加强地产代理公司的个人资料系统
简介
个人资料私隐专员(「私隐专员」)早前根据香港法例第486章《个人资料(私隐)条例》(「该条例」)第36条视察了香港某大型地产代理公司(「该公司」)的个人资料系统,其后于2017年12月18日发表了《视察报告:香港某地产代理公司的个人资料系统》(「视察报告」)。私隐专员在视察该公司后,根据该条例第48条在视察报告中提出多项建议。本文将概述视察报告所述的视察结果及建议。
视察结果及建议
有待改进的范畴
视察报告发现,该公司整体上已采取合理措施致力确保顾客的资料得到妥善管理。私隐专员满意该公司最高管理层支持并承诺保障个人资料私隐,委任高级行政人员监察其个人资料系统的合规情况。私隐专员亦欣赏该公司审慎地分割及监控其资料库系统的权限,并按「有需要知道」的原则设置使用权限,以减少未获授权查阅或泄露顾客个人资料的风险。然而,私隐专员亦发现以下不足之处及有待改进的范畴:
1. 私隐政策
a. 该公司曾以内部通告形式制定一些有关收集个人资料及在直销中使用个人资料的实务指引,惟这些通告均是以零碎的方式发出的,欠缺定期有系统的更新及检讨程序。
b. 私隐专员建议:
i. 地产代理公司应制定全面的私隐政策,将保障个人资料纳入机构内每个重要的操作环节。
ii. 顾客亲身到访地产代理公司的分行或透过电话与个别地产代理联络时,应获告知私隐政策声明及《收集个人资料声明》。
iii. 地产代理公司应制定指引或程序,指示个别地产代理如何安全运送文件及要求他们即日将订明表格或其他相关文件交回办公室。
iv. 载有个人资料的实体文件不应被储存超过保留期限(即 7 年),并应由文件弃置承办商处理。
v. 载有个人资料的文件不应被置于员工枱面无人理会。
2. 监控及持续的评核
a. 该公司没有定期及有系统地监察或审核个人资料的保障情况。
b. 私隐专员建议:
i. 地产代理公司应建立定期及全面性的合规审核机制,以及时反映情况。
ii. 地产代理公司应进行持续评核,以确保员工遵从有关处理个人资料的政策。
3. 资料外泄事故通报机制
a. 该公司并没有书面指引或程序,规管处理资料遗失或外泄情况的程序。
b. 私隐专员建议:
i. 地产代理公司应制定清晰详细的书面指引及程序,以迅速回应资料外泄事故。该等指引及程序应包括应汇报资料外泄事故的情况,及应作出的即时评估及补救措施。
4. 处理卖方及买方的个人资料
a. 该公司并没有严格规定须把买方的个人资料登记在该公司的资料库系统。大多数地产代理均自行保存买方的个人资料,而不登记在资料库系统或告知该公司他们收集了有关资料。
b. 私隐专员建议:
i. 个人资料私隐的权利绝不应因个人的业务利益而受到损害。
ii. 地产代理公司应提供适当指引,要求个别地产代理应在相关的资料库系统输入卖方及买方的个人资料,以掌管所有顾客个人资料的收集、持有、处理或使用的控制权。
5. 技术层面的管治
a. 该公司没有正规资讯科技保安管治架构,亦没有一套适用于个人资料私隐的机构性资讯科技保安政策。
b. 私隐专员建议:
i. 保持资讯科技系统的健康运作以避免系统受网络攻击。
ii. 地产代理公司应指派高层管理人员负责监督资讯科技保安范畴,根据业务定位制定其具体的资讯科技保安政策。
6. 培训及教育
a. 大部份员工均不知道该公司就处理个人资料发出的内部通告及实务指引内容。
b. 私隐专员建议:
i. 地产代理公司应适时及定期传阅有关处理个人资料的政策及指引。
ii. 应委派部门负责建立尊重私隐文化及促进个人资料保障的合规情况。
对各界的影响
虽然视察报告主要针对地产代理行业,但私隐专员的部分建议亦反映其他需处理大量个人资料的行业所面对的类似问题,例如保险公司及网上商店/买卖平台同样须制定严格的私隐政策,以规管客户及顾客个人资料的一般操作和整个处理流程。这些公司应审慎地分割其资料库系统的权限,并制定有效的资料外泄事故通报机制。一个健全的制度不但能建立客户及顾客的信心,而且能令员工安心工作。
事实上,私隐专员提出的大部分建议适用于许多机构,对于需以电子方式处理大量个人资料的公司来说,资料外泄事故通报机制及技术层面的管治尤其重要,若在这两个范畴欠缺全面的系统,一旦资料遗失或外泄,将会令客户的个人资料毫无保障。
| 如有查询,欢迎与我们联络: |
E: employment@onc.hk T: (852) 2810 1212 W: www.onc.hk F: (852) 2804 6311 香港中环康乐广场8号交易广场第三期19楼 |
| 注意:以上内容涉及十分专门和复杂的法律知识及法律程序。本篇文章仅是对有关题目的一般概述,只供参考,不能构成任何个别个案的法律意见。如需进一步的法律咨询或协助,请联络我们的律师。 |
| ONC柯伍陈律师事务所发行 © 2018 |
