資料私隱

9.3. 資料私隱

9.3.1. 承諾
保護個人資料是維持客戶和員工信任的最基本條件。電訊部門致力維護和保障客戶及僱員的個人資料私隱。員工只有在符合適用的資料保障法例之規定下,並且遵照集團的個人資料私隱管治政策以及電訊部門所在各地的政策和程序,方可收集和使用個人資料。

9.3.2. 挑戰
電訊業務營運模式及相關的科技變化快速,令行業恆常處於極之多變的環境。由於電訊業受監管,同時客戶對於個人資料私隱的使用情況越來越關注,資料私隱與保護乃是業內的重大議題。

各業務單位在不同系統和平台上處理大量客戶資訊,一旦發生任何重大的資料流失,電訊部門將會涉及巨大的聲譽風險和蒙受經濟損失。因此,客戶的個人及非個人資料的管理和保護,由業務單位的管理層直接負責。

9.3.3. 措施

9.3.3.1. 提升資料私隱政策和管控系統
電訊部門的資料私隱和資料保安政策,主要按照各地的規管要求而制訂。同時,各業務單位已制訂私隱通告,載於業務單位網站或列入銷售合同中,以闡明所處理的個人資料類別和客戶的權利。

此外,電訊部門的歐洲業務採納了新的管控系統,以加強管治、風險管理和合規,將違反資料私隱的風險降至最低。

舉例而言,Wind Tre 引進了管治、風險管理和合規系統,用以監察資料處理鏈的全部流程,並運用分析技術評估個別系統的合規水平。為符合《 通用數據保障條例》的規定,2018 年推出了全新的分析和核證程序(如貫徹私隱設計和私隱設定),並已在公司全面實施。另外,為保障資料和支持客戶需求,部門設立了私隱及客戶保障組、資訊保安組和企業保安管治組,處理資料私
隱相關事宜。

3 丹麥和 3 瑞典採納了一個新的中央資料保障系統、引進新的管控措施、規劃進程圖,並透過直接途徑加強向客戶闡述個人資料處理的訊息。

其他業務單位亦已修訂政策和加強管控,確保符合遵循相關的資料私隱法例。客戶亦可行使權利查看及更正他們在各種申請途徑提供的個人資料。.

9.3.3.2. 資料私隱培訓與活動
由於僱員在日常工作中須處理客戶和公司資料,電訊部門定期為他們提供有關的培訓,確保他們瞭解相關的資料私隱法例。

每個業務單位定期為面對客戶的員工提供內部傳訊和工作坊,強調保護客戶資料的重要,確保僱員認識最新的法規並瞭解相關發展;負責處理客戶個人資料的分判商員工亦已獲得同類的培訓。

電訊部門已將資料私隱相關的操作指引、手冊和程序上載至內聯網或專用網站,方便員工查閱。

9.3.3.3. 事故管理
倘若發生涉及個人資料的數據安全事故,電訊部門將會盡速行動以減輕潛在後果,並保護個人資料不再遭受未經授權的存取、使用或破壞。

電訊部門遵循適用的數據安全事故程序迅速作出回應,必要時可包括知會政府私隱保障當局及/或受影響的人士。一旦發生涉及個人資料的數據安全事故,須即時向法律部門報備預警,並須不
時就發佈通知和處理數據安全事故而作出進一步的指引。