【本報訊】個人資料保護辦公室總結去年工作情況，公佈3宗新增個案，其中一間博彩公司曾將個人資料轉交第三人及轉移到澳門特區以外地方，被個人資料保護辦公室處罰2萬元。

顧客個人資料被轉外地

個人資料保護辦公室說，因互聯網上流傳一份涉及A公司針對其董事甲的訴訟資料及調查報告，當中顯示在本地註冊且為A公司子公司的B公司涉嫌將旗下酒店顧客的個人資料轉交給在D國註冊的A公司。

經調查發現，2011年底A公司委託C公司進行一項獨立調查，以瞭解甲的行為有否違反其對A公司的管理義務和有否觸犯A公司所在地的反貪法，具體調查方向是審查甲為了在E國開展業務所作之付出。為此，C公司派出調查員來澳，在B公司配合下收集了B公司酒店顧客的個人資料o C公司其後向A公司遞交的調查報告中顯示了多名人士的個人資料，當中包括曾與甲接觸且曾入住B公司酒店的E國官員的姓名、同行者姓名，其與相關官員的關係、上述人士入住酒店的詳細情況、購物和娛樂等方面的消費和支付情況、留澳的行程安排等。

個資辦認為，有關公司違反個人資料保護法規定處理個人資料的正當性條件，及沒有向個資辦通知轉移個人資料的通知、申請許可或決定。《個人資料保護法》第5條訂明，個人資料的處理應“適合、適當及不超越收集和之後處理資料的目的”，B公司因經營酒店業務而收集的資料，應用於經營酒店業務之目的，其為配合母公司調查而提供酒店顧客資料，已偏離有關資料的收集目的。作為B公司的酒店顧客，彼等並不會預期該公司會基於上述目的而披露其個人資料，此情況已超出了顧客的合理預期，因此，不能認為資料當事人的利益不優先，B公司不具有該法第6條(五)項規定的正當性條件。換言之，B公司不具有該法第6條規定的任一正當性條件。

另一方面，個資辦認為，B公司向A公司指派的調查員提供顧客資料，等同於向在D國註冊的A公司提供資料，亦即是說，B公司將顧客資料轉移到澳門特區以外地方‧然而，B公司一直沒有根據《個人資料保護法》笫19或20條的規定，向辦公室作出任何轉移個人資料的通知、申請許可或決定。因此，B公司將資料轉移到D國，違反了該法第19或20條的規定。

對於上述兩項違法行為，辦公室決定向B公司分別科處澳門幣10，000元罰款，兩項行政違法行為合共科處、澳門幣20，000元罰款。該處罰已經執行。個資辦主任陳海帆稱，辦公室不透露公司名稱，因為這樣也是對該公司的處罰之一，現時未有達到此種處罰條件。據早前傳媒報導，涉及公司為永利澳門。

另外，有美容院未經市民同意使用整容前後的相片作宣傳，以及有政府部門因公開展示員工的醫生檢查證明書被個資辦罰款。

制訂選舉個人資料處理指引

另外，個人資料保護辦公室將制訂選舉個人資料處理指引，為參選人及團隊提供處理個人資料的指引，個資辦正與立法會選管會討論，取得共識後，稍後會公佈詳情。個人資料保護辦公室主任陳海帆表示，個資辦將制訂的的選舉指引原則離不開個人資料保護法，包括處理個人資料合法性、適當性及正當性、尊重當事人的反對權等。陳海帆稱，指引並非強制性，若違反指引同時涉及違反個人資料保護法，會按法律作處罰，若涉及刑事則交由相關部門調查。