Problém nekonzistence platformy po COVID
Normalizace distančního a hybridního práce vytvořila výzvu dodržování GDPR, kterou jen málo organizací předvídalo: zaměstnanci pracující z různých míst nyní používají různé nástroje s různými konfiguracemi pod stejnou povinností dodržování.
Předcovid standard byl přímočarý: všichni zaměstnanci pracovali ze spravovaných pracovních stanic v kontrolovaném kancelářském prostředí. Podnikový software byl zaveden jednotně. IT vynucoval stejnou konfiguraci na každém počítači. Prostředí dodržování bylo relativně homogenní.
Po COVID je prostředí dodržování heterogenní:
- Zaměstnanci v kancelářích používají spravované pracovní stanice s podnikovým softwarem zavaleném IT
- Distanční pracovníci používají domácí pracovní stanice, někdy spravované společností a někdy BYOD
- Mobilní pracovníci používají jakékoli zařízení, které je dostupné, s omezenou kontrolou konfigurace
- Hybridní pracovníci se střídají mezi kancelářským a distančním nastavením
Každé prostředí může mít různé dostupné nástroje, různé konfigurace nástrojů a různé technické kontroly. Povinnost GDPR — aby osobní údaje byly chráněny odpovídajícími technickými opatřeními — platí stejně ve všech čtyřech prostředích.
Právní standard po případové právu z roku 2025
Rozhodnutí Soudního dvora EU z roku 2025 o odpovědnosti za porušení údajů objasnila, že organizace se nemohou spoléhat pouze na zásady k prokázání dodržování čl. 32 GDPR. Pozice Soudu:
"Prokázání, že byla zavedena odpovídající technická a organizační opatření, vyžaduje důkaz