DPC 收到一名数据主体的投诉,声称其与瑞安航空员工的网络聊天被瑞安航空在电子邮件中意外披露给了另一名使用瑞安航空网络聊天服务的客户。网络聊天记录包含了投诉人及其合伙人的姓名、电子邮件地址、电话号码以及飞行计划等详细信息。被投诉人告诉DPC,他们已经收到了来自一名被错误发送网络聊天记录用户的警告。在DPC 对投诉的调查中,DPC 确定瑞安航空的在线网络聊天服务由第三方提供,该第三方是瑞安航空的数据处理者。
DPC 确认通过电子邮件方式发送网络聊天记录的系统具有自动填充功能,即上次接收电子邮件的客户地址会自动填充到收件人地址的位置。在相关日期前后,数据处理者共收到四位瑞安航空客户的请求,要求他们提供网络聊天记录,且所有记录都由同一代理人处理。但是,该代理人在发送聊天记录副本时没有正确更新收件人的电子邮件地址,导致这些聊天记录发送到了错误的收件人那里。瑞安航空告诉DPC,为了防止此问题再次发生,实时网络聊天系统中的自动填充功能已被数据处理者禁用,并向员工提供了GDPR 培训。
DPC 收到的与在电子环境中未经授权下披露个人数据的行为有关的许多投诉都源于软件自动填充功能的使用,例如,将包含个人数据的电子邮件错误发送。虽然数据控制者可能认为自动填充功能是一个在数据输入过程中有用的省时工具,但当它被用于填充收件人详细信息以实现传输个人数据的目的时,是存在固有风险的。因此,公司应谨慎使用自动填充功能,当数据控制者决定将此类功能整合到其软件中进行数据处理时,至少应部署其他安全措施,如通讯簿开头的虚拟地址或屏幕上出现请再次检查收件人详细信息的提示。(www.xing528.com)
个人数据保护目标需要与数据保护相关的设计及默认程序相结合,这样当数据控制者和处理者在设计个人数据处理程序或软件的具体步骤时,尤其是在确保个人数据的完整性、安全性和保密性方面,能够建立起更高的个人数据保护标准。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
