個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0038/2013/IP

標題: 誤將載有個人資料表交予他人

立案原因: 投訴

個案簡介:

    甲指其任職的A酒店會議及宴會部同事乙交給其曾被塗改過的公司內部表格,當中載有甲的姓名、地址、電話、丈夫姓名等個人資料,並表示經理丙要求甲填寫及簽署後透過乙交給丙。甲指該表格曾被他人使用,已填的內容雖被塗上改錯帶遮蓋,但將該表格背著光線便可以看到被塗改的內容(包括簽名及簽署人配偶的姓名)。
  甲認為A酒店在處理員工個人資料時採取的安全措施不足,遂要求本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受該法所規範。
  據C局發出的准照摘錄顯示,A酒店持牌人為B公司。
  B公司在覆函中解釋,公司有兩種表格,一種是員工申請公司福利填寫的表格,僅收集一般的個人資料。另一種表格為出現緊急情況時供公司知悉員工的病史及將有關資料送交醫院而要求員工填寫。兩種表格的填寫均屬非強制性。甲填妥之表格內某些內容幾乎看不到,以及存在重複填寫(有兩個甲的簽名及日期)的情況,B公司認為表格上之改錯帶可能是甲在修改時塗上的。
  本辦公室致函B公司通知員工乙、丁及經理丙親臨協助調查。丙表示,當時宴會部的行政助理負責派發載有員工的姓名、員工編號、部門和職位等資料的表格給員工,但其已離職。丙指示乙向員工派發上述表格時需核對員工的姓名,且告知員工可將表格交回乙或丙,或親自交回人事部。後來,甲將填妥的表格對摺三次後交予丙,而丙沒打開,並直接將表格交回人事部。丙指出暫時未見B公司、A酒店制定處理員工個人資料的政策或指引,亦沒有就分發、收回相關的表格作指示。
  乙承認曾誤將載有甲的個人資料表格交予員工丁,丁在填寫時發現表格不屬於其本人,乙才向丁重發屬於其本人的表格,並以塗改帶刪去甲的表格中丁錯誤填寫的部份,然後將表格交給甲。甲當時表示會將填妥之表格直接交給丙。
  本辦公室認為,據B公司覆函所述兩種表格的用途,根據《個人資料保護法》第4條第1款(五)項規定,B公司對處理員工個人資料的目的及方法具有決定權,為負責處理個人資料的實體。
  上述表格載有員工的姓名及病史等資料,屬於個人資料。而且,根據《個人資料保護法》第7條第1款規定,健康資料屬於敏感資料。
  本案中,員工有權決定是否遞交表格,當員工提交表格時,表示其同意將載有其一般個人資料及敏感資料的表格交予B公司處理。另一方面,B公司要求員工提供健康資料的目的,是使公司可知悉員工的病史及在有需要時將有關資料送交醫院。因此,B公司處理相關個人資料具有《個人資料保護法》第6條、第7條第2款(三)項及第3款(一)項規定的正當性條件。
  B公司處理員工資料的安全措施方面, 丙指派屬下乙派發有關表格,屬部門的內部行政管理。甲不想個人資料被乙知悉,故選擇將有關表格摺妥後直接交回丙,由丙再交回人事部。由此可見,該表格中的後來填上的敏感資料並沒有被未經許可的第三人知悉。且乙錯誤向丁派發的甲的表格,在甲填寫前載有甲的一般個人資料,並沒有甲的健康資料,考慮到向丁洩露的為一般個人資料,不涉及違反《個人資料保護法》第16條的規定。
  根據《個人資料保護法》第15條第1款規定,負責實體對一般個人資料的處理需採取安全措施。按現有資料,不論技術或組織層面B公司並沒設定處理員工個人資料的人員及權限,沒有對處理員工個人資料表格作出指引,亦未有在載有個人資料的表格的派發過程中採取安全措施以避免資料外洩。
  綜上所述,B公司的做法不符合《個人資料保護法》第15條的規定,雖然法律沒有訂立罰則,但B公司須作出改善。

處理結果:

    本案已歸檔。有關處理結果已通知甲及B公司,並要求B公司就保安措施方面作出改善。

註:
參考《個人資料保護法》第3,4,6,7,15,16條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116