web-dev-qa-db-fra.com

L'employeur stocke des données personnelles en texte brut dans un «entrepôt de données»

Je ne sais pas si j'ai posté cela dans la bonne communauté, mais l'organisation pour laquelle je travaille actuellement utilise actuellement un `` entrepôt de données '' SQL qui contient un groupe de tables provenant de diverses sources, à diverses fins. Cet entrepôt de données (pour autant que je sache) a deux ou trois environnements; Dev, QA et Production.

J'ai récemment obtenu l'accès au serveur SQL de l'entrepôt de données de développement pour un projet de développement logiciel sur lequel je travaille.

J'ai dû demander la permission d'accéder à ce serveur d'entrepôt de données. Je n'ai accès qu'au serveur de développement et alors que je parcourais les tableaux pour trouver celui requis pour mon projet, je suis tombé sur ceux qui contiennent des données sensibles. Curieux, j'ai exécuté une simple requête `` SELECT TOP 1000 ROWS '' et elle est revenue avec les données sensibles des employés de 2012-2013, en texte clair (y compris les numéros d'assurance nationale, les détails sur les proches parents, les détails de qualification, les adresses, les numéros de téléphone, immatriculations de voitures, etc.).

Ce serveur de développement est accessible par un certain nombre de développeurs au sein de mon organisation (y compris moi-même) pour divers projets.

1) Je ne pense pas que ces données devraient être stockées dans l'environnement de développement (je pense que tout a été copié à partir du serveur de production à un moment donné).

2) Je ne pense pas que ces détails devraient être stockés en texte brut pour que quiconque puisse les voir via une simple requête SQL.

3) Je ne pense pas que moi-même et les autres développeurs de l'organisation devraient avoir un accès gratuit à ces tables.

Je suis assez certain que mon employeur n'est pas au courant de cela et stocke en fait toutes ces informations en texte brut, dans l'environnement de production. Je pense également que cela viole une sorte de vie privée ou de loi GDPR.

J'en ai parlé à mon manager, mais ils semblent passer outre et ignorer le problème/ne pas vouloir s'impliquer.

Comment puis-je signaler cela sans avoir moi-même d'ennuis pour afficher ces tableaux? Et à qui dois-je faire rapport?

9
nopassport1

Lorsque votre organisation est soumise au RGPD, elle doit avoir un délégué à la protection des données . Cette personne est chargée de veiller à ce que les lois sur la protection des données soient appliquées au sein de l'organisation.

Ce devrait être le premier endroit où faire rapport.

9
Philipp