與《個人資料(私隱)條例》(第486章) 相關的個案 – 保障資料第3原則:「個人資料的使用」

權益與專業 ■ 教協權益及投訴部副主任 何志偉

為方便溝通或訊息的傳遞,近年按不同工作類別而以即時通訊軟件(如WhatsApp)開立群組的情況相當普遍。然而,個人資料私隱專員公署(下稱公署)曾處理一宗個案,指出擅自將個人資料加入群組,會出現違反《個人資料(私隱)條例》。

一位強制性公積金中介人擅自將投訴人加入一個他開立的WhatsApp群組內,用意是向投訴人提供最新的強積金資訊,可是因此亦向其他群組成員披露了投訴人的英文名、流動電話號碼和個人檔案相片,投訴人遂向公署作出投訴。公署認為該中介人的有關做法,令投訴人的名字等被第三者知悉,是違反了保障資料第3原則。該中介人之後將該群組刪除。(個人資料私隱專員公署個案簡述參考編號﹕2012C03)

故此,良好的做法是先通知有關同事會將他加進群組,多一點溝通將避免不必要的誤會和爭拗。

向其他人披露意見內容

此外,曾有會員查詢,校長與他討論考績時,亦安排了其他資深老師在場,有否侵犯私隱?事實上,如在會議中校長是根據已記錄的資料向其他人宣讀,要視乎在場其他人士是否有需要知道這些資料。如他們根本不需要知道而校長只為要令當事人難堪,校長在使用資料方面可能侵犯他人私隱。

這可參考公署的一宗投訴個案。有一位大學職員,同時是大學內一個委員會的秘書,她的上司也是委員會的主席,因這職員的工作表現問題,她的上司便向她發出電郵指出她的問題,同時將副本電郵給委員會的其他委員。職員向公署投訴,上司回應公署指因這委員會其中的職能是評估大學的資源運用,故他認為需要讓委員會了解該職員的情況以作考慮。經公署調查後,發現委員會並不需要就個別員工的表現作評核,且上司發出的電郵亦沒有邀請其他委員會成員給予意見,公署認為上司向不需要人士披露了該員工的資料,是已經違反保障資料第3原則。(個人資料私隱專員公署個案簡述參考編號﹕2005C21)

替學生開設帳戶

電子化的趨勢下,學校會透過網絡程式公司為學生設立帳戶以更有效處理學生事務。曾有家長代其女兒向公署投訴就讀的學校,指他們在沒有事先通知家長的情況下,便將學生的英文姓名、班別和學號向學校使用的網絡程式供應商提供,學校亦以學生編號和出生日期設定為學生登入名稱和密碼。

投訴人擔心學校會否監察學生使用該帳戶的情況,憂慮小學生並不理解登入帳戶時須同意的服務條款。學校表示他們無法查閱學生的帳戶活動紀錄,而為方便教師識辨學生的身份和讓學生易於記憶,學校設定以學生姓名、班別及入學編號為帳戶名稱,並將密碼設定為學生的出生日期,學校強調有要求學生在首次登入後需更改密碼。

公署認為家長當初提供學生的個人資料時,並未獲告知這些資料會轉移給網絡程式供應商。經公署解釋後,學校會以其他字元組合為學生建立帳戶,亦為學生制訂使用帳戶服務的政策,列出開立帳戶的目的及用途,提醒學生如何安全使用帳戶及公布學校的管理權等資訊。(個人資料私隱專員公署個案簡述參考編號:2016C03)

總括而言,保障資料第3原則即指如何使用收集所得的個人資料。法例規定除非取得當事人自願及明確表示同意,資料使用者是不可將收集所得的個人資料用於新的目的(收集資料時沒有述明的用途)。

如學校或會員對以上事宜有任何疑問,請致電2780 7337聯絡本部查詢。