关于工作场所个人资料保护原则-GPDP.PDFVIP

關於工作場所個人資料保護原則 ──僱主對僱員活動監察的指引 為有效實施第8/2005 號法律(下稱《個人資料保護法》) ，現特制定本指引， 以達至保護個人資料的目的，並指引僱主在訂定其對僱員活動監察的相關政策時 作出詳細、周全的考慮 ，避免其因此而觸犯法律。 本指引僅適用於公共部門及私人機構(下統稱機構)僱主對僱員活動的監察 。 一、監察行為屬於處理個人資料的行為 僱主對僱員活動的監察，一般可能涉及電話、電郵、瀏覽互聯網及攝錄監察 等方面。 電話監察是指，監察及記錄僱員通過僱主所提供的電訊設備接收及發出電話 的號碼、通話或留言內容，因而收錄了當事人的聲音等。 電郵監察是指，監察及記錄僱員通過僱主提供的設備收發的電子郵件，因而 收集了僱員收發電郵中的電郵地址及內容等。 互聯網使用監察是指，監察及記錄僱員通過僱主提供的設備瀏覽互聯網的活 動 ，因而收集了僱員的用戶瀏覽記錄 、傳送或接收的資料等。 攝錄監察是指，在辦公地點安裝攝錄機或閉路電視等設備，記錄僱員及在此 範圍內活動的人員的情況 ，因而收集了僱員及其他人員的影像等 。 僱主對僱員活動的監察行為，涉及個人資料的收集及處理。 根據 《個人資料保護法》第四條的規定，“個人資料”是指：與某個身份已 確定或身份可確定的自然人（ “資料當事人”）有關的任何資訊，包括聲音和影 像，不管其性質如何以及是否擁有載體。所謂身份可確定的人 ，是指直接或間接 地，尤其透過參考一個認別編號或者身體、生理、心理、經濟、文化或社會方面 的一個或多個特徵，可以被確定身份的人。 Page 1 of 13 例如，姓名、性別、出生日期、年齡、婚姻狀況、地址、電話、傳真、電郵、 工作地點、職務、收入、選民證編號、銀行戶口、相片、影像及聲音等。 所謂“個人資料的處理”是指：有關個人資料的任何或者一系列的操作，不 管該操作是否通過自動化的方法進行，諸如資料的收集、登記、編排、保存、改 編或修改、復原、查詢、使用，或者以傳送、傳播或其他透過比較或互聯的方式 向他人通告，以及資料的封存、刪除或者銷毀。 根據 《個人資料保護法》第三條規定，該法 “適用於全部或部分以自動化方 法對個人資料的處理，以及以非自動化方法對存於或將存於人手操作的資料庫內 的個人資料的處理。” 因此 ，上述的監察活動受《個人資料保護法》所規範。 二、 僱主對監察活動的事先評估 由於電話、電郵、瀏覽互聯網及攝錄監察涉及對僱員個人資料的收集，僱主 決定對僱員的活動進行上述監察之前，應作出周全的考慮，特別是要考慮以下問 題： 1. 收集的目的是什麼，是否合法； 2. 監察措施是否為達到目的所必須，是否有其他對個人資料的處理更少的 方法可以代替之 ； 3. 監察措施、範圍、時段是否合理適當 ； 4. 所收集的資料包括哪些，是否為達到預定的目的所必須； 5. 監察是否有助於保障僱主、僱員及服務對象的利益； 6. 如不當處理所收集的資料，會帶來什麼損害性結果； 7. 如何制定保護個人資料的行為守則及收集個人資料的聲明 。 三、 對僱員進行監察應遵循的原則 監察活動屬於收集個人資料行為，因此，僱主對僱員的監察行為應遵從《個 Page 2 of 13 人資料保護法》的規定，處理個人資料時應以透明、合法的方式進行，應尊重私 人生活的隱私及遵守法律對個人基本權利、自由和保障的規定，亦應遵守善意原 則 ﹝見《個人資料保護法》第二條及第五條第一款第(一)項﹞ 。違反本點所述的 原則，可能構成行政違法，甚至構成犯罪，僱主亦可能因此而需對受害人作出賠 償 ﹝見《個人資料保護法》第十四條、第三十條至第四十四條﹞。 (一) 合法性原則 處理資料的合法性原則包括三方面：目的合法性、方式合法性及範圍合法性。 1. 目的合法性 一般來說，僱主於工作場所收集僱員的個人資料、監察其行為的目的是基於 機構運作的需要，保障僱主的利益。作為僱主，在其機