一名體育組織的職員錯誤地上載及傳送活動參加者的個人資料 — 保障資料第4原則 — 個人資料的保安
背景
一間體育組織向私隱專員公署通報,指職員在安排發放比賽資訊予參賽者時,錯誤地把載有308名活動參加者的姓名、電話號碼及電郵地址的檔案上載至該組織的網站及透過電郵發送給參加者。
補救措施
在收到該組織的通報後,私隱專員公署展開了循規審查。該組織向私隱專員公署表示,該組織已因應事件強化處理個人資料的程序,當中要求職員須妥善地為載有個人資料的檔案命名,使載有參賽者個人資料的檔案能夠被明確辨認,從而減少錯誤選取檔案的機會。此外,工作人員在安排上載或透過電郵發送載有個人資料的檔案前,須先由主管級職員加以覆核。該組織已召開全體員工會議向所有職員講解上述程序,並敦促職員需加以遵從。
借鑑
資料外洩事故往往是由人為錯誤所引起。資料使用者應持續向員工灌輸保障資料的重要性,並向他們提供有關如何妥善處理個人資料的培訓。同時,資料使用者應在處理個人資料方面建立清晰而有效的程序和指引,並採取措施(例如定期提示及抽查)以確保他們遵從有關程序和指引。
上載日期:2024年2月