije u roku 72 sata od saznanja o krađi

- procjena postojanja obveze obavješćivanja pojedinaca ako su njihovi osjetljivi podaci kompromitirani

Vrlo je teško u ovakvim incidentnim trenucima biti staložen i miran da se sve obveze ispune, stoga se neophodno pripremiti za incidente prije nego nastanu, prije svega dokumentiranim procedurama upravljanja incidentima i povredama podataka i određivanjem zaposlenika koji će voditi postupak upravljanja neželjenim situacijama u ekstremno kratkim rokovima.