牙科診所 — 向病人展示其他病人的醫療紀錄 — 要求病人將醫療報告發送到其手機 — 保障資料第4 原則
投訴內容
投訴人到牙科診所求診。牙醫與投訴人商討治療方案期間,展示另一位病人的牙骨X光片,以輔助解說,但該X光片清晰顯示了該名病人的姓名。另一方面,由於投訴人要向牙醫提供早前的驗血報告,該牙醫的助理遂要求投訴人以手機即時通訊軟件傳送給她。投訴人認為由上述兩件事情可見,該診所對病人的個人資料保障不足,遂向私隱公署作出投訴。
結果
就個人資料保安方面,私隱公署認為,牙科診所作為資料使用者,有責任確保員工在使用或處理個人資料(尤其涉及敏感的個人資料,如病歷資料、化驗報告等)時,須依從《私隱條例》附表1 的保障資料第4 原則,必須採取所有切實可行的步驟,以確保個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。
無疑使用手機通訊軟件傳送文件日益普遍,但在傳送敏感的個人資料時,資料使用者應加倍提高警覺。私隱公署建議診所應採取其他較安全的傳送方式,例如加密電郵或親身送遞。作為良好的行事方式,即使要求病人以手機通訊軟件提交個人資料,診所職員亦應向病人說明這種傳送方式的風險,以及讓病人自行選擇提交方式。同時,診所亦應提醒職員,不可轉發經手機通訊軟件接收的病人資料,以及在完成使用有關文件的目的後,必須立即將文件刪除。
另一方面,在本個案中,雖然牙醫在向病人講解治療方案時,以類似個案的X光影像輔助,希望使病人易於理解,看來是出於好意。但如當中不慎披露了其他病人的個人資料,或有違《私隱條例》的相關規定,效果適得其反。私隱公署要求該診所敦促職員,日後在類似本案的情況下必須加倍謹慎小心。
借鑑
公眾對個人資料私隱保障的期望與日俱增,加上病歷資料屬性質敏感的個人資料,醫護從業員亦特別小心謹慎處理病人資料,提高個人資料的保安意識。醫療機構亦須因應資料性質的敏感程度,從而採取相應而均稱的資料保安措施,方能符合公眾的合理期望及履行數據道德責任。
上載日期:2020年9月