GDPR - Violazioni dei dati personali per fatture

0

Una breve domanda e uno scenario.

La società X riceve per errore fattura della società Y (non vi è alcuna relazione tra di loro). La società X sta segnalando il caso al controllore: - la fattura non è mia, ti preghiamo di inviarla nel posto giusto.

La fattura di Y contiene un nome e il cognome di un dipendente che lavora in questa azienda.

Questi dettagli dei dati personali valgono come una violazione dei dati? la compagnia Y dovrebbe essere informata di questa violazione?

Br

    
posta GDPR_noob 05.12.2018 - 14:04
fonte

2 risposte

1

Se il nome è memorizzato su carta o da qualche altra parte non importa. Quando si perdono informazioni personali identificabili (PII), che sono un nome e cognome, si considera una perdita di dati. Questa è una violazione dei dati secondo l'articolo 4 del GDPR:

‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

L'articolo 33 stabilisce quanto segue in merito alla notifica obbligatoria:

In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. [...]

È improbabile che solo un nome e un soprannome comportino un rischio per l'individuo e non è quindi obbligatorio notificare all'autorità di vigilanza. Si prega di notare che questo potrebbe essere diverso a seconda della zona in cui si lavora, ad esempio una fattura per l'affitto di un film pornografico potrebbe essere dannosa per qualcuno. Alla fine, devi prendere una decisione in merito alla gravità dell'incidente e se devi segnalarlo o meno.

Come puoi leggere qui , dovresti porci le seguenti domande per determinare se è necessario presentare o meno un rapporto.

  • Che cosa è successo? Che tipo di incidente era questo, hai lasciato un bucket AWS con tutti i tuoi dati finanziari protetti dagli utenti o hai appena inviato al cliente sbagliato l'email sbagliata?
  • Quante persone sono state colpite? Si tratta di una violazione su larga scala o si limita a una manciata di persone. La maggior parte della letteratura su GDPR mette il taglio per "su larga scala" a 500 soggetti di dati.
  • Quali dati personali sono stati compromessi? È solo il nome e l'indirizzo email di un cliente? O sono dati più sensibili come informazioni finanziarie o categorie speciali di dati personali?
  • Qual è il rischio per gli interessati interessati? Nel peggiore dei casi, che cosa potrebbe essere fatto con queste informazioni per danneggiare l'interessato in termini finanziari, materiali o di reputazione?
  • Che cosa ha causato questa situazione? È stato un aggressore a sfruttare la tua sicurezza? Era un errore tecnico? Errore umano?
  • Con che facilità questo problema può essere mitigato? Ci vorranno mesi per sistemare o si tratta solo di una semplice modifica? Quando sarai in grado di realizzare questo?

Se puoi rispondere a queste domande, dovresti essere in grado di valutare quali rischi questa violazione dei dati personali potrebbe rappresentare per le persone colpite e se questo incidente aumenta o meno al livello di segnalazione.

    
risposta data 03.01.2019 - 00:24
fonte
0

Buona risposta di Kevin Voorn, ma vorrei aggiungere un paio di cose. Indipendentemente dal fatto che i nomi completi dei dipendenti siano di dominio pubblico, è necessario stabilire se si tratta di una perdita / violazione o meno. Inoltre, quanto è serio dipende in qualche modo dagli altri dati che possono essere dedotti dalla fattura. Lasciatemi fare un esempio:

  • Alison Smitherton è l'impiegato in questione e dal resto del contenuto della fattura si può dedurre da quale ufficio di solito lavora. Sfortunatamente, Alison è anche una vittima di violenza domestica e di recente si è trasferita in un altro ufficio per sfuggire al suo ex, che ha incontrato al lavoro. Conosce qualcuno che lavora nell'azienda che ha ricevuto la fattura per sbaglio e per qualche motivo il suo amico gli ha detto del contenuto della fattura. La sua ex violenta ora sa dove lavora e in che zona del paese vive. Poteva scegliere di perseguitarla nel suo nuovo posto di lavoro, e lei potrebbe essere in serio pericolo fisico a causa di questo errore di fatturazione.

Ok, ammetto che questo è un caso estremo, ma non è al di fuori dei regni delle possibilità, ma estremamente improbabile. Una forza di polizia britannica è stata multata un po 'dopo aver trafugato accidentalmente la posizione di una vittima di violenza domestica, che è stata poi attaccata. La multa era abbastanza grande, a causa della gravità dei problemi che ne derivavano.

Se, a causa della natura della tua attività, i nomi dei dipendenti non sono di solito di pubblico dominio per qualsiasi motivo, quindi è anche più serio. In questo caso, tuttavia, potrebbe essere giunto il momento di rivedere il contenuto delle fatture standard per evitare problemi futuri.

    
risposta data 03.01.2019 - 02:52
fonte

Leggi altre domande sui tag