個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0022/2009/IP

標題: 職員擅自向第三人轉交客戶個人資料

立案原因: 投訴

個案簡介:

    市民甲是A公司的客戶,為更改地址資料,著其家人丙到A公司索取客戶更改資料之表格。
  甲隨後收到丙轉交的《客戶資料表》,發現表格上印有甲的資料,包括:證件種類及編號、姓名、出生日期、性別、出生地點、地址、職業及聯絡電話等資料。甲認為,A公司在未取得其同意下將印有其個人資料的《客戶資料表》交予第三人丙,涉及不當披露個人資料,違反《個人資料保護法》,向本辦公室作出投訴。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  A公司解釋,其早已就其職員如何執行客戶更改個人資料的程序,制定清晰的規章及守則供其職員遵守及執行,以保護客戶的個人資料免被未經授權的第三人更改及查閱。根據有關規章的規定,當第三人提出代客戶當事人更改個人資料時,職員應核實該第三人是否屬於客戶的被授權人,否則應拒絕該第三人有關要求;而印有客戶個人資料的《客戶資料表》應僅在客戶親臨公司要求更改其個人資料時方予使用,公司員工不能將之提供予未獲授權的第三人。
  本辦公室認為,在本個案中,涉案職員乙未有按照A公司既定的流程作出處理,其清晰知道提出更改客戶資料要求者並非客戶本人,卻在資料當事人未明確同意,以及未作出適當授權的情況下,擅自向第三人披露甲的個人資料。因此,是次事件是由於乙違反A公司規章所致,屬於乙的個人責任,而非A公司的責任。
  由於乙負有職業保密義務,其行為可能構成《個人資料保護法》第41條規定的犯罪行為,且根據該法律第41條第4款規定,違反保密義務之刑事程序非經告訴不得進行,即有關犯罪屬於準公罪。換言之,如甲要追究乙的刑事責任,須親身向具權限的刑事警察當局提出告訴,本辦公室不具權限處理。
  根據《個人資料保護法》第14條第1款的規定,如甲因有關個人資料被不法處理而遭受損害,有權向負責處理資料的實體要求獲得所受損失的賠償,又或可循民事訴訟途徑追討賠償。
  綜上所述,A公司有關資料的處理符合《個人資料保護法》的規定,但其職員乙卻因未有按照A公司既定的流程作出處理而違反《個人資料保護法》第18條第1款的規定。如甲欲追究乙的刑事責任,須親身向具權限的刑事警察當局提出告訴。

處理結果:

    本辦公室已經致函通知甲及A公司上述分析及決定。

註:
參考《個人資料保護法》第 3,4,14,18,41 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116