根据英国数据保护法，谁有责任确保数据安全地传送到数据处理器？

Question

前言:我正在被一家公司的推荐信检查。这家公司要求我通过电子邮件发送我的个人信息(如NI号码)(不安全；未加密:大不-否)。(为了避免这个问题，我联系了公司，我们想出了一个不同的方法)。

我知道数据保护法案要求数据安全。但谁的工作是确保它安全到达那里？尤其是他们要求提供信息，但我有责任发送？如果数据被截获，是谁的错？

数据是我的责任，直到它到达他们的系统(我认为是？)，还是他们有责任确保数据以安全的方式传输？

据我所知，如果我是一家公司，以这种方式发送别人的详细信息，我将承担责任。但如果我是一家通过HTTP获取银行细节的公司，那也是我的责任，而不是客户的责任，对吗？

简短的版本:如果有人问我的信息，他们必须确保它是安全地发送给他们，还是我？

(再一次，为了避免偏离这个问题:我正在寻找在这个问题上比我更有背景的人的解释。我不是在寻求法律建议。未来--阅读问题的人不应该把答案解释为法律建议)。

Answer 1

请允许我首先说，我是一个IT人，而不是一个律师。因此，这是我对这件事的看法，不能认为是确定的。

与注释一样，数据控制器负责所有的数据。DC可以将数据传递给其他人来处理，数据处理器也有自己的责任，但是数据控制器不能将他们的责任下放。

然而，在这种情况下，所有这些都不适用。你选择将你的个人资料发送给某人。一旦它与他们，他们将是数据控制器，而不是你。

对于传输来说，问题有点复杂。如果接收者提供传输机制，那么他们有责任确保它是安全的，并且不会泄露您的个人数据，因为他们是DC。

任何声称保护你的数据安全的人，如果他要求你将其不安全地传送出去，至少已经违反了立法的精神。但是，如果你愚蠢到不去想这件事，而且你还是同意把它寄出去，我倒想，如果有违规行为，就会考虑到这一点。

谢天谢地，你显然已经想过了！

因此，首先有一些共同的责任，然后持有您的数据的组织成为一个数据控制器，并负有责任。

对于银行业来说，需要考虑的远不止DP法案，因为这是一个监管更严格的行业。如果一家银行作为客户为你创建了一个金融体系，但却未能妥善保护它，那么至少在英国，责任肯定落在他们身上，而不是你身上。作为一个客户，你不可能理解有关网络安全的技术问题。在英国，银行对客户的保护是很好的，而且你肯定会得到任何损失的钱&你可以预料到任何身份盗窃的费用都会被支付。