在考慮違規行為是否相當可能持續或在日後重複發生時,應以立法目的為依歸去詮釋條例第50條。該條文的立法原意是賦予私隱專員權力,提供有效的補救方法,減低違規行為重複發生的可能性。
一間保險公司的代理在內部培訓中披露投訴人的保單資料 – 該保險代理的做法違反了保障資料第3原則的規定 - 私隱專員認為違規行為重複發生是相當可能,因此向該保險公司發出執行通知 – 該保險公司辯稱該違規行為是否屬個別事件抑或很可能重複發生 - 該條例第50(1)(b)條及保障資料第3原則 (行政上訴委員會上訴案件第40/2009號)
投訴內容
投訴人是一間保險公司的前代理。他投訴其前上司在內部培訓活動中,與其他保險代理討論失職行為時披露了他及其家人的個人資料(即他們的保單資料)違反了保障資料第3原則的規定。在私隱專員的調查過程中,該保險公司否認其責任及違規行為。
私隱專員的調查結果
在調查後,私隱專員認為該保險公司違反了保障資料第3原則的規定,而該違規行為是相當可能在日後重複發生或持續的。因此,私隱專員根據條例第50條向該保險公司發出執行通知,指令該保險公司修訂其內部規則及指引,就處理使用於培訓的個人資料,向其代理給予具體的指引。該保險公司不滿私隱專員的決定,向行政上訴委員會提出上訴。
上訴
該保險公司辯稱該違規行為只屬個別事件,其現行指引及培訓教材是以一般性的條文設計的,及紀律處分已足以防止類似的違規行為再發生。
關於違規行為重複發生的可能性,行政上訴委員會指出在詮釋條例第50(1)(b)條時,應採取目的解釋法,並指出立法原意是賦權私隱專員提供有效的補救方法,減低違規行為重複發生的可能性。因此,私隱專員有權考慮所有情況,以決定資料使用者處理個人資料的做法及程序是否有任何缺陷。如有缺陷,而且造成有關違規行為,私隱專員須考慮是否有任何有效的補救方法,減低重犯的可能性。如有補救方法,私隱專員有權判定如沒有他所指令該公司採取的補救步驟,違規行為是很可能會重複發生的。此外,行政上訴委員會認為私隱專員在執行通知所指令的步驟,是簡單現成的補救方法,可減低培訓時重犯違規行為的可能性,因此私隱專員有權發出執行通知。
行政上訴委員會的決定
上訴被駁回。
上載日期:2014年2月