個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0066/2012/IP

標題: 在沒有遮蔽下將載有個人資料的表格傳給其他學員

立案原因: 舉報

個案簡介:

    本辦公室收到市民甲的舉報,指其透過A局報讀B中心舉辦的課程,並透過所屬部門向A局提交身份證編號、出生日期、姓名、公職職位、學歷等資料,但B中心在沒有遮蔽下將載有其個人資料的表格傳給其他學員。
  甲認為B中心有關處理涉嫌違反《個人資料保護法》,遂向本辦公室作出舉報。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  B中心在覆函中表示,按內部工作指引,若委託培訓的機構提供了學員個人資料給中心,中心便不需在課堂上向學員收集資料;本案涉及的課程是受A局委託舉辦的,因該局只提供了部份所需資料,故中心需在課堂上要求學員配合提供資料。一般而言,中心會提供一份《課程報名表格》給每一名學員填寫,該表格為獨立填寫性質,填寫後直接交回中心。唯是次因個別同事錯誤地將《機構內部培訓課程──報讀者資料》(下稱《報讀者資料表》)交學員填寫,由於這不是獨立的表格,故導致已填有學員個人資料的表格在未有被適當遮蔽下傳給其他學員填寫的情況。
  本個案中,B中心基於舉辦課程而要求學員提供資料,而學員都是自願地在表格上填寫其個人資料,可見,B中心處理其個人資料,符合《個人資料保護法》第6條當事人明確同意的規定。另外,學員在報讀時已知悉課程是由B中心舉辦,上課地點、學員成績及證書製作等亦是由B中心負責,故若學員沒有提交為製作證書所必須的資料,B中心有權決定不發出證書。由此可見,B中心與學員之間實際上存在著合同關係,B中心可根據同一法律第6條(一)項的規定處理學員個人資料,故B中心同時具有處理學員個人資料的兩種正當性。
  由於傳給另一位學員的《報讀者資料表》中所載的資料包括:姓名、身份證編號、部門及職位、出生日期等為一般個人資料,而職員未有作適當的遮蔽,導致學員的個人資料不當被第三人看到,可見,B中心的有關處理違反《個人資料保護法》第15條規定。
  B中心在覆函中表示在得知錯誤後,已立即作出糾正,並向同事詳細講解有關工作指引,加強員工對個人資料保護的意識及培訓;而中心舉辦課程以來,一直未發生過同類事件。可見,本案為偶發事件,主要是個別職員的疏忽所致。
  另外,B中心所提供的《課程報名表格》樣本中,部份資料以灰色底之框格標示,包括姓名、身份證編號、出生日期、性別、國籍及信用卡等資料,且特別註明“請填寫灰色表格內之空格,其資 料為作證書之用”;但B中心的覆函指部份資料(例如:出生日期)是為分析及製作報告之用。換言之,表格內灰色底空格標示的資料種類和特別註明的內容與實際不同。此外,表格內沒有說明是否強制回覆及不回覆的後果,令資料當事人誤以為強制提供所有資料。顯然,該表格內沒有清晰準確地向資料當事人提供《個人資料保護法》第10條第1款所規定的資訊,未能滿足有關法律規定。故本辦公室同時提醒B中心審視表格內所提供訊息的準確性,根據實際情況在申請表格中註明報讀者必須或任意提供的資料類別,以及中心處理相關資料的目的。
  綜上所述,B中心有關處理違反《個人資料保護法》第15條的規定,但不構成任何處罰。

處理結果:

    鑒於B中心對問題已作出改善,故無需繼續跟進,但為免再次發生同類事件,本辦公室去函提醒B中心在處理個人資料時,須遵守《個人資料保護法》第15條的規定,同時提醒其審視表格內所提供訊息的準確性及必要性,須符合該法第10條的規定。
  本辦公室決定對本案予以歸檔,並將處理結果通知舉報人。

註:
參考《個人資料保護法》第 3,4,10,15 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116