Primer iz sojenja: Doslednost kontrole
Nemško sodišče je v primeru skladnosti podatkov ugotovilo, da če je organizacija trdila, da ima tehnično kontrolo za zaznavo PII, mora biti ta kontrola dosledna.
Organizacija je trdila: »Naš predlog za anonimizacijo ščiti vse podatke.«
Sodišče je vprašalo: »Ali je ta predlog v isto doslednosti uporabljan, ko zaposleni dela na pisarni kot v delu od doma?"
Odgovor je bil: »Piščemo politiko, ki nakazuje, da bi morali zaposleni anonimizirati podatke.«
Sodišče je zaključilo: »Politika za zaposlene ni tehnična kontrola. Dokazati morate, da tehnični ukrep deluje enako v pisarni in na daljavo."
Kaj je GDPR dejansko zahteval
Član 32 GDPR zahteva »primerne tehnične in organizacijske ukrepe«. To morajo biti dejansko implementirani tehnični ukrepi, ne pa politike.