2019年4月23日,新加坡的个人数据保护委员会(委员会)发布了两个独立的决定理由 PAP社区基金会导师城市.

在这两种情况下,委员会向组织向组织发出警告,以违反“个人数据保护法”(PDPA)第24条的保护责任,但没有征收经济处罚。

PAP社区基金会(PCF)

这种情况的事实如下:

  • PCF提供幼儿园服务,并组织各种学校旅行。
  • 与特定的学校旅行有关,PCF的老师将综合出席列表的照片发送到包含学校学生父母的WhatsApp聊天组。出勤名单包含15名学生及其父母的个人数据,包括联系人和国家注册身份证(NRIC)的五个父母数。
  • 父级警告此未经授权的披露教师,老师在组聊天中删除了消息。同一个父母向委员会提出了投诉。

委员会的调查结果如下:

  • 显而易见的是,PCF没有具体的政策或程序,以指导其员工(包括其教师)在与入学学前班的学生父母的沟通中使用和披露个人数据。
  • 鉴于PCF的员工和父母之间的互动频率,应合理地预期此类政策和培训,以指导工作人员如何遵守PCF的数据保护义务。
  • 虽然PCF为其员工提供了数据保护培训,但仅靠仅仅培训不能替代数据保护政策和程序。
  • 然而,为了其信贷,PCF迅速行动,以解决其不充分的政策。这种携带的减轻价值。特别是,委员会指出,PCF已采取以下补救措施:
    • 披露后立即暂停所有WhatsApp聊天组;
    • 加急实施与社交媒体和WhatsApp聊天群体的使用有关的规则;
    • 滚出数据保护策略,包括文档保留和信息安全策略;和
    • 开发实用员工手册和为其员工进行复习培训。

导师城(TC)

这种情况的事实如下:

  • TC在自由辅导者和潜在客户之间提供匹配的服务,他们是在新加坡需要学费的学生家长。
  • 有人发现,属于50个个人的个人数据在TC的网站上发表,并在没有相关的个人授权的情况下公开访问。
  • 作为TC网站的特征的一部分,对使用TC服务的辅导员可以选择自愿上传最多三种不同的教育证书,以协助TC与有关学生的需求相匹配给合适的辅导员。但是,这些证书并非公开访问。
  • TC指示自由职业者Web开发人员设计和开发其网站。所有上传的证书都存储在网站服务器中的子文件夹中,而无需任何形式的访问控制。这导致证书索引并在谷歌等搜索引擎上搜索。

委员会的调查结果如下:

  • TC对其网站的安全保留了全部责任。从组织承包专业服务的组织预计,建立其网站或其他在线门户网站的标准均在委员会中列出 建立中小企业网站的指南。委员会注意到了 代理报告此外,近40%的网络攻击2017年报告为如此中小型企业(中小企业)。
  • TC声称它缺乏IT知识或技术 - 娴熟的不是防范失败,无法采取任何措施来遵守PDPA下的保护义务。缺乏访问控制是本质上的内容,在组织的电源内实现,系统设计以及人为错误是个人数据漏洞的常见原因。
  • 最终,每个组织都可以确定安全安排是哪些安全性,以考虑有问题的个人数据的敏感性,其数据库和运营现实等因素。在这方面,委员会强调了适当的家务和建立维护流程,以确保旧数据的定期安全修补和常规存档是组织应考虑采用的一些保护措施。
  • 尽管如此,委员会决定发出警告(任何经济罚款),并指出,TC采取以下步骤以防止事件的再发产:
    • 它将存储在图像目录中的所有图像删除到其网站;和
    • 它为图像导演添加了一个.htaccess文件,限制了对管理员的访问权限。

芦苇史密斯 LLP许可在新加坡作为一个外国法律实践,瑞德史密斯私人有限公司(以下)“Reed Smith”)。需要在新加坡法律的建议,我们将提交此事并与Reed Smith一起工作’在必要时,新加坡的正式法律联盟合伙人,资源法LLC。