Odgovori na ovo pitanje su DA i DA.
Da ne vrijede, ne bi se prodavali, ne bi ih se kralo hakerskim napadima ili uzimanjem iz organizacije.
Prenosimo slučaj iz Italije koji je eskalirao do, do sada, nezabilježenih razmjera.
Više od 1.2 milijuna podataka korisnika najvećeg talijanskog operatora TIM ukradeno je od strane zaposlenika pod svečanim pokroviteljstvom managera i prodano po dobrim cijenama. Za njih.
Naime, nakon što je netko "pokupio excellice" u telekom operatoru, dao ih je call centrima na korištenje na način da je dogovorena provizija po novo-ugovorenom korisniku čak 400 EUR.
No, dobro, kažu nam ljudi, kakve to veze ima s GDPR-om?
Kada netko ukrade osobne podatke, samo po sebi ih ne obrađuje zakonito i krši članak 5., kao ni što nema valjani pravni temelj za takvo postupanje jer ne zadovoljava uvjete iz članka 6. GDPR-a. A u konačnici ne ispunjava ni uvjete iz članaka 13. i 14. GDPR-a koji se odnose na transparentnost i informiranje pojedinaca o čijim se osobnim podacima radi.
Posebno ćemo ovdje isaknuti uvodnu izjavu (78) GDPR-a koja tako jednostavno kaže slijedeće, citiramo:
"Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe. Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka. Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke."
Da, TIM je morao tako organizirati svoje poslovanje da onemogući prebacivanje baze svojih korisnika u excellicu ili neku drugu datoteku na USB stick...
TIM je morao educirati svoje zaposlenike i osigurati nultu toleranciju na krađu osobnih podataka, skrenuti pozornost zaposlenicima da se zlouporabe prate i strogo sankcioniraju, kao i da iste nisu tako lako tehnički izvedive, počevši od prava pristupa podacima do otvorenosti sučelja na serverima i računalima.
GDPR u spomenutoj uvodnoj izjavi nalaže:
"Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka."
U svijetu se to naziva Privacy-by-Default i Privacy-by-Design.
Više o talijanskom slučaju na ovom linku:
https://www.news1.news/en/2020/06/telephony-1-million-data-stolen-arrests-between-managers-employees-report.html