Pytanie:
Współpracownik użył dostępu administratora, aby wyświetlić moje prywatne zamówienie pracownika
8protons
2019-10-22 08:20:13 UTC
view on stackexchange narkive permalink

Mój kolega z innego działu jest programistą dla wewnętrznej witryny detalicznej w naszej firmie, przeznaczonej tylko dla pracowników. Dzisiaj przed wyjściem z biura dokonałem dość dużego zakupu na tej stronie. Dziesięć minut później dostaję od niego SMS-a

Hej, niektórzy ludzie są trochę szaleni. Wydają prawie X dolców na [nazwa witryny] naraz!

gdzie kwota, o której wspomniał, jest dokładnie tym, co wydałem. Teraz wiem, że miał na myśli sam tekst jako żart, ale od razu byłem tym zszokowany, ponieważ wydawało mi się, że to ogromne naruszenie mojej prywatności. Z mojego punktu widzenia to nie jest tak, że programiści w jego zespole otrzymują e-maile na każdej fakturze - gdzie mógł widzieć moje nazwisko w temacie wiadomości e-mail lub coś w tym rodzaju, ale mają konto administratora (i dostęp do bazy danych). Byłem jeszcze bardziej nieufny wobec faktu, że wiedział, że złożyłem zamówienie w ciągu 10 minut, kiedy wiem, że witryna ma tysiące odwiedzin. Odpowiedziałem na jego tekst: „ Tak, wielkie naruszenie prywatności, macie huh ”, a on odpowiedział tylko „ lol ”.

Jak sam programistę, uważam, że jest to skrajnie nieetyczne, ale nie jestem pewien, czy przesadzam. Nawiązaliśmy przyjaźń poza biurem (obaj byli tu mniej więcej przez te same pięć miesięcy) i uważam go za pracowitego, utalentowanego programistę i ogólnie życzliwą osobę. Więc moje nastawienie w tym względzie może być motywacją do tego, że nie chcę go zwolnić, ale wyobrażam sobie, że zgłoszenie tego do jego przełożonego może skutkować zwolnieniem. Nie wiem też, czy jestem w stanie z nim o tym porozmawiać, bo nie jestem jego seniorem (poza kilkuletnim wiekiem). Jeśli chodzi o kontekst, jeśli ma to znaczenie, jest po dwudziestce.

Jak najlepiej sobie z tym poradzić?

Przyjaźń?Czy on jest tobą zainteresowany?Czy ma skrypt, który specjalnie powiadamia go o dokonaniu zakupu?
@StephanBranczyk Nie wierzę, że mam jego orientację seksualną, a on jest w związku.Jeśli chodzi o scenariusz ... tak, właśnie się nad tym zastanawiam.Zapytałem go, skąd o tym wiedział, ale nie odpowiedział;zignorował to i zmienił temat.
Czy konkretnie odniósł się do tego zamówienia jako twojego, czy jest jakaś szansa, że faktycznie (nawet jeśli nadal nieprofesjonalnie) po prostu zobaczył ogromne zamówienie na stronie i pomyślał, że to zabawne, że ktoś wydał x $?(To znaczy, czy masz jakiś powód, by sądzić, że inny programista wiedział, że to ty - poza tym, że wysłał ci SMS-a? Np. Baza danych, zgodnie z twoją wiedzą, zawiera dane klienta w postaci zwykłego tekstu, w łatwy do znalezienia sposób).Nie oznacza to, że nie jest źle, ale trochę zmienia dynamikę.
„Niektórzy ludzie” i „oni” mogą wywnioskować, że niekoniecznie wiedział, że to OP.Jeśli OP ujawni te informacje, oznacza to zaoferowanie jeszcze większego naruszenia prywatności.
Czy wiesz, jak wygląda zaplecze / panel sterowania sklepu?Pracowałem na różnych platformach e-commerce jako programista, a niektóre z nich pokazują listę ostatnich zamówień, gdy tylko się zalogujesz. Może Twój kolega zalogował się do panelu sterowania, a Twoje nazwisko właśnie się znalazłona górze listy.(Jest to szczególnie prawdopodobne, ponieważ otrzymałeś tekst tak szybko po złożeniu zamówienia).
Jaki byłby Twój cel końcowy?To niezbędny szczegół, aby odpowiedzieć na pytanie.
Czy wiesz, ile z „raczej dużego zamówienia” złożyłeś?Na przykład.jeśli jest najwyższy do tej pory lub całkowita wartość odstająca z innego powodu ... czy realistycznie może zostać wywołana przez jakiś rozsądny skrypt bezpieczeństwa, podwójnie sprawdzający zakupy?Podobnie jak Twój bank, który kontaktuje się z Tobą w przypadku nagłego zakupu za granicą bez biletów lotniczych do tego samego miejsca.
Jedenaście odpowiedzi:
James
2019-10-22 16:38:35 UTC
view on stackexchange narkive permalink

Mam zamiar pójść pod prąd. Prawdopodobnie się mylę na podstawie wszystkich innych odpowiedzi i nie mogę się doczekać, aby dowiedzieć się czegoś z twoich komentarzy. Jestem też w USA.

Myślę, że to nic wielkiego i nie powinieneś się cofać.

Twój kolega jest deweloperem witryny handlowej. Mógł z łatwością monitorować transakcje, a ty wyskoczyłeś jako znajome nazwisko. O ile nam wiadomo, w żaden sposób nie przechwycił twoich poufnych informacji: SSN, CC # itp. Nic nie wskazuje na to, że twoje zakupy miały poufny charakter: leki, bielizna itp.

Dla mnie nie różni się to niczym od tego, że kolega kasjer w sklepie spożywczym uśmiecha się i mówi „Wow, 60 dolarów na steki naraz!”

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/100166/discussion-on-answer-by-james-colleague-used-admin-access-to-view-my-private-emp).
To odpowiedź, której udzieliłbym, więc zostawię +1.Wcześniej miałem obowiązki zawodowe, kiedy widziałem informacje, w których inni pracownicy mogliby się pojawiać. Zawsze uważałem za ** niewrażliwe ** wyróżnianie kogoś, ale miałem wielu współpracowników, którzy wyjeżdżali z przyjaciółmi i nie robili tego.uważam to za coś ważnego.
W tym miejscu należy zauważyć, że PO nie ma pojęcia, w jaki sposób informacje zostały faktycznie uzyskane.Inne odpowiedzi zakładają, że było to nikczemne i opowiadają się za próbą zdyscyplinowania lub zwolnienia drugiego programisty.To jedyna ważna odpowiedź zawierająca podane informacje.Dodałbym nawet do tej odpowiedzi, że jeśli OP będzie próbował kogoś wyrzucić z tego powodu, może (i moim zdaniem powinien) źle odbijać się na OP.
@JoeS: Niemniej jednak zebrane dane cyfrowe muszą być wykorzystywane wyłącznie do celów, w których zostały zebrane.Używanie go do jakichkolwiek innych celów ponownie stanowi naruszenie prywatności.Tak więc w rzeczywistości informacje dostarczane przez OP już teraz jasno wskazują, że jest to naruszenie prywatności, ponieważ przypadek użycia witryny detalicznej na pewno nie jest taki: „Tak więc programiści mogą zażartować na ten temat innym programistom korzystającym z handlu detalicznego”.
@NathanGoings Kiedyś pracowałem w banku i poproszono mnie o optymalizację zapytania.I, co zaskakujące, pierwsza strona wyników zawierała informacje dotyczące kredytu hipotecznego naszego prezesa.Teraz było całkiem oczywiste, że w tym przypadku żartowanie o tym, jak ludzie wydają X,00 000 $ na dom, byłoby wysoce niewłaściwe, a ja powstrzymałem się od zapamiętywania X.
Arthur Hv
2019-10-22 11:30:59 UTC
view on stackexchange narkive permalink

Sam programista backendowy, żałuję, że nierzadko zdarza się, że programiści, którzy mają dostęp administracyjny do bazy danych, są świadkami obecności w niej prywatnych informacji. Jest również prawdopodobne, że ponieważ witryna detaliczna jest wewnętrzna, firma miała / ma niższe standardy bezpieczeństwa i prywatności.

Możliwe, że ten programista zabrał Cię w trakcie debugowania czegoś i po prostu chciał się podzielić ponieważ uważał, że to zabawne, nie możesz być pewien, że celowo naruszył twoją prywatność. Możliwe też, że nie rozumie, jak prywatne są te dane. Na waszych giełdach powinny być widoczne pewne korzyści z wątpliwości, ale zdecydowanie można upierać się przy tym, że czujecie się nieswojo z powodu problemu.

Niepokoi mnie fakt, że nasze zakupy są jasne. Nie sądzisz, że powinny to być dane anonimowe?

I zobacz, dokąd to zmierza. Jest prawdopodobne, że wdrożenie funkcji anonimizacji zostanie odrzucone przez Twojego współpracownika lub nawet jego kierownictwo. Podniesienie tego punktu zdecydowanie pokazuje, że twój pogląd jest taki, że te dane powinny być prywatne dla wszystkich, ale unikając pułapek zbyt surowego oskarżenia wobec współpracownika.

Byłem kiedyś w sytuacji, w której nieuchronnie usłyszałem poufne informacje.Zasada była bardzo prosta: nie możesz w żaden sposób działać na podstawie tych informacji.Działał na podstawie tych informacji, co czyni je poważnym naruszeniem prywatności.Kolega _musi_ zaprzestać tego zachowania lub bezwzględnie powinien zostać zwolniony, jeśli nie może się tego nauczyć.
@gnasher729 Po ponownym przeczytaniu moja odpowiedź wydaje mi się nieco miękka, ale OTOH zaprzyjaźnił się z OP i nie podzielił się z nikim, kto nie miał informacji w pierwszej kolejności.I nie możesz być pewien, czy został dostatecznie ostrzeżony o prywatności.Być może jest zbyt wiele opinii, aby zapewnić dokładny sposób działania.
Myślę, że chodziło mi o to, że informacje są nadal prywatne, jeśli każdy, kto może mieć do nich dostęp, wie, że w żadnych okolicznościach nie wolno im na ich podstawie działać.
Ponownie możliwe jest również, że bezpieczeństwo jest w rzeczywistości wysokie, o czym kolega wiedział, ponieważ zamówienia od personelu są celowo monitorowane w celu testowania, wykrywania oszustw itp.
@NeilSlater W takim przypadku (bezpieczeństwo jest wysokie) przekazanie informacji o określonej kwocie zakupu osobie trzeciej jest zdecydowanie poważnym naruszeniem informacji, które prawdopodobnie zostanie upomniane, jeśli wyjdzie na jaw.Nawet w USA.
@Fildor: Tak, są też inne możliwości.Pracowałem w firmie zajmującej się handlem elektronicznym, gdzie zamówienia testowe przy użyciu fikcyjnych kart kredytowych były powszechną praktyką po zwolnieniu produkcji.Te zamówienia były śledzone i anulowane przez inny zespół w fabryce (aby uniknąć faktycznego wykonania towarów) - więc nie jest to bezpośredni problem z bezpieczeństwem, ale coś innego.Istnieje wiele powodów, dla których kolega OP mógł zobaczyć zamówienie.Żartobliwy komentarz, który pokazuje, że widzieli go w większości z tych powodów, wydaje się być niewłaściwy z większości tych powodów, ale należy unikać przypuszczeń o tym, jak * widzieli to w odpowiedziach.
@NeilSlater zgodził się na to.
gnasher729
2019-10-22 13:17:56 UTC
view on stackexchange narkive permalink

Jeśli rozmawiasz z nim poza pracą, możesz to zrobić i powiedzieć mu o kilku rzeczach.

  1. To, co zrobił, było poważnym naruszeniem prywatności.
  2. Na swoim stanowisku może zostać zwolniony za naruszenie prywatności.
  3. Jeśli firma zostanie przyłapana na nieposzanowaniu prywatności ludzi, może to być kosztowne.
  4. Tym razem nie składasz skarg do HR.
  5. Jeśli usłyszysz o innych przypadkach, złożysz skargę.
  6. To nie może się nigdy więcej powtórzyć.
  7. To nie jest gra. To jest poważne.
  8. Czy rozumiesz?
czy rzeczywiście doszło tutaj do naruszenia prywatności?Deweloper ma dostęp do danych w ramach swojej pracy.Deweloper powiedział OP tylko o swoich danych.Wydaje się więc, że prywatność została zachowana.
W zależności od tego, w jaki sposób informacje zostały uzyskane, wyszukiwanie ich przez współpracownika stanowi naruszenie prywatności, a nie udostępnianie informacji innym.
@AaronF Tak, to naruszenie, IMO.Naruszenie nie polegało na * zobaczeniu * czegoś, co deweloper ma prawo zobaczyć.To była * komunikacja * na temat tego, co widziano - zwłaszcza, że * nie * e-maile są z natury wiadomościami prywatnymi.Pracując w środowisku z formalnymi klasyfikacjami bezpieczeństwa i poświadczeniami, * widzę * rzeczy prawie codziennie, o których nigdy bym nie wspomniał w niezabezpieczonej wiadomości e-mail.
Tak, @AaronF, to ** to ** naruszenie danych, a to przerażające i smutne, że sam tego nie rozumiesz.Ta „osoba X” doszła do informacji, których nie powinien mieć: skąd wiedział o wykupieniu przez PO * wszystkich * danych, które nadzoruje.Następnie ** wykorzystał ** dane w niewłaściwy, niektórzy mogą powiedzieć nawet groźny sposób, a na koniec nie tylko nie wziął za to żadnej odpowiedzialności ... uważa to za zabawne!Jak to w ogóle kwalifikuje się jako * możliwe * naruszenie w twoim umyśle, zamiast gorącego naruszenia, jest poza mną!
„Deweloper ma dostęp do danych w ramach swojej pracy”. Często ma się uprawnienia programisty, ale nie można uzyskać dostępu do danych klientów.Na przykład programiści Gmaila nie mogą czytać niczyjego Gmaila.Posiadanie dostępu i „węszenie z powodów osobistych” to także bardzo różne rzeczy.
@alephzero OP mówi „tekst”.Nie jest jasne, do jakiej formy komunikacji to się odnosi (SMS, firmowa poczta e-mail, firmowy system obsługi wiadomości, poczta e-mail firmy zewnętrznej, system przesyłania wiadomości innej firmy itp.).Tak, może to być naruszenie poufnych danych, w zależności od metody komunikacji, ale nie jestem pewien, czy jest to konkretnie naruszenie prywatności.
@O.F.easynow!Wyciągasz pochopne wnioski i raczej się o tym denerwujesz.Zrobiłem proste zapytanie, ponieważ z pewnością _nie_ jest jasne.OP otrzymał wiadomość zawierającą liczbę, która była taka sama, jak łączna cena ich ostatniego zamówienia.To samo w sobie nie wydaje się stanowić naruszenia prywatności.Nie jest to również naruszenie poufności.(Mówisz „naruszenie danych”. Czym dokładnie jest naruszenie danych?) Naruszeniem z definicji jest złamanie prawa lub umowy.Nie wiemy, jakie umowy podpisał dany deweloper.Jakie prawa zostały złamane?
@RJFalconer jest to powszechne, jeśli pracujesz dla Google lub Microsoft w dużej usłudze publicznej, takiej jak G Suite, Hotmail, Office365 itp. Jest to mniej powszechne, przynajmniej z mojego doświadczenia, jeśli pracujesz w jakiejkolwiek starej firmie w ich wewnętrznej niepublicznejSystem obliczeniowy.W mniejszych firmach pracujących na systemach przeznaczonych tylko do użytku wewnętrznego programiści często mają dostęp do wszystkich danych, niezależnie od tego, czy są potrzebne, czy nie.(Uwaga dla O.F .: tylko dlatego, że mówię, że to się dzieje, nie stanowi oświadczenia o zgodzie lub braku zgody z mojej strony)
Tak, dodaj „czy rozumiesz?”na końcu jakby byli psem, któremu powiedziano, żeby nie sikał na dywan dwadzieścia razy z rzędu.Możesz powiedzieć to samo na wiele sposobów, czuję, że niektóre odpowiedzi po prostu odgrywają tutaj fantazje o mocy biurowej.OP wspomniał, że druga osoba jest życzliwa i nawiązuje przyjaźń.Jeśli jestem twoim przyjacielem, możesz mi powiedzieć, że popełniłem błąd, a kiedy to zobaczę, przeproszę i poprawię się.Jednak dzięki tej krótkiej przemowie możemy być profesjonalnymi kolegami, ale poza tym - jesteś sam.Kontekst jest zawsze ważny.
Blisko, niezupełnie.# 1: Jest to naruszenie Twoich oczekiwań dotyczących prywatności.# 2: Na swoim stanowisku może zostać zwolniony za naruszenie polityki prywatności.Ale czy naruszył zasady, czy też klient miał niedokładne założenia co do zasad?Jeśli poczyniono niedokładne założenia, punkt 1 może nie odpowiadać punktowi 2 w takim stopniu, jak wskazuje ta odpowiedź.@alephzero: Jeśli system zamawiania wyśle wiadomość e-mail, programista może całkiem rozsądnie nie widzieć, jak wysłał drugą wiadomość e-mail jako dalsze ograniczenie prywatności.
@8protons Nie wiem, czy wielkość firmy naprawdę robi różnicę.Mam znajomych, którzy pracowali w Microsoft, Google i Facebooku i słyszałem historie, które każą mi myśleć, że nie ma różnicy między personelem dużych firm i małych.Wszędzie spotykasz te same ogólne typy ludzi.Myślę, że kluczową rzeczą w twojej sytuacji jest komentarz, który zostawiłeś na czacie, który sprawił, że brzmiało to tak, jakbyś mniej przejmował się tym, że programista mógł _ zobaczyć_ twoje zamówienie, i był bardziej zirytowany, że działał na podstawie informacji, wysyłając ci wiadomość.Myślę, że programista w… [do potwierdzenia]
[cd] ... twoje pytanie źle ocenia charakter.Wydaje się, że pomyśleli, że to, co zrobili, jest zabawne i że to też będzie dla ciebie zabawne.Nie widziałeś zabawnej strony.W rzeczywistości jest wręcz przeciwnie.Z tego powodu uważam, że [odpowiedź Stephana] (https://workplace.stackexchange.com/a/146834/70164) jest prawdopodobnie najbardziej odpowiednia dla Ciebie osobiście, chociaż osobiście się z tym nie zgadzam.Różni ludzie mają różne podejście do pracy, ani dobre, ani złe, i te postawy mogą się zmieniać w czasie.(Wraz z wiekiem moje podejście do tego rodzaju rzeczy stało się łagodniejsze)
Stephan Branczyk
2019-10-22 08:40:37 UTC
view on stackexchange narkive permalink

Prześlę mu ten e-mail na Twój firmowy adres e-mail:

Jeśli masz skrypt powiadamiający Cię o zakupach innych pracowników, nie jest to w porządku. I nawet jeśli nie masz takiego skryptu lub jeśli twój skrypt był przeznaczony do debugowania, twoja wiadomość do mnie i tak nie była odpowiednia.

Czy rozumiesz, co mówię? Odpowiedz i daj mi znać, że rozumiesz.

Oczywiście użyj własnych słów.

Jeśli nadal ignoruje Twoje obawy lub nie uznaje faktu, że popełnił błąd, zagrozić, że poinformuje o tym dział HR lub swojego przełożonego.

zostać natychmiast ugnieciony w zarodku. Rozumiem, że jest twoim przyjacielem, ale jeśli nie zrozumie granicy, którą przekroczył, przekroczy ją z kimś innym, kto nie będzie tak wyrozumiały.

Pamiętaj o pracowniku Google, który został zwolniony za naruszenie prywatności. Jestem pewien, że chciałby, aby współpracownik wpuścił go do rozsądku, zanim stracił pracę.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/100165/discussion-on-answer-by-stephan-branczyk-colleague-used-admin-access-to-view-my).
Jared Smith
2019-10-22 19:51:51 UTC
view on stackexchange narkive permalink

Mam zamiar zasugerować sposób działania w oparciu o informacje, że ty i inny programista nawiązaliście przyjaźń i rozmawialiście poza pracą.

Porozmawiaj z deweloperem osobiście lub przez rozmowa telefoniczna poza pracą w tej sprawie. Nie używaj tekstów, mediów społecznościowych, a już na pewno żadnego oficjalnego kanału, takiego jak work slack lub e-mail. Nie zostawiaj śladu papieru, który sugerowałby, że wiesz o naruszeniu poza tym, co już istnieje.

Kiedy prowadzisz rozmowę, powinna wyglądać mniej więcej tak:

Spójrz, wiesz Nie obchodzi mnie (chociaż tak naprawdę tak ), ale możesz stracić z tego powodu pracę. Jakiś pozbawiony poczucia humoru dron HR spojrzałby na to i nie zdawał sobie sprawy z tego ani nie przejmował się tym, że mógł to być zbieg okoliczności, że zdarzyło Ci się patrzeć na ruch uliczny, kiedy dokonywałem zakupu i że ty i ja jesteśmy przyjaciółmi. Mógłbym nawet wpaść w kłopoty w tym momencie, ponieważ teraz wiem, że naruszasz prywatność i robię ci solidnie, aby tego nie zgłaszać. Nie fajnie. Nie próbuję się zabijać, ale proszę, bądź trochę bardziej dyskretny w przyszłości.

Jeśli źle odczytałem poziom przyjaźni, jaką masz z tą osobą, nadal bym to zrobił mniej swobodna wersja powyższego. Masz szczęście (przynajmniej na potrzeby tej rozmowy), że jesteś w USA: gdyby to była UE, mogłoby to (IANAL) zostać zinterpretowane jako naruszenie RODO.

W USA, jeśli narusza obietnice złożone klientom podczas zakładania konta, może to skutkować pozwem zbiorowym.Więc nawet jeśli OP chce zachować przyjaźń, prawdziwy przyjaciel _ by_ go ostrzec.
@WGroleau OP stwierdził, że jest to wewnętrzna strona detaliczna, tylko dla pracowników, więc nie jestem pewien, jak to się potrząśnie. Ale tak, zdecydowanie „koleś, to poważna” chwila.
Zapomniałem o tych szczegółach.Ale jeśli ma to charakter wewnętrzny, być może administratorzy _powinni_ monitorować_ oznaki nadużycia.A jeśli jest naprawdę wewnętrzna, może nie być żadnej polityki prywatności.
Domyślnie nie narusza to RODO.RODO stanowi, że należy zdefiniować plan, jakie dane są przechowywane i jak długo, sposób ich odzyskiwania i usuwania, kontrolę dostępu i plan określania, kto ma dostęp, a także ścieżki audytu w celu zweryfikowania, co się stało.To niekoniecznie narusza którekolwiek z nich.
@Sopuli dzięki za to.Nie zajmuję się danymi użytkowników, więc nie jest to moja specjalizacja.
mag
2019-10-22 12:29:41 UTC
view on stackexchange narkive permalink

Jaki byłby najlepszy sposób, aby sobie z tym poradzić?

Twoja odpowiedź zależy w dużej mierze od tego, w jakie kłopoty chcesz wpaść współpracownik.

Łagodnym wariantem jest napisanie mu silnie sformułowanego e-maila zgodnie z tym, co sugeruje odpowiedź Stephana, kluczowe elementy to:

  • To, co zrobił, nie jest w porządku.
  • Poważnie traktujesz naruszenia swojej prywatności
  • Poproś go, aby przestał
  • Poproś go o potwierdzenie przeczytania i potwierdzenia przez e-mail tego e-maila.

Zapisz kopie obu wiadomości e-mail na sprzęcie lub w pamięci masowej, która nie jest kontrolowana przez firmę. Jeśli Twój kolega nie chce lub nie odpowiada, lub jeśli nie czujesz się hojny, przejdź bezpośrednio do:

Skontaktuj się z HR. Opisz, co się stało. Zrób to na piśmie (najlepiej pocztą elektroniczną) i poproś o potwierdzenie, że widzieli Twój raport i go przetwarzają. Zapisz kopie raportu i wszelkich otrzymanych odpowiedzi w pamięci masowej, która nie jest kontrolowana przez firmę.

Może się to wydawać rażącą przesadą, ale jeśli w końcu pójdziesz do działu HR lub jeśli Twój kolega zareaguje negatywnie, realna i nieistotna szansa, że ​​może zostać z tego powodu zwolniony w trybie natychmiastowym lub złożyć skargę na ciebie w odwecie.

W każdym przypadku z takimi wynikami wysokich stawek, chcesz pokryć swoje bazy.

Możliwe, że zapisywanie firmowych wiadomości e-mail na nośnikach poza kontrolą firmy może naruszać zasady obowiązujące w miejscu pracy.Nawet wydrukowanie go i zabranie do domu może wpędzić go w kłopoty.
E-maile w pracy (nawet te usunięte) mogą być przechowywane przez firmę przez długi czas.To mało prawdopodobne, ale e-mail może wrócić i prześladować go kiedyś w przyszłości.Jako przyjaciele powinniście najpierw spróbować rozwiązać ten problem poza kanałami firmowymi.
SSight3
2019-10-22 23:13:50 UTC
view on stackexchange narkive permalink

Zapytaj, co się stało i dlaczego

Czytając przedstawione odpowiedzi, zauważam, że albo sugerują, by strzelać z pistoletów, albo się wycofywać. Zamiast tego sugerowałbym skorzystanie z tego jako okazji do zadawania pytań o to, jak działa system, a konkretnie czy wie, że to twoje zamówienie (np. 'Dlaczego podałeś mi kwotę X?'). Twoje zamówienie i wreszcie, jakie praktyki w zakresie prywatności mają, jeśli w ogóle, dotyczące danych osobowych klientów.

Nie jest niczym niezwykłym, że deweloper lub administrator widzi prywatne informacje w systemie. Systemy mogą być zaprojektowane tak, aby zasłaniały informacje (np. Wymaganie numeru referencyjnego w celu pobrania lub użycia szyfrowania). W przypadku problemu (takiego jak skarga klienta) informacje nadal muszą być, ze względów prawnych, możliwe do odzyskania.

Nie chodzi o to, że widzieli informacje, ale zdecydowali się skomentować, z sugestią, że mogli go szukać (jest równie prawdopodobne, że natknęli się na to, ponieważ jest to duży zakup).

Niezależnie od tego, czy wiedzą, że to Ty, czy nie, nadal stanowi to naruszenie prywatności: jeśli nie wiedziałem, że to Ty, próbowali skomentować „przypadkowy” zakup klienta, który jest nieprofesjonalny.

Porozmawiaj o tym ze swoim menedżerem

Jeśli uważasz, że to poważna sprawa, możesz porozmawiać o tym z ich przełożonym na osobności, w szczególności, że masz obawy, że sklep detaliczny nie ma wystarczających zabezpieczeń prywatności, i zaproponuj modyfikację oprogramowania, aby informacje o klientach były prywatne i miały zasady dotyczące prywatności

Jeśli uważasz, że zachowanie współpracownika było złośliwe, możesz również zgłosić swoje obawy też moment, chociaż fakt, że wysłali Ci wiadomość bezpośrednio sugeruje, że nie rozumieli, co robią, był zły.

Najpierw musisz zebrać informacje o incydencie, zanim zaczniesz go oskarżać lub przypuszczać, ponieważ pozwoli to zrozumieć rozumowanie współpracownika i otworzyć dialog w trakcie procesu. Pozwoli ci to również przedstawić drugą stronę, w tym wszelkie obalenia, podczas zgłaszania swoich wątpliwości menedżerowi.

yosh
2019-10-22 19:41:47 UTC
view on stackexchange narkive permalink

Jest to zdecydowanie naruszenie ochrony danych, naruszenie ustawy o ochronie danych i najprawdopodobniej nielegalne.

Na pewno rozmawiałbym z przełożonym w takiej sytuacji jak ta. Upewnij się, że zapisałeś wszystkie dowody; jeśli chcesz powiedzieć przełożonemu

Jeśli nie, porozmawiałbym z nim poza pracą. Powiedziałbym coś w rodzaju:

Wiem dokładnie, co zrobiłeś. Użyłeś dostępu administratora, aby wyświetlić moje prywatne zamówienie pracowników. Jeśli chcesz zachowywać się tak, jakby to była gra, bądź moim gościem, ale nie waham się mówić o tym przeciwko tobie. Jeśli chcesz iść tą trasą, nic nie pójdzie po twojej myśli. Mówię poważnie. Spróbuj jeszcze raz, a gwarantuję , że zostaniesz (zwolniony / ukarany itp.), Jeśli chcesz kontynuować, pójdę dalej .

Nie jestem prawnikiem.Mówisz o prawie brytyjskim?Post dotyczy USA.Czy odnosisz się do prawa USA?Dzięki!
Mówię o prawie brytyjskim, czy nie macie ustawy o ochronie danych?
Nie wiem, czy jakieś przepisy USA regulują tę sytuację, czy nie.Nikt jeszcze nie wspomniał o tym, co zauważyłem.
@yosh tak, ale nic, co by to obejmowało.Było to nieetyczne i prawdopodobnie skutkowałoby surową krytyką lub utratą pracy, ale prawdopodobnie nie jest nielegalne jako takie (IANAL).Mówiono o przyjęciu prawa podobnego do RODO, ale jeszcze nie jesteśmy.
OP nie chce, aby został ukarany.
Osobiście, jeśli nie chcesz, aby został ukarany, możesz porozmawiać z nim o zaistniałej sytuacji, nakreślić powagę i pomóc mu zrozumieć, co zrobił źle i że nie powinien robić tego ponownie.
PeteCon
2019-10-22 17:59:49 UTC
view on stackexchange narkive permalink

Nie ma potrzeby wdawania się w szczegóły dotyczące tej odpowiedzi. Wszystko, co musisz zrobić, to skontaktować się z zespołem bezpieczeństwa swojej firmy. Przeprowadzą badania kryminalistyczne, w jaki sposób ten kolega uzyskał informacje, i podejmą odpowiednie działania. Może zostać surowo upomniany lub może stracić pracę; w obu przypadkach to jego działania doprowadziły do ​​tego, a nie twoje.

To, co zrobił kolega, może być niezgodne z prawem lub nie, i może, ale nie musi, stanowić podstawy do wypowiedzenia.Ale fakt, że zrobił to kolega, wskazuje, że nie można mu powierzyć poufnych informacji.Kolega prawie na pewno wyszukał jednego ze swoich kolegów, co jest niewłaściwe: wykorzystał swój dostęp do danych firmy, aby szpiegować kolegę.Potem był tak podekscytowany tym, co znalazł, że musiał po prostu podzielić się wiedzą.To jest * dziko * niewłaściwe.Wymknął się spod kontroli, a to jeszcze nie koniec.Poszedłbym prosto do HR.
user25792
2019-10-22 22:26:41 UTC
view on stackexchange narkive permalink

Jak najlepiej sobie z tym poradzić?

Myślę, że pierwszą rzeczą, którą powinieneś zrobić, jest zebranie większej ilości informacji. Nie wiesz, kto włamał się i dlaczego.

Oto kilka alternatywnych scenariuszy:

  • Aplikacja internetowa uległa awarii i zamówienie musiało zostać przesłane ręcznie.
  • Serwer został ponownie uruchomiony i zamówienie wymagało ręcznego przesłania
  • Zakupy pracowników są procesem ręcznym, a zamówienie jest w rzeczywistości e-mailem, który otrzymuje cały dział
  • Ktoś inny widział Twój zakup i poinformował znajomego, który wysłał Ci ping.
  • HR musi zatwierdzić rabat, więc informacje zostały wyodrębnione i udostępnione kilku działom
  • Księgowość musi zatwierdzić rabat, więc informacje zostały wyodrębnione i współdzielone z kilkoma działami
  • Zamówienia z różnymi adresami wysyłkowymi i rozliczeniowymi wymagają zatwierdzenia przez człowieka, aby przejść do przodu
  • Zamówienia powyżej określonej kwoty wymagają zatwierdzenia przez człowieka, aby przejść do przodu

Prawdopodobnie istnieje pięć lub dziesięć powodów, dla których ktoś mógł natrafić na szczegóły zakupu w trakcie procesu biznesowego.

Gdy dowiesz się więcej, wtedy możesz nakreślić sposób działania.

Jednej rzeczy, której bym nie zrobił (na co wskazuje większość odpowiedzi), nie przechodź do ofensywy, mówiąc o naruszeniach danych i zaangażowaniu pracowników, dopóki nie dowiesz się więcej . Wyobraź sobie, jak bardzo połknąłbyś stopę, gdyby sprawy nie wyglądały tak, jak się spodziewasz.

Ponadto, ponieważ zamówienie zawiera dane firmy obsługiwane przez pracowników firmy, wątpię, że kwalifikuje się to jako naruszenie per se . Jeśli zaczniesz podnosić dzwonki alarmowe o naruszeniu danych, możesz służyć tylko do zdyskredytowania siebie.

yshavit
2019-10-23 13:09:18 UTC
view on stackexchange narkive permalink

Zajmuję ten kwadrant:

  1. Tak, to jest nieetyczne i jest to problem, ale niewielki.
  2. Powinieneś traktować to tak, jakby to był drobny problem (niezbyt duży)

Zakładając, że chcesz kontynuować przyjacielskie relacje z tą osobą, nie sugerowałbym, że zaangażujesz się w HR - - tak jak „proszę potwierdzić przeczytanie tego e-maila”. Gdybym dostał taki e-mail od kogoś, to albo byłbym zrozpaczony, że tak źle czytałem naszą przyjaźń (gdybym uważał tę osobę za dobrego przyjaciela), albo po prostu dokonałbym przełączenia mentalnego i traktowałbym tę osobę bardzo neutralnie i ściśle profesjonalnie teraz, bez żartów. Innymi słowy, gdyby ktoś wskazał, że będzie nawigował ze mną w kontaktach społecznych za pomocą oficjalnego protokołu biznesowego, to też bym go tak traktował.

A więc z tym wszystkim, co powiedziałem: jeśli to sprawi, że czujesz się nieswojo, po prostu powiedz im, że tak było. To nie musi być wielka sprawa: „hej, ten tekst trochę mnie zdziwił, fyi. Naprawdę uważam to za nieetyczne”. Mów wprost i potraktuj ten problem dokładnie tak, jak myślisz: nie mniej, ale też nie więcej.

To może mieć kilka skutków:

  1. Jest duża szansa, że ​​osoba po prostu przeprosi i to będzie koniec historii. Będzie mniej prawdopodobne, że zrobią to ponownie.
  2. Jeśli zapytają dlaczego, nie wymyśliłbym żadnych argumentów typu „a co gdybym używał wewnętrznej strony do kupowania dziwnych rzeczy osobistych. " Nie wspominałbym też, że może to sprawić im kłopoty. Po prostu powiedz im, dlaczego czujesz się nieswojo. Może to sprawia, że ​​czujesz się, jakbyś patrzył na wielkiego brata, może po prostu czujesz się jak wkraczanie w przestrzeń osobistą - znasz swoje powody lepiej niż ja. Osobiście rozważałbym nawet gapienie się komuś przez ramię, aby przeczytać e-mail, który piszą, jako naruszenie przestrzeni osobistej, a to coś więcej.
  3. Jeśli się odepchną, możesz cofnąć się ponownie lub powiedzieć, że nie chcesz zagłębiać się w to bardziej szczegółowo. Znów znasz swoje uczucia lepiej niż ja. Gdybym to był ja, powiedziałbym coś w stylu „Nie chcę się w to mieszać, to nie jest wielka sprawa. Po prostu poczułem się nieswojo i pomyślałem, że powinieneś wiedzieć. it. ”

Wygląda na to, że próbujesz zrobić coś podobnego do tej trzeciej opcji z tekstem odpowiedzi, ale szczerze mówiąc, brzmi to jak żartobliwa odpowiedź. Gdybym był Twoim kolegą, zinterpretowałbym to tak, jakbyś zgodził się, że żart był śmieszny i nie zmieniłbym swojego zachowania w przyszłości. W porządku jest być bezpośrednim, jeśli trzymasz się swoich pistoletów, jeśli chodzi o wiedzę, jak daleko chcesz eskalować sytuację, i nie pozwolić, aby to minęło.

Jako bonus, traktuj to jako przede wszystkim społeczne interakcja - nie oficjalna, zawodowa - łagodzi kwestię stażu pracy. Jeśli nie odwołujesz się do oficjalnej polityki, nie ma wątpliwości, czy masz uprawnienia lub jurysdykcję, aby się od niej odwołać. Po prostu mówisz osobie, jak czujesz się jej działaniem, i jest to całkowicie rozsądna rzecz dla rówieśników (lub naprawdę każdego).



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...