個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0046/2012/IP

標題: 在未獲授權下查閱攝錄監察系統的影像資料

立案原因: 投訴

個案簡介:

    A部門主管甲因對職員乙的出勤記錄存疑,所以查閱A部門攝錄監察系統的影像資料。並將含有乙的影像資料及其出勤紀錄電郵予乙的直屬上級丙進行跟進,而丙將該電郵轉寄予乙。
  乙認為,甲的行為涉嫌違反《個人資料保護法》,向本辦公室作出以下的投訴:
1. 甲涉嫌以偏離攝錄監察目的而查閱影像資料。
2. 甲在未經A部門領導批准的情況下,查閱及索取攝錄監察的影像資料。
3. 甲在沒有加密的情況下發出含有乙個人資料的電郵。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  A部門已就攝錄監察系統向本辦公室作出通知申報,該登記的目的為“(1) 保障大樓內之財產、保安及其他合法利益;(2) 保障員工安全及其他合法利益;(3) 確保公眾接待區域的服務質素;(4) 評核員工工作表現(限於公眾接待區域、辦公地點出入口範圍,包括考勤機區域)”,因此,甲對乙的出勤記錄存疑而查閱A部門攝錄監察系統的影像資料,沒有偏離相關資料處理的目的。
  A部門作為上述目的的負責處理個人資料的實體,雖然就查閱攝錄監察系統的影像資料制作了指引,而指引中亦訂明了在獲授權的情況下才可查閱攝錄監察系統的影像資料,但甲未經A部門領導授權而查閱影像資料,可能涉及《個人資料保護法》第38條不當查閱的情況。另外,甲可在未經A部門領導批准的情況下查閱相關資料,反映A部門在資訊保安方面確存在不足之處,未符合《個人資料保護法》第15條處理的安全性規定。
  甲在沒有加密的情況下發出含有乙個人資料的電郵,當中包含了錄影資料及出勤記錄,不含任何敏感資料,且甲是基於工作需要(跟進乙的出勤記錄問題)而使用A部門提供的設備傳送資料給丙,原則上僅收件者方可查閱電郵內容。根據《個人資料保護法》規定,所有因職務之故而接觸個人資料者,均負有職業保密義務,而目前並沒有資料顯示發生資料外洩的情況。因此,可以認為甲對有關個人資料的處理已採取一定的安全措施,單純基於其在傳送資料時沒有採用密碼加強保護,不足以認為對相關個人資料帶來不相適應的安全風險。

處理結果:

    綜上所述,甲對乙的個人資料處理沒有偏離目的,以及甲在沒有加密的情況下發出含有乙個人資料的電郵,均沒有發現違反《個人資料保護法》的情況。
  但甲在未經A部門領導批准的情況下查閱攝錄監察系統的影像資料,可能涉及《個人資料保護法》第38條不當查閱的情況,本辦公室已通報有權限當局,以便依法作出適當處理。A部門在資訊保安方面存在不足之處,未符合《個人資料保護法》第15條處理的安全性規定,但並未構成行政違法。本辦公室已去函A部門反映本案所揭示的問題,並要求A部門在指定的期間內採取改善措施。
  A部門已按本辦公室要求作出相應的改善措施。本個案已歸檔。

註:
參考《個人資料保護法》第 3,4,15,38 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116