最高法院表示,Morrisons对2014年数据违约不承担责任
超市连锁Morrisons已经取得了对最高法院的诉讼,以防止判决判决,该判决对由一个心怀不满的员工造成的内幕数据违规行为负责。
违约发生在2014年,当雇员雇员的数千名莫里桑员工泄露在其内部审计团队的成员的文件分享网站上泄露。
许多受影响的员工随后个人向莫里森带来了法律程序,并在基于雇员行为的替代责任的基础上。
他们的诉讼在1988年的数据保护法案(DPA)下违反了法定职责,滥用私人信息并违反信任,虽然在审判高等法院法官同意莫拉森并非主要责任,但它是众所周知的,因为Skelton在他的工作过程中采取行动。
莫里森对此判决造成呼吁,但随后收到了履行最高法院的许可。
在其一致的判断中,最高法院表示,以前的判断从根本上误解了各种方式管理拟股责任的原则,最值得注意的是,因为披露在线数据没有落在Skelton的“活动领域”,并且它是高度重大的Skelton正在莫里森的指导下或出于个人原因行事。
因为Skelton被授权拥有数据并将其发送给Morrisons的外部审计师,因此他泄露的事实并不是如此紧密地与他在他的过程中进行的那样相当被视为职责,以及他能够这样做的事实是不足以保证赋予替代责任的征服 - 也就是说,公司不能对私人Vendetta负责。
莫里森的发言人说:“盗窃数据发生了,因为一个具有合法权威的单一员工来掌握数据,也掌握了对莫里桑的秘密和完全不合理的怨恨,并希望伤害公司和我们的同事。
“我们很高兴最高法院同意,当他独自行动时,莫里桑不应该对他的行为辩护地对他的行动,他被判犯有这项罪行并在监狱中度过了时间。法院已经发现,Morrisons对此的任何直接不法行为都不负责。
“我们也知道许多同事们欣赏我们迅速下跌的方式,为他们的银行账户提供了保护,并保证了他们不会在任何情况下都不会受到财务处境。事实上,我们绝对没有看到任何遭受任何直接财政损失的证据。“
詹姆斯SEADON,律师事务所菲尔德菲尔菲尔菲尔德的网络安全专家和知识产权和知识产权和技术合作伙伴说:“最高法院的决定将受到雇主的欢迎,以澄清数据违约行为的雇员行为的拟股责任范围。
“尽管如此,虽然这可能被视为放宽上诉法院的观点,但特别是在GDPR [普通数据保护法规]和DPA [数据保护法案] 2018年的强化监管环境中 - 仍然存在警惕这些风险。仅依靠法律论证不会解决数据违规的威胁。
“雇主继续评估他们到位的技术和组织措施,以保护个人和其他数据。这些可能包括锁定USB端口,防止访问未经授权的WebMail和填充站点并将访问控制添加到关键信息,并确保这种策略在隐私方面没有提示尺度,并且在适当的政策到位支持所选的方法。
“同样,这种诉讼和对其的兴趣表明在数据泄露之后的集体行动的力量。它已经清楚地说,这是一个不断增长的法律领域,我们预计趋势将继续。“
这里可以阅读最高法院的全部判断和推理。
突破如何展开
2013年7月,虽然Andrew Skelton在Morrisons内部审计团队中作为高级审计员工作,但他受到相对轻微的不当行为的纪律程序,并收到了口头警告。他被这个激怒了,并开始了复仇。
在他的职责过程中,Skelton被分配到Contate Contate并将该公司的工资数据传送到Morrisons的外部审计师,毕马威,并这样做,他获得了该公司126,000名员工的工资数据。这包括姓名,地址,性别,出生业,电话号码,国民保险号,银行详细信息和工资。
2013年10月9日,Skelton搜索并将Tor浏览器下载到他的工作电脑。11月7日,他提出了薪资数据的内部请求。11月14日,他在11月15日之前收购了一份薪酬的“燃烧器”手机,他收到了所要求的数据。根据他的职责,数据被传送到毕马威,但11月18日,他将其从工作笔记本电脑秘密复制到USB驱动器上。
几个星期后,12月8日,Skelton使用了一个员工的用户名和出生日,Andrew Kenyon - 曾参与学科程序 - 创建与燃烧器电话相关的假电子邮件帐户。然后他从笔记本电脑中删除了数据。
2014年1月12日,Skelton上传了一个包含98,998名Morrisons员工数据的文件,以公开访问的文件共享网站,并在其他论坛上发布了链接。在此之后,他取消了假电子邮件帐户,并在3月12日中删除了USB驱动器的数据文件。
3月13日,超市的金融业绩公告日,Skelton作为公众的有关成员,并将包含文件的CDS发送给三个英国报纸,声称他在文件共享网站上找到了它们。没有任何报纸发布了任何数据,但Morrisons在几小时内提醒。
该公司迅速响应以删除互联网的数据,启动内部调查和知情执法,并采取措施保护受影响员工的身份和数据。Skelton在2015年后几天后被逮捕了八年的监禁。
Morrisons估计它在处理违约之后的直接后,它花费了超过2.26万英镑,这是其工作人员的身份保护服务。