日前,一家律师事务所Matthew Chiong Partnership,因误将顾客个资寄送出去而遭个人资料保护委员会(PDPC)罚款8000新元。
据悉,律师事务所的行政人员2017年在使用电子邮件与客户通信时,先后误寄客户个资,将客户详细资料曝光。而第三次是由的合伙人与事务所的资料保护官员通信时误将其他客户的公司资料传送出去,涉泄漏疑云。
资讯通信媒体发展管理局(IMDA)副局长杨子健表示周一接获投报,说明Matthew Chiong Partnership涉嫌违反个人资料保护法令,在局长陈杰豪的裁定下,决定对该律师事务所进行罚款。
他指出,律师事务所将客户曝光,即是对客户的资料保护不力。其个资即指个人敏感讯息如客户银行名字、客户与姐妹的身份证字号、用于借贷的银行行长好、借贷信息以及抵押品信息,都被曝光。
“根据所被曝光的资料显示,均属客户的隐私资料,一旦曝光很可能使申诉人与其姐妹的个资被不法之徒盗取。”
杨子健阐述,“既然该公司旨在提供法律相关服务,而且每天都需要处理大量的客户资料,公司与其工作人员应需谨慎保护个资。“
虽然律师事务所反驳只是一次性的错误,但个资保护委员会却拒绝律师事务所的说法。
副局长强调,“身为律师事务所的行政人员,在同一个月内先后将含有个资信息的电子邮件传送到错误的邮箱中,而公司选择忽视错误,显示公司内对于个资保护的意识并不足,对于客户的个资缺乏保护的责任。
个人资料保护委员会引用2017年的调查Furnituremart公司的报告结果,“公司缺乏政策与措施保护客户个资,个资保护委员会总结,Matthew Chiong Partnership’s不能作为一次性不慎曝光的错误,整体而言,公司并没有针对客户资料实施合理的保护措施。
“针对该公司的安全性能达到需求,公司必须作出两点改善包括公司需向全体员工交代保护与保密客户的隐私及个人资料;另外,公司需向全体员工提议以复制贴上客户的电子邮件,而电子邮件需由合法管道下取得,或直接按下“回复键”将资料传送给客户。
个资保护委员会也强调,如Matthew Chiong Partnership的公司,每天都牵涉大量的客户敏感信息与传送信息工作,故对保护个资,需有“较高的保护责任“,应能预防”不小心泄露个人敏感信息”的风险。
个资保护委员会也发现,公司缺乏对工作人员进行内部调整,以至于他们无法有效保护客户资料,违反个资保护委员会的第12条条例。据了解,公司或企业应具备某种明文规定的措施或政策来保护个资,尤其在面对复杂的法律诉讼过程中,客户个资将会频繁被事务所内的工作人员接触,若未能保护好,很可能面临个资泄漏的可能。
个资保护委员会认为,一份明文规定的公司政策比起口头说明更具说服力,它可以使员工按照公司规定执行合法程序,并且监督员工是否存在泄漏危机,以此降低传送信息间的误解或无效沟通。
个资保护委员会提议,“这将成为公司在处理客户个资时的标准管理作业流程(SOP),也为员工制定标准进程,避免个资被泄露。
