中小企日常營運時,或多或少會接觸到客戶個人資料,而隨著近年科技進步、在家辦公盛行,中小企業在處理敏感個人資料上面臨更多挑戰。由於資源及人手有限,普通中小型企業難以成立法律與合規專責部門,對《個人資料(私隱)條例》往往一知半解,或對遵照規定感到力不從心。其實,個人資料私隱專員公署網上有不少實用資源,本文精選部分實用建議,解答中小企對保障客戶個人私隱的常見疑難。
中小企可收集客戶的身份證號碼及出身日期嗎?
根據公署發出的《身份證號碼及其他身份代號實務守則》,除了獲法律授權外,企業不能強制任何人提供身份證號碼,並應嘗試以其他替代方式識別個人身份,例如美容中心可用會員編號代替身份證號碼為客戶預約服務。不過,《守則》亦列舉可收集客戶身份證號碼的例子,包括醫生確認病人醫療記錄、簽署地產買賣合約及汽車租賃等。
至於生日日期方面,公署指出如中小企希望為客戶提供適合其年齡的產品或服務,只需要收集客年齡或年齡組別;想提供生日優惠者,索取客戶出生月份或日子便已足夠,而毋須獲取完整生日日期。而中小企收集客戶個人資料前,應向客戶提供《收集個人資料聲明》,通知客戶收集資料的用途,以及資料有可能被移交予甚麼人,並通知客戶他們日後有機查閱及要求更改資料。
中小企應如何保障客戶個人資料安全?
公署指出,中小企須根據資料的敏感度及實際情況,採取合適保安措施保障個人資料。例如在戶外進行推廣活動時,運送所收集到的個人資料應加倍謹慎;公署又以診所遺失病人病歷、但無法確定誰人最後接觸檔案及病歷遺失原因為違反私隱條例行為例子,指出診所應派員於每天休診後檢查曾經取出的病歷是否已放回原處,並規定職員非應診時取出病歷須作出記錄。
另外,網店在執行數據傳送、處理或儲存時,應將敏感的數據加密,並定期以不可逆轉及安全方式銷毀經網站收集的個人資料,以保障客戶私隱。
中小企用客戶資料作直接促銷時有甚麼要注意?
中小企在將現有或目標客戶個人資料用作直銷用途前,須告知客戶並提供回應途徑,讓客戶表明是否同意用其個人資料作推廣。如中小企想轉移個人資料予第三者作直銷,必須以書面告知客戶並取得客戶同意。
店舖內安裝閉路電視會否侵犯個人私隱?
中小企以保安理由於店舖安裝閉路電視時,無可避免地會攝錄到途人影像,因此中小企應評估閉路電視系統的設計及使用情況是否適當,並採取切實可行的措施,並應在錄影範圍內展示明顯告示說明監察目的;沒有充分理據下,中小企不應使用隱藏式閉路電視作監察。
員工用自己手機或電腦工作,應如何保險客戶個人資料?
打工仔無可避免會用到個人手機或電腦處理公司資料,公署指出資料使用者在這種情況下,仍須為轉移到員工設備的個人資料負上遵守《私隱條例》的責任。公司建議中小企可採取的保安措施包括:
- 盡可能避免將個人資料存儲在自攜裝置設備;
- 控制對儲存在自攜裝置設備內的個人資料的存取;
- 使用並非自攜裝置設備內建的加密方法來加密個人資料;
- 在自攜裝置設備上安裝適合的軟件,以便在遺失設備時可遙距刪除存儲在裏面的資料。
如中小企對《個人資料(私隱)條例》有疑問,應向哪個部門查詢?
中小企可聯絡個人資料私隱公署所設立的「中小型企業諮詢熱線」:
- 電話:2110 1155
- 電郵:sme@pcpd.org.hk
萬一不幸發生資料外洩事故,可經電郵dbn@pcpd.org.hk或公署的網上表格通報。