最新的ICO精细亮点隐私尽职调查
该信息专员办公室(ICO)占地伦敦房地产代理商80,000英镑,留下了18,610名客户的个人数据近两年。
当Parliamment View Ltd(LPVL)的生命将其服务器从其服务器转移到合作伙伴组织时,发生了安全突发,并未在Microsoft“Sinternet信息服务(IIS)中关闭匿名认证功能。
此故障意味着未实施访问限制,并允许任何人在线上网,以便在2018年5月全面执行“2015年5月的全面普通数据保护法规(GDPR)之前”2017年3月至2017年3月至2017年2月“。
公开的详细信息包括个人数据,如银行对陈述,薪资细节,护照副本,租户和房东的出生日期。
在调查期间,ICO表示,它发现它发现“安全错误目录”,发现LPVL未能采取适当的技术和组织措施,免于非法处理个人数据。
此外,房地产机构才会在黑客联系时提醒ico到违约行合。ICO总结这是一项严重违反了1998年的数据保护法,该法是由GDPR替代的,该法于2018年的GDPR-Aligned数据保护法案。
ICO调查总监Steve Eckersley的主题触摸了史蒂夫·塞斯利表示,客户有权预期,他们向公司提供的个人信息将保持安全和安全。
“当我们发现事实时,我们发现LPVL未能充分培训其员工,Who误导并使用不安全的文件传输系统,然后未能监控它。这些缺点使其客户暴露于身份欺诈的潜在风险,“埃克斯利说。
“公司必须接受他们对委托他们委托的个人数据有法律义务。如果这不会发生,我们将调查和采取行动。“
ICO发布其有意发出的通知后,LPVL精致的是额外的英国航空公司183.39mandmarriott International£99M以上的GDPR。
国际通知万豪国际通知,突出了关于隐私实践的应尽职调查的问题,这在LPVL精细通知中已经进一步强调,即使事件未被GDPR涵盖。
ICO的调查发现,万豪未取得足够的尽职尽职调查,并在购买喜达屋时进行足够的尽职调查,并应该制定更多来保护其系统。
eChoing Eckersley关于LPVL案例的评论在评论Marriott Fine时,信息专员Elizabeth Denham表示,GDPR表示明确表示,组织必须对他们所持有的个人数据负责。
“这可以包括制定企业习得的妥善勤奋,并制定适当的问责制措施,不仅可以评估个人数据的评估,而且还如何保护,”她说。
“个人数据具有实际价值,因此组织具有保证其安全性的法律义务,就像他们与任何其他资产一样。如果没有发生这种情况,我们会在必要时毫不犹豫地采取强有力的行动,以保护公众的权利。“
反对ICO拟议的英国航空公司的罚款和国际信息技术技术资产管理人员(IAITAM)表示,IT资产管理人员应注意,监管机构正在关注有关隐私惯例的公司尽职调查。
“我们一直向组织提供一年多的组织,隐私法正在发生变化,尽职调查将势在必行,”伊伊曼总统兼首席执行官Barbara Rembiesa说。
“具有成熟IT资产管理计划的组织已经有一个程序,可以帮助解决尽可能调查的脆弱性,即使涉及个人隐私,”她说。
为了协助组织在维护个人信息方面,ICO已发布指导题为IT安全的实用指南。