私隱專員公署發表兩份調查報告,包括醫思健康透過統一系統互用旗下品牌客戶的個人資料;及快圖美數據庫遭勒索軟件攻擊。兩間公司同因違反私隱條例,被公署發出執行通知,要求糾正及防止同類行為再發生。
公署早前收到兩宗投訴,涉及醫思健康旗下的四個品牌,其中一名投訴人曾帶同女兒向有關集團旗下公司的醫生求診,其後該名醫生加入另一品牌後,發現包括投訴人女兒在內的客戶個人資料,被轉移到新公司。
另一名投訴人就發現該集團的體檢公司,查閱了投訴人於同一集團下另一公司接受治療時的資料。
私隱專員鍾麗玲表示,醫思健康在收購其他品牌後,不但不曾徵求兩位當事人同意在集團內不同品牌使用、披露及轉移他們的個人資料,亦沒有以任何方式通知當事人他們的個人資料會被儲存於該系統中,有關做法令人失望。
另一調查報告涉及快圖美數據庫被勒索軟件攻擊。事發在去年10月26日,超過54萬會員及近7.4萬名在前年11月16日至去年10月26日期間於網上訂購服務的客戶受影響。
報告指,快圖美在多方面存在嚴重不足,包括錯誤評估保安漏洞的風險、資訊系統管理有欠妥善、以及拖延啟用多重認證功能,導致公司的數據庫遭勒索軟件攻擊。