個人資料私隱專員公署今日就涉及機電工程署的一宗個人資料外洩事件發表調查報告。機電署表示會詳細審視報告內容,嚴肅跟進和採取適當行動,包括致力建立更穩健的私隱保安框架,避免類似事件再次發生。
機電署2022年執行應對2019冠狀病毒病的圍封強檢行動時,所收集的個人資料在其承辦商的網上伺服器平台外洩,私隱專員公署完成就事件的調查,並發表調查報告。
機電署表示,一直非常重視資訊安全和個人資料私隱,並已制定相關政策指引,包括個人資料保存期限制,定期向人員傳閱。
就圍封強檢行動涉及的網上伺服器平台服務,機電署與該承辦商的採購條款已列明於服務期完結後,承辦商會刪除相關資料,而機電署已清楚通知承辦商服務期於去年2月底完結。
機電署今年4月30日知悉有關資料外洩後,一直採取積極和負責任的態度,向執法部門匯報相關個案,並配合私隱專員公署的調查。
機電署留意到私隱專員公署早前公布該承辦商提供的網上伺服器平台,同期出現其他個人資料外洩個案,機電署即時向該承辦商深入了解伺服器平台的運作詳情,確保有關資料已被完全移除。
就是次事件,機電署已總結經驗,並致力建立一套更穩健的私隱保安框架和保障個人資料企業文化,避免類似事件再次發生,已採取措施包括強化私隱管理、全面檢視和加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管,以及優化部門電腦支援系統。
若外判服務涉及處理個人資料,機電署會在合約完結後提醒承辦商須在期限內刪除相關資料,並會主動查核,以確認承辦商已完成刪除個人資料。