Hmmm ... pedig a csűrcsavarban van a lényeg, ezért van hatóság meg bíróság, hogy az adott esetre vonatkozóan eldöntsék, hogy miként kell alkalmazni a rendelkezést. És igenis vizsgálják, hogy mi volt az elvárható az adott esetben és elégséges volt-e amit megtett az adatkezelő. Ez a sava borsa az egész történetnek.
Nem győzöm eléggé hangsúlyozni, hogy az elvárások az érintettek kockázatával arányos. Néhány példa:
1) Van egy póló webshopom, volt aki kérte hogy töröljem, ezt megtettem, de tönkrement a szerver, backup-ból visszahoztam és fogalmam sincs kit kell törölni. Kockázat? Valakiről van elérhetőségi infóm (az hogy vett XY pólót az amúgy is rajta van a számlán, ami természetesen megvan). => várható hatósági vélemény: ejnye bejnye, legközelebb írja fel hogy kit törölt és törölje újra. Büntetés 0.
2) Van egy szexjáték webshopom, volt aki kérte hogy töröljem, ezt megtettem, de tönkrement a szerver, backup-ból visszahoztam és fogalmam sincs kit kell törölni. Kockázat? Valakinek a szexuális orientációjáról vannak érzékeny információim, kvázi profilom. => várható hatósági vélemény: mulasztást követett el azzal, hogy nem tartotta nyilván, hogy kit kell törölni egy esetleges visszaállítás után. Fizessen ZZZ bírságot és mutassa be a korrekciós intézkedéseket.
3) Van egy DNS adatbázisom, amit orvosi kutatási célokra használunk, volt aki kérte hogy töröljem, ezt megtettem, de tönkrement a szerver, backup-ból visszahoztam és fogalmam sincs kit kell törölni. Kockázat? Az egekben! => várható hatósági vélemény: már a backup-ot úgy kellett volna megvalósítani, hogy egyedi információkat lehessen törölni abból. Fizessen ZZZ^2 bírságot és mutassa be a korrekciós intézkedéseket.
Valami ilyesmi :)