To je bio zahtjev jedne organizacije koja prije par dana dobila preporuku za nas.
 
Naš odgovor je bio jednostavan: "GDPR usklađenost se ne postiže donošenjem pravilnika i itekako može zavarati svaku organizaciju. Nemojte tim putem ići."
 
Bolna je istina koju potvrđujemo svakodnevno, da brojne organizacije u javnom i privatnom sektoru imaju u svojim GDPR registratorima "spremnu" dokumentaciju izrađenu 2018. tzv. "copy-paste" metodom. Među njom se redovito nalazi i Pravilnik o zaštiti osobnih podataka izrađen temeljem špranci kakve su kružile i djelile se među brojnim organizacijama u javnom i privatnom sektoru, a sastoje se od prepisanih članaka GDPR-a.
 
Kažu nam organizacije da su im to pravnici dali i naplatili.
 
Iznenadili bismo se koliki je broj takvih slučajeva.
 
Po našem pitanju koji je temeljni motiv organizacije za GDPR usklađivanjem, u prvom redu nam otkrivaju da žele izbjeći kazne AZOP-a za slučaj da AZOP pokuca na vrata.
 
I stoga im je važan samo GDPR Pravilnik. Nažalost, to je zaista veliko zavaravanje.
 
Sad želimo prikazati potpuno drugačiji stvarni slučaj, kada je nadzorno tijelo za zaštitu osobnih podataka zaista pokucalo na vrata organizaciji.
 
Radilo se o prijavi pojedinca nadzornom tijelu, koji je uočio na web stranicama tvrtke koja se bavi održavanjem IT sustava za razne industrije i javni sektor, da je na njihovim web stranicama objavljen popis roditelja posvojitelja i posvojene djece.
 
Naravno, to se nije nikako smjelo dogoditi i došlo je do očigledne pogreške u upravljanju IT sustavima tvrtke.
 
A zasigurno su imali sve GDPR dokumente i pravilnike spremne za takve situacije, koji im nimalo nisu pomogli pred nadzornim tijelom.
 
Dok im je neki njihov pravnik izradio sve potrebne dokumente, nije im skrenuo pozornost na područje koje on ne može pokriti a koje je, budimo praktični, važnije od svih ostalih obveza iz GDPR-a.
 
Radi se o sigurnosnim mjerama u postupcima, procesima, aktivnostima i sustavima obrade osobnih podataka.
 
Sigurnosne mjere podrazumijevaju i mjere organizacijskog tipa i tehničke mjere.
 
Minimum minimuma sigurnosnih mjera je edukacija svih članova tima, s posebnim naglaskom na današnje online prijetnje.
 
Drugi minimum je provođenje redovitog testiranja učinkovitosti tehničkih i organizacijskih sigurnosnih mjera te njihovo procjenjivanje jesu li i danas učinkovite, kao i svih mogućih scenarija kojima bi osobni podaci u našim sustavima mogli biti kompromitirani.
 
Samo tako možemo znati da imamo sigurnosne rupe i koje mjere osigurati.
 
Badava nam svi GDPR papiri ovog svijeta ako to ne osiguramo.
 
Takav slučaj dogodio se u Danskoj, a događa se i kod nas:
 
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-431-0126&mtc=today
 
 
Photo by Mikhail Nilov from Pexels
 
#gdprcroatia