日期: 2017年12月15日
公署回应有关旅行社资料保留事宜及跟进纵横游事件
谢谢你的电邮查询,有关旅行社保留客户个人资料及跟进纵横游怀疑电脑系统遭入侵而可能导致客户个人资料外洩事件,公署现综合回复如下:
-
作为资料使用者,旅行社必须按《个人资料(私隐)条例》(「条例」)规定妥善保留及删除客户的个人资料方面,其中旅行社须采取所有切实可行的步骤:
-
确保个人资料的保留时间不得超过达致原来目的的实际所需(保障资料第2(2)原则);及
-
删除已不再为使用目的而需要保留的个人资料,除非受任何法律禁止或不删除该资料是符合公众利益的(条例第26条)。
条例第26条及保障资料第2(2)原则并没有指明资料使用者保留个人资料的期限。旅行社应按其业务的实际所需、其收集个人资料的原来目的,与及为符合其他法定要求或公众利益而决定保存个人资料的期限。
-
公署注意到旅行社会收集和保存大量客户的个人资料,因此曾于2016年1月发表一份有关旅行社个人资料系统的视察报告供业界参考,当中建议旅行社检视电脑订位记录内的个人资料的保留时间,并只保留必需的个人资料。
-
由2017年1月1日至12月13日,公署收到一宗与旅行社个人资料保留相关的投诉,并已按既定程序作出适当跟进。
-
公署就纵横游怀疑电脑系统遭入侵而可能导致客户个人资料外洩事件展开循规审查并正进行中,现阶段没有资料补充。
(如需引述,请写私隐专员黄继儿)