PDPC có quyền: xem xét khiếu nại liên quan đến Điều 21 (truy cập dữ liệu cá nhân) và Điều 22 (sửa chữa dữ liệu cá nhân) của Luật Bảo vệ dữ liệu cá nhân; tiến hành một cuộc điều tra theo quy định của Điều 50 Luật Bảo vệ dữ liệu cá nhân để xác định hành vi vi phạm.
Kể từ khi được thành lập theo Luật Bảo vệ dữ liệu cá nhân, PDPC đã tiếp nhận, giải quyết nhiều vụ việc, cho thấy khả năng hoạt động khá hiệu quả trong việc xử lý và cảnh báo những trường hợp vi phạm. Mới gần đây là vụ một ứng dụng của Grabcar làm rò rỉ thông tin khách hàng.
Grabcar Pte Ltd là một công ty có trụ sở tại Singapore cung cấp dịch vụ vận chuyển gọi xe, giao đồ ăn và thanh toán online thông qua ứng dụng di động của nó (Ứng dụng Grab). Ứng dụng Grab cũng cung cấp tùy chọn đi chung xe được gọi là “GrabHitch”. GrabHitch khớp một hành khách với tài xế sẵn sàng đón hành khách (trên đường đến điểm đến của người lái xe) để đổi lại một khoản phí. Vào ngày 30.8.2019, Grab đã thông báo cho PDPC rằng, trong một khoảng thời gian ngắn cùng ngày, dữ liệu hồ sơ của 5.651 tài xế GrabHitch có nguy cơ bị các tài xế GrabHitch khác truy cập trái phép thông qua ứng dụng Grab. Do sự cố, nên tổng cộng có 21.541 tài xế GrabHitch và tập dữ liệu cá nhân của hành khách có nguy cơ bị truy cập trái phép, bao gồm các thông tin như: ảnh đại diện; tên hành khách; biển số xe; và số dư trên ví bao gồm lịch sử nhật ký của các khoản thanh toán đi xe. Ngoài Tệp dữ liệu cá nhân, dữ liệu khác được tiếp xúc với rủi ro truy cập trái phép trong khi sự cố xảy ra bao gồm cả việc đặt xe GrabHitch, các chi tiết như địa chỉ, thời gian đón và trả khách; tổng số chuyến đi, mô hình xe.
Khi được thông báo về sự cố, Grab đã thực hiện các biện pháp sau: đưa lại ứng dụng Grab về phiên bản trước khi cập nhật trong vòng khoảng 40 phút; 5.651 tài xế GrabHitch đã thông báo về sự cố trên cùng một ngày; thông báo số tiền tối thiểu được rút của các ví trong GrabHitch để ngăn chuyển tiền trái phép.
Ngày 10.9.2019, Grab triển khai bản cập nhật mới cho ứng dụng; xem xét các quy trình thử nghiệm của nó bao gồm cả việc kiểm tra tự động bắt buộc cho tất cả các điểm cuối giao dịch với dữ liệu cá nhân; cập nhật các thủ tục quản trị liên quan đến việc triển khai và xác minh bảo mật về các thay đổi đối với hệ thống và ứng dụng công nghệ thông tin.
PDPC đã tiến hành xem xét: liệu Grab có làm trái quy định tại Điều 24 của PDPA hay không? Điều 24 của Đạo luật Bảo vệ dữ liệu cá nhân 2012 quy định rằng một tổ chức có trách nhiệm bảo vệ dữ liệu cá nhân thuộc quyền sở hữu của mình hoặc theo kiểm soát bằng cách sắp xếp an ninh hợp lý để ngăn chặn trái phép truy cập, thu thập, sử dụng, tiết lộ, sao chép, sửa đổi hoặc các rủi ro tương tự. Trong vụ xem xét, PDPA kết luận Grab không thực hiện được vì những lý do như sau:
Thứ nhất, Grab đã không đưa ra các quy trình đủ mạnh để quản lý các thay đổi đối với hệ thống công nghệ thông tin có thể khiến dữ liệu cá nhân gặp rủi ro. Đây là một lỗi đặc biệt nghiêm trọng vì đây là lần thứ hai Grab mắc lỗi tương tự, mặc dù liên quan đến một hệ thống khác.
Thứ hai, Grab đã không tiến hành thử nghiệm bản cập nhật cho ứng dụng Grab đã được triển khai. Grab thừa nhận chưa có tiến hành kiểm tra phạm vi phù hợp trước khi tích hợp các tính năng công nghệ mới hoặc các thay đổi đối với hệ thống công nghệ thông tin được triển khai. Dựa vào 2 lý do này, PDPC đã kết luận Grab đã vi phạm Điều 24 của PDPA. Và rằng, công việc kinh doanh của Grab liên quan đến việc xử lý khối lượng lớn dữ liệu cá nhân trên một nền tảng hàng ngày và đây là một điều đáng quan tâm. Sau khi xem xét tất cả các yếu tố liên quan của trường hợp này, PDPC đã quyết định Grab phải trả khoản tiền phạt 10.000 dollar Singapore. Bên cạnh đó, để giảm nguy cơ vi phạm dữ liệu khác, PDPC cũng chỉ đạo Grab bảo vệ dữ liệu bằng thiết kế chính sách cho các ứng dụng di động của mình trong 120 ngày.
