Ein Kollege hat in unserem LAN die Lebensläufe aller Mitarbeiter gefunden. Ist das ein Datenleck? [abgeschlossen]

Ich arbeite in einem Büro in Großbritannien mit etwa 120 Mitarbeitern. Wir alle haben Zugriff auf das „öffentliche Laufwerk“, das ein LAN ist, in dem wir uns die Arbeit teilen können. Da sind auch Sachen drauf wie Bilder von der Weihnachtsfeier etc. Es ist ziemlich groß.

Ein Kollege hat mir kürzlich erzählt, dass er einen Ordner voller Lebensläufe aller Mitarbeiter gefunden hat. Einige kannte er nicht, also müssen es Leute sein, die sich beworben und keinen Job bekommen haben. Er erzählte mir auch Dinge über die frühere Arbeit anderer Leute. Ich hatte auch einen anderen Kollegen sagen hören, dass er einmal sein eigenes Interview-Feedback gefunden hatte, mit Kommentaren und allem.

Verstößt das gegen Datenschutzgesetze?

Ich sollte beachten, dass mein Beruf es erforderlich macht, dass meine Mitarbeiter meine Telefonnummer kennen, aber wahrscheinlich nicht meine Adresse. Aber was ist mit den anderen Informationen. Fairerweise sind es keine personenbezogenen Daten, aber ist es nicht unfair, diese öffentlich zu machen?

Hinweis: Ich frage nicht, ob die Person, die diese Informationen gefunden hat, eine Datenschutzverletzung begangen hat, sondern ob das Unternehmen dies getan hat, indem es sie überhaupt auf das öffentliche Laufwerk gestellt hat.

Sind Kommentare/Feedback auch persönlich? Ich habe gerade eine Tabelle mit dem Namen eines aktuellen Arbeitgebers gefunden. Zu den Kommentaren gehören „Begeistert rübergekommen. Hat bei der Fallstudie gut abgeschnitten“ usw. Diese sehen aus wie interne Kommentare. Wird nicht unbedingt an den Kandidaten weitergegeben
@OnlineUser02094 Dies sind keine persönlichen Informationen, sollten jedoch vor anderen Mitarbeitern geheim gehalten werden
Update: Ich habe nur Sachen mit Namen von Leuten durchgesehen, die ich nicht kannte, um die Kollegen zu respektieren, die ich kenne, und ich habe nur überflogen, um zu sehen, welche Art von Informationen dort stehen. Ich habe es seitdem einem der IT-Manager gemeldet, der sagte, dass sie es entfernen werden.
Das ist absolut nicht firmenspezifisch
Ich denke, Sie sollten dies im Law Stack Exchange fragen, da Ihre Frage auf "Ist es legal zu ..." hinausläuft. Dafür ist The Workplace nicht wirklich da, weshalb es geschlossen wurde. Wenn Sie fragen würden, ob das, was das Unternehmen getan hat, in der Belegschaft üblich ist, wäre das meiner Meinung nach ein Thema. Oder wenn Sie fragen würden, wie Sie entscheiden können, was Sie in dieser Situation tun sollten, wäre das auch ein Thema. Aber nicht, ob es legal ist. Diese Frage ist also, wie formuliert, beim Stack-Tausch einfach an der falschen Stelle.

Antworten (2)

Um zunächst Ihre Frage zu beantworten, ob dies eine Datenschutzverletzung ist, ist dies absolut gemäß DSGVO. Die DSGVO-Definition einer „Verletzung personenbezogener Daten“ ist die folgende. Personenbezogene Daten werden breit definiert und umfassen Daten, die eine natürliche Person anhand von Elementen wie Namen und Faktoren identifizieren, die für die wirtschaftliche Identität einer Person spezifisch sind. Ich interpretiere "wirtschaftlich", um die Beschäftigungsgeschichte einzuschließen.

Verletzung personenbezogener Daten“ eine Verletzung der Sicherheit, die zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt;

Sie haben nicht darum gebeten, aber ich werde Ihnen einige bewährte Best Practices für die Informationssicherheit mitteilen, die hoffentlich einen ähnlichen Vorfall in der Zukunft abmildern können.

Am wenigsten privilegierter Zugriff

Am wenigsten privilegierter Zugriff bedeutet, dass nur Personen, die Zugriff auf ein bestimmtes Asset (z. B. diese Daten) benötigen, um ihre Arbeit auszuführen, Zugriff gewährt wird. Anscheinend wurde diese bewährte Methode in diesem Fall nicht befolgt, da Benutzer ohne legitime geschäftliche Notwendigkeit Zugriff auf hochsensible Daten erhielten, auf die sie keinen Zugriff haben sollten. Sie wissen wahrscheinlich nicht genau, wie lange diese Daten auf der Netzwerkfreigabe offengelegt wurden und ob diese Daten bereits exfiltriert / anderweitig missbraucht wurden.

Für die Zukunft nach diesem Vorfall lohnt es sich wahrscheinlich , eine Durchsichtsprüfung der Benutzer und ihres genauen Zugriffs auf Daten durchzuführen. Um diese Aktivität zu begleiten, benennen Sie eine begrenzte Anzahl von Datenverwaltern, deren Pflicht es ist, den Zugang zu diesen Daten zu gewährleisten. Um Management-Buy-in zu erhalten, können Sie diesen Vorfall und seine potenziellen Auswirkungen auf das Unternehmen (Bußgelder, Klagen usw.) nutzen. Unter der Annahme, dass das Management rational und vernünftig ist, sollten sie sich darum kümmern.

Datenkennzeichnung und -klassifizierung

Es ist eine bewährte Sicherheitspraxis , Daten basierend auf ihrer Sensibilität zu klassifizieren, wobei eine Sensibilitätsüberlegung die möglichen nachteiligen Auswirkungen ist, wenn sie kompromittiert werden sollten (wie es in Ihrem Fall der Fall war). Ihr Unternehmen ist jetzt mit 120 Mitarbeitern ziemlich klein, aber wenn es expandiert, wird es tendenziell wichtiger, eine ordnungsgemäße Datenverwaltung aufrechtzuerhalten. Abhängig von Ihrer Stellung und Rolle im Unternehmen können Sie mit der Unternehmensleitung / Ihrem Vorgesetzten eine Verbesserung der Datenklassifizierung vorschlagen.

Dies erfordert keinen komplexen Aufwand, und ein Datenklassifizierungsschema, das so einfach ist wie öffentliche vs. vertrauliche Daten, kann ausreichen. Unabhängig davon sollten alle Entscheidungen dokumentiert und vom Management in einem Richtliniendokument, das allen Interessengruppen bekannt gemacht wird, unterzeichnet werden.

Reaktion auf Sicherheitsvorfälle und Erkennung von Datenexfiltration

In diesem Fall wurden Sie von Ihrem Kollegen auf den Sicherheitsvorfall aufmerksam gemacht. Informelle Benachrichtigungsmethoden mögen funktionieren, wenn Organisationen noch nicht ausgereift sind, aber wenn Unternehmen wachsen, ist es fast immer von Vorteil, formelle Verfahren zur Identifizierung, Eindämmung, Behebung und Meldung von Sicherheitsvorfällen an die Unternehmensleitung aus meiner Arbeitserfahrung festzulegen. Als Teil der Verfahren zur Reaktion auf Sicherheitsvorfälle sollten Mittel wie DLP vorhanden sein, um die unbefugte Übertragung oder Offenlegung von Unternehmensdaten zu erkennen.

Verschlüsselung sensibler Daten

Abhängig von Ihrem Bedrohungsmodell, dem Wert dieser Daten für das Management und der technologischen Leistungsfähigkeit Ihrer Unternehmens-IT sollten Sie möglicherweise darüber nachdenken, solche sensiblen Daten zu verschlüsseln, damit Einzelpersonen sie nicht lesen können, selbst wenn sie unbefugten Zugriff darauf erhalten. Wenn Sie sich für diesen Weg entscheiden, finden Sie im Folgenden einige bewährte Implementierungsmethoden:

  1. Verwenden Sie ein sicheres Verschlüsselungsprotokoll wie AES oder RSA mit einer langen privaten Schlüssellänge, um die Entschlüsselung durch böswillige Akteure so schwierig wie möglich zu machen.

  2. Richten Sie Verfahren und Kontrollen ein, um den Entschlüsselungsschlüssel zu schützen, z. B. durch geteiltes Wissen oder Kontrolle

  3. Rotieren Sie den Verschlüsselungs-/Entschlüsselungsschlüssel regelmäßig oder immer dann, wenn Sie vermuten, dass er kompromittiert ist

  4. Beschränken Sie den Zugriff auf den Verschlüsselungsschlüssel auf die Mindestanzahl von Verwaltern, die Zugriff darauf benötigen, um ihre Aufgaben zu erfüllen.

Da Sie in Großbritannien ansässig sind, ist dies ein großes Problem für Ihr Unternehmen, insbesondere angesichts der neuen DSGVO-Änderungen.

Alle persönlichen Informationen sollten geschützt werden, einschließlich Adresse, Telefonnummern und sogar alle Beschäftigungsverläufe.

Andere Mitarbeiter sollten auf keinen Fall auf persönliche Kommentare, Interviewkommentare und insbesondere keine persönlichen Daten zugreifen können, die sicher sein sollten. Melden Sie dies sofort Ihrem Vorgesetzten/Ihrer Personalabteilung, sonst werden Sie ein massives Problem haben, wenn irgendetwas davon außerhalb des Unternehmens veröffentlicht wird ...

Wie Sie bereits erwähnt haben, können Sie die Kommentare/das Feedback in einer Tabelle anzeigen. Obwohl nicht persönlich ... Dies könnte einige andere potenzielle Probleme innerhalb des Unternehmens verursachen, z. B. Mobbing, Beschwerden und einfach unnötige Diskussionen im Allgemeinen.

Melden Sie sich umgehend beim IT-Team und der für die DSGVO verantwortlichen Person, da die IT Maßnahmen ergreifen muss, um den Zugriff zu sperren.
@AdzzzUK Nein, das IT-Team ist bereits gescheitert. Melden Sie sich bei der Rechtsabteilung/Personalabteilung und CC jemand ganz oben.
@rath, das IT-Team muss sofort handeln, indem es die Ordnerberechtigungen streng sperrt und sofort verhindert, dass jemand anderes Zugriff auf die Ordner erhält. Das muss sofort passieren. Auch das HR-Team war Teil des Verstoßes, indem es die Daten selbst in diesem Ordner speicherte und möglicherweise annahm, dass nur sie es sehen könnten. Ich stimme jedoch zu, dass die Personalabteilung und die übergeordnete Kette informiert werden sollten.
@rath Ich würde nicht sagen, dass das IT-Team versagt hat. Es besteht eine gute Chance, dass sie keine Ahnung haben, was sich auf dem Netzlaufwerk befindet. Ihnen wurde wahrscheinlich gesagt, dass wir Netzwerkspeicher benötigen. Dies ist ein Problem für jeden, der sie nicht gestellt hat, nicht für die IT-Abteilung.
Es ist wahrscheinlich erwähnenswert, dass wir eine IT-Firma sind, lol, es wurde inzwischen berichtet.
Das Unternehmen ist zu 100 % gesetzlich verpflichtet, dies der zuständigen Aufsichtsbehörde zu melden. Dies ist ein ziemlich massiver Verstoß. Personenbezogene Daten zum beruflichen Werdegang sind ohnehin besonders sensibel.
Vergessen wir nicht, dass personenbezogene Daten (glaube ich) nicht länger als 30 Tage nach ihrer letzten Verwendung aufbewahrt werden sollten. Paraphrasieren, aber der Punkt ist: Die Lebensläufe von Personen, die sich beworben haben, sollten nicht über diesen Zeitraum hinaus aufbewahrt werden. Hier kann mich jeder gerne korrigieren, kein Experte.
@BlackMagic Es gibt verschiedene Anforderungen für unterschiedliche Daten; einige, die Sie vor Ablauf einer bestimmten Zeit (6 Jahre für Beschäftigungsunterlagen) nicht löschen können. Es ist leider keine Situation, in der eine Faustregel angewendet werden kann – wer auch immer die Einhaltung der DSGVO im Büro überwacht, muss darauf aufmerksam gemacht werden und die spezifische Entscheidung auf der Grundlage der gespeicherten Daten treffen.
Ein Kollege hat in unserem LAN die Lebensläufe aller Mitarbeiter gefunden. Ist das ein Datenleck? [abgeschlossen]
AntwortenHierDatenschutz-Bestimmungen1y, 0v