個人資料私隱專員公署今日（3日）發表2025年的工作報告，並公布三宗涉及個人資料保安的事故，三宗事故的被投訴機構，處理僱員個資時都有缺失，令個資被不當披露、意外查閱及使用，被僱員投訴。

有保安公司主管在發出終止合約通知書時，將載有員工姓名、身份證號碼、被解僱的原因的通知書，發送到公司的即時通訊軟件工作群組。涉事公司解釋，公布投訴人離職是出於保安理由，但公署認為，通知書不需要披露員工的身份證號碼及解僱詳情，裁定屬「過度披露」。

公署早前介入三宗涉及個資保安的事故，三宗事故的被投訴機構，處理僱員個資時都缺失，令個資被不當披露、意外查閱及使用，被僱員投訴。

第一宗個案涉及一間保安公司，投訴人的上司向發出投訴人的終止合約通知書時，將通知書發送到即時通訊軟件WhatsApp工作群組，該通知書載有投訴人的姓名、身份證號碼，以及被解僱的原因。公署調查認為，雖然上司通知員工投訴人的離職日期，是出於保安理由，防止離職員工進入工作場所，但並不需要將整份載有身份證號碼及解僱詳情的通知書披露，只需通知投訴人離職日期即可，裁定屬「過度披露」。

公署又指，公司披露員工個資的做法，同時超出了原本收集資料作僱傭管理的目的，亦非直接相關的目的。由於公司事前未有取得投訴人的同意，因此違反了《個人資料（私隱）條例》中保障資料第3原則（關於個人資料使用的規定）。

私隱專員已向涉事公司發出執行通知，指令群組成員刪除群組內的通知書；如有複印本亦需刪除，並要求涉事公司制定處理僱傭合約個人資料的政策。

第二宗個案涉及一間酒店的保安部門，部門主管將載有全體員工評核表的文件夾，放入控制室部門主管工作檯的櫃桶後忘記上鎖，其後發現該文件夾遺失。評核表涉及的資料包括部門員工的姓名、入職日期以及工作評核內容。酒店解釋工作檯主要供部門主管使用，但當主管休假或不在時，當值的保安人員亦會共用同一張工作檯處理文書工作。

私隱專員公署認為，現時很多公司流行「流動辦公桌」或混合工作模式。若公司使用，須考慮如何儲存紙本機密文件。公署調查認為，雖然主管有人為疏忽，但酒店未有採取所有切實可行的步驟去保障資料安全，遂向該酒店發出執行通知，要求制定監察措施、提高員工保障個人資料私隱的意識，並需就機密文件的儲存及處理制定明確的政策。

第三宗個案涉及一間社福機構，一名行政職員掃描載有員工姓名、薪金、工作表現評核及解僱原因的紀錄表後，錯誤儲存至部門共用資料夾，令文件在未加密下在資料夾存留了約30分鐘。私隱專員公署調查指，機構未有採取切實可行保安步驟，違反《私隱條例》第4(1)原則，已對其發出書面警告。機構事後已停用直接掃描至共用資料夾的功能，並加強員工資料保安培訓。

個人資料私隱專員鍾麗玲指，三宗個案都反映在工作間有人會對保障個人資料掉以輕心，呼籲僱主在保障員工個資上要訂明清晰政策，避免因人為錯誤或意識不足而令個人資料外泄，並應將保障員工個資視為機構數據管治的重要部分。

她建議僱主引入「個人資料私隱管理系統」，制定清晰的個資保安政策；訂立工作流程、實施恒常監察機制，確保員工遵守；並要向員工提關有關保障個資方面的培訓，與員工積極溝通，討論如何處理個人資料的儲存及工作流程。