客戶的個人資料可否儲存於境外雲端系統
查詢事項
查詢者詢問可否將客戶的個人資料儲存於境外的雲端系統。
公署的回覆
條例並無禁止資料使用者透過境外的雲端系統儲存個人資料。然而,資料使用者在透過使用雲端系統處理個人資料時,仍須遵守條例及當中附表1的保障資料原則。
資料使用者使用(包括披露及轉移)個人資料時,須遵守保障資料第3原則,當中訂明除非得到資料當事人的訂明同意,否則個人資料不得用於「新目的」,即原先收集資料時擬使用或相關的目的以外的目的。
在資料保安方面,所有資料使用者須依從保障資料第4(1)原則的規定,即採取所有切實可行的步驟確保由他們持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。此外,保障資料第4(2)原則訂明,如資料使用者聘用「資料處理者」,以代該資料使用者處理個人資料,該資料使用者須採取合約規範方法或其他方法,以防止轉移予該資料處理者作處理的個人資料未獲准許或意外地被查閱、處理、刪除、喪失或使用。
公署已刊發《雲端運算》及《外判個人資料的處理予資料處理者》的資料單張,供有意採用雲端運算及資料處理者的機構參考。
上載日期:2024年8月