個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0071/2013/IP

標題: 轉交沒有密封之體檢報告

立案原因: 舉報

個案簡介:

    市民甲舉報,指其任職的A公司每年安排員工前往B公司進行身體檢查。體檢後,B公司統一將所有員工的健康報告交予A公司,再由A公司交予當事人。有關健康報告過去皆以密封方式交予A公司,但是次並沒有密封,導致接觸報告的人士(包括向A公司遞交健康報告的人士等)均能知悉當事人的健康資料,涉嫌違反《個人資料保護法》的規定,要求本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受該法所規範。
  B公司覆函表示,受A公司委託為其員工進行年度體檢。按A公司員工體檢流程,先由B公司人員核對信息,後將每一位員工信息輸入電腦並產生受理編號。在體檢完成後,根據每位員工唯一的受理編號列印每一份健康報告,並由B公司之授權人員核對報告內容及簽發。是次為方便核實A公司體檢人員身份及數量,沒有將報告分別密封,而是放入一個袋中交給A公司。其後,B公司已修定內部保密控制程序。
  A公司的回覆指,是次收到B公司的報告並沒有密封。體檢屬員工福利,公司在收到健康報告後,不會以人手或電腦方式記錄及查閱報告內容,只會轉交予員工本人。
  本辦公室認為,雖然A公司委託B公司對員工進行身體檢查,A公司只負擔體檢的費用,並沒有參與具體處理,因有關個人資料處理的程序都由B公司進行,且A公司並非醫療機構,不具條件介入B公司對健康報告的處理。可見,僅B公司對有關體檢者(即A公司員工)個人資料的處理目的和方式具有決定權,故根據《個人資料保護法》第4條第1款(五)項規定,B公司方為處理有關體檢者健康資料的負責實體。
  A公司員工為享受公司的福利,若願意接受B公司提供的體檢,可視為同意B公司處理其健康資料。由於健康報告所載的資料屬敏感資料,根據《個人資料保護法》第6條及第7條第2款規定,在保障非歧視原則以及第16條的安全措施的前提下,B公司經體檢者明確許可後具有正當性處理當事人的健康資料。
  就B公司是次將健康報告統一交予A公司。本辦公室認為,該受理編號足以確認當事人的身份,即使對報告分開作獨立密封,只要在封套上載明受理編號應可核實報告數量及核對身份。B公司過往對報告作獨立密封處理,亦未見妨礙其核對,且沒資料顯示B公司有特殊理由需改變是次報告的處理方式。此外,B公司在投訴前,並沒嚴格規定相關程序,以致是次在沒有合理且充分理由下改變原做法。
  誠然,對健康報告作密封處理可減低資料外洩的風險,而有關風險可以在B公司的控制範圍內採取適當的安全措施予以減低。是次事件涉及A公司所有接受身體檢查的人員,兩間機構之間並沒有簽署任何保密協議,有關健康報告交予A公司後已脫離B公司可控制的範圍,一旦遺失或資料外洩,後果嚴重。因此,B公司涉嫌違反《個人資料保護法》第16條的規定,根據該法律第33條第1款的規定,有關行為構成行政違法,可被科處罰款,故對B公司進行聽證。
  其後,B公司在書面聽證中解釋,A公司員工進行體檢時已簽名確認《健康檢查申請單》,當中附有的《協議書》第九條註明“……申請人憑此查詢及索取檢測報告或健康檢查報告”,可視作A公司獲得了體檢者的授權,可領取並閱讀健康報告;B公司在主觀及客觀上均沒洩露任何A公司人員個人資料的行為。
  本辦公室認為,該《協議書》第九條所指的“申請人”,是參加體檢者本人,而非該公司所指的A公司獲接受體檢者的授權領取並閱讀健康報告。實際上,A公司只負責代B公司分發健康報告。根據《個人資料保護法》第35條規定,負責實體因過失而沒有採取安全措施保護敏感資料亦須受處罰。鑒於B公司未能提供合理及充分的解釋,故駁回其提出的所有觀點。
  綜上所述,B公司在處理敏感資料時沒有採取適當的安全措施,使健康報告內容會被未經許可的人員查閱,違反《個人資料保護法》第16條的規定。

處理結果:

    本辦公室考慮到以下因素:1. B公司的安全意識不足;2. 健康報告載有當事人的敏感資料;3. 涉及A公司所有接受身體檢查的員工;4. B公司已採取改善措施;5. B公司屬首次違反《個人資料保護法》,根據《個人資料保護法》第33條第1款的規定,向B公司科處澳門幣4,000元罰款。

註:
參考《個人資料保護法》第3,4,6,7,16,33,35條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116