职员在未经机构同意下透过会员通讯表达其政治理念 — 《私隐条例》第65 条、保障资料第3 及4 原则
投诉内容
投诉人是一机构的会员。投诉人收到一封由该机构会员部发出的电邮,内容除了通知他因应近日的社会事件的最新会员服务安排外,还包括一些对近期社会事件的意见。翌日,投诉人收到署名为该机构会员部主任发出的电邮,表示日前电邮中的意见是他以个人名义撰写的,并不代表该机构的立场。投诉人不满该主任如此使用其个人资料作发表政见之用,遂向私隐公署投诉该机构。
结果
该机构向私隐公署解释,所有负责处理会员事务的职员,在发电邮前会通知经理或以上级别的管理人员电邮的大概内容,并在取得管理人员的同意后才发出。该机构表示一直有向职员讲解发出上述会务电邮的做法和程序,以及电邮应包含的内容。本个案源于会员部主任在得到管理人员同意其初稿内容后,擅自更改电邮内容所致。
私隐公署认为,会员在入会时向该机构提供个人资料,理应只预期其资料被用于与会员事务有关的事情上,而不会预期其资料被用于接收该机构员工的个人政见。
因应本个案,该机构要求所有需处理会员事务的职员必须在草拟电邮内容后,呈交管理人员批核才发出,批核后职员不得再修改内容。该机构并就发出会务电邮的做法和程序,制订书面准则规范职员的行事。
借鉴
在现今的数码年代,透过电子通讯向会员发放机构的最新消息无疑是方便快捷。然而,雇主亦须就职员如何使用会员的个人资料作出规范,以平衡科技带来的便利及个人资料的保安。
虽然是次事件看来只涉及个别员工的行为,但根据《私隐条例》第65(1) 条的规定,雇主作为资料使用者须为雇员的作为负责,雇主必须采取步骤确保雇员依从既定指引行事,例如制订书面政策供职员遵循,并监察有关政策的实行情况。相反,单靠个别职员口耳相传的提醒,并非一个可靠而有系统的监察机制。机构应将个人资料保障视为企业管治责任,并将之纳入日常业务不可或缺的一环,由上而下贯彻地在机构中执行有关保障个人资料的政策,以彰显问责原则。
上载日期:2020年9月