載有個人資料而未被加密的文件被發送至錯誤的電郵地址
投訴內容
投訴人與丈夫委託某律師樓辦理物業買賣手續。就有關交易,投訴人的丈夫收到一封由該律師樓發出的電郵(該電郵),當中夾附了數份交易文件。投訴人的丈夫注意到,該電郵的副本被抄送予一個與投訴人電郵地址非常相似的電郵地址。投訴人不滿該律師樓將他們夫婦二人的個人資料外洩,遂向公署投訴該律師樓。
結果
該律師樓解釋,發送該電郵的職員沒有與投訴人核對其手寫的電郵地址,以致該職員在發送該電郵時錯誤地輸入投訴人的電郵地址。該律師樓並承認,該職員在透過該電郵發送文件時沒有將附件加密。
經私隱公署介入後,該律師樓已指示員工在發出電郵時,需小心檢查收件人地址及附件是否正確,並確保載有客戶的個人資料的附件被加密及/或以密碼保護。此外,該律師樓亦就其發送電郵的標準做法為員工提供培訓。
私隱公署亦就事件向該機構發出警告,要求他們務必敦促員工日後在保障及處理個人資料方面,緊遵《私隱條例》的規定,同時嚴格遵從其資料保障政策,不時提醒員工小心處理個人資料的重要性,並定時將相關的政策文件作內部傳閱。
借鑑
明顯地,個案是源於誤讀手寫電郵地址的人為錯誤。透過電郵與不同人士溝通,是現今十分普遍的工作活動。當員工每日都在發送數以十封的電郵,他們或會不自覺地忽略了核對電郵地址的重要性。要避免發生類似本案的人為錯誤,機構應透過訂立資料保障的政策,並為員工提供培訓,藉以在員工之間建立尊重個人資料私隱的文化。
上載日期:2023年3月