Sto leggendo sul GDPR qui e lì . Tuttavia, non vedo requisiti su come effettivamente i dati devono essere protetti come
e simili.
Che dire di un soggetto dei dati che dà il consenso ma SOLO se garantiscono che un secondo fattore sarà sempre richiesto, ad esempio?
Le società possono essere citate in giudizio per protezione non conforme / non conforme (prima di una violazione)?
Nel regolamento GDPR (Articolo 39, a pagina 7), si dice
Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.
Quindi questo dipende dal controller. Se il controllore non è disposto ad apprendere e adattare i controlli ei meccanismi di sicurezza, potrebbe non essere sufficiente e potrebbe comportare una violazione. Il motivo per cui il regolamento non può mettere il modo di proteggere i dati è che ogni azienda è diversa e richiederà diverse misure di sicurezza. È opportuno seguire certificazioni come Cyber Essentials e ISO 27001 per garantire la sicurezza corretta.
Non sono troppo sicuro sul lato legale di essere citato in giudizio, ma suppongo che se si trova in un contratto di lavoro che afferma che alcune misure di sicurezza sono in vigore, allora sono in violazione del contratto.
Leggi altre domande sui tag password-policy corporate-policy gdpr