调查个案摘要

編號: 0013/2016/IP

標題: 怀疑抽奖活动的举办机构把参加者的个人资料交给第三方

立案原因: 投诉

個案簡介:

    投诉人指参加A银行的抽奖活动时向对方提供了姓名、电话号码及电邮地址等资料,之后便收到手机应用程式B的宣传电邮,怀疑A银行把其个人资料交给第三方,希望本办公室跟进。

分析:

    根据《个人资料保护法》第4条第1款(一)项及第3条第1款的规定,本案中有关资料的处理受该法律规范。
  A银行回复指抽奖活动是与C公司合办,由于两者都有处理活动参加者的个人资料,并对个人资料处理的目的及方式具有决定权,所以根据《个人资料保护法》第4条第1款(五)项的规定,A银行和C公司均为负责处理个人资料的实体。
  一般而言,参加抽奖活动的人士是自愿向举办机构提供个人资料。A银行和C公司收集参加者的个人资料具有《个人资料保护法》第6条关于资料当事人明确同意的正当性条件。
  此外,A银行和C公司为了核实得奖者的身份及联络目的而收集参加者的姓名、联络电话、电邮地址及身份证后四位数字,资料种类的收集未有超出上述目的所需,且没有证据显示资料被用作其他无关用途,故未见违反《个人资料保护法》第5条第1款关于目的限制原则及适度原则的规定。
  至于投诉人怀疑举办机构把其个人资料交给第三方,A银行和C公司皆强调从未向第三方提供参加者的个人资料,与手机应用程式B没有任何关系。且因投诉人不愿本办公室披露其身份,所以本办公室无法向手机应用程式B的营运商了解以查清事件。
  然而,虽然没有证据显示A银行和C公司违反《个人资料保护法》的规定,但本办公室在调查过程中发现抽奖活动仍有可改善之处,包括活动资讯中虽有标示C公司,但未必能让参加者清晰无误地知悉C公司同为举办机构(正如投诉人在作出投诉时仅针对A银行),故本办公室已去函提醒A银行和C公司日后在举办同类活动时,应清楚指出所有的负责处理个人资料的实体身份,此外,亦应在合作协议上载明各自的分工及所承担的责任。

處理結果:

    本办公室将处理结果函覆投诉人、A银行及C公司,并将个案归档。

註:
参考《个人资料保护法》第3,4,5,6条。