投訴內容
1. 案情摘要
私隱專員主動根據條例第38(b)條對一間保險公司進行調查。該公司無限期保留未能成功投保的申請人的個人資料。
2. 個案關鍵
該公司無限期保留未能成功投保的申請人的個人資料是否違反保障資料第2(2)原則?
結果
1. 論據
該公司表示有需要無限期保留有關資料,目的是為了(i)依從不同法律規定,保存帳簿;(ii)依從規管機構的指引及通告;(iii)處理潛在的訴訟、查詢及投訴,以及(iv)檢查日後申請資料的完整性及準確性。
在調查期間,私隱專員曾就保留未能成功投保的申請人資料的需要及保留期向香港保險業聯會及保險業監理處徵詢意見。此外,私隱專員亦研究過規定保存交易記錄的不同條例。
關於未能成功投保的申請,通常有兩種情況。第一種是涉及金錢交易(例如保費在申請時已繳交),而第二種是沒有涉及金錢交易。第一種情況需要保存帳簿,私隱專員認為在有關條例規定的法定期間保留有關資料是合理的。不過,如沒有涉及金錢交易,私隱專員並不接受該公司純粹因為申請人日後可能再投保而無限期保留其個人資料,這等同批准任何服務提供者無限期保留個人資料。為了處理日後的查詢、投訴或法律行動,合理的保留期已經足夠。至於依從香港保險業聯會及保險業監理處發出的指引及通告,在應用時不應斷章取義,亦不應詮釋為減損資料使用者依從保障資料第2(2)原則的責任。
基於以上所述,私隱專員認為如未能成功投保的申請是涉及金錢交易,保留有關個人資料的理想期限應該不超過七年。至於沒有涉及金錢交易的申請,私隱專員認為兩年的保留期限一般足以滿足該公司所述的各項目的。
2. 私隱專員的行動
公署向該公司送達執行通知,要求它刪除保留超過私隱專員建議的理想期限的個人資料。
3. 該公司的改善措施
該公司同意遵從執行通知的要求。
上載日期:2008年8月