個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0065/2012/IP

標題: 在活動中收集參加者的健康資料

立案原因: 舉報

個案簡介:

    A部門為其舉辦的活動招募參加者,在此過程中收集了參加者的健康資料。
  甲認為,A部門的做法涉嫌違反《個人資料保護法》,要求本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條規定,本案中有關資料的處理受《個人資料保護法》規範。
  A部門在處理個人資料上,除了有一般個人資料之處理外,亦有涉及參加者的健康資料。根據《個人資料保護法》第7條的規定,健康資料屬敏感資料。因此A部門須同時符合《個人資料保護法》第6條及第7條規定的正當性條件。根據A部門提供的資料,活動參加者在自願的情況下提供其個人資料。因此,A部門在該情況下處理資料,具有《個人資料保護法》第6條的正當性條件。另外,《個人資料保護法》第7條所指的“資料當事人的明確許可”為明示法律行為,故資料當事人須以直接表意方式同意負責實體處理其敏感資料。在本個案中,因屬參加者自願提供資料,故A部門亦具有《個人資料保護法》第7條第2款(三)項所規定的正當性條件。
  A部門處理參加者的個人資料時,除須具備正當性條件外,亦須遵守《個人資料保護法》規定的處理原則。根據A部門提供的資料,收集參加者的基本資料(例如︰姓名、出生日期、聯絡電話號碼、聯絡地址)是為了與參加者聯系,而有關資料亦與確認身份及聯絡用途有直接關係。另外,收集個人健康狀況資訊,原意為當參加者日後參加A部門舉辦的戶外考察或其他同類活動時,能在參加者出現不適前知悉其身體體質和及早作出相應籌備及應變措施。有鑒於此,本辦公室不能認為A部門有違反《個人資料保護法》第5條的相關規定。
  然而,A部門表示報名表格內提供之資料全屬自願性質,健康資料亦並非成為參加者的必要條件。但有關報名表格的“申請規則”第2條載明“申請人必須提供本表格所需的個人資料”,有關資訊與A部門的覆函內容不符,自相矛盾。可見,A部門沒有認真審視受到質疑的表格便作出回覆,有欠謹慎。因此,本辦公室去函要求A部門對有關活動報名表格作出修改以提供準確的資訊,同時亦提醒其日後就舉辦活動而處理個人資料時,在資訊權方面須符合《個人資料保護法》第10條的規定,否則,根據同一法律第33條第1款的規定,有關行為可能構成行政違法。
  由於A部門處理的個人資料中包括敏感資料,其必須採取《個人資料保護法》第15條及第16條規定的安全措施,尤其是將一般個人資料與敏感資料作邏輯分離,否則,有可能構成行政違法。

處理結果:

    本辦公室已將處理結果去函回覆A部門,個案已歸檔。

註:
參考《個人資料保護法》第 3,4,5,6,7,10,15,16,33 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116