跳转到主要内容

文章分类

个人数据保护委员会(“PDPC”)于2022年5月19日公布了其在2022年3月14日发布的第DP-2008-B6707号案件中的决定,其中向Toll Logistics(Asia)Limited、Toll Global Forwarding Singapore Pte.Ltd、Toll Offshore Petroleum Services Pte.Limited和Toll(TZ)Pte.有限公司(统称为“组织”)发出警告,在发生安全事件后违反《2012年个人数据保护法》(2012年第26号)(“PDPA”)第26条。

决定的背景

特别是,PDPC指出,这些组织是在新加坡注册的实体,是由澳大利亚Toll Holdings Limited领导的跨国公司集团的一部分。在这种情况下,PDPC确认,其于2020年6月11日收到Toll Holdings的数据泄露通知,称该集团的IT系统受到勒索软件攻击,包括包含该组织现任和前任员工个人数据的服务器。

经过调查,PDPC透露,Toll Holdings与爱尔兰的一家供应商签订了使用人力资源平台的合同,该平台托管了欧洲经济区(“EEA”)数据中心组织上传的员工数据。此外,PDPC发现,作为公司安排的一部分,Toll Holdings代表组织提供了某些公司服务,涉及将员工数据从人力资源平台传输到澳大利亚的服务器。此外,虽然IT系统的实施主要由各组织负责,包括维护位于新加坡的10台服务器,但PDPC还注意到,Toll Holdings提供了某些IT支持服务,并在整个集团实施了各种安全解决方案。

PDPC的调查结果

因此,PDPC得出结论,在进行任何进一步转移之前,各组织未能采取适当措施,确保通过人力资源平台从新加坡转移到欧洲经济区存储的个人数据受到同等标准的保护。更具体地说,PDPC确定,尽管Toll Holdings和人力资源供应商之间的合同包括数据保护义务,但这些组织不是本协议的缔约方。此外,个人数据保护委员会表示,Toll 控股公司与各组织之间的协议也不包含任何有关个人数据保护的条款。

然而,在制定合理的安全措施方面,PDPC认为,事件发生时的安全安排是合理的,符合行业标准,因为Toll Holdings负责IT支持服务,并且各组织依靠其母公司提供技术专业知识是合理的。

结果

鉴于上述情况,PDPC向违反《PDPA》第26条规定的“转让限制义务”的组织发出警告。最后,PDPC确认,鉴于各组织采取的补救措施,PDPC不会发布任何进一步的指示。

本文:https://cioctocdo.com/singapore-pdpc-issues-warning-entities-toll-holdi…

文章链接