行业新闻与博客

在英国最高法院昨天的裁决为雇主因内部人员违规行为而起诉雇主开放大门之后，已敦促企业加强其数据保护技术，政策和程序。

此案涉及连锁超市 Morrisons，该连锁店在 2014年遭受了这样的破坏，当时前内部审计员安德鲁·斯凯尔顿（Andrew Skelton）在网上发布了近 100,000 名员工的详细信息-包括 NI 编号，出生日期和银行帐户数据。

然后，这些员工中的大约 5000 名对公司提起了民事诉讼，认为该公司应对滥用其数据负责。高等法院和上诉法院均裁定，虽然连锁超市并不是主要的罪魁祸首，但由于其安全保障措施健全，它对斯凯尔顿的行为“负有责任”。

法律公司 Cordery Compliance 解释说：“简单来说，莫里森（Morrisons）必须为斯凯尔顿（Skelton）的行为承担责任。“这部分是因为他们选择 Skelton 担任可信任的职位，成为将 [HR 数据] 传输到毕马威的中间人。”

但是，最高法院现在裁定对莫里森（Morrisons）有利：实际上是说，在这种情况下，由于雇员（斯凯尔顿（Skelton））追求仇杀，雇主不能承担任何责任。

这是超级市场的​​胜利，一些法律专家认为，雇主也将松一口气，他们不会在类似情况下承担责任。

查尔斯·罗素（Charles Russell）演讲人的高级合伙人克莱尔·格雷尼（Claire Greaney）表示，企业还没有完全摆脱困境。

“对于今天的企业来说，这并不是一个好消息。法院没有说在数据保护领域，员工的行为绝不承担任何替代责任。她说：“如果替代责任的大门被上诉法院放开，那么最高法院将确认它保持开放状态。”

“在 GDPR 强制性通知时代，企业将需要仔细研究他们为减轻这些风险而采取的措施，包括购买数据保险以保护自己。”

Cordery Compliance 推测，如果考虑了主要责任的主体，该案也可能有所不同。

它说：“在 GDPR 之下，非常重视具有'技术和组织措施'（TOM）的组织，以确保 GDPR 的合规性，包括在确保数据安全方面。”

“虽然法律与 GDPR 之前的法律相似，但可以争论的是，由于 GDPR 生效，雇主应更加了解 TOM，例如访问权和数据丢失预防。考虑到这一点，如果莫里森案是根据 GDPR 判决的，那么就主要责任和离开莫里森系统的个人数据而言，结果可能会有所不同吗？”

的确，如果那些员工不在工作期间行事，即意外泄漏和疏忽，公司仍然有责任为员工在数据泄露情况下的行为负责。

本文由机器译制