客户的个人资料可否储存于境外云端系统
查询事项
查询者询问可否将客户的个人资料储存于境外的云端系统。
公署的回覆
条例并无禁止资料使用者透过境外的云端系统储存个人资料。然而,资料使用者在透过使用云端系统处理个人资料时,仍须遵守条例及当中附表1的保障资料原则。
资料使用者使用(包括披露及转移)个人资料时,须遵守保障资料第3原则,当中订明除非得到资料当事人的订明同意,否则个人资料不得用于“新目的”,即原先收集资料时拟使用或相关的目的以外的目的。
在资料保安方面,所有资料使用者须依从保障资料第4(1)原则的规定,即采取所有切实可行的步骤确保由他们持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。此外,保障资料第4(2)原则订明,如资料使用者聘用“资料处理者”,以代该资料使用者处理个人资料,该资料使用者须采取合约规范方法或其他方法,以防止转移予该资料处理者作处理的个人资料未获准许或意外地被查阅、处理、删除、丧失或使用。
公署已刊发《云端运算》及《外判个人资料的处理予资料处理者》的资料单张,供有意采用云端运算及资料处理者的机构参考。
上载日期:2024年8月