Tvrtka kojoj je ukraden laptop prijavila je krađu policiji ali nije poznato je li postupila i u skladu s obvezama iz GDPR-a:
- izvršila analizu povrede, vrste i opsega kompromitiranih osobnih podataka (da li na laptopu ima osobnih podataka, koliko, čijih i da li možda spadaju u posebne kategorije kao npr. zdravstveni podaci, vjerska opredijeljenost, članstvo u sindikatu...)
- utvrdila razine zaštićenosti podataka na laptopu (npr. enkripcija)
- procjenu rizika na pojedince
- evidentiranje povrede u vlastitoj evidenciji
- definiranje mjera za ublažavanje posljedica za pojedince
- prijava AZOP-u najkasnije u roku 72 sata od saznanja o krađi
- procjena postojanja obveze obavješćivanja pojedinaca ako su njihovi osjetljivi podaci kompromitirani
Vrlo je teško u ovakvim incidentnim trenucima biti staložen i miran da se sve obveze ispune, stoga se neophodno pripremiti za incidente prije nego nastanu, prije svega dokumentiranim procedurama upravljanja incidentima i povredama podataka i određivanjem zaposlenika koji će voditi postupak upravljanja neželjenim situacijama u ekstremno kratkim rokovima.