An meinem derzeitigen Arbeitsplatz wurde eine Phishing-E-Mail von der E-Mail-Adresse eines Mitarbeiters (nennen wir ihn Sally) gesendet. Eine E-Mail, die von Sallys Konto stammte, wurde an die geschäftliche E-Mail-Adresse aller innerhalb der Organisation gesendet, es wurde allen im Unternehmen nachträglich bewusst gemacht, dass es sich um eine Phishing-E-Mail handelte und dass Sallys Konto kompromittiert wurde.
Genau dieselbe E-Mail wurde auch an die persönlichen E-Mail-Adressen mehrerer Mitarbeiter gesendet, was bedeutet, dass jeder, der Zugriff auf Sallys Konto erhalten hat, jetzt meine und andere persönliche E-Mail-Adresse hat.
Welche Verantwortung trägt ein Unternehmen in Bezug auf private Informationen einer Person, wenn ein unbefugter Angreifer diese Informationen erhält, und hat das Unternehmen in diesem Fall die DSGVO oder andere relevante Datenschutzgesetze verletzt?
Es hängt ganz davon ab, in welchem Kontext "Sally" Ihre persönliche E-Mail hatte:
Wenn der Grund, warum „Sally“ Ihre persönliche E-Mail-Adresse hatte, darin bestand, dass das Unternehmen (oder Sally, die im Namen des Unternehmens handelt) diese ausdrücklich angefordert hatte (sagen wir, sie arbeitete in der Personalabteilung und sie enthielt einen Teil Ihrer Mitarbeiter-Kontaktdaten oder so etwas). dann würden sie als „Verarbeiter“ für diese personenbezogenen Daten (PII) betrachtet, und dies könnte als Verstoß angesehen werden, und sie müssten das ICO benachrichtigen , obwohl alle weiteren Schritte, die sie möglicherweise unternehmen müssen oder nicht, davon abhängen, was das ICO tut sagen und das wahrgenommene Risiko für die betroffenen Personen.
Wenn „Sally“ diese persönlichen Adressen jedoch für unternehmensfremde Zwecke hatte, handelte Ihr Arbeitgeber nicht als „Auftragsverarbeiter“ für die Daten und hat daher keine Verpflichtungen gemäß der DSGVO.
SZCZERZO KŁY
beere120
Terry Carmen