早前因食物中毒事件而有店面被撤销执照的连锁餐馆Spize,因订餐网站泄露148名顾客的个人资料,触犯个人资料保护法令被罚款2万元。
Spize的订餐网站是在2017年2月9月前后泄露148名顾客的名字、电邮地址、联络号码以及住址。
个人资料保护委员会同年8月12日接获投诉,指Spize订餐网站上有一个链接,一旦点击进入就可连接到一份顾客个人资料的文件。这个链接原本只供该公司内部使用。Spize两天后接到通知后,联系美国的软件供应商Novadine解决资料泄露的问题。该链接同年8月16日起不再开放让公众登录。
根据个人资料保护委员会(PDPC)本月4日(星期四)发布的裁定书,事件导因是一名用户登录公司执行董事的网站管理人账号时,启动了有关的链接,引发顾客的个人资料外泄。
Spize自2012年起聘请Novadine开发和管理其网站和订餐系统,所有顾客的资料储存在该软件供应商的侍服器中。
个人资料保护委员会发现,Spize没有采取合理的个人资料保护措施。它对软件供应商为自己设计的订餐系统不了解。这导致Spize无法查明是哪个职员引发资料外泄事故。
委员会也指出,Spize无法说明软件供应商如何代它处理顾客个人资料,而它在转移顾客个人资料给Novadine处理时,也没有考虑自己所应承担的责任与义务。
个人资料保护委员会下令Spize落实一些措施,包括保障顾客个人资料安全的内部条规、为员工提供有关处理顾客资料的培训,以及限制进入网站管理人账号的权限等。
Spize其中一家位于里峇峇利路的餐厅,去年底因员工忽视个人与环境卫生,导致熟食、食材及厨房环境均遭沙门氏菌高度污染,被国家环境局撤消营业执照。
赞
