Memorizzare le informazioni sullo staff personale (nomi, indirizzi, date di nascita) su un'unità di rete condivisa che consente l'accesso anonimo e senza restrizioni a tutto il personale presenta una violazione del 7 ° principio della legge sulla protezione dei dati - "Per mantenere le informazioni sicure" ? O c'è una presunzione di fiducia nell'organizzazione per gli utenti e dato che non c'è accesso pubblico, potrebbe essere considerato tecnicamente sicuro?
Sì, ciò sarebbe considerato come una violazione, se si considera il principio n. 2 che le PII dovrebbero essere "utilizzate solo per scopi limitati, specificatamente dichiarati", a meno che ogni singolo membro del personale con accesso a tale unità condivisa abbia necessità di accedervi dati per uno degli "scopi specificati" (che immagino sia altamente improbabile) quindi non sono riusciti a rispettare il principio "sicuro e protetto".
A meno che l'organizzazione abbia una forma preventiva di comportamento oscuro in questo settore, sarei propenso a dire che il Razor di Hanlon è al lavoro qui e questo potrebbe influenzare il modo in cui affrontate il problema con loro, ma è sicuramente qualcosa che vorrei sollevare al più presto .
La domanda più grande è se questo viola le leggi sulla protezione dei dati di varie giurisdizioni (lo fa). Da questa prospettiva, non hai protetto le PII ed è una violazione.
Ad esempio, nessuno, NESSUNO ha il diritto di sapere quanti anni ho. Non voglio essere oggetto di discriminazione, e il mio compleanno è un'informazione privata. Se scoprissi che il mio datore di lavoro ha pubblicato queste informazioni internamente, avrei chiamato l'avvocato più meschino che conoscessi.
Nessuno ha bisogno di conoscere queste informazioni tranne che per le risorse umane, il che significa che se è stato pubblicato, quindi non viene utilizzato per lo scopo che è stato raccolto.
Leggi altre domande sui tag permissions