El almacenamiento de información personal del personal (nombres, direcciones, fechas de nacimiento) en una unidad de red compartida que permite el acceso anónimo y sin restricciones a todo el personal presenta una violación del principio 7 de la ley de protección de datos: "Para mantener la información segura" ? ¿O existe una presunción de confianza en la organización para los usuarios y, como no hay acceso público, podría considerarse técnicamente seguro?
Sí, eso contaría como una violación, si considera el principio n. ° 2 de que la PII solo debe "usarse con fines limitados y específicamente establecidos", a menos que cada miembro del personal con acceso a esa unidad compartida tenga la necesidad de acceder a esa unidad. los datos para uno de los "propósitos específicamente establecidos" (que imagino que es altamente improbable) entonces no han cumplido con el principio de "seguridad".
A menos que la organización tenga una forma previa para el comportamiento sombrío en esta área, me sentiría inclinado a decir que la Maquinilla de afeitar de Hanlon funciona aquí y eso podría influir en la forma en que aborda el problema con ellos, pero definitivamente es algo que plantearía lo antes posible. .
La pregunta más importante es si esto viola las leyes de protección de datos de varias jurisdicciones (lo hace). Desde esta perspectiva, no ha asegurado la PII y es una violación.
Por ejemplo, nadie, NINGUNO tiene derecho a saber qué edad tengo. No quiero estar sujeto a discriminación, y mi cumpleaños es información privada. Si descubriera que mi empleador publicó esa información internamente, estaría llamando al abogado más mezquino que conocía.
Nadie necesita conocer esta información, excepto HR, lo que significa que si se publicó, entonces no se está utilizando para el propósito de su recopilación.
Lea otras preguntas en las etiquetas permissions