員工未經授權轉移公司持有的個人資料至其私人電腦 — 保障資料第4原則 — 個人資料的保安
背景
某金融機構向私隱公署通報,指其行政人員在未經授權下以其個人USB記憶體從公司桌上電腦抄寫了4,000多個檔案至其私人手提電腦,當中51個檔案載有約6,600名客戶、30名員工及落選求職者的個人資料。涉及的個人資料包括有關客戶的金融戶口資料、員工的人力資源資料及落選求職者的履歷。得悉事件後,公署決定展開循規審查。在循規審查的過程中,私隱公署發現該名員工是該機構唯一因工作關係而獲授權使用有讀寫功能的USB記憶體的員工,涉事的檔案則在沒有以密碼保護的情況下被儲存於其公司桌上電腦的本地驅動器內。該名員工解釋因事發時其公司電腦的運算速度變慢,故抄寫檔案至其私人手提電腦以便清空公司電腦的硬碟空間。
經過內部調查後,該金融機構認為該名員工未有披露資料當事人的個人資料或意圖在事件中為其自身或任何其他人獲得金錢或財產得益,或導致資料當事人蒙受金錢或財產損失。無論如何,該名員工已簽署保密協議確認並沒有向任何第三者披露檔案中的資料,並已即時及永久刪除有關檔案。
補救措施
事件發生後,該金融機構撤回該名員工的USB記憶體的抄寫權限。此外,該機構亦向所有員工發電郵提示他們其機構就安全使用便攜性儲存裝置所制定的全球性政策,以及安排所有員工參加資訊保安風險培訓課程。
借鑑
員工在企業環境中無可避免地可接觸個人資料。一般而言,負責行政及人事管理的員工因工作性質需要處理大量敏感性的個人資料。機構應重視數據管治及尊重保障私隱的文化,要達至此目標,機構必須定期檢視及監察員工查取個人資料的權限,確保其員工嚴格按「有需要知道」的原則處理個人資料。
上載日期:2022年7月