日期: 2021年2月17日
公署回應傳媒查詢有關食肆及處所負責人收集個人資料
就 貴報查詢有關食肆及處所負責人收集個人資料,香港個人資料私隱專員公署(私隱公署)現回應如下:
問題
「政府公布最新防疫措施,明天起指定處所除需提供「安心出行」流動應用程式二維碼供顧客使用,也可記錄客人資料才讓他們內進。
本報欲查詢:
-
處所只能索取那些個人資料?如何才算是適度?
-
處所應如何處理這些收集得來的個人資料?如處所違反公署規定,有何罰則?
-
市民前往這些處所時,可如何保護自己的私隱?
-
他們如有不滿可否向公署投訴?如有投訴,公署會如何處理?」
答:問題1
-
私隱公署留意到,根據相關安排,食肆及處所負責人收集顧客的個人資料,即姓名、聯絡電話及到訪處所的日期及時間,目的是為了更有效地協助衞生防護中心進行流行病學調查,以及在疫情下進一步保障員工和顧客的健康和安全。
-
一般而言,在收集個人資料方面,《個人資料(私隱)條例》(《私隱條例》)保障資料第1原則規定,資料使用者(如食肆及處所負責人)應以合法和公平的方式收集資料當事人(如顧客)的個人資料。而就上述目的而言,該等資料屬足夠但不超乎適度。
答:問題2
-
在使用個人資料方面,《私隱條例》保障資料第3原則規定,個人資料只限使用於收集時述明的目的或直接相關的目的。除非得到資料當事人的訂明同意,或資料使用者根據個別情況引用《私隱條例》第8部的相關豁免,否則個人資料不得用於新目的。
-
而根據《私隱條例》保障資料第4原則規定,資料使用者(如食肆及處所負責人)須採取一切切實可行的步驟,保障個人資料不受未獲准許的或意外的查閲、處理、刪除、喪失或使用。因此,食肆及處所負責人應採取適當措施以確保個人資料的保安受到保障。
-
根據《私隱條例》保障資料第2原則規定,資料使用者須採取所有切實可行的步驟,以確保個人資料的保存時間不超過其被使用於收集時的目的所需的時間。
-
若違反《私隱條例》下保障資料原則,私隱專員可發出執行通知,指令資料使用者採取補救措施,以糾正違規情況。違反執行通知即屬犯罪,一經定罪,最高可被判罰款五萬元和監禁兩年。如罪行持續,可被處每日罰款一千元。
答:問題3及4
-
私隱公署留意到,政府指出食肆可要求登記食客的姓名、聯絡電話及到訪處所的日期及時間,並保留記錄31天。
-
如食肆及處所負責人要求收集更多個人資料,市民可要求負責人提供需要收集更多個人資料的理由。
-
私隱公署在收到投訴後會依據既定機制作出跟進,以確定是否有違反《私隱條例》規定的情況。