加強地產代理公司的個人資料系統
簡介
個人資料私隱專員(「私隱專員」)早前根據香港法例第486章《個人資料(私隱)條例》(「該條例」)第36條視察了香港某大型地產代理公司(「該公司」)的個人資料系統,其後於2017年12月18日發表了《視察報告:香港某地產代理公司的個人資料系統》(「視察報告」)。私隱專員在視察該公司後,根據該條例第48條在視察報告中提出多項建議。本文將概述視察報告所述的視察結果及建議。
視察結果及建議
有待改進的範疇
視察報告發現,該公司整體上已採取合理措施致力確保顧客的資料得到妥善管理。私隱專員滿意該公司最高管理層支持並承諾保障個人資料私隱,委任高級行政人員監察其個人資料系統的合規情況。私隱專員亦欣賞該公司審慎地分割及監控其資料庫系統的權限,並按「有需要知道」的原則設置使用權限,以減少未獲授權查閱或洩露顧客個人資料的風險。然而,私隱專員亦發現以下不足之處及有待改進的範疇:
1.
私隱政策
a.
該公司曾以內部通告形式制定一些有關收集個人資料及在直銷中使用個人資料的實務指引,惟這些通告均是以零碎的方式發出的,欠缺定期有系統的更新及檢討程序。
b.
私隱專員建議:
i.
地產代理公司應制定全面的私隱政策,將保障個人資料納入機構內每個重要的操作環節。
ii.
顧客親身到訪地產代理公司的分行或透過電話與個別地產代理聯絡時,應獲告知私隱政策聲明及《收集個人資料聲明》。
iii.
地產代理公司應制定指引或程序,指示個別地產代理如何安全運送文件及要求他們即日將訂明表格或其他相關文件交回辦公室。
iv.
載有個人資料的實體文件不應被儲存超過保留期限(即 7 年),並應由文件棄置承辦商處理。
v.
載有個人資料的文件不應被置於員工枱面無人理會。
2.
監控及持續的評核
a.
該公司沒有定期及有系統地監察或審核個人資料的保障情況。
b.
私隱專員建議:
i.
地產代理公司應建立定期及全面性的合規審核機制,以及時反映情況。
ii.
地產代理公司應進行持續評核,以確保員工遵從有關處理個人資料的政策。
3.
資料外洩事故通報機制
a.
該公司並沒有書面指引或程序,規管處理資料遺失或外洩情況的程序。
b.
私隱專員建議:
i.
地產代理公司應制定清晰詳細的書面指引及程序,以迅速回應資料外洩事故。該等指引及程序應包括應匯報資料外洩事故的情況,及應作出的即時評估及補救措施。
4.
處理賣方及買方的個人資料
a.
該公司並沒有嚴格規定須把買方的個人資料登記在該公司的資料庫系統。大多數地產代理均自行保存買方的個人資料,而不登記在資料庫系統或告知該公司他們收集了有關資料。
b.
私隱專員建議:
i.
個人資料私隱的權利絕不應因個人的業務利益而受到損害。
ii.
地產代理公司應提供適當指引,要求個別地產代理應在相關的資料庫系統輸入賣方及買方的個人資料,以掌管所有顧客個人資料的收集、持有、處理或使用的控制權。
5.
技術層面的管治
a.
該公司沒有正規資訊科技保安管治架構,亦沒有一套適用於個人資料私隱的機構性資訊科技保安政策。
b.
私隱專員建議:
i.
保持資訊科技系統的健康運作以避免系統受網絡攻擊。
ii.
地產代理公司應指派高層管理人員負責監督資訊科技保安範疇,根據業務定位制定其具體的資訊科技保安政策。
6.
培訓及教育
a.
大部份員工均不知道該公司就處理個人資料發出的內部通告及實務指引內容。
b.
私隱專員建議:
i.
地產代理公司應適時及定期傳閱有關處理個人資料的政策及指引。
ii.
應委派部門負責建立尊重私隱文化及促進個人資料保障的合規情況。
對各界的影響
雖然視察報告主要針對地產代理行業,但私隱專員的部分建議亦反映其他需處理大量個人資料的行業所面對的類似問題,例如保險公司及網上商店/買賣平台同樣須制定嚴格的私隱政策,以規管客戶及顧客個人資料的一般操作和整個處理流程。這些公司應審慎地分割其資料庫系統的權限,並制定有效的資料外洩事故通報機制。一個健全的制度不但能建立客戶及顧客的信心,而且能令員工安心工作。
事實上,私隱專員提出的大部分建議適用於許多機構,對於需以電子方式處理大量個人資料的公司來說,資料外洩事故通報機制及技術層面的管治尤其重要,若在這兩個範疇欠缺全面的系統,一旦資料遺失或外洩,將會令客戶的個人資料毫無保障。
| 如有查詢,歡迎與我們聯絡: |
E: employment@onc.hk T: (852) 2810 1212 W: www.onc.hk F: (852) 2804 6311 香港中環康樂廣場8號交易廣場第三期19樓 |
| 注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。 |
| ONC柯伍陳律師事務所發行 © 2018 |
