日期: 2020年5月28日
公署回應傳媒查詢有關僱主如何保障僱員個人資料
就 貴傳媒查詢有關僱主如何保障僱員個人資料,香港個人資料私隱專員(私隱專員)現就《個人資料(私隱)條例》(《私隱條例》)的相關內容回覆如下:
問題
「假設情況:
一間公司設有供僱員內部使用的通訊錄,但個別僱員因個人資料被放在網上流傳,該名僱員遂要求公司中止在內部通訊錄刊載其個人資料,以免被人濫用。
在以上情況,
(一)請問僱主是否有責任確保僱員的個人資料不會被員工濫用、外洩?如有,僱主應怎樣做?
(二)若然僱主(或公司的人事部)拒絕該名僱員的要求,即繼續刊載員工的個人資料於內部通訊錄,該名僱員可以如何保障自己的個人資料,不會被其他員工濫用、外洩?」
答:問題一
-
僱主作為資料使用者,在使用(包括披露)僱員(作為資料當事人)的個人資料時,有責任依從《私隱條例》的條文及保障資料原則的規定,保障僱員的個人資料由收集、使用、處理、保安的整個生命周期,以至私隱政策透明度等。私隱專員根據《私隱條例》第12條發出《人力資源管理實務守則》,旨在就如何適當地處理與僱傭的每一階段有關的個人資料,為僱主及其僱員提供實際指引。當中包括:
o 僱主不應將僱員的僱傭資料,使用或披露於不是與僱員的僱傭目的直接有關的任何目的,除非僱員已給予訂明同意將有關資料使用或披露於其他目的或因應《私隱條例》第8部中有適用的豁免事項(《
人力資源管理實務守則》3.10.1);
o 機構的內部政策應規定查閱及處理個人資料受「需要知道」及「需要使用」的原則所規限(《
人力資源管理實務守則》1.4.1);
o 如僱主將任何與僱傭有關的個人資料作內部用途,則僱主應採取適當的保安措施,以免該資料受到未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響(《
人力資源管理實務守則》1.4.2);
o 僱主應採取合理地切實可行的措施,以確保在僱主的個人資料私隱政策方面,為處理與僱傭有關的個人資料的僱員提供訓練以遵從有關政策,以及確保他們在應用有關政策時會盡量審慎行事,並且會按照為該等政策而設計的程序辦事(《
人力資源管理實務守則》1.4.1)。
-
僱員可與僱主商討,了解更多機構處理個人資料的政策及具體保障個人資料的措施。
-
如僱員懷疑其個人資料私隱受到侵犯,而又能提供表面證據,可以向私隱專員作出投訴。私隱專員會按既定政策和法例作出適當跟進及處理。
背景資料