一名体育组织的职员错误地上载及传送活动参加者的个人资料 — 保障资料第4原则 — 个人资料的保安
背景
一间体育组织向私隐专员公署通报,指职员在安排发放比赛资讯予参赛者时,错误地把载有308名活动参加者的姓名、电话号码及电邮地址的档案上载至该组织的网站及透过电邮发送给参加者。
补救措施
在收到该组织的通报后,私隐专员公署展开了循规审查。该组织向私隐专员公署表示,该组织已因应事件强化处理个人资料的程序,当中要求职员须妥善地为载有个人资料的档案命名,使载有参赛者个人资料的档案能够被明确辨认,从而减少错误选取档案的机会。此外,工作人员在安排上载或透过电邮发送载有个人资料的档案前,须先由主管级职员加以覆核。该组织已召开全体员工会议向所有职员讲解上述程序,并敦促职员需加以遵从。
借鉴
资料外泄事故往往是由人为错误所引起。资料使用者应持续向员工灌输保障资料的重要性,并向他们提供有关如何妥善处理个人资料的培训。同时,资料使用者应在处理个人资料方面建立清晰而有效的程序和指引,并采取措施(例如定期提示及抽查)以确保他们遵从有关程序和指引。
上载日期:2024年2月