私隱公署發表飲食業企業視察報告 促勿濫收求職者身份證資料

撰文:楊嘉朗
出版:更新:

本港飲食業界共僱用超過 22萬名僱員,個人資料私隱專員公署早前曾審視一間具領導地位飲食業機構,檢視企業就僱傭相關的個人資料系統。私隱署今日(26日)發表報告,認為飲食業應避免濫收求職者身份證資料,建議停止收集求職者部分身份證號碼,並完全銷毀這些已收集的資料。若求職者透過即時通訊應用程式提交資料,僱主亦應適時刪除透過程式所收集的求職者個人資料。

私隱公署發表飲食業企業視察報告,促勿濫收求職者身份證資料。(資料圖片/張浩維攝)

私隱署早前以神秘顧客及手機軟件的職位查詢,了解該企業就保障個人資料私隱的相關政策。私隱署調查後,發現該公司雖遵從《人力資源管理實務守則》中的大部分規定,惟企業長久以來,偏好濫收求職者的身分證號碼資料。求職者在職位申請表上,需提供身分證號碼首個字母及首三個數字。私隱署其後向企業查詢,企業只表示收集上述資料是用作核實用途,但沒有作進一步解釋。

私隱署認為,企業在面試前,要求求職者出示身分證明文件,已能達到核實身分目的,形容收集求職者部分身分證號碼行為,屬過度及不必要,應停止有關安排,並要完全銷毀這些已收集的資料。雖然該機構個別做法欠妥,但私隱公署強調,該企業並無實質性的缺失。該企業仍有一些可以改善的地方,希望經建議後提升及加強其私隱管理。

署理香港個人資料私隱專員林植廷表示:「報告中的結果及建議,可作為飲食業界及其他僱主參考,協助他們更好地管理準僱員、現有僱員和已離任僱員的個人資料私隱。」他又鼓勵企業推行私隱管理系統,除能有效幫助僱主管理其僱員及顧客個人資料外,亦有助持份者建立與僱員及顧客的信任。

私隱署視察飲食業僱主的報告中,提到企業處理私隱資料,良好及可改善的地方如下︰

良好措施包括:

• 通知求職者資料的保留期限;

• 向面試人員提供範本問題,以避免收集超乎適度的個人資料;

• 不會將落選求職者的個人資料輸入人力資源系統;及

• 採取保護僱傭資料的保安措施,包括︰

(a) 資訊管理系統的ISO/IEC 27001認證;

(b) 穩健的密碼管理;及

(c) 嚴格的存取控制。

 

改善建議如下:

•停止收集求職者的部分身分證號碼,並完全銷毀這些已收集的資料;

• 確保在每份所收集並持有的僱員身分證副本上均加上橫跨整個身分證影像的「副本」的字眼;

• 確保在招聘廣告中直接要求求職者遞交個人資料時,向所有求職者提供《收集個人資料聲明》,或在招聘廣告中告知求職者可向其索取《收集個人資料聲明》的聯絡人;

• 適時刪除透過即時通訊應用程式所收集的求職者的個人資料;

• 確保網上私隱政策與職位申請表上所述的僱員個人資料的保留期限相符;

• 定期為所有僱員進行資料保障培訓及定期更新相關的培訓材料;及

• 在與承辦商(例如廢紙處置承辦商)及其他處理僱員個人資料的承辦商簽訂的協議中加入更具保障的條款,例如限制分判、向資料使用者通報資料外洩(如發生的話)。