员工未经授权转移公司持有的个人资料至其私人电脑 — 保障资料第4原则 — 个人资料的保安
背景
某金融机构向私隐公署通报,指其行政人员在未经授权下以其个人USB记忆体从公司桌上电脑抄写了4,000多个档案至其私人手提电脑,当中51个档案载有约6,600名客户、30名员工及落选求职者的个人资料。涉及的个人资料包括有关客户的金融户口资料、员工的人力资源资料及落选求职者的履历。得悉事件后,公署决定展开循规审查。在循规审查的过程中,私隐公署发现该名员工是该机构唯一因工作关系而获授权使用有读写功能的USB记忆体的员工,涉事的档案则在没有以密码保护的情况下被储存于其公司桌上电脑的本地驱动器内。该名员工解释因事发时其公司电脑的运算速度变慢,故抄写档案至其私人手提电脑以便清空公司电脑的硬碟空间。
经过内部调查后,该金融机构认为该名员工未有披露资料当事人的个人资料或意图在事件中为其自身或任何其他人获得金钱或财产得益,或导致资料当事人蒙受金钱或财产损失。无论如何,该名员工已签署保密协议确认并没有向任何第三者披露档案中的资料,并已即时及永久删除有关档案。
补救措施
事件发生后,该金融机构撤回该名员工的USB记忆体的抄写权限。此外,该机构亦向所有员工发电邮提示他们其机构就安全使用便携性储存装置所制定的全球性政策,以及安排所有员工参加资讯保安风险培训课程。
借鉴
员工在企业环境中无可避免地可接触个人资料。一般而言,负责行政及人事管理的员工因工作性质需要处理大量敏感性的个人资料。机构应重视数据管治及尊重保障私隐的文化,要达至此目标,机构必须定期检视及监察员工查取个人资料的权限,确保其员工严格按“有需要知道”的原则处理个人资料。
上载日期:2022年7月