學校在沒有通知家長的情況下,向網絡程式供應商提供學生的個人資料,替學生開設服務帳戶 - 保障資料第3原則
投訴內容
投訴人女兒就讀的小學沒有事先通知家長,便向學校使用的網絡程式供應商 提供學生的英文姓名、班別和學號,以便替學生設立服務(包括電郵、雲端硬碟、學習工具等)帳戶。學校並設定以學生的學生編號和出生日期為登入名稱和密碼。投訴人憂慮學校會監察學生使用該帳戶的情況,並擔心小學生不理解登入帳戶時須同意的服務條款,遂代表其女兒向公署作出投訴。
結果
學校表示他們雖然擁有學生帳戶的管理權,並可按教學需要設定學生可使用 的服務,但沒法查閱學生的帳戶活動紀錄。學校解釋以學生姓名、班別及入學編號設定為帳戶姓名,目的是方便教師識辨學生的身份;而將密碼設定為學生的出生日期,此舉是方便學生記憶。學校強調有要求學生在首次登入後更改密碼。
公署認為家長當初提供學生的個人資料予學校時,並未獲告知有關資料會被轉移至網絡程式供應商,家長擔憂其子女的個人資料或被濫用是可以理解的。
經公署解釋《私隱條例》的相關規定後, 學校表示會以其他字元組合為學生建立 帳戶,及讓家長選擇是否保留學校已為 學生建立的帳戶。此外,學校並制訂學 生使用服務的政策,清楚訂明開立帳戶 的目的及用途,並發放如何安全使用帳 戶及學校的管理權等資訊,以釋除家長 的憂慮。
上載日期:2019年3月