U Poljskoj može, pa makar bio i predsjednik suda, i to kaznom većom od 2.000 EUR jer je jedan od njihovih službenika izgubio neekriptirani USB stick s osjetljivim osobnim podacima za oko 400 osoba, uključujući i podatke o zdravlju tih osoba.
Prvo pitanje je zašto je uopće službenik suda pohranjivao osjetljive osobne podatke osoba na USB stick, uz dostupnost mnogih cloud rješenja unutar EU.
Možda službenik nije imao dostup do cloud servisa u EU i možda je znao da za pohranu osobnih podataka na Cloud servise izvan EU/EEA ili kojima pristup imaju osobe izvan EU/EEA, prethodno mora izvršiti enkripciju svih datoteka pa tek ih nakon toga pohraniti na non-EU/EEA cloud.
Možda.
Svejedno, to nije isprilka za pohranu osjetljivih osobnih podataka na nezaštićeni ili neenkriptirani USB stick, koji se može vrlo lako zagubiti ili izgubiti ili biti ukraden.
Uglavnom, sud i predsjednik suda kažnjeni su zbog propusta u implementaciji temeljnih sigurnosnih i organizacijskih mjera.
Na papiru su regulirali to područje putem fino raspisane sigurnosne politike suda, ali osim redovitih edukacija nisu proveli praktične mjere provjere poštivanja obveznih sigurnosnih mjera i sankcioniranje prekršitelja.
Zanimljivo je da je Sud analizirao rizike i procijenio rizik gubitka USB sticka niskim.
Procjena nekog rizika niskim najčešće uzrokuje da organizacije zapostavljaju važnost i vjerojatnost nastanka tog rizika, dok nas istina ne razuvjeri, a tada je već kasni.
Ako već moramo koristiti USB stickove, a vjerujte nam, sve je manje racionalnih razloga za to, tada se moramo potruditi enkriptirati ih ako na njih mislimo barem na kratko pohranjivati osjetljive dokumente, poslovne tajne ili nečije osobne podatke.
Više o poljskom slučaju:
https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.22.2021&mtc=today
Photo by cottonbro from Pexels
