Půl milionu eur za jednu ztracenou obálku? Přesně takovou astronomickou pokutu musela zaplatit španělská pobočka banky ING kvůli selhání, které se stalo mimo její vlastní prostory. Citlivá klientská data se totiž neztratila v bankovním archivu, ale v rukou kurýrní služby, která měla doručit smluvní dokumentaci. Tento případ je varovným mementem pro všechny firmy, že odpovědnost za bezpečnost osobních údajů nekončí u vašich dveří, ale provází data po celou dobu jejich zpracování, i když je svěříte externím partnerům.
Hlavním důvodem takto přísného postihu nebyla jen samotná ztráta dokumentů, ale především nedostatečná kontrola subdodavatelů. Banka sice měla se zpracovateli sjednané smlouvy o zabezpečení, ale v praxi už reálně neprověřovala, zda tyto společnosti pravidla skutečně dodržují. Dozorový úřad jasně konstatoval, že banka selhala v nastavení technických a organizačních opatření. Ukazuje se, že pouhá existence smlouvy bez následného auditu a kontroly je v očích regulátorů GDPR zcela nepostačující a může vést k fatálním finančním následkům.
Z tohoto incidentu vyplývá pět zásadních lekcí pro každou moderní firmu, která chce efektivně chránit své jméno i finance. Bezpečnostní záruky musí vždy reflektovat konkrétní rizika dané situace a jejich plnění je nutné pravidelně a důsledně auditovat. Pokud zjistíte, že váš dodavatel bezpečnostní standardy porušuje, je vaší povinností okamžitě reagovat, ať už smluvní pokutou, nebo ukončením spolupráce. Pamatujte, že jako správce dat nesete hlavní odpovědnost právě vy – správné nastavení vztahů se zpracovateli a jejich kontrola je tak v nejlepším zájmu vaší vlastní bezpečnosti.
About the Author
