金融機構過量收集外判員工的個人資料,且未有提供「收集個人資料聲明」及過度保留個人資料
投訴內容
投訴人任職一間資訊科技公司,並被安排於一間金融機構的場地工作。投訴人並非受僱於該金融機構,但被要求提交其個人資料,當中包括其出生日期,且投訴人得悉其個人資料會由與該金融機構結束關係起被保留七年。投訴人遂向私隱專員公署投訴該金融機構過量收集其個人資料;向其收集個人資料之時沒有向他提供「收集個人資料聲明」;及保留他的個人資料時間過長。
結果
該金融機構向私隱專員公署表示,收集投訴人的出生日期純粹為了在其電腦系統中建立有關員工的個人帳戶,以便行政安排。該金融機構確認,由於當時未可透過系統或既定的溝通渠道提供有關資訊,他們向投訴人收集個人資料之時或之前難以採取切實可行的措施與投訴人溝通,故並未向他提供「收集個人資料聲明」的相關內容。
此外, 該金融機構確認在事發時並沒有就外判員工的每一項個人資料因應其個別目的而制定獨立的保留期限,而是劃一地要求保留所有個人資料七年。然而,基於投訴人只是該金融機構的外判員工,而非由該金融機構直接聘用,私隱專員公署認為該金融機構理應無需就任何僱傭原因(包括稅務或強積金供款安排)或其他目的而需要保留投訴人的香港身份證號碼達七年之久,另由於該金融機構收集投訴人的出生日期並非必須,因此亦毋須保存其出生日期。
經私隱專員公署介入後,該金融機構確定不再需要收集外判公司員工的出生日期,會妥善地刪除就建立員工帳戶而收集的外判公司現職及前員工的出生日期,並已制訂收集個人資料聲明以提供予各部門、供應商及合作公司僱用的外判員工和借調人員,提醒員工在向資料當事人收集個人資料之時或之前提供有關聲明的重要性。該金融機構亦已就收集外判員工之每一項個人資料因應不同的原因及目的,獨立檢視每項個人資料的保留期限並更新了「個人資料保留政策」內各項資料的保留期限。
基於上文所述情況,私隱專員認為該金融機構在個案中違反了保障資料第 1(1)、1(3)及2(2)原則的規定。考慮到個案的情況,包括但不限於該金融機構採取的改善措施,私隱專員公署就有關投訴事項向該金融機構發出警告信,要求該金融機構日後須緊遵《私隱條例》的相關規定。
借鑑
機構在透過分判形式聘用職員包括透過第三者時,需特別注意其處理個人資料的情況。此類情況例如由職業介紹所所聘請,或職員由一間公司聘用卻代另一間公司工作。
由於這些機構並無直接與有關個人簽訂僱傭合約,一般來說,需要向分判職員收集的個人資料通常都比向直接聘用的職員為少。若有關資料是直接向分判職員收集,這些機構應向職員提供「收集個人資料聲明」。此外,這些機構只有在仍需分判職員履行其提供的個人資料的收集目的或合理地可能再聘用有關職員擔任其後的工作的情況下,方可繼續保留其個人資料。
上載日期:2025年2月