職員在未經機構同意下透過會員通訊表達其政治理念 — 《私隱條例》第65 條、保障資料第3 及4 原則
投訴內容
投訴人是一機構的會員。投訴人收到一封由該機構會員部發出的電郵,內容除了通知他因應近日的社會事件的最新會員服務安排外,還包括一些對近期社會事件的意見。翌日,投訴人收到署名為該機構會員部主任發出的電郵,表示日前電郵中的意見是他以個人名義撰寫的,並不代表該機構的立場。投訴人不滿該主任如此使用其個人資料作發表政見之用,遂向私隱公署投訴該機構。
結果
該機構向私隱公署解釋,所有負責處理會員事務的職員,在發電郵前會通知經理或以上級別的管理人員電郵的大概內容,並在取得管理人員的同意後才發出。該機構表示一直有向職員講解發出上述會務電郵的做法和程序,以及電郵應包含的內容。本個案源於會員部主任在得到管理人員同意其初稿內容後,擅自更改電郵內容所致。
私隱公署認為,會員在入會時向該機構提供個人資料,理應只預期其資料被用於與會員事務有關的事情上,而不會預期其資料被用於接收該機構員工的個人政見。
因應本個案,該機構要求所有需處理會員事務的職員必須在草擬電郵內容後,呈交管理人員批核才發出,批核後職員不得再修改內容。該機構並就發出會務電郵的做法和程序,制訂書面準則規範職員的行事。
借鑑
在現今的數碼年代,透過電子通訊向會員發放機構的最新消息無疑是方便快捷。然而,僱主亦須就職員如何使用會員的個人資料作出規範,以平衡科技帶來的便利及個人資料的保安。
雖然是次事件看來只涉及個別員工的行為,但根據《私隱條例》第65(1) 條的規定,僱主作為資料使用者須為僱員的作為負責,僱主必須採取步驟確保僱員依從既定指引行事,例如制訂書面政策供職員遵循,並監察有關政策的實行情況。相反,單靠個別職員口耳相傳的提醒,並非一個可靠而有系統的監察機制。機構應將個人資料保障視為企業管治責任,並將之納入日常業務不可或缺的一環,由上而下貫徹地在機構中執行有關保障個人資料的政策,以彰顯問責原則。
上載日期:2020年9月