僱主張貼載有職員個人資料的病毒檢測名單 — 保障資料第4原則 — 個人資料的保安
投訴內容
某機構為其員工(包括投訴人)安排了一連三天的2019冠狀病毒病的病毒檢測。在進行檢測首天,投訴人發現需要進行檢測的員工名單被張貼在員工診所門外,在場人士均可閱覽載於該名單上員工的姓名、完整身份證號碼、出生日期、電話號碼、職員編號等個人資料。現場有人對該名單作出拍攝。投訴人不滿其僱主沒有妥善保障員工的個人資料,遂向私隱公署作出投訴。
結果
該機構解釋,他們向其員工診所提供該名單,是讓該診所的護士為需要檢測的員工預先登記及預備所需物資,並作核對員工身份之用。為了協助員工識別其檢測的次序,護士在檢測當天將該名單張貼在該診所門外。該機構於事發翌日已即時要求診所的護士移除該名單,並提醒他們必須將該名單穩妥地保管。
經私隱公署介入後,該機構進一步向員工發出通告,要求員工刪除曾拍攝得有關該名單的照片,並提醒他們須遵從機構內部有關個人資料私隱的規定。此外,該機構亦承諾日後會要求各部門(包括其員工診所)必須將個人資料小心保管,並採取所有切實可行的步驟,確保個人資料受保障而不受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響。另一方面,該機構表示日後在透過電郵發送含個人資料的檔案予其員工診所時,會將有關檔案加密,並會適當地將訊息標示為「機密」或「限閱文件」。
私隱公署亦就事件向該機構發出警告,要求他們日後務必敦促員工謹慎處理個人資料,定時提醒各部門在公開張貼任何文件前,須先小心審視當中是否載有個人資料,並仔細考慮及衡量展示有關資料的必要性及程度,以避免重蹈覆轍。
借鑑
2019冠狀病毒病自爆發以來,已迅速升級為全球健康危機。在確保社區健康和安全的大前提下,僱主或會為員工安排定時作病毒檢測。迅速的防疫行動固然重要,但僱主亦不可忽視保障職員個人資料的重要性。在本案中,該護士的本意或是希望讓員工及早知悉檢測的先後次序而張貼該名單,卻未有審慎考慮該名單上載有敏感且不必要披露的個人資料。僱主應考慮採取披露最少個人資料而又達到同一目的的方法,以期在防疫和保障私隱方面取得適當的平衡。僱主應時刻小心謹慎妥善保障員工的個人資料,制定指引或措施、提供培訓或教育,提高職員對保障個人資料私隱的意識。
上載日期:2022年9月