上司未經同意查閱下屬的電郵帳戶
查詢事項
查詢者發現上司登入其公司電郵帳戶並更改其密碼,上司的行為是否違反條例規定。
公署的回覆
根據條例第2(1)條,「個人資料」是指與一名在世人士有關的資料,並且從該資料可識辨該名人士的身分,而有關資料的存在形式令予以查閱及處理均是切實可行的。
條例是否適用於查閱電郵帳戶的情況,視乎當中是否涉及收集個人資料的行為。僱主收集及處理僱員的個人資料時,須遵守條例附表1的保障資料第1原則及《人力資源管理實務守則》(守則)的相關規定。一般而言,僱主收集的僱員資料必須是僱主的人力資源職能所需或與該等職能直接有關的資料,或根據規管僱主事務的法律規定所需的資料,而該等資料是以在有關情況下屬公平的方式收集,以及就收集目的而言,所收集的資料並不超乎適度。
如有關情況涉及電子郵件監察(監察及記錄僱員使用僱主提供的設備所收發的電子郵件),僱主在決定進行監察之前,應對所須處理的業務風險及監察活動對僱員的個人資料私隱的影響作出周詳考慮,以評估是否確有需要進行這類監察活動。僱主應考慮是否尚有其他可行方法,藉以減低監察活動所造成的不良影響。在進行監察時,僱主應實施明確的僱員監察政策,清楚說明從監察所收集得的個人資料的管理方法及包括從監察紀錄中收集的個人資料的使用目的等事項,並將有關政策傳達受影響的僱員。就監察僱員工作活動方面,僱主可參考公署發出的《保障個人資料私隱指引:僱主監察僱員工作活動須知》,以了解如何符合條例的要求。
上載日期:2024年8月