2018年10月25日
公署回應有關國泰航空外洩客戶個人資料是否受GDPR規管
謝謝謝你的查詢,有關國泰航空外洩客戶個人資料是否受GDPR規管,公署現回覆如下:
-
根據《通用數據保障條例》,香港的機構/企業在以下情況下可能需要遵從《通用數據保障條例》的規定:
(1) 在歐盟設立機關,而該機關的活動涉及處理個人資料,不論是否確實在歐盟境內處理資料;或
(2) 在歐盟沒有設立機關,但向歐盟人士提供貨品或服務或監察他們的行為。
-
《通用數據保障條例》亦適用於在歐盟以外的法域區(包括香港)設立的機構/企業所進行涉及處理個人資料的活動。
-
任何個人或機構(包括公私營機構)在本港或從本港控制個人(包括香港以外居民)的資料的收集、持有、處理或使用(包括披露和轉移)時,便須遵從《個人資料(私隱)條例》(《私隱條例》)的規定。
-
公署負責執行《私隱條例》,並非《通用數據保障條例》的執管機構。有關其執法情況及標準,請向有關機構查詢。
-
就國泰航空公司外洩客戶個人資料事件,香港個人資料私隱專員(私隱專員)黃繼兒表示非常關注,尤其當中可能涉及大量本港巿民的個人資料(如姓名、出生日期、護照號碼、身份證號碼、信用咭號碼等)。公署已主動聯絡相關航空公司,並就事件展開循規審查。
-
現時本港資料外洩事故通報只屬自願性質,但私隱專員鼓勵肇事機構通知公署,此舉有利於公署與相關機構攜手,減低因事件對所涉客戶可能構成的潛在損害,並尋求改善方案有效防止事件再次發生。私隱專員黃繼兒強調,機構應恪守更高的道德標準,以符合客戶的期望及相關法例和監管的要求。而數據道德可彌合法例要求和客戶期望兩者之間的落差。這正是公署剛發表的研究報告所倡議的數據道德管理價值,包括尊重 (respectful)、互惠(beneficial)和公平(fair)。」