日期: 2022年6月13日
私隱公署發表兩份調查報告及新版本的物業管理界別指引
個人資料私隱專員公署(私隱公署)今日發表兩份調查報告:(一)康健醫療及牙科服務有限公司(康健)意外棄置病人醫療紀錄;及(二)四間物業管理公司不當收集、保留及使用業戶及訪客個人資料,亦同時發布新版本的《保障個人資料私隱—物業管理界別指引》。
康健意外棄置病人醫療紀錄的調查報告
私隱公署已經完成對康健意外棄置病人醫療紀錄的調查,並於今日發表調查報告。事件源於2021年6月2日私隱公署收到康健的資料外洩事故通報,表示旗下一間位於炮台山的醫務中心(該醫務中心)在2021年3月中旬意外棄置一個載有病人醫療紀錄的紙箱(該紙箱)(紙箱棄置前的位置見圖1)。事件涉及該醫務中心294 名病人。
圖 1:紙箱棄置前的位置
根據調查所獲得的證據,個人資料私隱專員(私隱專員)鍾麗玲發現康健在以下方面存在嚴重不足,導致該紙箱在可避免的情況下遭意外棄置:
-
員工的個人資料保障意識欠奉;
-
欠缺有效的資料保障政策及程序;及
-
欠缺提供個人資料保障方面的員工培訓。
在這個案中,私隱專員發現康健在個人資料的保安方面存在嚴重不足,私隱專員認為康健沒有採取所有切實可行的步驟以確保涉事的醫療紀錄受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《個人資料(私隱)條例》(《私隱條例》)保障資料第 4(1)原則有關個人資料保安的規定。私隱專員已向康健送達執行通知,指示康健糾正以及防止有關違規情況再發生。
此外,雖然《私隱條例》沒有規定資料使用者須向私隱專員及資料當事人通報資料外洩事故,亦沒有規定資料使用者須在指定時間內作出通報,但考慮到事件所涉及的個人資料性質敏感,私隱專員認為康健可在更早的時間作出資料外洩事故通報。私隱專員對康健在事件發生接近三個月後才作出資料外洩事故通報,表示遺憾。
私隱專員希望藉此報告提醒機構,個人資料無論是遭意外丟失、洩漏還是不當處置,對相關人士潛在的傷害實在不容忽視,尤其是當有關資料涉及屬敏感資料的醫療紀錄。私隱專員建議機構:
-
設立個人資料私隱管理系統(私隱管理系統),循規地使用及保留個人資料;
-
委任保障資料主任,監察《私隱條例》的遵從並向高級管理層匯報;
-
提升僱員的個人資料保障意識,並為機構建立保障個人資料文化;
-
向僱員提供全面的培訓,將個人資料保障的意識滲入其日常工作之中,減低因意識不足而引致的人為錯誤;及
-
不論屬電腦或是實體系統處理個人資料的保安措施均應同樣重視,投放相應資源,加強有關的保安措施。
私隱專員亦提醒機構,當機構懷疑或發現資料外洩事故發生時,應盡快向私隱公署作出通報,讓私隱公署提供協助及建議,減低資料外洩事故所造成的損害,以及改善處理個人資料的系統。
下載《調查報告:康健醫療及牙科服務有限公司病人醫療紀錄遭意外棄置》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r22_12326_c.pdf
四間物業管理公司不當收集、保留及使用業戶及訪客個人資料的調查報告
過去五年,私隱公署平均每年收到百多宗有關物業管理界別的投訴。為提升物業管理業界對保障業戶及訪客的個人資料私隱的意識,私隱專員就近期接獲的四宗有關物業管理公司的投訴,發表調查報告。
該四宗投訴涉及四間物業管理公司,分別是:-
-
昌生物業代理及管理有限公司—在公共告示板張貼 載有業主全名及地址的追收款項通告;
-
創毅物業服務顧問有限公司—在派發口罩活動中,沒有覆蓋寫有領取口罩業戶姓名、地址等的共用簽收表格,以致途人可清楚看到這些個人資料;物業管理公司亦沒有為個人資料訂立保存期限;
-
尊家管業有限公司—相關的保安員未有按公司政策,擅自將業戶電話號碼披露予另一業戶;及
-
怡信物業管理有限公司—強制要求外賣員出示香港身份證作訪客登記,才可以進入大廈。(投訴個案詳情請參閱附件)
私隱專員對這四宗投訴進行調查後,發現這四間物業管理公司分別違反了《私隱條例》下保障資料原則有關個人資料的收集、保留期限、使用和保安的規定。私隱專員已向四間物業管理公司發出執行通知,指示該些公司糾正其違反事項,以及防止同類違反的行為再發生。
給物業管理界別的五項建議
私隱專員希望藉此報告,對物業管理團體作出以下五項建議:
-
引入個人資料私隱管理系統,把個人資料私隱保障納入團體的管治責任;
-
在制定涉及收集個人資料的政策或措施前,應先進行私隱影響評估,以及考慮是否有其他侵犯私隱程度較低的替代方法;
-
委任保障資料主任,確保團體遵從《私隱條例》的規定及推行私隱管理系統,建立尊重個人資料私隱的文化;
-
視業戶的個人資料為物業管理團體的重要資產,針對員工的需要而提供培訓;及
-
定期檢討及更新與處理個人資料相關的政策及指引,就員工日常工作程序作出有效的監察,務求員工能掌握《私隱條例》的要求。
新版本的《保障個人資料私隱—物業管理界別指引》
因應物業管理行業的最新發展,私隱公署已同步更新《保障個人資料私隱—物業管理界別指引》,內容涵蓋最常見的處理個人資料範疇。
私隱專員表示:「物業管理團體應按法例和指引採納良好的行事方式,妥善保障業戶及訪客的個人資料私隱,這是行業優質化和專業化不可或缺的一環。物業管理從業員抱著尊重業戶及訪客的個人資料私隱的意識行事,不但可以突顯本身的優質服務,增強競爭力,獲取住客及訪客的信任,更可減少紛爭和誤會,締造安居樂業的雙贏局面。」
下載《調查報告:物業管理公司不當收集、保留及使用業戶及訪客個人資料的情況》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/ r22_14226_c.pdf
下載《保障個人資料私隱—物業管理界別指引》:
https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/property_c.pdf
私隱專員鍾麗玲(中)、首席個人資料主任(投訴)陳美儀(左)及署理首席個人資料主任(合規及查詢)郭正熙(右)介紹兩份調查報告及新版本的物業管理界別指引。
私隱專員鍾麗玲就康健意外棄置病人醫療紀錄的調查報告,向機構作出五項建議。
-完-
附件
四間物業管理公司不當收集、保留及使用業戶及訪客個人資料詳情
調查個案(一)
私隱公署收到投訴,指稱負責管理長洲桂濤花園物業的昌生物業代理及管理有限公司(昌生)在屋苑公共地方的告示板上公開張貼一張追收業主集資款項的通告(見圖2)。該通告夾附一份載有48名業主的英文全名、單位完整地址及未繳付的金額資料的名單(見圖3)。
根據調查所獲得的證據,私隱專員認為,昌生將有關通告個別發送到該48名業主的信箱,已可達致追收欠款的效果。再者,昌生亦無必要公開張貼該48名業主的個人資料。因此,私隱專員認為昌生在個案中違反了《私隱條例》保障資料第3(1)原則有關個人資料使用的規定。
圖 2:告示板位置
圖 3:節錄自載有48名業主個人資料的名單(所有個人資料已被遮蓋)
調查個案(二)
負責上水清河邨物業管理的創毅物業服務顧問有限公司(創毅)在協助政府派發口罩予每戶居民時,要求領取口罩的住戶於共用表格上提供個人資料,包括姓名、所住單位、領取口罩日期及簽署(見圖4)。有投訴指創毅沒有為上述個人資料訂立保存期限,亦未有妥善保障共用表格上的個人資料,以致當中的個人資料可清楚被途人看見。
圖 4:置於員工工作檯旁紙盒内的共用表格(所有個人資料已被遮蓋)
就創毅在事發時並沒有就共用表格中的個人資料訂立保存期限,私隱專員認為其違反了《私隱條例》保障資料第2(2)原則有關個人資料保存期間的規定。
另外,就創毅沒有採取所有切實可行的步驟去保障載於該簽收紀錄中住戶的個人資料方面,私隱專員認為其違反了《私隱條例》保障資料第4(1)原則有關個人資料保安的規定。
調查個案(三)
居於筲箕灣柏匯的投訴人表示,早前收到另一名業戶的來電,惟他從未向該名業戶提供其電話號碼。在投訴人查問下,該名業戶表示其電話號碼是由柏匯的一名保安員提供的。投訴人遂向私隱公署投訴負責柏匯物業管理工作的尊家管業有限公司(尊家)。
個案中的大廈保安員在事發時未有按尊家既定處理個人資料方面的政策,擅自將投訴人的電話號碼披露予另一業戶。這顯然不符合投訴人同意其個人資料被使用的目的,亦與尊家當初收集投訴人個人資料的目的不一致。私隱專員認為,尊家違反了《私隱條例》保障資料第3(1)原則有關個人資料使用的規定。
調查個案(四)
於外賣平台公司任職送餐員的投訴人表示,早前他派送外賣至由怡信物業管理有限公司(怡信)負責物業管理的筲箕灣東旭苑時,保安員要求他必須出示其香港身份證作訪客登記,且不接受投訴人提出以其他身份證明文件進行訪客登記的要求(見圖5)。最後,投訴人在沒有出示身份證的情況下,被拒進入大廈。
圖 5:東旭苑櫃檯的告示
身份證號碼屬性質敏感的個人資料,任何資料使用者都只可在符合《私隱條例》及私隱專員根據《私隱條例》發出《身份證號碼及其他身份代號實務守則》(《守則》)列明的情況下,方可收集身份證號碼。
在本個案中,怡信除收集香港身份證號碼外,並沒有提供其他較不侵犯私隱的替代方法供訪客選擇。私隱專員認為,此舉並不符合《守則》的規定,亦同時違反了《私隱條例》保障資料第1(1)原則有關收集個人資料的規定。