U jednom od najvećih projekata usklađivanja u Hrvatskoj u kojem smo sudjelovali, u jednoj korporaciji od 3.500 zaposlenih, zauvijek nam je ostao u pamćenju slučaj kada smo u onom, svima poznatom, uredskom košu za smeće u prostoriji za odmor zaposlenika vidjeli da je koš uredno obložen papirima jer su zaposlenici u njega često bacali žvakače. Prilično razumno postupanje, zar ne?
No, na papirima je bio popis djece zaposlenika za poklone Djeda Božičnjaka, s imenom i prezimenom zaposlenika i ostalim vrijednim osobnim podacima.
Gdje je problem?
1. GDPR, između ostalog, nalaže obvezu ograničavanja pristupa osobnim podacima samo ovlaštenim osobama organizacije ili trećih strana. Kontrola pristupa osobnim podacima mora biti uspostavljena, kao i opravdanost za svaku pojedinu osobu koja ima pravo pristupiti im.
Oblaganjem koša za smeće popisima zaposlenika i njihove djece prekršen je GDPR, jer su osobni podaci ostavljeni dostupni i osobama koje nemaju ovlast pristupa istima.
Ali odakle taj popis zaposlenika i njihove djece u rukama osobe koja je obložila koš za smeće? Tko je pogriješio?
Osoba koja je obložila koš uzela je papire iz ekološke kartonske kutije u koju se odlažu papiri za zbrinjavanje papirnog otpada.
2. Pogreška je, u stvari, učinjena od strane zaposlenika koji je popise zaposlenika i djece u čitljivoj i lako dostupnoj formi stavio izvan nadzora pristupa ubacivanjem u kutiju za zbrinjavanje otpada, a koja je lako dostupna na hodnicima organizacije a njezin sadržaj svim prolaznicima tim hodnikom.
Svi smo svjesni da se u papirima koje pohranjujemo u posebne “ekološke” kutije za razvrstavanje papirnog otpada nalaze i dopisi, ugovori, draftovi ugovora, ispisane evidencije i preslike mnogih vrsta dokumenata, koji sadrže poslovne tajne i osobne podatke koje je naša organizacija na različite načine prikupila i obrađivala.
Periodički se takve kutije prazne na način da ih preuzimaju vanjske tvrtke za zbrinjavanje otpada.
Stavljanjem takvih dokumenata u kutije za recikliranje papira tvrtke u suštini predaju osobne podatke vanjskoj tvrtki koja bi ih trebala zbrinuti i uništiti. No, znamo li pouzdano da li će i u kojem roku ta vanjska tvrtka trajno i sigurno ekološki zbrinuti naše papire? Znamo li pouzdano da nijedan komad papira neće završiti u pogrešnim rukama, medijima, društvenim mrežama?
Prisjetimo se slučaja od prije dvije godine kada su djeca jednog dječjeg vrtića dobila "reciklirane" papire za crtanje na čijoj poleđini jednog je bio ispunjen obrazac zahtjeva određene osobe za promjenu spola. Komad papira s nemjerljivo osjetljivim podacima čije otkrivanje neovlaštenim osobama i javnosti predstavlja teško kršenje GDPR-a i neopisiv udarac na privatnost te osobe. Tim gore kada stvar završi i u medijima, kao što je i bilo.
Možemo se samo pitati koliko je ljudi vidjelo osobne podatke osobe koja je zatražila promjenu spola? Dakako, dječji vrtić nije ovdje ništa kriv, već organizacija, vjerojatno zdravstvena, iz koje su izašli takvi dokumenti.
Da zaključimo, ukoliko se rješavamo starih papira u tvrtki, prvo ih sigurno uništimo UNUTAR tvrtke, pa tek onda ekološki zbrinemo.
Nabavimo uništavače papira, tzv. šredere. Na usporediv način postupajmo i sa starim računalima, laptopima, hard diskovima, kopirnim uređajima, snimačima video nadzora....
Pobrinimo se isključiti svaku mogućnost povrede osobnih podataka, jer jednom kad se dogodi povreda podataka, gotovo sigurno je da je crta iza koje nema povratka prijeđena.