Itt írtam le, hogy - indirekt módon - ez miért súlyosbíthatja a helyzetüket: https://hup.hu/comment/3236033#comment-3236033
Ha minden szabály megfelelő volt, és azok be is voltak tartva
Ez innentől a másik fele az ügynek, hogy megtettek-e minden elvárható gondosságot a megelőzésére. Ilyenkor azért nem árt ha fel tudnak mutatni egy-két ISO, SOC2 meg hasonló auditról plecsnit. (Igen, ez pontosan annyira abszurd, amennyire hangzik, lévén, hogy egy párt Kubatov-listájáról van szó...)
A belső ember aki hozzáférhet... erről tudnék mesélni, nálunk pl prodban az ssh daemon nem is futhat a gépeken (!), hogy még hibaelhárítás közben se (!!), lehessen hozzáférni olyan erőforráshoz, amin akárcsak az elvi lehetősége megvan, hogy PII-t tartalmazó ügyféladat van. Valahol kb itt van az iparági standardje annak, hogy "elvárható gondosság". Ha a "nem tudjuk melyik belső ember vihette ki" kérdés felmerül, már réges-régen rossz...
A másik baj az, hogy a GDPR szerint eleve tilos olyan személyes adatelemeket gyűjteni, amik a feladat elvégzéséhez szükséges abszolút minimumot meghaladják. Itt rögtön meg kéne mondani, hogy mi is volt az adatgyűjtés célja, ami kapásból egy kényelmetlen kérdés. Másrészt a lakcím és munkahelyi cím mellé még GPS koordináták tárolása - akármi is legyen a deklarált cél - egészen biztosan "redundáns", tehát szükségtelen mértékű adatgyűjtés lesz.