Răspunderea civilă a angajatorului

Breșele de securitate sunt în imensa majoritate a cazurilor considerate a fi produse de hackeri necunoscuti.  Realitatea statistica contrazice ferm această ipoteză de vreme ce probabilitatea unei breșe din cauze interne (a se citi angajații proprii) este net superioară, iar efectele sunt comparabile în ceea ce privește numărul persoanelor afectate și costurile aferente inchiderii complete a incidentului.

Studiu de caz

În 2014, lanțul de supermarket Morrisons din Marea Britanie a suferit o breșă de securitate afectând peste 100.000 angajați.  În cadrul procesului de audit extern, compania trebuia să pună la dispoziția auditorului fișiere încriptate conținând informații confidențiale referitoare la salariile angajaților apelând la serviciile propriilor angajați specializați.  Din răzbunare pentru că recenta sa evaluare a performanței nu îi fusese favorabilă, domnul Andrew Skelton (auditor IT intern!) a decis să copieze aceste fișiere și să le posteze pe un site de partajare de fișiere cu intenția clară de a produce daune angajatorului său.  O dată descoperit, domnul Skelton a fost acuzat și condamnat la 8 ani închisoare pentru fraudă, acces neautorizat și dezvăluirea datelor personale.

Problema companiei Morrisons continuă pentru că aproximativ 5500 de angajați au introdus o cerere de despăgubire pentru utilizarea abuzivă a informațiilor private, incălcarea încrederii și incălcarea obligațiilor privitoare la protecția datelor.

Curtea a stabilit că deși compania Morrisons nu a cauzat breșa de securitate ea poartă totuși răspunderea civilă pentru acțiunile ilegale ale angajatului său și în consecință va fi obligată să plătească daune celorlalți angajați afectați.

Concluzii

Orice organizație poate oricând avea un angajat nemulțumit și uneori dornic de răzbunare.  Răspunderea unei breșe de securitate cauzată de un astfel de angajat nu se oprește cu condamnarea acestuia, ci poate fi extinsă asupra angajatorului – cu consecințe legale, financiare și reputationale semnificative.

Compania Morrisons era poate cunoscută în anumite zone din Marea Britanie pentru rețeaua să de magazine, dar astăzi este cunoscută în întreaga lume ca un studiu de caz care nu îi este nicidecum favorabil.

Recomandări

• Sistemul de securitate a datelor este esențial; în lipsa unor măsuri de securitate robuste ale lui Morrisons, probabil că verdictul tribunalului ar fi fost mult mai nefavorabil.
• Riscul unor breșe de securitate din surse interne (angajați) este mai ridicat decât atacurile externe (hackeri).  Trebuie să se definească și aplice reguli stricte de acces și monitorizare.
• În vederea depistării rapide și soluționării eficace a unor breșe instruirea periodică a personalului pe temă protecției datelor are avantajul multiplicării persoanelor ce pot controla și acționa în cazuri de urgență cum sunt scurgerile de informații.
• Organizația trebuie să stabilească un mecasnism eficace de gestionare a situațiilor de criză cu privire la toate aspectele esențiale: depistare, mitigare, gestionare, comunicare, soluționare.

Pentru solutii la astfel de probleme si multe alte informatii utile si practice va invitam la Atelierul Practic “GDPR in HR” din data de 14-15 februarie 2019.  Va asteptam!