個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0006/2013/IP

標題: 大量載有博彩參與人資料的紙張散落在馬路上

立案原因: 主動介入

個案簡介:

    A公司在其網頁上公佈新聞消息指,有大量疑似博彩娛樂場貴賓廳及兌碼記錄表散佈在西灣大橋近澳門旅遊塔往氹仔方向之引橋上,相關表格上載有博彩參與人姓名等資料。
  由於事件可能涉及個人資料處理的安全性問題,涉嫌違反《個人資料保護法》,故本辦公室主動立案跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  經致電B清潔公司了解,對方指事緣其“老闆”當日途經上址附近,見地面散落大量紙張,遂派清潔人員到場清理,清理後的紙張已隨即送往焚化爐銷毀,而據向現場負責清理的主任了解,得悉從部分資料顯示屬D酒店所有。
  本辦公室人員經實地調查,發現散落在上址的博彩娛樂場貴賓廳及兌碼記錄表,以及員工假期申請表均屬C公司所有,且大部份被撕毀至殘缺不全。為跟進本案,本辦公室請A公司協助提供資料,並致函C公司跟進案件。
  C公司回覆指公司在處理員工及客戶的個人資料時,採取的保密措施包括:各部門分別將報廢文件作統計登記,以便跟進銷毀進程;用碎紙機碎毀文件,確保文件已初步銷毀;用紙箱或不透明膠袋密封處理,並貼上識別封條;交第三方清潔公司將文件送往銷毁。公司亦制定了《個人資料保安措施及處理政策》,並不時檢討及完善相關程序,以及監管員工嚴格執行有關指引。公司事發當日安排外判清潔公司將已報廢文件統一收集運往垃圾焚化站銷毀,但當日因碎紙機故障,故部門以人手撕毀文件,導致文件未能完全碎掉;加上在運送途中因路況變化及風勢較大,處理人員未有採取預防遮蔽措施,導致密封之文件袋因磨擦破損而被強風吹散。
  據資料顯示,C公司為D酒店持牌人,為本案的負責處理個人資料的實體。按公司所述,其委託B清潔公司運送和銷毀文件,故B清潔公司為C公司的次合同人。
  是次事件發生後,C公司已責成員工須按既定程序處理客戶和員工個人資料,並即時責成B清潔公司日後處理報銷文件時要謹慎處理,且日後會安排員工隨同清潔公司人員前往焚化爐銷毀文件。
  經初步分析,C公司所制定的個人資料處理政策符合《個人資料保護法》第15條的規定。但C公司即使透過次合同人(B清潔公司)處理有關文件,亦必須確保資料在運送至焚化爐過程中的安全。事實上,C公司所散落的文件可能被其他無關人士取走或查閱而令資料外洩,不符合《個人資料保護法》第15條:“避免資料的意外或不法損壞、意外遺失、未經許可的更改、傳播或查閱……”的規定,即使屬過失亦然。因此,可以認定是次事件是由於C公司在具體執行上未有採取《個人資料保護法》第15條所規定的足夠安全措施引致。
  雖然違反《個人資料保護法》第15條的規定並不構成行政違法,但如有資料當事人因此而受到損害,有權向負責實體主張損害賠償。而從本辦公室人員調查中獲悉,文件有事先被人手方式撕毀。在事件發生後,C公司立即作出改善,包括責成員工在處理客戶和員工個人資料的過程中,必須按既定的處理程序;亦責成B清潔公司處理報銷文件時要謹慎,安排員工陪同B清潔公司人員銷毀文件,並不時檢討及完善。因此,本辦公室要求C公司切實執行銷毀文件的程序並嚴格監管其次合同人,避免同類事件再次發生。
  此外,本辦公室人員實地調查時,在距事發地點約三百米處亦撿獲載有Y酒店代表簽名的疑似記錄文件副本之部份碎片。由於現場僅拾獲兩張碎片,當中所載的個人資料種類亦僅有Y酒店代表的簽名及在背面以人手寫上姓氏,再沒有其他可識別當事人身份的資料,本辦公室亦沒有收到相關當事人投訴,故無需跟進。
  綜上所述,C公司有關處理違反《個人資料保護法》第15條的規定,但不構成任何處罰。

處理結果:

    鑒於C公司事發後已立即採取改善措施,本辦公室亦沒有收到相關當事人投訴,故決定將本案歸檔,且致函C公司有關處理結果,並要求該公司採取適當措施以避免同類事件再次發生。

註:
參考《個人資料保護法》第 3,4,15 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116