2019年1月3日,新加坡个人数据保护委员会发布了两项针对 芽化妆品美国国际集团亚太保险有限公司&凸版资讯(私人)有限公司.

芽化妆品

该案的事实如下:

  • 芽化妆品是有机和天然护肤零售商,在新加坡设有零售店和在线商店。
  • 它收集了用于会员注册的客户信息,并维护了两个单独的数据库:一个用于在线注册,另一个用于在零售店亲自进行注册。
  • 作为其营销活动的一部分,Bud Cosmetics向其客户发送了带有最新促销优惠和产品的电子通讯。此类电子通讯是通过根据某些条件从在线和离线数据库中选择成员的电子邮件地址而生成的。发送电子通讯后,该特定电子通讯的客户邮件列表将存储在一个存档文件夹中。
  • 一位投诉人在互联网上使用自己的名字进行搜索时,发现了一个链接到Bud Cosmetics成员列表的URL。该列表包含姓名,出生日期,联系电话,电子邮件地址和大约2300人的居住地址。
  • 成员列表位于2012年发送的电子新闻简讯的图像文件夹中,该新闻简报驻留在澳大利亚的第三方服务器上。该系统于2012年4月遭到黑客入侵。2013年,Bud Cosmetics更换了网络托管公司,并与一家美国实体在犹他州Provo的服务器进行了接触。

该委员会的调查结果如下:

  • 芽化妆品有责任服用“proactive steps”遵守其根据《个人数据保护法》(PDPA)承担的义务,不仅针对其拥有或控制的新个人数据,还针对其拥有或控制的任何现有个人数据。
  • 芽化妆品的隐私权政策未规定有关其及其员工应如何处理和保护自己拥有或控制的个人数据的任何程序或做法。委员会认为“法律的陈旧原则是无视法律不是借口。”因此,Bud Cosmetics对义务的认识不足不能为它辩解,也不是对违反PDPA的合法辩护。它被发现违反了PDPA第12(a)条的开放义务。
  • 关于事件的起因,委员会注意到,事实仍然存在,即成员列表已生成并插入到2012图片文件夹中,因此适用了普通法。 马克西姆·洛伊普尔。自己承认,Bud Cosmetics并未考虑其网站或信息技术(IT)系统的安全性是否足够。因此,委员会发现该公司违反了根据PDPA第24条保护其拥有或控制的个人数据的义务。
  • 委员会进一步裁定,Bud Cosmetics还违反了PDPA第26条规定的转让限制义务。鉴于它已选择让IT供应商与位于新加坡以外的服务器进行接触,因此需要确保在新加坡以外的个人数据的接收者受到法律上可执行的义务的约束,以提供至少可与以下条款相比的保护标准PDPA。在这一点上,组织必须考虑外国法律是否提供可比较的保护,如果没有,则应向接受者施加合同义务以遵守PDPA。 芽化妆品完全省略了此操作。
  • 对于各种违规行为,该委员会对Bud Cosmetics处以11,000新元的罚款,并根据监管指示进行安全审核并实施IT安全策略和员工培训,以遵守PDPA。

美国国际集团亚太保险有限公司&凸版资讯(私人)有限公司

该案的事实如下:

  • AIG是新加坡的一家普通保险公司。它聘请凸版印刷作为其印刷供应商。
  • 凸版已经寄出87封针对AIG保单持有人的保单更新信,其中附有不正确的业务回信信封,这些回信信封发给了另一个实体而非AIG。
  • 每个续订表中的个人数据均包括印刷的个人数据,例如客户的姓名,地址,车辆和登记号,租赁公司(如果有),保单号,应付保费,超额,续展和有效期。它还包括客户需要填写的数据,例如婚姻状况,身份证号码或护照号码,地址,联系电话以及付款明细,例如信用卡号和有效期。

该委员会的调查结果如下:

  • 凸版一直根据书面协议为AIG提供打印,整理和交付服务,并且是其数据中介,因为它代表AIG处理AIG客户的个人数据。
  • 尽管不太可能控制处理此类数据的目的,但凸版印刷在其网站上吹捧它拥有处理和保护个人数据的相关专业知识,知识和工具,因此将控制其处理方式。个人数据已被处理。例如,它在其网站上声明其服务是 “专门处理数据的高安全性业务流程外包服务。 ISO 9001:2008质量管理认证和ISO 27001:2005信息安全管理体系认证确保我们的运营达到国际认证标准。我们帮助您最大化数据资产的价值,同时最大程度地降低处理成本和数据泄漏风险”.
  • 该委员会从调查中得出结论,凸版证券对直接导致事件的包裹过程负全责,而AIG在实际违规中没有任何作用。鉴于AIG在整个外包过程中似乎只是很小的一部分,因此期望AIG通过对Toppan的信封化过程进行审核来微管理其数据中介的活动也是不合理的。因此,AIG并未违反PDPA。
  • 但是,就凸版而言,内部工作流程控制薄弱,未能达到按照PDPA处理其个人数据所需要的保护标准,尤其是鉴于凸版在以下方面处理了大量个人数据的事实:代表美国国际集团。该委员会认为,凸版印刷违反了《个人资料保护法》第24条的保护义务,并对其处以5,000新元的罚款。

重要要点

  • 从Bud Cosmetics案中可以明显看出,组织不再可以声称对PDPA或它们的义务一无所知。组织还应该在管理任何信息和通信技术系统以及与数据泄露相关的风险方面建立良好的治理。如果数据存储在海外服务器中,则组织应确保此类数据的接收者受到法律上可强制执行的义务的约束,以将此类数据保护为至少与PDPA相当的标准。
  • 根据AIG和Toppan的决定,对于外包关系中的组织而言,考虑到所处理的任何个人数据,外包提供商在多大程度上可能是数据中介者至关重要。然后,各方可以在相关的数据处理协议中相应地提供适当的表示以及风险和责任的分配。

 

励德史密斯律师事务所(Reed Smith LLP)被许可在新加坡从事外国法律业务,名称和样式为励德史密斯私人有限公司(以下简称“励德史密斯私人有限公司”),“Reed Smith”). Where advice 上 Singapore law is required, we will refer the matter to 和 work with 技术与法度’必要时,新加坡正式法律联盟的合伙人Resource 法 LLC。