Fine代表英国有史以来最高的数据保护违规行为

最近,2016年7月接任英国新任信息专员伊丽莎白·丹纳姆(Elizabeth Denham),于2016年9月30日发布了向TalkTalk发出的400,000英镑的《货币罚款通知》。该通知详细说明了她因严重违反数据而对英国处以最高罚款的原因。 1998年《保护法》。丹纳姆(Denham)严厉地谴责–“是的,黑客是错误的,但这不是公司放弃其安全义务的借口。 TalkTalk应该而且应该做更多的工作来保护其客户信息。没有,我们已经采取了行动。”

苏格兰领先的独立律师事务所BTO Solicitors的合伙人兼数据保护防御小组负责人Paul Motion表示:“罚款当然与TalkTalk于2015年10月21日广为宣传的数据黑客有关。TalkTalk表示对罚款感到失望,已与ICO调查充分合作。但是,这家电信巨头真的不应该感到惊讶。 TalkTalk于2009年收购了Tiscali。TalkTalk似乎不知道Tiscali的基础设施包括仍然可以在线使用的旧网页,从而可以访问包含156,959名客户名称和15,656人的银行详细信息的数据库。 TalkTalk还不知道该数据库软件已经过时,也没有定期进行修补以解决漏洞。成功对21进行的同一SQL攻击ST 2015年10月也发生在2015年7月和2015年9月的同一网页上。40万英镑的罚款主要是由于严重违反了第七项数据保护原则–未能采取适当的技术和组织措施来保护数据–但也因违反了第五条原则,该原则禁止将个人数据保存超过必要的时间。

ICO表示,Talk Talk数据泄露很可能对那些姓名,地址和银行详细信息被盗的人造成“严重困扰”。 ICO指出,这些细节可能被用于欺诈目的,即使发生欺诈的可能性也会令人担忧。此外,如果数据被滥用或泄露给不可靠的第三方,这将导致进一步的困扰,使个人面临混乱和可能的欺诈。鉴于银行的详细信息被盗,并且人们可能期望对后果进行讨论,因此针对这种特殊违规的“困境”强调很有趣。不管怎样,遇险很重要,因为最近的一宗诉讼案(Vidal Hall –v-Google)裁定,根据《数据保护法》(DPA)提出向数据控制者提出的索赔只需要遇险而不是经济损失即可。并暂时维持这一裁决。”

到目前为止,ICO处以NHS信托最高的罚款。布赖顿&萨塞克斯大学医院NHS Trust在其计算机上的硬盘驱动器上发现了成千上万名患者和工作人员的高度敏感的个人数据,之后在互联网上出售该产品,因此被罚款325,000英镑。

保罗继续说:“对TalkTalk罚款特别令人震惊的一点是,对私营部门组织处以如此之高的罚款。离任的信息专员似乎认为,私营部门组织在数据保护方面比公共部门更好。他记录在23的“独立”中rd 2014年2月[1] 他在两个星期后在曼彻斯特举行的ICO会议上重申了这一观点,他将当地政府组织描述为在处理个人数据时“绝望”。如果TalkTalk罚款表明新的ICO正在从这一立场退步,这将是一个可喜的发展,这可能会使那些担心数据保护评论员感到不安的是,过度的监管关注似乎只针对公共部门的数据保护违规行为(尽管具有讽刺意味的是,应该指出的是,私营部门 具有 在冷呼叫方面,由同一监管者敲定,但DPA并未涵盖,但PECR法规未涵盖)。

“一旦新的欧盟通用数据保护条例(GDPR)于2018年5月直接生效(根据作者的观点,无论是否会退欧),组织将有义务报告严重的违规行为,我们可能会发现真实反映了两个部门中组织的安全性。但是,请注意,新的《数据保护条例》还将提高最高2000万欧元的罚款,占全球营业额的4%。如果GDPR今天生效,TalkTalk可能会面临3500万英镑的罚款。那些认为罚款数额不大的人不太可能会与英杰华英国人寿(Aviva UK Life)进行类比,后者本周被英国金融行为监管局(FCA)罚款820万英镑。 Aviva的罚款是因为它未能确保拥有足够的控制和监督安排来有效地控制客户资金的外包管理。

“如此规模的罚款,更重要的是避免这样做,可能会鼓励董事会成员将数据管理放在董事会议程上更高的位置。对数据管理的参考是有意的。安全是一个重要因素,但需要采取整体方法。尽管良好的数据安全性很重要,但ICO也希望看到良好的管理,并一再强调指出,在判断1998年DPA要求的组织措施是否适当时,将考虑对员工进行培训。”

[1] http://www.independent.co.uk/news/uk/crime/privacy-guardian-christopher-graham-finds-himself-in-the-public-eye-9147738.html

(资料来源:BTO律师事务所)

发表评论