莫里森超市有限公司已经 承担责任 恶意员工安德鲁·斯凯尔顿(Andrew Skelton)有意破坏数据,向其5,518名员工致敬。
Skelton被Morrisons聘为高级IT审计师。 在执行职务期间,他需要为莫里森的外部审计员整理员工数据。
斯克尔顿(Skelton)为他的雇主所未知,他为自己提取了数据的副本,包括姓名,地址,性别,出生日期,电话号码,国民保险号码,银行分类代码和99,998名莫里森员工的银行帐号。 后来他将此副本数据上传到文件共享网站上。 在莫里森(Morrison)被告知情况并采取措施阻止访问数据之前,该数据一直保持公开状态两个月。
Skelton在随后的刑事诉讼中被定罪,并根据《计算机滥用法》和《数据保护法》被判处8年徒刑。 最高法院在判决中指出,Skelton上载了数据,这是由于他在较早的纪律警告之后对公司感到厌倦,因此上传了数据。 纪律警告与数据安全问题无关。
高等法院后来的判决涉及莫里森对其雇员的民事责任。
根据《 1998年数据保护法》(“ DPA”)的“主要”责任
首先,法院考虑了Morrisons本身是否对DPA规定的数据泄露有任何“主要责任”来赔偿其雇员。 除一项与责任问题无关的例外规定外,法官裁定: 莫里森根据DPA为数据安全运行了适当的控制机制。
同样,在审查了证据之后,法官裁定,在违规之前,莫里森一家没人知道或不应该知道斯克尔顿不应该受到数据的信任。
因此,公司对员工的违约行为不承担“主要”责任。
“替代”责任
一旦Skelton出于自己的目的非法复制数据,他就有权根据DPA的权利来复制存储棒上的数据。 然后,他违反了DPA规定的职责。 判决的第二个方面是,尽管公司本身并非“过错”,但莫里森还是要为“斯克尔顿”作为雇主的违规行为“承担”责任。
法官感到满意的是,斯克尔顿的举动与他的工作密切相关,足以满足对替代责任的法律检验。 他还认为,DPA并未排除替代责任的可能性。
然而,法官最困惑的论点是,法院在认定莫里森(Morrisons)负有赔偿责任时,实际上是在协助斯克尔顿(Skelton)破坏公司的犯罪目的的附属物。 法官已批准对调查结果提出上诉,媒体报道称莫里森将上诉。
组织应该做什么?
除了上诉以外,法院尚未裁定每位雇员的主张的价值。 组织应确保采取适当的数据安全措施,策略和程序,并遵循这些规则以帮助确保他们对主要责任索赔具有抗辩性。 组织还应检查其当前的保险安排是否满足因数据泄露而引起的潜在赔偿要求(主要和次要责任)。 Morrisons的索赔既根据DPA提出,又由于滥用私人信息和破坏信任而提出。
集体诉讼主张将继续对组织构成风险。 到2018年5月25日,《欧盟通用数据保护条例》和《英国数据保护法案》将取代DPA生效,其中包括旨在允许代表机构(例如消费者法律组织)代表受影响个人提出赔偿要求的措施。
评论