早前因食物中毒事件而導致一人死亡,並有店面被撤銷執照的連鎖餐館Spize,因訂餐網站泄露148名顧客的個人資料,觸犯個人資料保護法令被罰款2萬元。
Spize的訂餐網站是在2017年2月9月前後泄露148名顧客的名字、電郵地址、聯絡號碼,以及住址。
個人資料保護委員會同年8月12日接獲投訴,指Spize訂餐網站上有一個鏈接,一旦點擊進入就可連接到一份顧客個人資料的文件。這個鏈接原本只供該公司內部使用。
Spize兩天後接到通知後,聯系美國的軟件供應商Novadine解決資料泄露的問題。該鏈接同年8月16日起不再開放讓公衆登錄。
根據個人資料保護委員會(PDPC)本月4日(星期四)發布的裁定書,事件導因是一名用戶登錄公司執行董事的網站管理人賬號時,啓動了有關的鏈接,引發顧客的個人資料外泄。
Spize自2012年起聘請Novadine開發和管理其網站和訂餐系統,所有顧客的資料儲存在該軟件供應商的侍服器中。
個人資料保護委員會發現,Spize沒有采取合理的個人資料保護措施。它對軟件供應商爲自己設計的訂餐系統不了解。這導致Spize無法查明是哪個職員引發資料外泄事故。
委員會也指出,Spize無法說明軟件供應商如何代它處理顧客個人資料,而它在轉移顧客個人資料給Novadine處理時,也沒有考慮自己所應承擔的責任與義務。
個人資料保護委員會下令Spize落實一些措施,包括保障顧客個人資料安全的內部條規、爲員工提供有關處理顧客資料的培訓,以及限制進入網站管理人賬號的權限等。
Spize其中一家位于裏峇峇利路的餐廳,去年底因員工忽視個人與環境衛生,導致熟食、食材及廚房環境均遭沙門氏菌高度汙染,被國家環境局撤消營業執照。汙染事件甚至導致一名顧客不治。