調查個案摘要

編號: 0013/2016/IP

標題: 懷疑抽獎活動的舉辦機構把參加者的個人資料交給第三方

立案原因: 投訴

個案簡介:

    投訴人指參加A銀行的抽獎活動時向對方提供了姓名、電話號碼及電郵地址等資料,之後便收到手機應用程式B的宣傳電郵,懷疑A銀行把其個人資料交給第三方,希望本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款的規定,本案中有關資料的處理受該法律規範。
  A銀行回覆指抽獎活動是與C公司合辦,由於兩者都有處理活動參加者的個人資料,並對個人資料處理的目的及方式具有決定權,所以根據《個人資料保護法》第4條第1款(五)項的規定,A銀行和C公司均為負責處理個人資料的實體。
  一般而言,參加抽獎活動的人士是自願向舉辦機構提供個人資料。A銀行和C公司收集參加者的個人資料具有《個人資料保護法》第6條關於資料當事人明確同意的正當性條件。
  此外,A銀行和C公司為了核實得獎者的身份及聯絡目的而收集參加者的姓名、聯絡電話、電郵地址及身份證後四位數字,資料種類的收集未有超出上述目的所需,且沒有證據顯示資料被用作其他無關用途,故未見違反《個人資料保護法》第5條第1款關於目的限制原則及適度原則的規定。
  至於投訴人懷疑舉辦機構把其個人資料交給第三方,A銀行和C公司皆強調從未向第三方提供參加者的個人資料,與手機應用程式B沒有任何關係。且因投訴人不願本辦公室披露其身份,所以本辦公室無法向手機應用程式B的營運商了解以查清事件。
  然而,雖然沒有證據顯示A銀行和C公司違反《個人資料保護法》的規定,但本辦公室在調查過程中發現抽獎活動仍有可改善之處,包括活動資訊中雖有標示C公司,但未必能讓參加者清晰無誤地知悉C公司同為舉辦機構(正如投訴人在作出投訴時僅針對A銀行),故本辦公室已去函提醒A銀行和C公司日後在舉辦同類活動時,應清楚指出所有的負責處理個人資料的實體身份,此外,亦應在合作協議上載明各自的分工及所承擔的責任。

處理結果:

    本辦公室將處理結果函覆投訴人、A銀行及C公司,並將個案歸檔。

註:
參考《個人資料保護法》第3,4,5,6條。