比利时数据保护机构明确公司对违规员工违反 GDPR 的行为...

fabiha01

根据《通用数据保护条例》（GDPR），如果员工造成数据泄露，公司是否总是要承担责任？根据比利时数据保护局（DPA）最近的一项决定，答案似乎是肯定的，或者至少在大多数情况下是肯定的。

案件
在这种情况下，医院的一名经理在工作时间以外访问了一名员工的文件。经理想看看员工被解雇后会作何反应。通过这样做，经理独立决定了如何使用数据，这超出了他们的职责和权限。

通常，员工代表其雇主处理个人数据。雇主被视为控制者（决定如何以及为何处理数据的人）。但也有例外。在这里，DPA 表示，美国商业传真列表 由于经理超越了他们的权力，并独立决定如何使用数据，因此经理要承担个人责任，并成为 GDPR 下的控制者。

关键问题
即使 DPA 认为该经理是控制者，医院是否仍必须根据 GDPR 第 33 条（要求将泄露事件通知 DPA）报告数据泄露？

数据保护机构表示同意。即使医院不直接对经理的行为负责，它仍然是主要的数据处理者。这意味着医院最有可能注意到违规行为并迅速报告。

为什么这很重要
起初，这看起来像是一个结果驱动的结果。但当你查看数据处理链时，结果似乎也是合理的。数据泄露发生时，数据仍在医院的控制之下。无论违规行为是由外部黑客还是内部恶意员工造成的，根据 GDPR，医院的通知义务保持不变。

分裂
鸣叫