Priznajemo, ni mi nismo o tome nikada razmišljali.
Pa zar je takvo nešto moguće?
Eh, "takvo nešto" se upravo dogodilo danskom nadzornom tijelu Datatilsynet, koje je javno istupilo izrazito kritički prema vlastitim propustima u postupanju s osobnim podacima.
Priznali su da je dio osjetljive dokumentacije namijenjen sigurnom i trajnom uništavanju uništavačem papira bio odbačen u spremnik za papirni otpad, kojeg je pronašla neovlaštena osoba i time, svakako pogreškom nadzornog tijela kao voditelja obrade, došla u uvid osjetljive dokumentacije s osobnim podacima.
A sad najbolji dio...
Danci su, svjesni obveze svakog voditelja obrade prema članku 33. GDPR-a da unutar 72 sata po saznanju prijavi povredu podataka nadzornom tijelu, analizirali kome da prijave povredu. Sebi?
Zaključili su da u Danskoj ne postoji neko drugo neovisno tijelo usporedivih profesionalnih kompetencija kojem bi se mogla prijaviti povreda. Hmm.
Samim time nisu ispoštovali obavještavanje samih sebe u roku 72 sata.
GDPR jednostavno nije predvidio ovakvu situaciju...
Stoga su odlučili da javnosti pokažu punu transparentnost što se tiče samog incidenta i načina upravljanja povredom.
Naravno, slučaj su zatvorili zaključkom da neće pokretati daljnje mjere koje im GDPR određuje u člancima 57. i 58.
Ovdje je informacija o tom slučaju:
https://www.dataguidance.com/news/denmark-datatilsynet-expresses-serious-criticism-its-own-personal-data-breach