|
調查
報告:聯合醫院遺失載有病人個人資料的USB閃存驅動器
1.
個人資料私隱專員(下稱「專員」)吳斌今日(12月24日)發表一份報告(下稱「該報告」),公布一宗根據《個人資料(私隱)條例》(下稱「條例」)
第38(a)條對投訴個案展開的調查的結果。事件涉及醫院管理局(下稱「醫管局」)轄下的基督教聯合醫院(下稱「聯合醫院」)職員遺失載有26名病人個人
資料的USB閃存驅動器。
2.
專員詳細考慮過所有相關情況,最後認為聯合醫院違反了條例附表1保障資料第4原則的規定。該原則規定,資料使用者須採取所有切實可行的步驟,以確保由資料
使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除或其他使用所影響。
3.
根據條例第50條,如專員認為資料使用者已違反條例的保障資料原則的規定,而違反情況令到違反行為將持續或重複發生是相當可能的,則專員可向該資料使用者
送達執行通知。不過,在本個案中,基於聯合醫院的職員已停止使用USB儲存及傳送病人資料,沒有資料顯示聯合醫院的違反行為將持續或重複發生是相當可能
的,因此私隱專員沒有向醫管局送達執行通知。
4.
USB方便攜帶且用途廣泛,不少醫護人員都會用來儲存病人的個人資料。但在使用USB之前,醫護人員應該先考慮是否真正有需要使用、是否有其他有效方法代
替,以及小心衡量使用USB的潛在風險。在本個案中的醫護人員其實可以用內聯網代替USB,而又可減低遺失病人個人資料的風險及影響。在使用電子形式傳送
資料前,亦須適當評估安全問題。
5.
專員評論本個案時表示︰「科技進步無疑能令工作更為方便,但資料使用者在使用新科技提高工作效率的同時,亦需要相應地提高職員對個人資料保障方面的意識及
要求。他們應適時地檢討既有的政策及內部指引,以便能與時並進。我知道聯合醫院在個案發生後已禁止職員繼續使用USB處理及儲存病人的個人資料(除非事前
獲醫院行政總監的批准)。無論如何,我欣悉醫管局已備有使用USB的內部指引及使用程序。」
6. 該報告可於公署網頁 (www.pcpd.org.hk)下載,或於公署索取。
完
|
返回頁首
 
|
聲
明∕版 權 
