將客戶的文件和前僱員的個人資料儲存於外判文件儲存倉
查詢事項
查詢者詢問將客戶的文件和前僱員的個人資料存於外判文件儲存倉是否違反條例。
公署的回覆
條例並無規定資料使用者儲存個人資料的地點,然而,資料使用者在資料保安方面必須遵守條例附表1的保障資料第4(1)原則。資料使用者須採取所有切實可行的步驟,以確保由資料使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,尤其須考慮:
(一) 該資料的種類及如該等事情發生便能做成的損害;
(二) 儲存該資料的地點;
(三) 儲存該資料的設備所包含(不論是藉自動化方法或其他方法)的保安措施;
(四) 為確保能查閱該資料的人的良好操守、審慎態度及辦事能力而採取的措施;及
(五) 為確保在保安良好的情況下傳送該資料而採取的措施。
另外,根據《人力資源管理實務守則》(守則)第4.4.1段訂明,僱主應採取所有切實可行的步驟,以確保在本身所在的樓宇或其他樓宇採取必要的保安措施,以防所保留的前僱員的個人資料受到未獲准許的或意外的查閱。
合適的個人資料保安措施取決於個別個案的情況,不能一概而論。一般而言,當所牽涉的個人資料較敏感,或當個人資料在受未獲准許的或意外的查閱、處理、刪除或其他使用時會對資料當事人造成較大的損害,資料使用者就應採取相對較嚴謹的保安措施。
上載日期:2024年8月