Por su pregunta, ¿parece que el empleado estaba enviando los datos de su propia tarjeta a alguien? Eso no debería ser un problema de PCI, porque la compañía no maltrató los datos de la tarjeta controlados por la compañía. Yo diría que se les debe dar una charla severa porque puede mostrar un mal juicio y tal vez tener un registro de esa conversación, pero no creo que sea un problema para ti.
Es posible que se hayan enturbiado, ¿qué hizo el receptor del correo electrónico con los datos de la tarjeta? Puede haber alguien que pueda argumentar que se convierte en información controlada por la empresa. ¿Alguna vez se utilizó esa tarjeta para realizar una transacción legítima con la empresa como cliente?
De manera similar, si una persona decide enviar todos sus datos de salud a alguien, eso tampoco sería una infracción hipaa, porque esa ley restringe de manera similar los datos que maneja la organización, no la persona que los datos son .