個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0041/2010/IP

標題: 公司未經市民同意使用其整容前後的相片作宣傳

立案原因: 投訴

個案簡介:

    市民甲任職於A公司期間,以優惠價進行整容手術,手術前醫生乙口頭向甲表示,所拍攝的相片只會用作手術前後對比。2010年, A公司在沒有將其手術前後的相片作任何遮蔽下刊印在宣傳單張,並置於各分店任人取閱。
  甲認為A公司在未經其同意使用其手術前後相片作宣傳用途,違反了《個人資料保護法》。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  按乙提供的資料,員工以優惠價接受整容手術須一併同意將相片用作宣傳用途。所有整容手術人士的相片會存於乙房間的電腦內,也可能儲存於前台的電腦。電腦並沒有設置登入密碼及查閱權限。有關宣傳單張是內地C公司(A公司與C公司同名,為同一連鎖集團的成員)委託丙負責製作。丙多次到澳門A公司取走相關資料,包括甲的相片,但電腦無任何記錄。
  甲整容前後的相片是由乙拍攝,儲存在A公司的電腦內,由A公司負責保存。本辦公室認為,A公司對甲整容前後的相片具有操控權和決定權,為負責實體。
  經查看涉案的宣傳單張上,印有“澳門小姐”的相片、乙的簡介和澳門A公司旗艦店的資料。本辦公室認為,宣傳單張雖然由內地C公司印製,但澳門A公司為連鎖集團的成員,乙亦為內地C公司的股東,澳門A公司是知悉及准許內地C公司將相關相片印製在宣傳單張上,目的在於獲得直接的商業利益。
  澳門A公司處理客戶的個人資料之目的是為提供整容服務。如超出上述目的,將相片用作宣傳用途,特別是印製成宣傳品公開張貼或派發,根據《個人資料保護法》第7條規定,需取得資料當事人明確許可或取得本辦公室的許可。
  甲是在《個人資料保護法》生效前接受整容手術,當時沒有法規要求澳門A公司在處理甲整容相片時需以法定的方式取得甲的明確許可。但《個人資料保護法》生效後,A公司對有關個人資料的處理須遵守該法律規定。
  根據A公司所述,所有接受整容手術人士的相片均有可能儲存在接待櫃檯的電腦內,電腦沒有設置登入密碼及查閱權限,亦沒有設置任何攝錄監察系統。而且,A公司承認曾將甲整容手術前後的相片提供予內地C公司以印製宣傳單張,已將甲的敏感資料外洩。再者,A公司亦不清楚內地C公司曾取走的具體資料種類,電腦亦無任何記錄且無法追縱,加上該公司在2008年裝修期間,曾遺失部份包括接受手術人士所簽署的手術同意書文件。因此,本辦公室認為,A公司不能確保相關資料的安全,已違反了《個人資料保護法》第16條的規定。
  本案宣傳單張是在內地印製,故甲的相片被轉移到內地。澳門A公司並未有就轉移資料向本辦公室作出任何通知、申請許可或決定,已違反《個人資料保護法》第19、20條規定。根據《個人資料保護法》第21條第1款規定,澳門A公司以電腦處理所有接受整容手術人士的相片,涉及個人資料的自動化處理,須向本辦公室作出通知。
  綜上所述,澳門A公司在處理敏感資料時,未有遵守特別的安全措施及未就有關轉移向本辦公室作出任何通知或申請,違反了《個人資料保護法》的規定。

處理結果:

    考慮到澳門A公司僅屬初犯,在調查過程中態度合作,並已主動採取改善措施,包括已專設職員管理敏感資料,電腦設有密碼,制定敏感資料的處理政策及已要求中國加盟店將載有甲相片的宣傳單張銷毀,本辦公室作出以下決定。
  澳門A公司未遵守《個人資料保護法》第16條所規定的特別的安全措施,按照該法律第33條第1款的規定,決定科處澳門幣4,000元罰款。有關行為違反了《個人資料保護法》第19、20條的規定,按照該法律第33條第2款的規定,科處澳門幣8,000元罰款。該處罰已執行。
  為免違法行為被持續實施而令當事人利益受損,根據《個人資料保護法》第43條(一)項規定,禁止澳門A公司在沒有取得資料當事人明確許可的情況下將其整容前後的相片再用作宣傳用途。

註:
參考《個人資料保護法》第 3,4,7,16,19,20,21,33,43 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116