Domanda:
Il collega ha utilizzato l'accesso come amministratore per visualizzare il mio ordine da dipendente privato
8protons
2019-10-22 08:20:13 UTC
view on stackexchange narkive permalink

Un mio collega in un altro reparto è uno sviluppatore per un sito di vendita al dettaglio interno scontato riservato ai dipendenti all'interno della nostra azienda. Oggi ho fatto un acquisto piuttosto consistente su quel sito prima di uscire dall'ufficio. Dieci minuti dopo, ricevo un suo messaggio

Ehi, alcune persone sono un po 'pazze. Spendono quasi $ X dollari su [nome sito] tutto in una volta!

dove l'importo a cui si riferiva è esattamente quello che avevo speso. Ora, so che intendeva il testo stesso come uno scherzo, ma sono rimasto immediatamente scioccato da questo perché sembrava un'enorme violazione della mia privacy. A quanto mi risulta, non è che gli sviluppatori del suo team ricevano e-mail per ogni fattura - dove potrebbe aver visto il mio nome scivolare nell'oggetto dell'e-mail o qualcosa del genere, ma hanno un account amministratore (e accesso al database). Ero ancora più diffidente del fatto che sapesse che avevo effettuato un ordine entro 10 minuti quando so che il sito riceve migliaia di traffico. Ho risposto al suo messaggio, " Sì, grave violazione della privacy, voi ragazzi avete eh " e lui ha risposto semplicemente " lol ".

As io stesso uno sviluppatore, sento che questo è estremamente immorale ma non sono sicuro di stare esagerando. Abbiamo formato un'amicizia al di fuori dell'ufficio (entrambi sono qui da circa gli stessi cinque mesi) e trovo che sia un gran lavoratore, uno sviluppatore di talento e un individuo benevolo. Quindi il mio pregiudizio in tal senso potrebbe essere la motivazione del fatto che non voglio vederlo licenziato, ma immagino che portarlo al suo supervisore potrebbe comportare il licenziamento. Inoltre non so se sono nella posizione di parlargli di questo dato che non sono il suo più anziano (tranne che per l'età di un paio d'anni). Per il contesto, se è importante, ha circa venticinque anni.

Quale sarebbe il modo migliore per gestirlo?

Amicizia?È interessato a te romanticamente?Ha una sceneggiatura che lo avvisa specificamente quando effettui un acquisto?
@StephanBranczyk Non credo di appartenere al suo orientamento sessuale e lui ha una relazione.Per quanto riguarda la sceneggiatura ... sì, è proprio quello che mi chiedo.Gli ho chiesto come faceva a saperlo e lui non ha risposto;lo ignorò e cambiò argomento.
Si riferiva specificamente al fatto che questo ordine fosse tuo, o c'è qualche possibilità che effettivamente (anche se ancora non professionale) avesse semplicemente visto un enorme ordine sul sito e abbia pensato che fosse divertente che qualcuno avrebbe speso $ x?(Cioè, hai qualche motivo per credere che l'altro sviluppatore sapesse che eri tu - a parte il fatto che ti hanno mandato un messaggio? Ad esempio, il database per tua conoscenza contiene i dettagli del cliente in testo normale, in un modo facile da trovare).Non lo rende sbagliato, ma cambia un bel po 'la dinamica.
"Alcune persone" e "loro" potrebbero dedurre che non sapeva necessariamente che era l'OP.Se l'OP rivela tali informazioni, significa offrire una violazione ancora più ampia della privacy.
Sai com'è il back-end / pannello di controllo del negozio?Ho lavorato su varie piattaforme di e-commerce come sviluppatore e alcune di esse mostrano un elenco degli ordini più recenti non appena effettui l'accesso. Forse il tuo collega ha effettuato l'accesso al pannello di controllo e il tuo nome si trovava semplicemente nelin cima alla lista.(Ciò è particolarmente probabile poiché hai ricevuto il testo così presto dopo aver effettuato l'ordine).
Quale sarebbe il tuo obiettivo finale?Questo è un dettaglio necessario per rispondere alla domanda.
Sai quanto di un "ordine piuttosto grande" hai effettuato?Per esempio.se è il più alto finora, o un valore anomalo totale per qualche altro motivo ... può realisticamente essere stato attivato da qualche ragionevole script di sicurezza, un doppio controllo degli acquisti?Come la tua banca che ti contatta in caso di improvviso acquisto all'estero senza biglietti aerei per lo stesso luogo.
Undici risposte:
James
2019-10-22 16:38:35 UTC
view on stackexchange narkive permalink

Vado controcorrente qui. Probabilmente mi sbaglio sulla base di tutte le altre risposte e non vedo l'ora di imparare qualcosa dai tuoi commenti. Anch'io sono negli Stati Uniti.

Penso che questo non sia un grosso problema e non dovresti respingere.

Il tuo collega è uno sviluppatore per il sito di vendita al dettaglio. Potrebbe facilmente monitorare le transazioni e tu sei saltato fuori come un nome familiare. Per quanto ne sappiamo, non ha in qualche modo catturato le tue informazioni sensibili: SSN, CC #, ecc. Non ci sono indicazioni che i tuoi acquisti fossero di natura sensibile: farmaci, indumenti intimi, ecc.

Per me, questo non è diverso da un collega cassiere in un negozio di alimentari che sorride e dice "Wow, $ 60 su bistecche tutto in una volta!"

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/100166/discussion-on-answer-by-james-colleague-used-admin-access-to-view-my-private-emp).
Questa è la risposta che fornirei quindi lascerò solo un +1.Avevo già svolto mansioni lavorative in cui vedevo informazioni in cui potevano presentarsi i colleghi. Ho sempre considerato ** insensibile ** isolare qualcuno, ma ho avuto molti colleghi che escludono gli amici e non lo fanno.Non lo considero un grosso problema.
È importante notare qui che l'OP non ha idea di come le informazioni siano state effettivamente ottenute.Altre risposte presumono che questo fosse nefasto e sostengono di cercare di far disciplinare o licenziare l'altro sviluppatore.Questa è l'unica risposta valida con le informazioni fornite.Vorrei anche aggiungere a questa risposta che se OP cerca di far licenziare qualcuno per questo potrebbe (e secondo me dovrebbe) riflettere male su OP.
@JoeS: Tuttavia, i dati raccolti digitali devono essere utilizzati solo per lo scopo per cui sono stati raccolti.Usarlo per qualsiasi altra cosa è ancora una volta una violazione della privacy.Quindi, in effetti, le informazioni fornite da OP stanno già chiarendo che si tratta di una violazione della privacy, dal momento che il caso d'uso per il sito di vendita al dettaglio non è sicuramente: "Così gli sviluppatori possono scherzarci sopra con gli altri sviluppatori che utilizzano la vendita al dettaglio".
@NathanGoings Una volta ho lavorato in una banca e mi è stato chiesto di ottimizzare una query.E sorprendentemente, la prima pagina dei risultati conteneva le informazioni sui mutui del nostro CEO.Ora, era abbastanza ovvio che in questo caso, scherzare su come le persone spendono $ X.00.000 per una casa sarebbe stato altamente inappropriato, e mi sono trattenuto persino dal memorizzare X.
Arthur Hv
2019-10-22 11:30:59 UTC
view on stackexchange narkive permalink

Io stesso sviluppatore di backend, mi dispiace che non sia raro che sviluppatori che hanno accesso amministrativo a un database siano testimoni della presenza di informazioni private. È anche probabile che, poiché il sito di vendita al dettaglio è interno, l'azienda aveva / ha standard di sicurezza e privacy inferiori.

È possibile che questo sviluppatore ti abbia messo in un corso di debug di qualcosa e volesse solo condividere perché pensava che fosse divertente, non puoi essere certo che abbia violato la tua privacy in modo deliberato. Forse anche, non capisce quanto siano privati ​​questi dati. Alcuni vantaggi del dubbio dovrebbero essere evidenti sui tuoi scambi, ma puoi decisamente insistere sul fatto che ti senti a disagio per il problema.

Mi sento a disagio per il fatto che i nostri acquisti siano chiari. Dovrebbero essere dati anonimi, non credi?

E guarda dove sta andando. È probabile che l'implementazione della funzione di anonimizzazione venga rifiutata dal tuo collega o anche dalla sua direzione. Sollevare il punto rende decisamente chiaro che la tua opinione è che questi dati dovrebbero essere privati ​​per tutti, evitando tuttavia le insidie ​​di un'accusa troppo dura nei confronti del tuo collega.

Una volta ero in una posizione in cui avrei sentito inevitabilmente informazioni riservate.La regola era molto semplice: non ti è permesso agire in base a tali informazioni in alcun modo.Ha agito in base a queste informazioni, il che le rende una grave violazione della privacy.Il collega _deve_ interrompere questo comportamento, o dovrebbe essere assolutamente licenziato se non riesce a impararlo.
@gnasher729 Trovo la mia risposta un po 'morbida dopo averla riletta, ma OTOH ha stretto amicizia con OP e non ha condiviso con nessuno che non avesse le informazioni in primo luogo.E non puoi essere sicuro che sia stato avvertito abbastanza sulla privacy in primo luogo.Forse troppa opinione per fornire una linea di condotta accurata.
Penso che il mio punto fosse che le informazioni sono ancora private se chiunque possa accedervi sa che non devono agire su di esse in alcun modo in nessuna circostanza.
Anche in questo caso è anche possibile che la sicurezza sia effettivamente elevata, e il collega lo sapeva perché gli ordini del personale sono intenzionalmente monitorati, per test, rilevamento di frodi ecc.
@NeilSlater In quel caso (la sicurezza è alta) trasmettere informazioni su un importo specifico di acquisto a una terza persona è sicuramente una grave violazione delle informazioni che molto probabilmente verrà rimproverata se verrà alla luce.Anche negli Stati Uniti.
@Fildor: Sì, ci sono anche altre possibilità.Ho lavorato in una società di e-commerce dove gli ordini di prova utilizzando carte di credito fittizie erano una pratica comune dopo il rilancio della produzione.Questi ordini sono stati monitorati e annullati da un team diverso in fabbrica (per evitare di produrre effettivamente le merci), quindi non un problema di sicurezza diretto, ma qualcos'altro.Ci sono una vasta gamma di ragioni per cui il collega del PO potrebbe aver visto l'ordine.Il commento scherzoso che dimostra che l'hanno visto sembra fuori posto per la maggior parte di questi motivi, ma le ipotesi su * come * l'hanno visto nelle risposte dovrebbero essere evitate.
@NeilSlater era d'accordo su questo.
gnasher729
2019-10-22 13:17:56 UTC
view on stackexchange narkive permalink

Se gli parli fuori dal lavoro, puoi farlo e dirgli alcune cose.

  1. Ciò che ha fatto è stata una grave violazione della privacy.
  2. Nella sua posizione, può essere licenziato per violazione della privacy.
  3. Se l'azienda viene scoperta a non rispettare la privacy delle persone, può diventare costoso.
  4. Non ti stai lamentando con le Risorse umane questa volta e solo questa volta.
  5. Se senti di altri casi, ti lamenterai.
  6. Questo non deve mai più accadere.
  7. Questo non è un gioco. Questo è serio.
  8. Hai capito?
si è effettivamente verificata una violazione della privacy qui?Lo sviluppatore ha accesso ai dati come parte del proprio lavoro.Lo sviluppatore ha comunicato all'OP solo i propri dati.Quindi la privacy sembra essere stata preservata.
A seconda di come sono state ottenute le informazioni, il collega che le cerca è una violazione della privacy, non la sua condivisione delle informazioni con altri.
@AaronF Sì, è una violazione, IMO.La violazione non è stata * vedere * qualcosa che lo sviluppatore è legalmente autorizzato a vedere.Era la * comunicazione * di ciò che è stato visto, soprattutto perché * nessuna * e-mail sono messaggi intrinsecamente privati.Lavorando in un ambiente con classificazioni e autorizzazioni di sicurezza formali, * vedo * cose quasi ogni giorno che non menzionerei mai in un'email non sicura.
Sì, @AaronF, ** è ** una violazione dei dati, ed è spaventoso e triste che tu non lo capisca da solo.Quella "persona X" è venuta dalle informazioni che non avrebbe dovuto avere: come faceva a sapere dell'acquisto da parte dell'OP di * tutti * i dati che supervisiona.Ha poi ** usato ** i dati in modo inappropriato, qualcuno potrebbe dire anche minaccioso, e infine, non solo non si è preso alcuna responsabilità per questo ... lo trova divertente!In che modo questa si qualifica come una * possibile * violazione nella tua mente invece di un'infrazione rovente?
"Lo sviluppatore ha accesso ai dati come parte del suo lavoro". È comune avere le autorizzazioni di sviluppatore ma non essere in grado di accedere ai dati dei clienti.Ad esempio, gli sviluppatori di Gmail non possono leggere il Gmail di nessuno.Anche avere accesso e "curiosare per motivi personali" sono cose molto diverse.
@alephzero l'OP dice "testo".Non è chiaro a quale forma di comunicazione si riferisca (SMS, e-mail aziendale, sistema di messaggistica aziendale, e-mail di terze parti, sistema di messaggistica di terze parti, ecc.).Sì, potrebbe essere una violazione dei dati riservati, a seconda del metodo di comunicazione, ma non sono sicuro che si tratti di una violazione della privacy, in particolare.
@O.F.easynow!Stai saltando alle conclusioni e ti stai innervosendo su questo.Ho fatto una domanda semplice, perché _non_ di certo è chiara.L'OP ha ricevuto un messaggio che conteneva un numero che era lo stesso numero del prezzo totale del loro recente ordine.Questo di per sé non sembra costituire una violazione della privacy.Né è una violazione della riservatezza.(Tu dici "violazione dei dati". Che cos'è esattamente una violazione dei dati?) Una violazione, per definizione, è l'atto di infrangere una legge o un accordo.Non sappiamo quali accordi abbia firmato lo sviluppatore in questione.Quali leggi sono state violate?
@RJFalconer è comune se lavori per Google o Microsoft su un grande servizio pubblico come G Suite, Hotmail, Office365, ecc. È meno comune, almeno nella mia esperienza, se lavori in Any Old Company sul loro interno Non pubblico-Sistema di rivestimento.Nelle aziende più piccole che lavorano su sistemi solo interni, è normale che gli sviluppatori accedano a tutti i dati, che siano necessari o meno.(Nota per O.F .: solo perché sto dicendo che questa cosa accade, non costituisce una dichiarazione di accordo o disaccordo da parte mia)
Sì, aggiungi un "hai capito?"alla fine, come se fossero un cane a cui viene detto di non pisciare sul tappeto venti volte di seguito.Puoi dire la stessa cosa in molti modi, sento che alcune delle risposte riproducono semplicemente alcune fantasie di potere dell'ufficio qui.OP ha detto che l'altra persona è benevola e sviluppa un'amicizia.Se sono tuo amico, puoi dirmi che ho commesso un errore e una volta che lo vedrò chiederò scusa e migliorerò me stesso.Tuttavia, con questo breve discorso proprio lì possiamo essere colleghi professionisti, ma a parte questo, sei da solo.Il contesto è sempre importante.
Vicino, non del tutto.# 1: questa è una violazione delle tue aspettative sulla privacy.# 2: Nella sua posizione, può essere licenziato per violazione delle politiche sulla privacy.Ma ha violato le politiche o il cliente aveva ipotesi inesatte su quali fossero le politiche?Se sono state fatte ipotesi imprecise, il punto n. 1 potrebbe non corrispondere al punto n. 2 tanto quanto indica questa risposta.@alephzero: Se il sistema di ordinazione invia un'e-mail, lo sviluppatore potrebbe ragionevolmente non vederlo inviare una seconda e-mail come un'ulteriore riduzione della privacy.
@8protons Non so se le dimensioni dell'azienda fanno davvero la differenza.Ho amici che hanno lavorato in Microsoft, Google e Facebook e ho sentito alcune storie che mi fanno pensare che non c'è differenza tra il personale delle grandi aziende e quello delle piccole.Ottieni gli stessi tipi generali di persone ovunque.Penso che la cosa fondamentale nella tua situazione sia il commento che hai lasciato in chat, che ha fatto sembrare che tu fossi meno infastidito dal fatto che lo sviluppatore possa _ vedere_ il tuo ordine e più infastidito dal fatto che abbia agito in base alle informazioni inviandoti un messaggio.Penso che lo sviluppatore in ... [tbc]
[cont] ... la tua domanda è un cattivo giudice del carattere.Sembra che abbiano pensato che quello che hanno fatto fosse divertente e che lo avresti trovato anche divertente.Non hai visto il lato divertente.Al contrario, in effetti.Per questo motivo penso che [la risposta di Stephan] (https://workplace.stackexchange.com/a/146834/70164) sia probabilmente la più appropriata per te, personalmente, anche se personalmente non sono d'accordo.Persone diverse hanno atteggiamenti diversi nei confronti del lavoro, né giusti né sbagliati, e questi atteggiamenti possono anche cambiare nel tempo.(Invecchiando il mio atteggiamento verso questo genere di cose è diventato più morbido)
Stephan Branczyk
2019-10-22 08:40:37 UTC
view on stackexchange narkive permalink

Gli invierei questa email utilizzando il tuo indirizzo email aziendale:

Se hai uno script che ti informa degli acquisti di altri dipendenti, non va bene. E anche se non hai uno script del genere, o se il tuo script era a scopo di debug, il tuo messaggio non era comunque appropriato in entrambi i casi.

Capisci cosa sto dicendo? Per favore rispondi per farmi sapere che hai capito.

Ovviamente, usa parole tue.

Se continua a ignorare la tua preoccupazione o non riconosce il fatto di aver commesso un errore, minaccia di portarlo alle risorse umane o al suo supervisore.

Questo deve essere stroncato subito sul nascere. Capisco che sia tuo amico, ma se non capisce il limite che ha superato, lo attraverserà con qualcun altro che non sarà così comprensivo.

Ricorda quel dipendente di Google che è stato licenziato per violazione della privacy. Sono sicuro che avrebbe desiderato che un collega gli avesse dato un po 'di buon senso prima di perdere il lavoro.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/100165/discussion-on-answer-by-stephan-branczyk-colleague-used-admin-access-to-view-my).
Jared Smith
2019-10-22 19:51:51 UTC
view on stackexchange narkive permalink

Suggerirò una linea di condotta basata sulle informazioni che tu e l'altro sviluppatore avete stretto amicizia e parlate fuori dal lavoro.

Parla con lo sviluppatore, di persona o tramite telefonata, fuori dal lavoro, su questo. Non utilizzare testi, social media e sicuramente nessun canale ufficiale come work slack o email. Non lasciare tracce cartacee che suggeriscano di conoscere la violazione oltre a ciò che già esiste.

Quando hai la conversazione, dovrebbe essere qualcosa del genere:

Guarda, lo sai I non mi interessa davvero (anche se lo fai ), ma potresti perdere il lavoro per questo. Qualche drone delle risorse umane privo di umorismo darebbe un'occhiata a questo e non si renderà conto o non si preoccuperebbe che potrebbe essere stata una coincidenza completa che ti è capitato di guardare il traffico quando ho effettuato l'acquisto e che tu ed io siamo amici. Potrei anche finire nei guai forse a questo punto perché ora so che stai violando la privacy e ti sto facendo il solido per non segnalarlo. Non va bene. Non sto cercando di essere un omicida, ma per favore sii un po 'più discreto in futuro.

Se ho letto male il livello di amicizia che hai con questa persona, allora lo farei comunque una versione meno casuale di quanto sopra. Sei fortunato (almeno ai fini di questa conversazione) ad essere negli Stati Uniti: se fosse l'UE potrebbe essere (IANAL) interpretata come una violazione del GDPR.

Negli Stati Uniti, se viola le promesse fatte ai clienti quando creano un account, potrebbe portare a un'azione legale collettiva.Quindi, anche se OP vuole mantenere l'amicizia, un vero amico _ lo avvertirà.
@WGroleau OP ha dichiarato che si trattava di un sito di vendita al dettaglio interno, solo per i dipendenti, quindi non sono sicuro di come si risolverà. Ma sì, sicuramente un momento del tipo "amico, questo è serio".
Ho dimenticato quei dettagli.Ma se è interno, forse _si suppone_ che gli amministratori stiano monitorando, per rilevare eventuali segni di abuso.E se è veramente interno, potrebbe non esserci alcuna politica sulla privacy.
Questo non viola il GDPR per impostazione predefinita.Il GDPR afferma che dovrebbe essere definito un piano su quali dati vengono archiviati e per quanto tempo, il modo per recuperarli ed eliminarli, il controllo degli accessi e il piano per definire chi ha accesso e audit trail per verificare cosa è successo.Questo non viola necessariamente nessuno di questi.
@Sopuli grazie per questo.Non mi occupo dei dati degli utenti, quindi non è proprio la mia area di competenza.
mag
2019-10-22 12:29:41 UTC
view on stackexchange narkive permalink

Quale sarebbe il modo migliore per gestirlo?

La tua risposta a questo dipende in gran parte da quanti guai vuoi che il tuo collega si metta.

La variante lieve è scrivergli un'e-mail con parole forti sulla falsariga di ciò che suggerisce la risposta di Stephan, i componenti chiave sono:

  • Quello che ha fatto non va bene.
  • Prendi sul serio le violazioni della tua privacy
  • Chiedigli di interrompere
  • Chiedigli di confermare di aver letto e accettato questa email, via email.

Salvare copie di entrambe le e-mail su apparecchiature o archivi non controllati dall'azienda. Se il tuo collega non vuole o non risponde, o se non ti senti generoso, procedi direttamente a:

Contatta le risorse umane. Spiega cosa è successo. Fallo per iscritto (è meglio per e-mail) e chiedi conferma che hanno visto il tuo rapporto e lo stanno elaborando. Salva copie del rapporto e delle risposte ottenute in uno spazio di archiviazione non controllato dall'azienda.

Può sembrare eccessivo, ma se finisci per andare alle risorse umane o se il tuo collega reagisce negativamente, c'è una possibilità reale e non trascurabile che possa essere licenziato sommariamente per questo o presentare un reclamo su di te per rappresaglia.

In tutti i casi con esiti alti come questi, vuoi coprire le tue basi.

È possibile che il salvataggio delle e-mail aziendali su supporti esterni al controllo dell'azienda possa violare le politiche sul posto di lavoro.Anche solo stamparlo e portarlo a casa potrebbe metterlo nei guai.
Le e-mail al lavoro (anche quelle cancellate) potrebbero essere conservate dall'azienda per molto tempo.È improbabile, ma un'e-mail potrebbe tornare a perseguitarlo in futuro.Come amici, dovreste prima provare a risolvere il problema al di fuori dei canali aziendali.
SSight3
2019-10-22 23:13:50 UTC
view on stackexchange narkive permalink

Mi chiedo cosa sia successo e perché

Leggendo le risposte presentate, noto che suggeriscono di andare a sparare o di fare marcia indietro. Suggerirei invece di utilizzarlo come un'opportunità per porre domande su come viene eseguito il sistema, e in particolare se sa che è il tuo ordine (ad esempio, 'perché mi hai menzionato l'importo X?'), Se lo fa, perché sa che è il tuo ordine e, infine, le eventuali pratiche sulla privacy che hanno in merito alle informazioni personali dei clienti.

Non è insolito per uno sviluppatore o un amministratore vedere informazioni private all'interno di un sistema. I sistemi possono essere progettati per oscurare le informazioni (ad es. Che richiedono un numero di riferimento per recuperare o utilizzare la crittografia). In caso di problemi (come il reclamo del cliente), le informazioni devono comunque essere, per motivi legali, recuperabili.

Non tanto hanno visto le informazioni, ma hanno deciso di commentare, con le implicazioni che potrebbero averlo cercato (è altrettanto probabile che possano essersi imbattuti in esso perché è un grosso acquisto).

Che sappiano che sei tu o no, è comunque una violazione della privacy: se loro non sapevano che fossi tu, hanno provato a commentare l'acquisto di un cliente "casuale", il che non è professionale.

Solleva la questione con il loro manager

Se ritieni che sia una questione seria, potresti parlarne con il loro manager in privato, in particolare se hai dubbi che il negozio al dettaglio non abbia sufficienti garanzie sulla privacy e proponi che il software venga modificato per aiutare a mantenere le informazioni del cliente private e avere regole sulla privacy implementato.

Se ritieni che il comportamento del collega sia stato dannoso, potresti anche sollevare le tue preoccupazioni al riguardo in questo frangente, anche se il fatto che ti abbiano mandato un messaggio direttamente suggerisce che non hanno capito che cosa stavano facendo era sbagliato.

Ti consigliamo di raccogliere informazioni sull'incidente prima di iniziare ad accusare o presumere, poiché ti consentirà sia di comprendere il ragionamento del tuo collega sia di aprire un dialogo nel processo. Ti consentirà inoltre di presentare l'altra parte, comprese eventuali confutazioni, quando sollevi le tue preoccupazioni con il manager.

yosh
2019-10-22 19:41:47 UTC
view on stackexchange narkive permalink

Si tratta sicuramente di una violazione dei dati, che viola la legge sulla protezione dei dati e molto probabilmente illegale.

Parlerei sicuramente con un superiore in una data situazione come questa. Assicurati di registrare tutte le prove; se vuoi parlarne con un superiore

In caso contrario, parlerei con lui fuori dal lavoro. Direi qualcosa sulla falsariga di:

So esattamente cosa hai fatto. Hai utilizzato l'accesso come amministratore per visualizzare il mio ordine del dipendente privato . Se vuoi comportarti come se questo fosse un gioco, sii mio ospite ma non esito a parlarne contro di te. Se vuoi seguire quella strada, le cose non andranno come vuoi. Sono serio. Riprova e ti garantirò che sarai (licenziato / punito ecc.). Se vuoi continuare, porterò le cose oltre .

Non sono un avvocato.Stai parlando delle leggi del Regno Unito?Il posto coinvolge gli Stati Uniti.Ti riferisci alle leggi USA?Grazie!
Sto parlando delle leggi del Regno Unito, non avete una legge sulla protezione dei dati?
Non so se le leggi statunitensi governano questa situazione o meno.Nessuno ha ancora menzionato nessuno che abbia notato.
@yosh sì, ma niente che possa coprire questo.Non era etico e probabilmente avrebbe comportato una severa censura o la perdita di posti di lavoro, ma probabilmente non era illegale di per sé (IANAL).Si è parlato di adottare una legge simile al GDPR, ma ancora non ci siamo.
OP non vuole che venga punito.
Personalmente, se non vuoi che venga punito, puoi parlargli della situazione, delineare la serietà e aiutarlo a capire quello che ha fatto è stato sbagliato e che non dovrebbe farlo di nuovo come tale.
PeteCon
2019-10-22 17:59:49 UTC
view on stackexchange narkive permalink

Non è necessario entrare nei dettagli su questa risposta. Tutto quello che devi fare è contattare il team di sicurezza della tua azienda. Faranno le analisi forensi su come questo collega ha ottenuto le informazioni e intraprenderà le azioni appropriate. Potrebbe essere sgridato o perdere il lavoro; in entrambi i casi, sono le sue azioni che hanno portato a questo, non le tue.

Ciò che il collega ha fatto può o non può essere illegale e può o non può essere motivo di licenziamento.Ma il fatto che il collega l'abbia fatto indica che non ci si può fidare del collega con informazioni riservate.Il collega ha quasi sicuramente fatto una ricerca su uno dei suoi colleghi, il che non è appropriato: ha utilizzato il suo accesso ai dati aziendali per spiare un collega.Poi era così eccitato da ciò che aveva scoperto che doveva solo condividere la conoscenza.Questo è * selvaggiamente * inappropriato.È fuori controllo, e questo non è l'ultimo.Andrei direttamente alle risorse umane.
user25792
2019-10-22 22:26:41 UTC
view on stackexchange narkive permalink

Quale sarebbe il modo migliore per gestirlo?

Penso che la prima cosa da fare sia raccogliere più informazioni. Non sai chi ha violato e perché.

Ecco alcuni scenari alternativi:

  • La webapp si è arrestata in modo anomalo e l'ordine doveva essere inviato manualmente
  • Il server è stato riavviato e l'ordine doveva essere inviato manualmente
  • Gli acquisti dei dipendenti sono un processo manuale e l'ordine è in realtà un'e-mail che l'intero dipartimento riceve
  • Qualcun altro ha visto il tuo acquisto e ha detto al tuo amico che ti ha inviato un ping
  • Le risorse umane devono approvare lo sconto, quindi le informazioni sono state estratte e condivise con diversi reparti
  • La contabilità deve approvare lo sconto, quindi le informazioni sono state estratte e condiviso con diversi reparti
  • Gli ordini con diversi indirizzi di spedizione e fatturazione richiedono l'approvazione umana per andare avanti
  • Gli ordini superiori a un certo importo richiedono l'approvazione umana per andare avanti

Probabilmente ci sono altri cinque o dieci motivi per cui qualcuno potrebbe essere venuto a conoscenza dei dettagli dell'acquisto durante il corso del processo aziendale.

Dopo aver imparato di più, quindi puoi tracciare una linea d'azione.

Una cosa che non farei (che la maggior parte delle risposte sembra indicare), non andare all'offensiva parlando di violazioni dei dati e coinvolgimento delle risorse umane finché non impari di più . Immagina di quanto ingoieresti il ​​tuo piede se le cose non andassero come ti aspetti.

Inoltre, poiché l'ordine è dati aziendali gestiti da dipendenti dell'azienda, dubito che si qualifichi come una violazione di per sé . Se inizi a lanciare campanelli di allarme per violazione dei dati, puoi solo servire a screditarti.

yshavit
2019-10-23 13:09:18 UTC
view on stackexchange narkive permalink

Occupo questo quadrante:

  1. Sì, questo non è etico e rappresenta un problema, ma minore.
  2. Dovresti trattarlo come se fosse un problema minore (non grande)

Supponendo che tu voglia continuare un rapporto amichevole con questa persona, non implicherei che coinvolgerai le risorse umane - - come "conferma di aver letto questa email". Se ricevessi un'email del genere da qualcuno, sarei sconvolto dal fatto di aver letto così male la nostra amicizia (se considerassi la persona un buon amico), oppure farei semplicemente il cambio mentale e tratterei questa persona in modo molto neutrale e strettamente professionale da ora avanti, senza scherzare. In altre parole, se qualcuno indicasse che gestirà le interazioni sociali con me attraverso il protocollo aziendale ufficiale, è così che lo tratterò anch'io.

Quindi, con tutto ciò che è stato detto: se sei a disagio, digli solo che lo ha fatto. Non deve essere un grosso problema: "ehi, quel testo mi ha un po 'stranito, per esempio. Lo trovo davvero immorale". Sii diretto e tratta questo problema esattamente come pensi che sia: niente di meno, ma nemmeno di più.

Ciò potrebbe avere alcuni risultati:

  1. Ci sono buone probabilità che la persona chieda scusa e quella sarà la fine della storia. Sarà meno probabile che lo facciano di nuovo.
  2. Se mi chiedessero perché, non inventerei argomenti da uomo di paglia come "e se avessi usato il sito interno per comprare cose personali strane. " Inoltre non menzionerei che potrebbe metterli nei guai. Dì loro perché ti ha messo a disagio. Forse ti fa sentire come se il fratello maggiore ti stesse guardando, forse ti sembra solo un'invasione nello spazio personale - conosci le tue ragioni meglio di me. Personalmente, considererei anche solo guardare alle spalle di qualcuno per leggere un'e-mail che sta scrivendo come un'invasione dello spazio personale, e questo è più di questo.
  3. Se respingono, puoi respingere di nuovo o dire che non vuoi approfondire l'argomento. Di nuovo, conosci i tuoi sentimenti meglio di me. Se fossi stato io, direi qualcosa come "Non voglio davvero entrare, non è un affare enorme . Mi ha solo messo a disagio e ho pensato che dovresti saperlo. Lasciamo perdere it. "

Sembra che tu abbia provato a fare qualcosa sulla falsariga di quella terza opzione con il tuo testo di risposta, ma ad essere onesti, mi sembra una risposta scherzosa. Se fossi un tuo collega, lo interpreterei come se fossi d'accordo sul fatto che lo scherzo fosse divertente e non cambierei il mio comportamento in futuro. Va bene essere diretti, se ti attieni alle tue armi in termini di sapere fino a che punto vuoi intensificare la situazione e non lasciare che vada oltre.

Come bonus, trattando questo come principalmente social l'interazione - non ufficiale, professionale - mitiga la tua questione di anzianità. Se non stai facendo appello alla politica ufficiale, non c'è dubbio se hai l'autorità o la giurisdizione per fare appello ad essa. Stai solo dicendo a una persona come ti hanno fatto sentire le sue azioni, e questa è una cosa perfettamente ragionevole da fare per i colleghi (o chiunque).



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...