個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0030/2011/IP

標題: 公開展示《醫生檢查證明書》

立案原因: 轉介

個案簡介:

    B局員工甲向A機構投訴,指B局C附屬單位職務主管乙(甲的直接上級)將載有甲身份資料的《醫生檢查證明書》作公開展示,認為乙違反保密義務。
  由於投訴涉及可能違反《個人資料保護法》之規定,A機構遂將個案轉介予本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  B局解釋,C附屬單位之員工需輪班工作,由於當日甲突然因病缺勤,乙需立刻調配人手,其將調更資料連同甲的《醫生檢查證明書》影印本貼於隊員休息室內,希望及時通知當天的值班人員。該休息室僅供3名值勤人員休息之用,而《醫生檢查證明書》是正面張貼在雜物櫃的玻璃門上,至有關調動完成為止。及後,乙在處長丙的要求下向甲當面道歉,並在同一位置張貼《致歉及檢討信》。是次事件在B局屬首次發生。
  據B局提供的資料顯示,該局並沒有就《醫生檢查證明書》的處理方式作出規範。按一般既定程序,員工會將有關文件交上級簽署確認,再由人事部門跟進相關行政程序,並以每週的職務命令向局內人員公佈。
  確認負責處理個人資料的實體是本案的關鍵,根據《個人資料保護法》第4條第1款(五)項規定,負責處理個人資料的實體是指能對個人資料處理的目的和方法作出決定者。而B局的組織法規定,該局局長具職權為部門的正常運作制定應遵守的規則及指引。因此,本辦公室認為,在本個案,B局對《醫生檢查證明書》的處理目的和方法有權作出決定,具有負責實體的身份。雖然B局指張貼甲《醫生檢查證明書》乃乙的個人行為,但因本個案中乙不具備對《醫生檢查證明書》的處理作出決策的權限,有關行為是乙執行職務時的行為,故乙不具有負責實體的身份。B局才具有負責實體的身份。
  至於資料的性質,《醫生檢查證明書》載有甲的個人資料,當中部份與甲的健康有關,屬敏感資料。根據《個人資料保護法》第6條(二)項及第7條第2款(一)項的規定,B局具處理甲的《醫生檢查證明書》的正當性,但仍需符合《個人資料保護法》第2條及第5條規定的各項原則,包括適度原則,即處理與擬達到之目的相符且屬必須的資料。
  本辦公室認為,對於公共部門處理《醫生檢查證明書》的程序,第87/89/M號法令核准的《澳門公共行政工作人員通則》並沒詳細規範,而是給予公共部門決定權。在本個案中, B局沒有履行應盡的謹慎義務,張貼甲的《醫生檢查證明書》,使當中的個人資料被非必要者查閱,有關處理對擬達至之目的而言,明顯屬不適當及不必要,違反《個人資料保護法》第5條第1款(三)項規定的適度原則。
  而針對敏感資料處理的安全性,《個人資料保護法》第16條第1款更列出一系列特別的安全措施,其中第16條第1款(二)項規定了“控制資料載體︰阻止未經許可的人閱讀、複製、修改或取走資料的載體”。如按一般的程序處理甲的《醫生檢查證明書》,則其餘2名服務隊人員只可能透過主管及職務命令知悉甲因病缺勤,而不應看到其《醫生檢查證明書》,故該等人員屬於上面所指的“未經許可的人”。因此,B局的相關處理也違反《個人資料保護法》第16條第1款(二)項規定。
  關於保密義務方面,因乙張貼《醫生檢查證明書》,以至其後的解釋及致歉行為,是以職務主管的身份作出,屬履行職務的行為,有關個人資料的處理視為B局的行為,且其非故意披露或傳播有關證明書內載有的個人資料,故沒有跡象顯示有關行為構成《個人資料保護法》第41條規定的違反保密義務罪。
  綜上所述,B局有關處理違反《個人資料保護法》第5條第1款(三)項及第16條第1款(二)項的規定。

處理結果:

    B局的行為違反了《個人資料保護法》第5條第1款(三)項規定,構成行政違法,根據同一法律第33條第1款規定,科處B局澳門幣4,000元罰款。
  B局的行為也違反了《個人資料保護法》第16條第1款(二)項規定,構成行政違法,根據同一法律第33條第1款規定,科處B局澳門幣4,000元罰款。
  根據《個人資料保護法》第34條第2款規定,如行政違法行為競合,則各項處罰一併科處。因此,一併向B局科處澳門幣8,000元罰款。該處罰已經執行。

註:
參考《個人資料保護法》第 2,3,4,5,6,7,15,16,18,21,30,32,33,34,41 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116