食肆對顧客個人資料所採取的保安措施不足 — 保障資料第4原則 — 個人資料的保安
投訴內容
為應對2019冠狀病毒病疫情,政府實施進入食肆規定,規定食肆負責人須確保顧客在進入食肆前利用手提電話流動應用程式「安心出行」掃瞄場所二維碼,或登記其姓名、聯絡電話及到訪食肆的日期及時間,並要求餐廳保留書面或電子紀錄31天。該進入食肆規定於2021年2月18日實施後,私隱公署接獲投訴指有食肆沒有妥善處理顧客登記資料,因而就此對14宗投訴展開調查。
結果
私隱公署的調查結果顯示:11間食肆使用共用的登記表格或登記簿、一間食肆沒有設置表格收集箱、一間食肆沒有保持表格收集箱時刻蓋好,以及一間食肆使用尚未剪開的共用表格。以上情況均顯示該些食肆對登記的個人資料所採取的保安措施不足,以致有關資料可被未獲准許或意外的查閱或使用,違反《 私隱條例》保障資料第4(1)原則的規定。
涉事的14間食肆其後已採取相應的補救措施,包括以獨立表格取代共用的登記表格或登記簿、設置以不透明物料造成的表格收集箱供顧客使用、以及要求店員必須確保表格收集箱時刻蓋好。然而,考慮到防範於未然,私隱公署向所有涉事食肆發出執行通知,要求涉事食肆採取適當及切實可行的措施,以保障顧客的登記資料,並指明涉事食肆須採取的步驟防止違反再發生。有關步驟包括制定書面政策及指引予其職員,並透過定期傳閱指引文件及提供培訓,以提升職員對保障個人資料私隱的意識。
借鑑
不論食肆的業務規模、營業模式或資源多寡,食肆在收集、持有、處理和使用個人資料方面都有責任遵守《私隱條例》的規定。在實施防疫措施上,食肆須為店員提供適當培訓及指引,提高他們對保障個人資料私隱的意識。有效的保障個人資料私隱的措施亦有助提升食肆的商譽及競爭優勢,帶來更多潛在商機。
另一方面,為保障個人資料,市民應注意向不同食肆提供個人資料所帶來的私隱風險。
上載日期:2022年9月