Это кошмар любого работодателя. Недовольный сотрудник злоупотребляет личными данными, относящимися к своему работодателю, например, рассказывая миру о зарплатах сотрудников, публикуя данные в Интернете.
Возможно, они тоже сообщили об этом прессе. Расследование ICO. Сотрудники также выясняют это и предъявляют своему работодателю иск о возмещении ущерба в сотни тысяч, если не миллионы фунтов стерлингов в рамках “коллективного иска”.
Притянуто за уши? Конечно, нет – как недавно выяснила сеть супермаркетов Morrisons в судебном деле, которое, как ни странно, дошло до Верховного суда Великобритании. 1 апреля Верховный суд вынес решение в пользу Morrisons, но дело рассматривалось в судах в течение нескольких лет, что обошлось Morrisons в миллионы судебных издержек, не говоря уже о времени руководства и сбоях в работе.
В этом случае у Morrisons были достаточно большие карманы, чтобы довести дело до конца в апелляционном порядке и выиграть. Поступив таким образом, работодатели получили услугу. Решение Верховного суда будет тщательно изучено юристами, защищающими другие предприятия, которые пострадали от утечек данных по вине недобросовестных сотрудников. Но это также не карта освобождения от тюрьмы.
Предыстория такова, что в 2014 году сотрудник Morrisons Эндрю Скелтон намеренно слил персональные данные тысяч своих коллег. Раскрытые данные включали имена сотрудников, адреса, номера телефонов и банковские реквизиты. Впоследствии он отправил ту же информацию в три газеты.
Одна газета связалась с Morrisons, и та немедленно приняла меры по удалению онлайн-данных и информированию полиции. Скелтон был заключен в тюрьму на 8 лет, а Моррисонс потратил более 2,26 млн фунтов стерлингов на устранение последствий нарушения.
Ряд сотрудников подали иск в соответствии с Законом о защите данных 1998 года (“DPA”) против Morrisons. Были предъявлены претензии о возмещении ущерба в связи с предполагаемыми ”бедствиями, тревогами, расстройствами и ущербом», вызванными утечкой данных. Высокий суд постановил, что Morrisons не несли основной ответственности за нарушения, но, тем не менее, они несли опосредованную ответственность на том основании, что существовала достаточная связь между ролью Скелтона как сотрудника и его поведением.
Субсидиарная ответственность — это когда работодатель может нести ответственность за проступок своего сотрудника. Это может произойти, когда существует достаточно тесная связь между работой человека и его проступком.
Моррисонс подал апелляцию по двум основаниям:-
Скелтон не совершал никаких действий в ходе своей работы, когда он допустил утечку данных, поэтому не могло быть никакой субсидиарной ответственности – он загрузил и передал персональные данные в свободное от работы время, преследуя личную цель; и
Более техническое юридическое основание заключалось в том, что DPA исключало какую-либо ответственность работодателя за неправомерную обработку персональных данных сотрудником, и, следовательно, подразумевалось, что не может быть никакой субсидиарной ответственности.
Апелляционный суд оставил в силе решение Высокого суда, и Моррисонс подал апелляцию в Верховный суд.
Верховный суд единогласно постановил, что Скелтон действовал не в рамках обычной своей трудовой деятельности и что было бы несправедливо и неуместно утверждать обратное. Того факта, что его работа давала ему возможность совершить правонарушение, было недостаточно для привлечения Моррисона к субсидиарной ответственности. Работодатель обычно не несет опосредованной ответственности, если работник преследует личную неприязнь к работодателю за пределами своей сферы деятельности, а не занимается бизнесом своего работодателя.
Хотя это означало победу Morrisons, Суд не пришел к выводу, что DPA само по себе исключает субсидиарную ответственность. Это важное предостережение, поскольку оно оставляет открытой возможность для предъявления подобных исков в будущем.
Тем не менее, судебное решение дает некоторое утешение работодателям, поскольку они вряд ли будут привлечены к опосредованной ответственности за несанкционированную утечку данных, совершенную их сотрудниками в свободное от работы время по чисто личным причинам со злым умыслом. Однако более тесная связь с работой Скелтона могла привести к другому результату. Все зависит от фактов – здесь они были на стороне Моррисона.
Чтобы свести к минимуму риск утечки данных и защитить свою организацию, работодателям необходимо обучать персонал защите данных и обеспечивать осведомленность о законе и обязанностях своих сотрудников за соблюдение. Это постоянное требование, которое требует регулярного обновления.
Работодатели также должны иметь четкие и актуальные внутренние политики конфиденциальности и уведомления о конфиденциальности персонала, соответствующие GDPR. Кроме того, им необходимо обеспечить безопасность персональных данных (например, путем защиты паролем и шифрования файлов), доступ к которым осуществляется только по принципу «необходимо знать», а их распространение, по возможности, контролируется.
Хотя дело Morrisons было возбуждено в соответствии с Законом о защите данных 1998 года (закон, действовавший в то время), возросшая ответственность и санкции работодателей в соответствии с GDPR делают соблюдение требований по защите данных еще более важным для работодателей.