Ich hab zB einen Win7-PC, und meine IT-Abteilung macht auch keine Anstalten, um das zu ändern

Und da haben wir (wohl!) schon ersten Verstoß:

Personenbezogene Daten müssen ... (f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(Art. 5, Absatz 1 DSGVO)

Win7 erhält keine Updates mehr- oder hat die Firma einen anderen Vertrag mit Microsoft? Sonst gilt Auch wenn auf Deinem PC keine personenbezogenen Daten verarbeitet werden ist der Betrieb eines solches Rechners in einer Organisation, die personenbezogenen Daten verarbeitet, widerrechtlich da Art. 5, Absatz 1 Punkt f) nicht einzelne Computer oder Server sondern sämtliche vernetze Komponenten erfasst - von denen ja jede einzelne auch ein Einfallstor für Angreifer sein kann.