日期: 2017年12月15日
公署回應有關旅行社資料保留事宜及跟進縱橫遊事件
謝謝你的電郵查詢,有關旅行社保留客戶個人資料及跟進縱橫遊懷疑電腦系統遭入侵而可能導致客戶個人資料外洩事件,公署現綜合回覆如下:
-
作為資料使用者,旅行社必須按《個人資料(私隱)條例》(「條例」)規定妥善保留及刪除客戶的個人資料方面,其中旅行社須採取所有切實可行的步驟:
-
確保個人資料的保留時間不得超過達致原來目的的實際所需(保障資料第2(2)原則);及
-
刪除已不再為使用目的而需要保留的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的(條例第26條)。
條例第26條及保障資料第2(2)原則並沒有指明資料使用者保留個人資料的期限。旅行社應按其業務的實際所需、其收集個人資料的原來目的,與及為符合其他法定要求或公眾利益而決定保存個人資料的期限。
-
公署注意到旅行社會收集和保存大量客戶的個人資料,因此曾於2016年1月發表一份有關旅行社個人資料系統的視察報告供業界參考,當中建議旅行社檢視電腦訂位記錄內的個人資料的保留時間,並只保留必需的個人資料。
-
由2017年1月1日至12月13日,公署收到一宗與旅行社個人資料保留相關的投訴,並已按既定程序作出適當跟進。
-
公署就縱橫遊懷疑電腦系統遭入侵而可能導致客戶個人資料外洩事件展開循規審查並正進行中,現階段沒有資料補充。
(如需引述,請寫私隱專員黃繼兒)