Angažirali smo vanjske tvrtke da nam održavaju baze podataka, računala, servere, aplikacije, programska rješenja, video nadzor, sustave vođenja radnog vremena, knjigovodstvo ili pak arhiviranje.
 
I shvatimo da nam nedostaju podaci koji su nam neophodni za naše poslovanje i ispunjenje obveza prema klijentima, zaposlenicima, korisnicima, poslovnim partnerima.
 
Ili banka shvati da joj nedostaje dio korisnika u sustavima.
 
Ili tijelu javne vlasti fale zapisi nekoliko tisuća pacijenata u sustavu.
 
U svakom takvom slučaju radi se o povredi osobnih podataka, odnosno, prema definiciji iz članka 4. GDPR-a, radi se o sigurnosnom incidentu koji je doveo do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.
 
Angažirana tvrtka u svojstvu izvršitelja obrade obvezna je bez odlaganja o tome obavijestiti voditelja obrade da je došlo do takvog sigurnosnog incidenta kojim su nestali osobni podaci. Bez odlaganja, napominjemo.
 
No, takva angažirana tvrtka je svakako kriva i što nije osigurala sve neophodne mjere sigurnosti obrada i odgovorna je sukladno GDPR-u, iako je stvarna krivica na jednom njenom zaposleniku.
 
A takve mjere obvezno uključuju obvezu osiguranja da je svaki zaposlenik angažirane tvrtke kao izvršitelja obrade educiran i osposobljen za obavljanje obrada osobnih podataka i da poštuje povjerljivost tih podataka na najvišoj razini.
 
Ovdje, po nama, postoji i odgovornost voditelja obrade, odnosno tvrtke koja je angažirala drugu tvrtku za obradu osobnih podataka.
 
Voditelj obrade mora angažirati samo one izvršitelje obrade koji jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz GDPR-a i da se njome osigurava zaštita prava ispitanika, i imaju pravo i obvezu redovito provjeravati radi li izvršitelj obrade sukladno takvim mjerama.
 
U Rumunjskoj je kazna izvršitelju obrade za gubitak osobnih podataka RBA banke iznosila 1.500 EUR. Dobro su prošli ako im banka nije naknadno raskinula ugovor o angažmanu:
 
https://gdprhub.eu/index.php?title=ANSPDCP_-_Fine_against_Lugera_%26_Makler_Broker_S.R.L.&mtc=today