個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

查詢個案摘要
Print

編號: 0009/2014/PA

標題: 將個人資料轉移出澳門之外

查詢內容:

    A公司來函表示,B公司“X”計劃與A公司“Y”計劃整合,因而轉移“Y”會員個人資料至內地“X”計劃的系統,就辦理審批手續所需的程序及提交的文件事宜,向本辦公室諮詢意見。

回覆內容:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,上述資料的處理須受該法律規範。
  根據《個人資料保護法》第4條第1款(五)項的規定,有權就個人資料處理的目的和方法作出決定的人士或機構,方具“負責實體”之身份,並承擔法定義務。因A公司指其“Y”計劃與B公司“X”計劃進行整合,所有“Y”系統會員之個人資料將全部移至“X”計劃的系統,A公司其後將無法繼續使用現有的“Y”系統,故A公司須先自行判斷有關系統的負責實體誰屬,以便釐清權責及遵守《個人資料保護法》的規定。
  此外,《個人資料保護法》第6條至第8條已就個人資料處理的正當性條件作出規範。在A公司沒有提供擬轉移會員個人資料的具體資料種類的前提下,A公司應自行審視是否具有正當性條件處理會員的個人資料。否則,可能因不具正當性條件處理個人資料而構成行政違法。
  針對A公司將“Y”計劃會員的個人資料轉移至澳門以外,並沒提供擬轉移會員個人資料的依據(例如是否徵得資料當事人明確同意或是執行合同所必需等)。一般而言,負責實體應遵守《個人資料保護法》第19及20條的規定。由於目前本辦公室沒有頒佈具有適當保護程度的法律體系名單,只要有關轉移符合《個人資料保護法》第20條的規定,負責實體可在向本辦公室作出通知後轉移有關資料,有關通知可於下述《個人資料處理通知表(首次申請)》一併作出申報。另外,負責實體亦可按照第20條第2款的規定,向本辦公室申請發出許可將有關資料轉移到一個法律體系不能確保對個人資料保護具備適當保護的接收地。
  另一方面,由於以自動化方法處理會員的個人資料,根據《個人資料保護法》第21條第1款規定,須通知本辦公室,唯A公司並沒就此作出申報。為此,負責實體應透過填寫《個人資料處理通知表(首次申請)》向本辦公室履行通知義務。
  最後,A公司如需本辦公室發出意見書,須按《個人資料保護法》第23條提供資訊。

註:
參考《個人資料保護法》第3,4,6,7,8,19,20、21、23條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116