香港人力资源实务守则.pdf

人力資源管理實務守則個人資料私隱專員公署香港灣仔港灣道一號會展廣場辦公大樓 24 樓 2401 室電 話：(852) 2827 2827傳 真：(852) 2877 7026網 址：http://www.pco.org.hk©個人資料私隱專員公署二零零零年九月未經同意，不得翻印；作非牟利用途及在翻印本上適當註明出處者除外i目錄引言1釋義1本守則的使用方法21. 一般規定31.1 引言31.2 收集個人資料時須給予通知的規定3在收集與僱傭有關的個人資料之時或之前所作出的聲明3目的聲明：個人資料的使用目的4關於承轉人的聲明：承轉人的類別5可隨意或有責任提供資料5查閱資料及改正資料要求6在條例生效前收集的與僱傭有關的個人資料61.3 與僱傭有關的個人資料的準確性及保留期間7與僱傭有關的個人資料的準確性7保留與僱傭有關的資料71.4 為保障與僱傭有關的資料所採取的保安措施8為確保僱員有良好操守、審慎態度及辦事能力所採取的措施8藉管制查閱與僱傭有關的資料而達保安的目的 9與互聯網的使用有關的預防措施及其他事宜 101.5 依從查閱資料及改正資料要求 11與僱傭有關的資料的查閱資料要求 11與僱傭有關的資料的改正資料要求 121.6 僱主就僱員或代理人的錯誤作為或行為所須承擔的法律責任 131.7 其他事宜 13與僱傭有關的個人資料的法定規定 13提供政策及實務方面的資料 14關於僱員記錄內的身分證號碼的事宜 14ii2. 招聘 162.1 引言 16與招聘事宜有關的實際指引 172.2 收集求職者的個人資料 172.3 刊登職位空缺廣告 182.4 職業介紹所/獵頭公司 202.5 關於求職者的內部記錄 212.6 接受及處理求職申請表 222.7 為進行遴選收集資料 232.8 要求取得求職者的個人評介 232.9 求職者接受聘任 242.10 落選的求職者 252.11 求職者的查閱及改正資料要求 253 現職僱員 273.1 引言 27與僱傭有關的實務的實際指引 283.2 聘用條款方面的個人資料 28酬償及福利 28品格審查/利益衝突聲明 28體格檢驗及健康狀況資料 293.3 紀律處分程序 303.4 工作表現評核 313.5 職工策劃 323.6 晉升策劃 323.7 為僱員提供工作表現評介 333.8 僱員的查閱及改正資料要求 33關於有關程序的豁免 34過渡性的豁免條文 343.9 與僱傭有關的資料的準確性及保留期間 35iii3.10 使用現職僱員的僱傭資料 363.11 披露或移轉與僱傭有關的資料 38將資料移轉給外間的專業服務機構 38將處理人力資源資料的工作外發 39將僱員的服務外判給其他機構 39將資料移轉至香港以外地方 40將資料移轉至機構的其他辦事處 40合併、收購及有關記錄的審查工作 413.12 與用分判形式聘用職員有關的事宜 424 前僱員事宜 444.1 引言 44前僱員事宜的實際指引 454.2 繼續保留前僱員的個人資料 454.3 前僱員的個人資料的準確性 464.4 前僱員的個人資料的保安 474.5 為前僱員提供工作表現評介 474.6 關於前僱員的公開聲明 474.7 刪除前僱員的個人資料 484.8 退休 484.9 僱員死亡 49附錄1 ——— 《個人資料(私隱)條例》的釋義、原則及主要條文 501引言個人資料私隱專員 (下稱“專員”) 行使《個人資料(私隱)條例》(第 486 章)(下稱“條例”) 第 III 部所賦予的權力發出本實務守則。

條例第 12 條授權專員發出實務守則，藉以 “就施加予資料使用者的本條例下的規定提供實務性指引”本實務守則 (下稱“守則”) 在二零零零年九月二十二日在香港特別行政區的憲報上公布根據條例第 12 條的規定，有關憲報公告訂明：(a)守則由二零零一年四月一日起生效；及(b)獲核准的守則與條例的下列規定有關：第 18 條、19 條、20 條、22 條、23條、24 條、25 條、26 條及附表 1 的六項保障資料原則守則旨在就如何適當地處理與僱傭的每一階段有關的個人資料，為僱主及其僱員提供實際指引在專員審議的任何個案中，不遵守本守則的強制性條文會對資料使用者不利如資料使用者沒有遵守本守則的任何強制性條文，法庭或行政上訴委員會在考慮有否違反條例的規定時，有權對上述事實加以考慮♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦本守則旨在為在執行人力資源職能及活動中，負責處理個人資料的資料使用者提供實際指引守則所處理的範疇涵蓋準僱員、現職僱員及前僱員的個人資料的收集、持有、準確性、使用及保安事宜，以及資料當事人所提出的查閱及改正資料要求守則的條文適用於身為僱主的資料使用者，不論是關於與受僱的個人的未來、現有或過去僱傭關係。

釋義除文義另有規定外，本守則所用各詞有以下含義：“保障資料原則” 指《個人資料(私隱)條例》附表 1 內的保障資料原則；“僱主” 指已訂立僱傭合約僱用他人為僱員的人，以及獲其妥為授權的代理人；“僱傭” 包括透過與僱用個人的第三者簽訂合約而聘用該人提供服務，而 “僱2用”、“僱主”及 “僱員” 等詞的含義亦須據此解釋；“條例” 指《個人資料(私隱)條例》；“收集個人資料聲明” 指收集個別人士的個人資料的人士，根據保障資料第 1(3)原則向該名個人提供的聲明；“獲准目的”，就個人資料而言，指與僱主的職責及活動直接有關的合法目的，而該合法目的是當初收集該等資料時擬使用的目的；與該等目的直接有關的目的；為履行相關法定規定的目的；或身為該等資料的資料當事人的個人自願給予明示同意的使用目的；“切實可行” 指合理地切實可行；“訂明同意” 指該人自願給予的明示同意，而有關同意是未經書面通知撤回的本守則的使用方法因本守則適用於求職者、僱員及前僱員的個人資料，我們建議讀者開始時先從整體角度仔細閱讀本守則，以明白使用方面的各個環節其後，如讀者須解決與守則所涵蓋的事宜有關的任何具體問題，則應先參閱第 1 章，該章載述處理與僱傭有關的個人資料的一般規定。

讀者然後可再參閱其後與問題有關的章節這樣，讀者對有關事宜會有較透徹的理解本文件所採用的編排方法顯示了守則的哪一部分為強制性條文，以及哪一部分屬說明或闡述性質有關詳情如下：實務守則的強制性條文用普通字體列印斜體的章節屬一般闡述性質的條文、例子及良好的行事方式這些章節對守則詳加說明，藉以協助讀者遵守守則中的強制性條文各項註釋列示《個人資料(私隱)條例》內的條文或就守則的某些規定提供法定依據的其他來源，例如其他實務守則31.一般規定1.1引言第 1 章檢討僱主在收集及處理與僱傭有關的個人資料時所須顧及的一般政策及實務至於其他有關人力資源管理各具體方面的事宜，例如招聘及現職僱員及前僱員的事宜，則會在其後的章節中加以處理具體來說，本章涵蓋：1.1.1收集個人資料聲明 —— 收集個人資料時須給予通知的規定1.1.2與僱傭有關的個人資料的準確性及保留期間等問題1.1.3與僱傭有關的個人資料的保安措施1.1.4與招聘或僱傭有關的個人資料的查閱及改正資料要求1.1.5僱主在僱員或獲聘任的代理人在處理個人資料時行為失當方面所須負的法律責任1.2收集個人資料時須給予通知的規定在收集與僱傭有關的個人資料之時或之前所作出的聲明1.2.1僱主向求職者或僱員收集個人資料時應採取所有切實可行的步驟，確保在收集資料之時或之前，明確告知有關個人下述各點1：1.2.1.1 該等資料的使用目的；1.2.1.2 該等資料可能移轉予甚麼類別的人；及1.2.1.3 該等資料屬必要抑或可自願選擇提供，除非當時情況已清楚顯示此點。

1 保障資料第 1(3)原則4收集目的求職者協助評選合適的求職者填補機構的空缺，以及就聘用事宜與獲選者進行商討及提出聘用邀請收集目的僱員作督導、人事管理及向僱員發放薪酬、發展及維持勞資關係，以及支持機構的發展處理僱員離職後的任何與僱傭有關的其他事務，包括提供工作表現評介，以及處理再聘用申請和任何與退休金或退休計劃付款有關的事宜使用該等資料之前，僱主亦須明確告知有關個人下述各點：1.2.1.4 有關個人有權要求查閱及改正其個人資料，以及負責處理上述要求的人的姓名及地址良好的行事方式是僱主應採用書面的收集個人資料聲明，以符合上述須給予通知的規定舉例來說，僱主可將收集個人資料聲明夾附在或印在所採用的標準僱傭表格內，例如職位申請表，作為有關表格的一部分下文列述一些適宜提供該聲明的情況：? 僱主在招聘廣告中要求求職者呈交履歷表或其他個人資料；? 僱主在網頁上要求求職者在網上填寫及呈交表格；? 僱主在印備的書面職位申請表或指定的任何資料收集表格中要求提供個人資料目的聲明：個人資料的使用目的1.2.2僱主可用一般或具體的用字述明與僱傭有關的個人資料的使用目的1。

大部分僱主收集與僱傭有關的個人資料的目的大致上是相同的向僱員收集個人資料的共同目的的例子包括為下述目的收集所需的資料：向僱員發放薪酬和發放補償福利及獎勵、在僱員缺勤時與他們聯絡、填報報稅表、評估僱員的訓練及發展需要、策劃晉升，以及管理由僱員供款及可從中受惠的退休計劃或公積金計劃僱主可用右邊的例子作為起點，擬備一份配合本身需要的特定目的聲明，包括 1 保障資料第 1(3)(b)(i)(A)原則5承轉人的類別你所提供的與僱傭有關的資料，可能會移轉予僱主的保險商、銀行、為僱員提供醫療福利的醫療人員，以及任何有關的職工會及公積金管理人漏填個人資料求職者有責任填報本表格內要求提供的所有項目，以方便進一步處理此申請求職者如不欲 (本公司/機構)致電其辦事處與之聯絡，可只提供家中的電話號碼，但這可能會阻延通訊，以致對求職者不利在收集個人資料聲明內關於承轉人的聲明：承轉人的類別1.2.3僱主應明確告知求職者或僱員可能會將他們的個人資料移轉給甚麼類別的第三者僱主必須在收集資料之時或之前這樣做1僱員個人資料承轉人的類別一般包括僱主的保險商、銀行、為僱員提供醫療福利的醫務人員、職員工會，以及公積金管理人。

僱主在收集有關個人資料之前，必須將可能如此移轉該等資料一事告知有關僱員如僱主根據法律規定須將某些個人資料移轉予政府部門，例如稅務局，則聲明中毋須列示該類第三者請注意僱主應說明只會為了目的聲明中所列的目的或直接有關的目的而向所列明的有關類別的承轉人移轉任何與僱傭有關的個人資料由於須披露資料移轉的規定只適用於將資料移轉予僱主以外的第三者的情況，故僱主毋須指出為僱傭目的而可能獲移轉個人資料的內部部門的名稱，或獲移轉有關資料的僱員的姓名可隨意或有責任提供資料1.2.4除非情況清楚顯示此點，否則僱主應明確告知求職者或僱員有關個人資料屬必要抑或可自願選擇提供2此外，僱主亦應明確述明不提供該等資料的後果，除非當時情況已清楚顯示此點3如情況清楚顯示必須向僱主提供表格上所列的所有與僱傭有關的個人資料，以及如不提供當中的任何資料，則有關事宜不獲進一步處理，僱主在此情況下毋須述明有關人士是否有責任提供該等個 1 保障資料第 1(3)(b)(i)(B)原則2 保障資料第 1(3)(a)(i)原則3 保障資料第 1(3)(a)(ii)原則6查閱資料及改正資料要求根據條例的規定，你有權就你的個人資料提出查閱及改正資料要求。

你可向人力資源部的保障資料私隱主任提出有關要求舉例來說，僱主毋須在假期申請表上訂明僱員必須提供擬告假日數等個人資料，以便其申請獲得處理及批准查閱資料及改正資料要求1.2.5僱主在首次使用與僱傭有關的資料之時或之前，應明確告知有關個人他有權查閱及改正他的個人資料，以及機構內負責處理該等要求的人員的聯絡詳情1根據條例所賦予的權利，僱員有權向持有他的個人資料的僱主要求一份該等資料的複本其後，有關個人有權要求改正應查閱要求所提供的任何不正確的資料僱主亦應提供負責處理上述要求的人員的姓名或職銜，以及有關人員的聯絡地址在條例生效前收集的與僱傭有關的個人資料1.2.6僱主可繼續使用在一九九六年十二月二十日2以前收集的與僱傭有關的個人資料，只要該等資料是用於當初收集該等資料的目的的合理範圍如將該等資料使用於任何不屬原有收集目的的範圍，則必須取得有關個人的訂明同意3在一九九六年十二月二十日以前收集的僱傭資料，可使用於該等資料所隱含的收集目的，而有關目的可從所涉及的事務的性質推斷出來，例如招聘或管理提供該等資料的個人的僱傭事宜良好的行事方式是僱主應考慮在向僱員收集新的資料時，第一時間向他們提供收集個人資料聲明。

1 保障資料第 1(3)(b)(ii)(A)原則及第 1(3)(b)(ii)(B)原則2 《個人資料(私隱)條例》有關條文的生效日期3 保障資料第 3 原則71.3與僱傭有關的個人資料的準確性及保留期間與僱傭有關的個人資料的準確性1.3.1 僱主應採取所有切實可行的措施，以確保所持有的僱員的僱傭資料：1.3.1.1 就有關資料的使用目的而言，該等資料是準確的1；或1.3.1.2 如有合理理由信納有關資料就資料的使用目的而言是不準確的，則在更正有關不準確的地方之前，不得將資料使用於有關目的21.3.2 僱主在一九九六年十二月二十日或以後向第三者披露或移轉僱傭資料時應採取所有切實可行的步驟，以確保：1.3.2.1 就有關資料的披露目的而言，所披露的資料是準確的；及1.3.2.2 如在有關的整體情況下可切實可行地知悉資料在披露時是不準確的，則須告知接受資料者該等資料是不準確的，並向接受資料者提供更正該等資料所需的詳情3保留與僱傭有關的資料1.3.3僱主應制訂書面的資料保留政策，訂明下述資料的保留期間：1.3.3.1 求職者在招聘方面的資料不得保留超過兩年，由拒絕聘用求職者的日期起計；1.3.3.2 僱員在僱傭方面的資料不得保留超過七年，由僱員離職的日期起計；除非1.3.3.3 有關個人給予明示同意可將有關資料保留一段較長期間；或1.3.3.4 僱主有具體的理由，有責任將有關資料保留一段較長期間。

1 保障資料第 2(1)(a)2 保障資料第 2(1)(b)3 保障資料第 2(1)(c)8根據三條反歧視條例，即《殘疾歧視條例》、《家庭崗位歧視條例》及《性別歧視條例》的條文，個人可在以下兩個時間起計的兩年內就任何人對他作出的歧視作為，在區域法院向該人提出申索：(a) 作出所投訴的作為之日；或 (b) 如有一份關於該作為的有關報告，有關報告發表或供人閱覽之日關於上述規定的進一步指引，請參閱本守則的第 2 章 (招聘) 及第 4 章 (前僱員事宜)1.4 為保障與僱傭有關的資料所採取的保安措施為確保僱員有良好操守、審慎態度及辦事能力所採取的措施1.4.1 僱主應採取合理地切實可行的措施，以確保在僱主的個人資料私隱政策方面，為處理與僱傭有關的個人資料的僱員提供訓練，以及確保他們在應用有關政策時會盡量審慎行事，並且會按照為該等政策而設計的程序辦事1僱員在實施僱主的個人資料保安政策一事上擔當重要的角色故此，個人資料私隱方面的保安措施是任何人力資源政策的一個重要環節在評估與僱傭有關的個人資料的內部保安程序時，僱主應衡量所實施的政策在多大程度上可符合下述準則：? 有系統地及定期向獲授權查閱及處理資料的僱員傳達與僱傭有關的個人資料的保安政策。

僱主持續為僱員提供個人資料保障方面的訓練 為新聘的僱員提供個人資料保障方面的訓練，作為入職訓練的一部分 定期檢討僱主的政策指南、訓練資料及僱員手冊，以確保符合條例及任何已生效的實務守則所列述的規定 機構的內部政策規定查閱及處理個人資料受 “需要知道” 及 “需要使用”的原則所規限 規定查閱及處理與僱傭有關的個人資料的僱員必須簽署保密聲明，清楚述 1 保障資料第 4(d)原則9明僱主在運作上在這方面的期望 就違反上述規定的情況採取適當的調查程序，並且向違反保密聲明規定的職員採取追究行動 進行隨機審查，以確保有關職員按照既定的程序辦事藉管制查閱與僱傭有關的資料而達保安的目的1.4.2如僱主將任何與僱傭有關的個人資料作內部用途，則僱主應採取適當的保安措施，以免該等資料受到未獲准許的或意外的查閱、處理或刪除所影響1良好的行事方式是僱主應裝置保安設施，對查閱自動化系統所儲存的個人資料作出管制舉例來說，有關保安設施可包括使用戶口名稱及密碼、使用指定的電腦終端機、安裝追查記錄設施或安裝可偵測查閱該等資料的失敗嘗試的警告設施，以及作出系統設定，在停用一段時間後自動退出該系統。

進一步的保安措施可包括禁止將與僱傭有關的個人資料的非授權副本，抄錄在分布式的電腦內 (例如獨立的電腦)，如該等電腦是不受適用於獲授權副本的措施所管制的1.4.3如僱主僱用第三者機構代為履行任何人力資源管理職能，則必須採取所有切實可行的步驟，以確保有關第三者意識到有必要採取適當的保安措施，以保障該等僱傭資料請注意根據條例的規定，如受僱於僱主的第三者以代理人的身分代表僱主行事，則僱主須就該第三者所作出的任何錯誤作為或行為負上法律責任 2舉例來說，沒有適當儲存或銷毀資料設施的僱主可另作安排，將大批與僱傭有關的個人資料交由聲譽良好的倉庫或廢物處理公司儲存或銷毀僱主與有關公司所簽訂的合約，應包括管制處理該等物料的適當條款，尤應包括確保保安及機密的條款1.4.4僱主在銷毀載有僱傭資料，並以紙張形式或其他無法刪除的形式持有的文件時，必須採取適當的保安措施，以免在未銷毀該等資料前，不經意地向未獲授權的人士披露該等資料，或讓有關人士查閱該等資料 1 保障資料第 4 原則2 保障資料第 65(2)原則10良好的行事方式是僱主應注意在銷毀不再需要的個人資料前，一般都須在機構內為收集及整理該等資料作出特別安排。

舉例來說，須作保密處理的廢料可收集在特別容器內，放置在只有獲准處理該類個人資料的職員才可進入的管制區內與互聯網的使用有關的預防措施及其他事宜1.4.5僱主必須採取所有切實可行及適當的保障資料措施，以保障在公共網絡(例如互聯網) 上傳輸的僱傭資料1在互聯網上傳輸的資料可輕易被未獲授權的人士截取或查閱視乎所傳輸的資料的敏感程度而定，有關人士必須安裝適當的保安軟件，以保障該等資料的完整性舉例來說，在傳輸電子郵件中所採用的加密軟件或數碼簽署都是可接受的保安措施，足以保障資料的完整性及作核實用途此外，亦應在發出或接收載有個人資料的電子郵件的電腦系統安裝保安設施，同時亦應提醒僱員須妥加保管所有電子郵件，免受意外的或未獲准許的查閱1.4.6如僱主為僱員提供互聯網設施 (包括電子郵件)，則應將系統的使用的書面政策告知僱員良好的行事方式是上文所述的政策應包括以下事項：? 是否准許僱員使用有關電子郵件系統收發私人電郵，以及僱員須否作出特別安排，將私人電郵及公事上的電郵區分 僱主是否保留權利，可存取及閱讀僱員經由有關電郵系統收發的電郵 適用於分發所接收或發出的電郵，以及用以刪除載有個人資料或附件載有個人資料的不必要電郵的特定規則。

1 保障資料第 4(e)原則111.5依從查閱資料及改正資料要求與僱傭有關的資料的查閱資料要求1.5.1個人有權向持有其個人資料的僱主要求一份該等資料的複本1僱主除非根據條例獲豁免不須依從有關要求，否則必須在接獲查閱資料要求後 40日內提供有關複本2如僱主未能在指定的 40 日限期內提供有關複本，則須在該限期屆滿前將有關情況用書面通知提出該要求的人士，以及應在該段期間後，在切實可行情況下盡快提供該複本31.5.2僱主在回應求職者、現職僱員或前僱員的查閱資料要求時，不得向提出查閱要求者披露任何可識辨其他人的身分的資料，除非已取得有關人士的同意41.5.3如文件同時載有兩人或以上的個人資料，僱主不得拒絕其中一人或超過一人所提出的查閱資料要求，如可藉略去其他人士的姓名或其他身分識辨資料而不披露該等人士的身分5舉例來說，身為紀律處分當事人的僱員有權要求獲提供一份紀律處分記錄，例如為進行紀律處分調查而召開的紀律處分委員會的會議記錄僱主不得以有關文件載有除僱員以外的第三者的個人資料為藉口而拒絕提供有關會議記錄的複本。

在此情況下，如有關第三者不同意披露其個人資料，則僱主應在向僱員提供有關複本前，先刪去有關第三者的資料同樣地，如僱主可藉遮蓋或刪除其他人的姓名及其他身分識辨資料而不透露該等人士的身分，則不得單以文件載有兩個或以上僱員的比較資料為理由，拒絕讓僱員查閱晉升選拔委員會的報告良好的行事方式是僱主應落實措施，以確保依從求職者、現職僱員或前僱員提出的查閱資料要求應設法令這些措施符合下述準則： 1 第 18 條2 第 19(1)條3 第 19(2)條4 第 20(1)(b)及 20(2)(a)條5 第 20(1)(b)及 20(2)條12? 僱主已制訂程序，監察依從查閱要求的進展 僱主依從查閱要求時：? 不應隱瞞提出要求者的任何個人資料，除非有合法的豁免條文適用於有關情況；? 應在收到查閱要求後的 40 日內以書面作出回覆；? 應清楚述明向提出要求者提供個人資料記錄的複本所徵收的任何費用(如有的話)；? 應採用清楚易明的形式向資料當事人提供有關資料的複本；? 應將第三者的個人資料自複本中刪除，除非有關第三者同意披露該等資料；? 應將複本中可明確識辨作為有關資料來源的第三者的姓名及其他身分識辨資料刪除。

如僱主未能在 40 日內依從查閱要求，則應在該日期屆滿前：? 盡可能在切實可行的情況下，依從部分查閱資料要求；? 用書面向提出要求者解釋不能完全依從查閱資料要求的理由；? 之後在切實可行的範圍內盡快完全依從查閱要求與僱傭有關的資料的改正資料要求1.5.4 獲僱主根據查閱資料要求提供所持有的個人資料的複本的僱員，如認為當中的任何資料是不準確的，則有權要求僱主作出所需的改正1如僱主信納有關資料確實不準確，則須作出所需的改正，並且在收到改正資料要求後的 40 日內，向有關個人提供一份已改正的資料的複本21.5.5僱主如在條例所述的准許情況下拒絕就改正資料要求作出所需的改正，則應用書面將拒絕依從要求一事及拒絕的理由告知提出要求者3舉例來說，如僱主不信納改正資料要求所關乎的資料 (不論是事實或意見表達)屬不準確，則可拒絕作出改正意見表達” 包括斷言一項不能核實的事實或在有關個案的所有情況下，予以核實不是切實可行的事實不過，僱主應以書面將拒絕一事及拒絕的理由告知提出要求者如有關資料屬意見表達，則應隨書面的拒絕通知提供一份附註，述明改正要求所涉及的事項有關附註應夾附 1 第 22(1)條2 第 23(1)條3 第 24(3)及 25(1)(a)條13於有關個人的檔案內，以促使任何可查閱該檔案人士注意附註的內容。

1.6僱主就僱員或代理人的錯誤作為或行為所須承擔的法律責任1.6.1僱員在受僱期間就個人資料所作出的任何作為或所從事的任何行為如有違《個人資料(私隱)條例》的規定，則僱主在民事程序中須對該作為或行為負上法律責任，即使僱員是在僱主不知情或不批准的情況下如此做11.6.2當受僱為僱主的代理人的第三者獲授權 (不論是明示或默示，亦不論是事前或事後授權) 代表僱主行事，則僱主在民事程序中須對該第三者所作出的任何錯誤行為或作為負上法律責任21.6.3僱主只可在能證明已採取合理地切實可行的步驟，以防止代表他行事的僱員作出或從事錯誤的作為或行為的情況下，才可免承擔法律責任3舉例來說，如僱員向第三者披露與僱傭有關的個人資料，因而違反保障資料第3 原則，僱主若證明已制訂部門政策禁止僱員如此披露資料，但有關僱員卻漠視該政策，僱主則可免承擔錯誤披露資料的法律責任1.7其他事宜與僱傭有關的個人資料的法定規定1.7.1如《個人資料(私隱)條例》以外的其他條例規定僱主有責任保存某些與僱傭有關的個人資料，以及須應要求向有關當局披露該等資料，則僱主必須履行有關責任舉例來說，根據《入境條例》的規定，僱主須保存記錄，列示僱員所持有並憑 1 第 65(1)條2 第 65(2)條3 第 65(3)條14之可合法受僱的文件的類別，以及該文件的編號。

此外，僱主亦須應勞工督察的要求披露該等資料提供政策及實務方面的資料1.7.2僱主必須採取所有切實可行的步驟，以確保能為市民大眾及屬下僱員提供一份個人資料政策及實務的複本1良好的行事方式是僱主可藉一份書面的私隱政策聲明，述明在個人資料管理方面的政策及實務，以符合上述規定私隱政策聲明應表列僱主所持有的個人資料的類別，以及述明該等資料的主要使用目的僱主亦應考慮包括其他保障資料政策及實務，例如資料的保留政策及保安政策關於僱員記錄內的身分證號碼的事宜1.7.3《身分證號碼及其他身分代號實務守則》訂明僱主：1.7.3.1 可在符合若干準則的情況下收集求職者的身分證號碼2；1.7.3.2 可在獲挑選的申請者接受聘用時收集有關申請者的身分證副本；1.7.3.3 可收集僱員的身分證號碼及副本3；或1.7.3.4 可在電腦或人手操作系統中利用身分證號碼來連結、檢索或以其他程序處理機構內的僱傭資料記錄41.7.4 僱主可將身分證副本與身分證的正本核對5，並在橫跨整個身分證影像上加上 “副本” 的字眼6至於在一九九八年六月十九日以前收集的副本則不須採用這個做法，直至在該日後首次使用該副本為止 1 保障資料第 5 原則2 《身分證號碼及其他身分代號實務守則》的第 2.3.1 段3 《身分證號碼及其他身分代號實務守則》的第 2.3.1 及 3.2.2.1 段4 《身分證號碼及其他身分代號實務守則》的第 2.6.3 段5 《身分證號碼及其他身分代號實務守則》的第 3.5 段6 《身分證號碼及其他身分代號實務守則》的第 3.9 段151.7.5向僱員或前僱員簽發職員證、長俸證及會所會員證等證件的僱主，不應發出載有持證人身分證號碼的任何咭1。

1 《身分證號碼及其他身分代號實務守則》的第 2.8 段162.招聘2.1引言2.1.1僱主開始進行招聘程序時，通常都會先制訂一份職責說明書或開列一份求職者條件說明書僱主可利用不同的方法收集求職者的個人資料，包括：2.1.1.1 要求求職者填寫職位申請表；2.1.1.2 請求職者應招聘廣告遞交申請；2.1.1.3 透過職業介紹所或獵頭公司取得求職者的個人資料；2.1.1.4 從早前進行的招聘活動所收集的職位申請中取得所需資料2.1.2僱主可能在網址上刊登招聘廣告，要求求職者填寫網上申請表或透過電子郵件申請有關職位在此情況下，僱主所進行的活動亦涉及收集求職者的個人資料2.1.3除透過原本的職位申請表收集資料外，僱主亦會在遴選過程中進一步集求職者的資料，藉以評估求職者是否勝任有關職位這些資料包括：2.1.3.1 在遴選面試中所記錄關於求職者的書面評估資料；2.1.3.2 求職者須接受測驗的評估報告，例如心理測驗報告；2.1.3.3 從求職者的現任僱主或前僱主或其他來源取得的個人評介2.1.4條例規定僱主必須採取所有切實可行的步驟，以確保在收集資料之前或之時，告知求職者若干與收集個人資料有關的事項1。

這項規定適用於第2.1.1.1、2.1.1.2、2.1.2 及 2.1.3 段所述的情況僱主可透過書面的收集個人資料聲明履行這項規定，聲明所採用的方式可以是一項獨立的招聘聲明，或是一項與僱傭有關的詳細收集個人資料聲明中的一部分 1 保障資料第 1(3)原則17與招聘事宜有關的實際指引2.2收集求職者的個人資料2.2.1除為使用於合法的目的外，僱主不應向求職者收集個人資料1舉例來說，僱主不應為了不合法的歧視目的而利用職位空缺告示收集求職者的個人資料，藉以基於性別或婚姻狀況的原因而不聘用女性僱員擔任督導職位2.2.2僱主不應向求職者收集超乎招聘所需的個人資料，而只可收集足以履行招聘目的所需的資料2在決定甚麼才是有關的資料的問題上，僱主應注意有需要顯示所指定提供的個人資料，確是與挑選合適人選直接有關的資料在職責說明書或求職者條件說明書小心選擇有關資料，有助減少向求職者收集就招聘目的而言屬超乎適度的資料舉例來說，根據職責說明書或求職者條件說明書所收集的個人資料，應限於與招聘活動有關及用以甄選合適人選所需的資料。

一般來說，這些資料可包括工作經驗，以及工作所需的技能、本領、學歷/專業資格及其他才能2.2.3僱主只可在符合所有下述規定的情況下，才可收集求職者的身分證號碼3：2.2.3.1 僱主已制訂一般政策，藉以保留前僱員及落選求職者的身分證號碼一段期間；2.2.3.2 僱主是基於須正確識辨有關個人的身分或正確認出所持有關於求職者的記錄而收集身分證號碼；2.2.3.3 僱主核對某一求職者以前曾否申請某一職位或是否機構的前僱員，而核對可能涉及大量的求職者或前僱員；及2.2.3.4 沒有其他實際可行而較不侵犯私隱的辦法可正確識辨該等人士的 1 保障資料第 1(1)(a)原則2 保障資料第 1(1)(c)原則3 《身分證號碼及其他身分代號實務守則》18身分或認出其記錄2.2.4僱主不應在招聘過程中收集求職者的身分證副本，除非及直至有關個人已接受聘任1《身分證號碼及其他身分代號實務守則》的第 3.3.2 段禁止資料使用者只為了與有關個人建立未來關係而收集該人的身分證副本2.2.5僱主可收集求職者家屬的個人資料，如有關個人資料：2.2.5.1 與求職者家屬的受僱情況有關，但只限於收集為評估如求職者受僱後是否會有利益衝突而所需的資料；及2.2.5.2 就此目的而言屬足夠但不超乎適度。

舉例來說，如僱主希望得悉求職者的家人目前是否受僱於其競爭對手，則應只限於詢問情況是否確實如此，而進一步的查詢亦應只限於任何如此受僱的家人良好的行事方式是僱主不會在考慮聘用有關求職者之前收集有關資料2.2.6如僱主要求求職者填寫職位申請表，無論是紙張形式的申請表或僱主網頁內的網上申請表，僱主必須遵守第 2.1.4 段所述的規定，即須提供收集個人資料聲明的規定2符合須給予通知規定的其中一個實際可行的辦法，是將收集個人資料聲明列於紙張形式的申請表中或在網上申請表中展示有關聲明，作為有關申請表的一部分另一方法是另紙列示收集個人資料聲明，隨紙張形式的申請表夾附至於網上申請表方面，則可將在網上展示的收集個人資料聲明與網上申請表連接，或是在傳輸網上申請表前，在按 “確定” 掣時在屏幕上 “跳現” 有關聲明2.3刊登職位空缺廣告2.3.1當僱主在所刊登的職位空缺告示中直接要求有興趣的求職者遞交個人資料時，即展開收集有關人士的個人資料的程序故此，上文第 2.2.1 至 2.2.5 1 《身分證號碼及其他身分代號實務守則》第 3.3.2 段2 保障資料第 1(3)原則19段所述的規定適用於本節。

請注意如職位空缺告示只邀請有興趣的人士與僱主聯絡，則不屬直接要求有關人士遞交個人資料這種情況的一個例子是，僱主刊登有關職位所需的資格及邀請有興趣的人士用書面索取職位申請表2.3.2 如僱主在所刊登的職位空缺告示中直接要求求職者遞交個人資料，則須確保依從上文第 2.1.4 段所述的須給予通知的規定1，即在告示中刊登收集個人資料聲明，除非：2.3.2.1 職位空缺廣告指定求職者須填寫的職位申請表中已載有收集個人資料聲明；或2.3.2.2 職位空缺廣告明確列出求職者可向其索取收集個人資料聲明的聯絡人舉例來說，僱主可在職位空缺告示中，述明可向其索取招聘方面的收集個人資料聲明的職員的電話號碼、姓名或職銜，並應包括內容如下的聲明： “在使用求職者所提供的個人資料時，僱主會嚴格遵守其個人資料政策的規定，並在收到要求後，會隨即提供一份有關政策的複本2.3.3如僱主直接刊登或透過代理人刊登職位空缺廣告，而從中要求求職者遞交個人資料，則必須提供求職者可識辨僱主或代理人的身分的途徑2匿名招聘廣告是指無法從中得知僱主的身分或代表僱主的職業介紹所的名稱的廣告不過，有關廣告未必一定要求求職者直接提供個人資料如沒有要求求職者直接提供個人資料，則可使用匿名招聘廣告。

舉例來說，僱主不應在只提供郵政信箱號碼的職位空缺告示中，要求求職者遞交個人資料不過，如僱主不打算在職位空缺告示中披露身分，則可要求有興趣的應徵者去信一個郵政信箱號碼，索取可識辨僱主身分的申請表其次是僱主可在職位空缺中指明由職業介紹所收集求職者遞交的個人資料在此情況下，招聘廣告須載有可識辨職業介紹所的身分的資料 1 保障資料第 1(3)原則2 保障資料第 1(2)原則202.3.4除非目前確有或將來可能有一個或以上的職位空缺尚待填補，否則僱主不應透過職位空缺廣告要求求職者遞交個人資料1舉例來說，僱主不應為試探求職市場的情況，或為向現職僱員施加壓力而刊登招聘廣告，並從中收集求職者的個人資料如透過錯誤陳述收集目的的方法收集個人資料，則是以在有關情況下屬不公平的方式收集資料2.4職業介紹所/獵頭公司2.4.1透過職業介紹所要求求職者遞交個人資料的僱主等同收集有關求職者的個人資料故此，上文第 2.2.1 至 2.2.5 段所述的規定適用於本節的條文2.4.2如僱主收到不是應要求而提供的個人資料，無論有關資料是直接由求職者或是職業介紹所代求職者提供，則僱主應：2.4.2.1 只為了評估有關個人是否適合受僱的目的或直接有關的目的使用有關資料2；及2.4.2.2 不會將有關資料使用於任何其他目的，除非已取得有關個人的同意3。

僱主通常會收到求職者自行提供的個人資料，而職業介紹所亦會將求職者的資料轉介僱主從這個途徑收到的資料通常都是超乎招聘活動所需的僱主應毋須理會與招聘程序無關的個人資料2.4.3如僱主聘用第三者作為代理人，並明確授權有關代理人代為履行若干指定的招聘職能，則僱主應採取所有切實可行的步驟，以確保有關第三者不會違反條例的任何規定4 1 保障資料 1(2)原則2 保障資料第 1(b)原則3 保障資料第 3 原則4 第 65 條21條例訂明僱主須就受聘為代理人的第三者所作出的或從事的任何錯誤行為或作為負上法律責任舉例來說，僱主可索閱該第三者的個人資料私隱政策及實務方面的詳細資料，以查核該第三者確有按照適當的標準行事另一方法是僱主可考慮與有關方面簽訂合約，當中訂明必須遵守某些程序，例如僱主應清楚述明所需的個人資料類別，以協助代理人進行有關遴選程序，而代理人亦應同意只限收集所指定的個人資料2.5關於求職者的內部記錄2.5.1僱主可將在招聘過程中所收集的求職者的個人資料，使用在相同性質的日後招聘活動中，但須符合下述條件：2.5.1.1 僱主已制訂一般政策，藉以為該目的保留該等資料；2.5.1.2 僱主已對該等資料的保留期間作出規定；及2.5.1.3 求職者沒有反對將資料使用於該目的。

良好的行事方式是僱主應將保留招聘過程中所取得的個人資料的政策告知求職者至於不希望僱主在其後的招聘活動使用其個人資料的落選者，僱主應讓他們有機會要求銷毀有關資料2.5.2僱主如按照上文第 2.5.1 段的規定使用在早前的招聘過程中向求職者收集的個人資料來挑選合適的人選，但有合理理由相信該等資料在收集後已變得不準確，則在未更新前不應使用有關資料12.5.3僱主如保留在招聘過程中向求職者收集的個人資料，並打算在日後的招聘活動中使用有關資料，則應：2.5.3.1 只可為了該等目的或直接有關的目的使用有關資料，除非求職者同意將有關資料使用於其他目的2；及2.5.3.2 採取所有切實可行的步驟，以確保用妥善的保安方法保留有關資料，以及只有獲授權的人士才可基於 “需要知道” 的原則查閱有 1 保障資料第 2(1)(b)原則2 保障資料第 3 原則22關資料1請注意上文第 2.5.1 至 2.5.3 段所述的規定，亦適用於持有求職者的個人資料的職業介紹所2.6接受及處理求職申請表2.6.1在顧及有關資料的敏感程度後，僱主應採取所有合理地切實可行的步驟，以確保用安全的方式收集、處理及儲存求職者的個人資料，而不論有關資料是以電子、攝影或硬本的形式儲存2。

舉例來說，僱主應要求以書面形式提供資料的求職者，將申請表放入信封內並加以密封，同時在信封面上加上例如 “機密” 的字眼，註明由人力資源部 (或有關職員) 經辦，並且指令收發室及接待處的職員在送交文件的過程中不得開啟有關信件良好的行事方式是只有獲授權的職員才可基於 “需要知道” 的原則，利用密碼查閱載有求職者個人資料的資料庫此外，應將硬本形式的資料存放在安全的地方用實體形式例如紙張或縮微膠卷儲存的求職者個人資料，應存放在放置於安全房間內的上鎖文件櫃如須對有關資料進行分析或檢討，則獲授權的人員必須妥加保管所涉及的資料，例如不應在無監管的情況下，隨處放置有關資料2.6.2僱主必須採取所有切實可行的步驟，以確保獲授權查閱個人資料的職員在良好操守、審慎態度及辦事能力方面，具備合適的條件3舉例來說，僱主可提供培訓課程，以確保負責招聘事宜的職員了解僱主在處理個人資料方面的政策及實務，並且進行視察，藉以督導有關職員遵守政策方面的規定 1 保障資料第 4 原則2 保障資料第 4 原則3 保障資料第 4(d)原則232.7為進行遴選收集資料2.7.1為挑選合適的人選，僱主除透過原有的申請收集資料外，可能須額外收集求職者的其他資料，但在有關過程中不得收集超乎履行此目的所需的個人資料1。

一般來說，如僱主收集求職者在技能、良好品格、本領或能力方面的資料，藉以加強對求職者的認識，只要有關資料與工作性質有關，則不屬收集超乎適度的資料一般常用的甄選方式包括遴選面試或要求求職者參加技能方面的筆試視乎工作的性質而定，其他的遴選方式可包括要求求職者接受心理測驗、背景審查或品格審查等程序這些甄選方式許多時都涉及向求職者收集額外的個人資料舉例來說，如僱主認為有必要在考慮聘用警衛員前知悉有關人員在保安方面的背景資料，則可透過背景審查程序予以求證不過，如記錄求職者的外間活動及興趣方面的詳細資料，除非僱主能顯示有關資料與擔任有關工作所必須具備的條件有關，否則可能屬於收集超乎適度的個人資料品格審查的目的通常是為確保求職者獲聘出任的職位的透明度及問責性不過，僱主必須顯示所收集的個人資料，例如求職者的投資或其他財務事宜，是評估求職者的品格所必須收集的資料2.7.2僱主如根據上文第 2.7.1 段匯集求職者的資料，則須確保所使用的遴選方式，並無涉及以不公平的方式收集個人資料2良好的行事方式是僱主在使用有關遴選方式前告知求職者，所採用的遴選方式與甄選程序有何關係，以及透過所選用的方式收集甚麼個人資料2.8要求取得求職者的個人評介2.8.1僱主如欲向準入選者的目前或前僱主或從其他來源取得有關人士的評 1 保障資料第 1(1)(c)原則2 保障資料第 1(2)原則24介，必須確保在獲有關求職者的同意下取得有關評介。

條例規定求職者的目前或前僱主必須先取得求職者的口頭或書面同意，才可提供評介良好的行事方式是準僱主可考慮在與求職者的目前或前僱主接觸前或從其他來源索取評介前，先取得求職者的同意這樣，準僱主應在索取評介時通知有關方面已取得求職者同意如有懷疑，目前僱主或前僱主應要求提出要求一方提供證據，證明已取得有關同意，或是要求求職者證實已給予同意2.9求職者接受聘任2.9.1僱主可在提出有條件聘任入選的求職者時，透過入職前體格檢驗收集求職者在健康狀況方面的個人資料，只要：2.9.1.1 所需的個人資料與職位所必須具備的條件直接有關；2.9.1.2 聘用的條件之一是求職者必須體格檢驗合格；及2.9.1.3 所需個人資料是以在有關情況下屬公平的方式收集1，而就收集目的而言，所收集的資料並不超乎適度2舉例來說，僱主可能已制訂政策，規定合適的求職者須前往指定的醫療機構接受入職前體格檢驗，以確定求職者是否適合受聘在此情況下，醫生只須向僱主提供證明求職者適合受聘的最低限度的健康狀況資料至於求職者的病歷及治療方面的詳情可能有助醫療機構進行體格檢驗，但僱主毋須收集這方面的資料2.9.2 僱主可在入選的求職者接受聘任時，額外收集求職者及其家屬的個人資料，只要有關個人資料是：2.9.2.1 僱用求職者於有關職位所需的資料3；或2.9.2.2 根據規管僱主事務的法律規定所需的資料。

舉例來說，僱主在求職者接受聘任後，可為發放薪金用途而收集新僱員的 1 保障資料第 1(2)原則2 保障資料第 1(1)(c)原則3 保障資料第 1(1)(b)原則25銀行戶口資料其他例子包括為僱員的家屬提供福利而收集家屬的資料不過，如僱主收集求職者的外間活動方面的資料，則屬收集超乎適度的資料，除非資料是僱員出任此職位所必須具備的條件或與該等條件直接有關2.9.3僱主可在入選的求職者接受聘任時，收集求職者的身分證副本12.9.4僱主必須先取得獲聘人士的訂明同意，才可公開披露獲聘人士在聘任方面的任何個人資料，除非法律或監管當局規定須披露該等資料22.10落選的求職者2.10.1 如僱主已制訂一般政策，為日後招聘活動的目的而保留落選者的個人資料，則該等資料的保留期間不應超過兩年，由求職者落選的日期起計，除非：2.10.1.1 有具體理由規定僱主必須保留該等資料一段較長期間；或2.10.1.2 申請人給予訂明同意可保留該等資料超過兩年良好的行事方式是僱主如欲為其後進行的招聘活動保留落選者的個人資料，則應告知有關落選者該等資料的一般保留期間。

此外，另一良好的行事方式是如落選者不欲僱主為此目的使用其個人資料，則落選者應有機會要求僱主銷毀該等資料一般來說，實際已進行或可能進行法律程序可構成將落選者的個人資料保留超過兩年的具體理由2.11求職者的查閱及改正資料要求2.11.1 上文第 2.1.1 至 2.1.3 段所述的在招聘過程中向求職者所收集的招聘方面的個人資料及其他資料，須受求職者所提出的查閱及改正資料要求所管限故此，就本節而言，除非僱主可引用條例中的豁免事項，否則必須依從第1 章所述的依從查閱資料及改正資料要求 1《身分證號碼及其他身分代號實務守則》第 3.2.2.1 段2 保障資料第 3 原則262.11.2 僱主可拒絕依從求職者根據上文第 2.11.1 段所提出的查閱資料要求，如：2.11.2.1 僱主在就填補求職者所申請的空缺作出決定之前收到有關要求；及2.11.2.2 招聘程序讓申請人有權就聘任方面的決定提出上訴1請注意如招聘程序不容許就程序中所作出的決定提出上訴 (大部分的招聘程序都屬此情況)，則招聘程序不屬條例所指的 “有關程序” 的釋義範圍。

此外，就有關程序而言，豁免事項只在完成該程序前的期間適用在招聘程序屬有關程序的釋義範圍的情況下，“完成” 是指作出申請人是否適合出任有關職位的決定換言之，招聘程序是否屬有關程序須視乎可否提出上訴而定，但上訴期並不構成招聘程序期間的一部分故此，如僱主在招聘程序完結後收到求職者的查閱資料要求，則應依從有關要求2.11.3 如僱主所持有的個人資料包括由第三者在職業的正常範圍以外所作出的個人評介，則僱主可拒絕求職者根據上文第 2.11.1 段所提出的查閱資料要求，如：2.11.3.1 在任何情況下，除非該第三者已給予僱主書面通知，同意披露有關評介，或2.11.3.2 在有關評介是在一九九六年十二月二十日或之後提供的情況下，直至有關求職者已接獲書面通知，指出他已獲聘出任所申請的職位，或他已落選為止2如第三者在求職者得知僱主的決定前已同意披露有關評介，則僱主可考慮依從有關查閱資料要求 1 第 55 條2 第 56 條273.現職僱員3.1引言3.1.1 僱主在聘用求職者時可為僱傭目的而保留受僱者的個人資料。

這方面的例子包括受僱者在申請職位時所提供的資料，以及僱主在上文第 2.1.3段所述招聘過程中所集的其他資料3.1.2 此外，僱主更可為僱傭目的，以及與人力資源管理有關的其他職能，向僱員收集額外的個人資料這方面的例子包括為發放薪金而收集僱員的銀行戶口資料，以及為管理僱主為僱員家屬所提供的褔利而收集家屬的資料其他例子包括僱主履行某些法律規定所需的資料，例如已婚僱員配偶的個人資料，以便填報《稅務條例》所規定的報稅表3.1.3 在僱用期間，僱主可集更多關於僱員的資料有關資料可包括：3.1.3.1 僱主向僱員發放的工資及提供的褔利的記錄；3.1.3.2 僱員所擔任的職位、調職及培訓記錄；3.1.3.3 體格檢驗、病假及其他醫療補償申索記錄；3.1.3.4 涉及僱員的紀律程序的書面記錄；3.1.3.5 僱員的工作表現評核報告；3.1.3.6 涉及僱員的職工策劃的書面報告；3.1.3.7 涉及僱員的晉升選拔的書面報告3.1.4 條例規定僱主必須採取所有切實可行的步驟，確保將若干與個人資料的收集有關的事宜告知僱員1這項規定適用於上文第 3.1.2 及 3.1.3 段所述的情況，即僱主直接向僱員收集個人資料的情況。

僱主可利用與僱傭有關的書面收集個人資料聲明履行這項須給予通知的規定一項實際指引是僱主可在求職者接受聘用或僱員就職時提供收集個人資料聲明 1 保障資料第 1(3)原則28與僱傭有關的實務的實際指引3.2 聘用條款方面的個人資料3.2.1 根據上文第 3.1.2 段的規定，僱主可收集僱員及其家屬的個人資料，只要該等資料是：3.2.1.1 僱主的人力資源職能所需或與該等職能直接有關的資料1，或3.2.1.2 根據規管僱主事務的法律規定所需的資料；及3.2.1.3 以在有關情況下屬公平的方式收集2，以及就收集目的而言，所收集的資料並不超乎適度3酬償及福利3.2.2 僱主可為向僱員作出酬償及提供福利而收集僱員及其家屬的個人資料，只要：3.2.2.1 行事時遵守上文第 3.2.1 段所述的規定；及3.2.2.2 該等資料是確定僱員是否有資格獲得酬償及享有福利所必需的資料僱主或會為僱員或其家屬提供醫療、房屋或其他福利為管理這些福利，僱主可能會制訂政策，以防止為僱員或其家屬提供雙重福利在此情況下，僱主或須要求僱員就家屬所提出的申索提出證明。

在處理法定或合約上的補償申索時，僱主亦可能要求僱員提供證明，以支持所提出的付款申請品格審查/利益衝突聲明3.2.3 為方便進行品格審查或決定僱員有否涉及利益衝突，僱主可收集僱員的 1 保障資料第 1(1)(b)原則2 保障資料第 1(2)原則3 保障資料第 1(1)(c)原則29個人資料，只要：3.2.3.1 行事時遵守上文第 3.2.1 段所述的規定；3.2.3.2 在僱員獲聘出任的職位的固有性質方面，該等資料對僱主來說是重要的；及3.2.3.3 僱主已制訂這方面的政策，並事先促使僱員注意有關政策僱主可制訂政策，規定僱員必須提交聲明，披露所作出的私人投資一般來說，這項措施是要確保僱員處事公正，以及避免僱員因出任有關職位而可能出現利益衝突的情況不過，僱主必須顯示所收集關於僱員及其家屬或代表他們的第三者的個人資料，是履行所述目的所必需的資料體格檢驗及健康狀況資料3.2.4 僱主可收集與僱員的健康狀況有關的個人資料，只要是為了下述目的收集有關資料：3.2.4.1 為了與評估僱員是否適合繼續受聘的目的或直接有關的目的收集資料，或3.2.4.2 為了與管理為僱員提供的醫療或其他福利或補償直接有關的目的收集資料。

舉例來說，如果某些職位需要在位者的健康狀況維持在某一水平，則僱主可根據合約或法例規定要求僱員定期接受體格檢驗，以考慮有關僱員是否適合繼續受聘在此情況下，僱主只須獲得足以決定僱員適合繼續受聘的最低限度的資料同樣地，僱主亦只須獲得申請病假所需的最低限度的資料，以核實或計算僱員有資格申請的病假及其他相關福利，但卻毋須知道僱員在治療方面的詳情3.2.5 根據上文第 3.2.4 段收集僱員的個人資料的僱主應確保：3.2.5.1 行事時遵守上文第 3.2.1 段的規定；及3.2.5.2 就有關體格檢驗制訂政策，並於事先促使僱員注意有關政策30在大多數情況下，僱主毋須為有關目的而收集病歷的詳細資料，除非須收集有關詳情以履行法律上的規定，例如處理法定或合約上的醫療申索3.2.6 在顧及有關資料的一般敏感程度後，僱主應採取所有切實可行的步驟，以確保會妥為保管根據上文第 3.2.1 至 3.2.4 段所收集的個人資料1良好的行事方式是儲存於自動系統的僱員個人資料，只可透過適當的保安程序，由獲授權的職員查閱有關保安程序包括設有保安措施的終端機、制訂查閱規約、安裝審查記錄軟件，以及實施檢查記錄及遵守規定的措施。

如有關資料以硬本的形式儲存，則須存放在安全的地方，只讓獲授權的職員基於“需要知道” 的原則查閱3.3 紀律處分程序3.3.1 如僱主因僱員違反聘用條款而進行紀律處分調查，則應採取所有切實可行的步驟，以確保所集得關於有關僱員的個人資料：3.3.1.1 就採取紀律處分的決定而言是準確的2；及3.3.1.2 以妥善的方式保管，只讓獲授權的人員基於 “需要知道” 的原則查閱3舉例來說，在進行紀律處分程序中，僱主可能集關於紀律處分當事人的涉嫌不當行為的資料，而有關不當行為可能是當事人被免職的原因在此情況下，基於有關資料的敏感性，僱主必須採取有效的保安措施，以確保有關資料就作出決定的目的而言是準確的此外，僱主亦須採取相應的有效保安措施，以防未獲授權的人士查閱該等資料3.3.2 如僱主持有在紀律調查程序中取得的僱員個人資料 (包括從第三者來源所取得關於有關僱員的資料)，則僱主： 1 保障資料第 4 原則2 保障資料第 2 原則3 保障資料第 4 原則313.3.2.1 應只將有關資料使用於與調查涉嫌違規行為直接有關的目的；及3.3.2.2 不應向其他第三者披露或移轉該等資料，除非該第三者有合法理由可查閱該等資料。

一般來說，僱主不應公開披露任何可透露有關僱員的身分的紀律處分結果，除非披露該等資料的做法符合保障資料第 3 原則的規定舉例來說，如僱主打算發出內部聲明，向全體僱員宣布紀律處分結果，則應考慮有關做法可能對有關僱員造成損害，以及考慮刪除聲明中任何可識辨有關僱員身分的資料3.4 工作表現評核3.4.1 已制訂政策就僱員的工作表現進行評核的僱主可藉此集僱員的個人資料，只要有關資料是使用於下述目的：3.4.1.1 用以評估僱員的工作表現；3.4.1.2 用以評估僱員是否適合晉升；3.4.1.3 用以決定是否繼續聘用有關僱員；或3.4.1.4 用以決定有關僱員的調職或培訓需要3.4.2 收集僱員的工作表現資料作評核用途的僱主應收集不超乎該目的所需的資料，並且以在有關情況下屬公平的方式收集資料1舉例來說，除非沒有其他合理地切實可行的辦法監察僱員的工作表現，並且已給予事先通知，否則將僱員與工作有關的電話談話錄音，並以之作為評核程序的一部分的做法是不公平的此外，除非沒有其他較不侵犯私隱的可行方法，否則利用電子監察系統監視僱員的工作，例如使用指紋掃描系統監察僱員的出席情況，亦是不公平的做法良好的行事方式是僱主在使用任何特定的技術監察僱員的工作表現之前，應以書面通知有關僱員。

3.4.3 在工作表現評核過程中取得並持有僱員的個人資料的僱主： 1 保障資料第 1(1)(c)及第 1(2)原則323.4.3.1 應只將該等資料使用於上文第 3.4.1 段所述的目的；及3.4.3.2 不應向其他第三者披露或移轉該等資料，除非該第三者有合法理由可查閱該等資料舉例來說，如第三者 (例如第三者主管當局) 須就僱員的工作表現評核報告採取跟進行動，則僱主可將有關報告轉介該第三者，以完成評核程序良好的行事方式是僱主應請僱員就各項評估提出意見，並將有關意見記錄在評核表格內3.5 職工策劃3.5.1持有與職工策劃建議有關的個人資料的僱主，可毋須向提出查閱資料要求的僱員透露該等資料1職工策劃建議包括填補一系列職位空缺，例如兩個或以上的職位空缺，或停止聘用一組僱員的各項計劃屬於職工策劃活動的例子包括涉及一組僱員的機構重組、改組、以及清除冗員或接任計劃等事宜有關策劃通常會導致機構內的職位有所增加或刪減請注意招聘活動不屬職工策劃的釋義範圍同樣地，在正常人力資源管理職能中所撰寫的工作表現評核報告亦不包括在內。

僱員的晉升策劃或職業發展策劃不屬條例第 53 條所指的職工策劃範圍，因為有關活動並無導致機構內的職位有所增加或刪減3.6 晉升策劃3.6.1 為了決定個別僱員是否適合晉升而集僱員的個人資料的僱主，不應收集超乎履行該目的所需的個人資料2，同時應以在有關情況下屬公平的方式收集有關資料3 1 第 53 條2 保障資料原則第 1(1)(c)原則3 保障資料原則第 1(2)原則33晉升策劃是指評估個人是否適合擔任機構內的較高職級的程序良好的行事方式是僱主應限制使用心理測驗、角式扮演評估、模擬或其他有關的技巧，而只集中評估晉升所須具備的技巧、能力及工作態度3.6.2 如僱主持有在晉升策劃過程中取得的僱員個人資料 (包括從第三者來源所取得關於有關僱員的資料)，則：3.6.2.1 應只將有關資料使用於與晉升策劃程序直接有關的目的；及3.6.2.2 不應向其他第三者披露或移轉該等資料，除非該第三者有合法理由可查閱該等資料舉例來說，僱主的政策可能規定須由第三者加簽或確認遴選委員會就晉升策劃所作出的建議在此情況下，僱主獲准將資料移轉給該第三者，只要該等資料是使用於與晉升策劃直接有關的事宜。

3.7為僱員提供工作表現評介3.7.1 未取得有關僱員的訂明同意前，僱主不應向第三者提供僱員或前僱員的個人評介，除非僱主信納要求提供評介的第三者已事前取得有關僱員的同意1該同意是指僱員所自願給予的明示同意2僱員可直接向僱主或要求取得評介的第三者表示同意在後者的情況下，要求取得評介的第三者應通知僱主他已取得書面證據，證明僱員已同意取得有關評介，並且會應要求提供一份該等證據的副本如有疑問，僱主可在向要求評介一方發放評介前，先行與有關僱員核實此事3.8 僱員的查閱及改正資料要求3.8.1 上文第 3.2 至 3.7 段所述的在受僱期間從僱員收集得的個人資料，或從第三者集得關於僱員的其他資料，須受僱員所提出的查閱及改正資料 1 保障資料第 3 原則2 第 2(3)(a)條34要求所管限1，故此，就本節而言，除非可引用條例中的豁免事項，否則必須遵守第 1 章所述的查閱及改正資料要求關於有關程序的豁免23.8.2 如僱主持有有關程序的當事人的個人資料，則在進行該程序的期間及直至就有關程序作出決定前，僱主可免向提出查閱資料要求的僱員透露該等資料。

有關程序是指與僱傭有關的評估程序，而有關僱員有權就當中所作出的任何決定而提出上訴的舉例來說，針對僱員違反聘用條款而召開的紀律程序屬有關程序的釋義範圍，如有關僱員可就紀律程序中所決定採取的任何紀律行動提出上訴其他例子包括晉升選拔或評估有關僱員是否適宜繼續受僱或免除職位的程序，而有關僱員是有權就當中所作出的決定提出上訴的請注意有關程序的豁免事項只在 “完成” 該程序前的期間適用就有關程序而言 “完成” 是指對所採取的行動作出決定換言之，某一程序是否屬有關程序須視乎可否提出上訴而定，但上訴期並不構成該程序期間的一部分故此，如僱主在有關程序已完結後收到僱員的查閱資料要求，則應依從有關要求良好的行事方式是僱主應制訂書面政策，記錄所採取的步驟，以及為召開有關程序所收集的個人資料政策應訂明有權就程序中的決定提出上訴及有關權利所附帶的任何條件過渡性的豁免條文33.8.3 身為僱主並持有個人在僱傭方面的個人資料的資料使用者，可免向提出查閱要求的個人透露該等資料，直至二零零二年八月三日4為止，只要：3.8.3.1 該等資料在一九九六年十二月二十日5之前已經持有；及 1 第 18 及 22 條2 第 55 條3 第 54(1)條4 繼條例在 1995 年 8 月 3 日制訂後七年5 條例的生效日期353.8.3.2 該等資料是由個人所提供，而該人明確理解到有關僱員不會獲提供該等資料。

舉例來說，僱主可拒絕現職僱員查閱在一九九六年十二月十九日已持有的僱員工作表現評核報告，如該報告是在默示或明確的保密條件下提供不過，僱主並不能基於此項豁免而拒絕僱員查閱在一九九六年十二月二十日以後所撰寫的工作表現評核報告此外，如有關個人不再是資料使用者的僱員，此項豁免亦不適用3.8.4 獲僱主因應查閱資料要求提供其個人資料複本的僱員，有權就他認為不準確的任何資料，向僱主提出改正要求1如僱主信納有關資料確屬不準確，則須依從有關改正資料要求2僱主如信納要求所涉及的個人資料不準確，則必須作出所需的改正僱主應在收到僱員的改正資料要求後 40 日內改正有關資料，以及應在上述限期內，向僱員提供一份已改正的資料的複本不過，如僱主不信納改正資料要求所關乎的資料是不準確，不論有關資料是一項事實或意見表達，則可拒絕依從有關改正資料要求意見表達” 包括 “斷言一項不能核實的事實，或在有關個案的所有情況下，予以核實不是切實可行的事實”關於改正資料要求的進一步指引，請參閱第 1 章的依從查閱資料及改正資料要求的條文3.9 與僱傭有關的資料的準確性及保留期間3.9.1 在顧及有關資料的使用目的後，僱主應採取所有切實可行的步驟，以確保所持有關於僱員的僱傭資料是準確的3。

僱主可制訂提示制度，要求僱員呈報個人資料的轉變，以便在僱員的情況有變時更改有關資料良好的行事方式是僱主可考慮定期向僱員派發與僱傭有關的資料的複本，要求僱員向僱主呈報任何須予更新的資料舉例來說，如僱員在受僱期間結婚，則須更新他的醫療福利記錄，藉以加入僱員配偶的資 1 第 22(1)條2 第 23(1)條3 保障資料第 2(1)(a)原則36料，以便為僱員的配偶提供醫療福利3.9.2 僱主應採取所有切實可行的步驟，以確保僱員可取得僱主在個人資料政策及實務方面的資料1舉例來說，僱主可就個人資料的處理政策及實務，擬備一份書面的私隱政策聲明，以履行這項規定私隱政策聲明應開列僱主所持有的僱傭資料類別，以及有關資料的主要使用目的良好的行事方式是私隱政策聲明亦應包括僱傭資料的保留政策，並定期在僱員之間傳閱有關聲明3.10 使用現職僱員的僱傭資料3.10.1 僱主不應將僱員的僱傭資料，披露或使用於不是與僱員的僱傭目的直接有關的任何目的，除非：3.10.1.1 僱員同意將有關資料披露或使用於該等其他目的2，3.10.1.2 有關目的與資料的收集目的直接有關，3.10.1.3 法律或法定主管當局規定須如此使用或披露資料，或3.10.1.4 條例中有適用的豁免事項。

舉例來說，僱主欲與信用咭公司簽訂合約，藉以用特惠條件向僱員提供信用咭在此情況下，僱主不應在取得僱員的明示同意前使用僱員的個人資料及將資料移轉給信用咭公司作推銷信用咭之用另一做法是僱主可使用為通訊用途而收集的僱員的地址資料，直接通知僱員有關服務不過，僱主可為支付醫療保險而將僱員的醫療保險申請文件移轉給承保的保險商此舉與收集醫療保險申請文件的原有目的直接有關良好的行事方式是僱主應提示接受文件者只限將有關資料使用於與該等資料的披露目的直接有關的目的在上文所述的保險商的例子中，僱主可在發給保險商的指示中加入下述字句：“隨附與僱傭有關的個人資料，只限根據本公司向貴公司投保的僱員醫療保險保單的規定，為僱員提供保險之用 1 保障資料第 5 原則2 保障資料第 3 原則37根據法律須披露資料的例子包括向獲法律授權可得知有關個人資料的有關當局披露僱傭資料，例如僱主每年須在稅務局的《僱主填報的薪酬及退休金報稅表》中填報僱員的僱傭資料3.10.2 根據上文第 3.10.1 段向第三者披露僱傭資料的僱主必須採取所有切實可行的步驟，以確保：3.10.2.1 在顧及有關資料的披露目的後，所披露的資料是準確的1；及3.10.2.2 如在整體情況下可切實可行地知悉有關資料在披露時是不準確的，則接受資料者應獲告知該等資料是不準確，並獲提供改正有關不準確事項所需的資料2。

良好的行事方式是僱主應避免向接受資料者披露超乎使用目的所需的資料舉例來說，僱主不應在不考慮承保商所需的資料的情況下，將儲存於電腦內的僱傭記錄全部印出來交給保險商僱主應只向承保商或保險代理移轉投保有關保險所合理地需要的資料3.10.3 在顧及所披露的資料的敏感性，以及如資料受到未獲准許或意外查閱可能造成的損害後，僱主應採取所有切實可行的步驟，以確保用妥善的保安措施將與僱傭有關的個人資料移轉給第三者3舉例來說，在郵寄內載僱傭資料的文件時，僱主可考慮將有關文件放進密封的信封內，信封面上註明由接受資料者收閱並加上 “私人密件” 等字眼如使用有紙窗的信封，則須倍加小心，以免從信封的紙窗顯露郵遞用途以外的其他個人資料請注意除非使用保安軟件，否則電子郵件並非一個安全的傳輸方法視乎所傳輸的個人資料的敏感程度，僱主在透過電子郵件發放僱傭資料前，可考慮採用適當的保安軟件3.10.4 僱主可毋須取得僱員的同意而向第三者披露僱傭資料，只要： 1 保障資料第 2(1)(a)原則2 保障資料第 2(1)(c)原則3 保障資料第 4(e)原則383.10.4.1 披露所涉及的資料是履行條例第 58(1)條所述目的所需的資料；及3.10.4.2 僱主有合理理由信納如不披露有關資料，則會損害該等目的1。

條例第 58(1)條所述的目的包括罪行的防止或偵測、任何人所作的不合法或嚴重不當的行為、或不誠實的行為或舞弊行為的防止、排除或糾正 (包括懲處)不合法或嚴重不當的行為” 除指刑事罪行的行為外 ， 亦包括民事過失2 故此，僱主如有合理理由信納向第三者所披露的資料會使用於民事法律程序，以及不披露有關資料會對僱員所作出的民事過失的防止、排除或糾正構成損害，則僱主可向第三者披露僱員的僱傭資料不過，請注意僱主必須有合理理由支持上述所信納的事項，而條例並無規定僱主必須依從第三者所提出的有關披露資料要求舉例來說，如警方在進行刑事調查時，在沒有手令的情況下要求取得僱員的僱傭資料，則警方必須令僱主信納如不披露所要求的資料，則有進行有關調查如警方是根據手令而要求提供有關資料，則僱主可視有關手令已提供足夠理由，可據之而向警方提供所需的資料，縱使作出有關披露不屬有關資料的收集目的之一3.11 披露或移轉與僱傭有關的資料將資料移轉給外間的專業服務機構3.11.1 僱主就某些事宜尋求第三者的專業服務時如須披露或移轉僱傭資料，則應確保只提供取得有關專業服務所需的資料僱主可僱用外間的專業服務機構，例如法律代表或顧問，就人力資源管理事宜提供意見。

在此情況下，僱主應避免向接收資料者披露超乎提供有關服務所須使用的資料舉例來說，管理顧問在制訂僱員的職業發展計劃時，一般都不需要個別僱員的地址或支薪詳情等資料僱主或會聘用外間核數師核數核數師是根據《公司條例》(第 32 章)第 141(5) 1 第 58(2)條2 初審法院案件第 HCPI 828/97 號39條的規定查閱與僱傭有關的個人資料一般來說，外間核數師只限於查閱薪酬、稅項及個人開支；閱讀或影印僱主與僱員或僱主與承辦商所簽訂的任何合約，以及關乎終止聘用的文件，而這些是用以證實有關交易條件所必需的資料將處理人力資源資料的工作外發3.11.2 將處理人力資源資料的工作外發或外判給外間代理的僱主應採取所有合理地切實可行的步驟，以確保由代理處理的僱傭資料受保障而不受未獲准許的或意外的查閱或披露所影響1請注意如第三者受僱為代表僱主的代理人，條例規定僱主須就第三者所作出的錯誤作為或從事的錯誤行為負上法律責任舉例來說，僱主可制訂合約，對如何傳輸及處理資料作出管制，以及規定代理須採取措施，以確保可查閱有關資料的職員有良好操守、審慎態度及能勝任有關工作。

將僱員的服務外判給其他機構3.11.3 僱主可為將僱員的服務外判給第三者機構的目的而披露或移轉僱員的僱傭資料，只要：3.11.3.1 有關外判安排與僱員的職能或從事的活動有關；或3.11.3.2 將僱員的資料使用於有關目的屬聘用僱員的其中一個目的大部分的外判安排須受僱主與第三者機構所簽訂的合約約束僱主是主要承判商，是合約的一方，而有關僱員則是獲僱主指派執行合約中的工作的人員舉例來說，僱主成功投得第三者招標的工程合約，僱員則是有關工程的其中一名成員在此情況下，僱主與僱員之間的僱傭關係維持不變，雖然第三者可能有責任監管有關僱員的工作3.11.4 根據上文第 3.11.3 段向第三者機構移轉或披露僱員的僱傭資料的僱主，必須確保所披露的個人資料： 1 第 65(2)條403.11.4.1 與第三者機構的職責說明中所述的工作條件有關；3.11.4.2 就有關外判服務來說，資料屬足夠但不超乎適度；及3.11.4.3 只限於有關僱員在僱傭方面的個人資料在外判安排中，其他一方可能為了挑選目的而要求僱主提供僱員的個人資料。

舉例來說，僱主或須在工程建議書內列述僱員的資料，以示有關僱員持有所需的資歷，適合負責所承投的工程鑑於僱主主要是基於僱傭的目的收集僱員的資料，例如履歷方面的資料，只要這些資料是為了承投工程的目的而包括在僱主的工程建議書內，則如此披露資料可視為將資料使用於與原本收集目的直接有關的目的不過，以此方式披露的資料應只限於僱員的技能、本領、能力及工作經驗，而這些資料與僱員勝任所指派的工作所必須具備的條件有關將資料移轉至香港以外地方3.11.5 僱主可為了與僱傭直接有關的目的，將僱員在僱傭方面的個人資料，移轉至機構的海外辦事處至於所移轉的資料就該目的而言屬足夠即可，但不得超乎適度舉例來說，僱主可為了獲准的目的，例如將有關僱員派駐海外的辦事處，而將僱員在僱傭方面的個人資料移離香港請注意條例載有條文，對個人資料移轉至香港以外地方作出特訂管限 1將資料移轉至機構的其他辦事處3.11.6 僱主可為了與僱傭直接有關的目的，將僱員僱傭方面的個人資料在機構內移轉，而就獲移轉資料一方的使用目的而言，有關資料屬足夠即可，但不得超乎適度舉例來說，僱主的會計部毋須收集與計算僱員的薪酬無關的資料，例如僱員的工作表現評核報告。

同樣地，機構的內部核數師亦不應查閱與履行內部稽核職能無關的個人資料 1條例第 33 條此條文目前並未生效關於如何為遵守此條文作好準備，請參閱公署出版的《資料概覽第 1 號》 41合併、收購及有關記錄的審查工作3.11.7 如僱主將與僱傭有關的個人資料移轉給參與合併、收購或有關記錄的審查工作的外間機構，則所移轉的資料應只限於用以決定有關機構所聘請的人員的質素所合理地需要的資料，或與收購或合併的合理事項有關的資料欲收購一間公司相當部分的股分或欲與該公司進行合併的機構，可能要求取得該公司的要員在僱傭方面的個人資料舉例來說，有關資料可包括薪金、職銜、服務年資、晉升歷史、資歷、業績，以及對有關人員的優點及缺點所作出的評估如僱員受僱的機構成為另一機構的收購對象，或積極考慮與其他機構合併，則僱員可合理地預計他們與僱傭有關的某些個人資料，可能會被披露或移轉予另一方3.11.8 僱主在任何合併、收購及有關記錄的審查工作中，可向中介人士，包括財務顧問、銀行及律師移轉與僱傭有關的資料，只要有關人士是為促進合併或收購的目的而代表僱主使用有關資料。

良好的行事方式是僱主須取得有關各方的承諾，確保妥善保障該等資料及依從《個人資料(私隱)條例》的所有其他有關規定如已確知不會進行擬作的收購或合併，則另一方或其代理人，應立即銷毀為考慮進行收購或合併而接收的與僱傭有關的個人資料，或將該等資料退回有關僱主3.11.9 儘管機構正被其他一方進行收購，不管是部分或全部收購，該機構作為僱主仍可繼續為與僱傭直接有關的目的而使用僱員在僱傭方面的個人資料舉例來說，如兩間或以上的機構進行合併，合併後的僱主仍可為繼續聘用有關僱員的目的而使用僱員的僱傭資料良好的行事方式是僱主應確保只制訂一套私隱政策及實務，適用於合併後各機構所持有與僱傭有關的個人資料423.12 與用分判形式聘用職員有關的事宜3.12.1 用分判形式聘用職員的僱主，不應就該等職員收集超乎履行聘用職能或活動所需的個人資料1就本節的條文而言，用分判形式聘用的職員 (下稱“分判職員”) 包括透過第三者，例如職業介紹所所聘請的職員，以及由一間公司聘用卻代另一間公司工作的職員，或是自僱的職員在此情況下，僱主並無直接與有關個人簽訂僱傭合約一般來說，僱主需要向用分判形式聘用的職員所收集的個人資料，通常都比向僱員所收集的為少。

舉例來說，僱主一般不會收集用分判形式聘用的職員的銀行戶口詳情及其家人的個人資料不過，僱主或許需要收集有關職員至親的資料，以便工作中出現緊急事故時使用3.12.2 只在仍需分判職員的個人資料來履行下述目的的情況下，聘用分判職員的僱主才可繼續保留該等職員的個人資料：3.12.2.1 履行該等資料的收集目的 (或任何直接有關的目的)2；或3.12.2.2 合理地可能再聘用有關職員擔任其後的工作舉例來說，如有需要為處理可能由有關分判職員的工作表現所引致的勞資糾紛，僱主可保留該等分判職員的個人資料如可能再聘用有關分判職員擔任其後的工作，則僱主可將有關職員的資料保留兩年，由完成目前或最近的合約的日期起計在兩年期間屆滿後，僱主只可在有關職員給予訂明同意後，才可將保留期間延長3.12.3 在披露或移轉有關資料方面，持有分判職員的個人資料的僱主應遵守上文第 3.11 段所述的規定物業管理公司通常都會代表大廈業主立案法團處理大廈的管理及保安事宜 1 保障資料第 1(1)(c)原則2 保障資料第 2(2)原則43這樣做時，物業管理公司可能將大廈的保安工作分判給第三者保安公司，而有關公司須聘請保安員或管理員在大廈的範圍內工作。

物業管理公司或會要求分判保安公司提供保安員的薪酬資料，以便業主立案法團審核帳目在此情況下，作為保安員僱主的分判保安公司在擬備所要求提供的資料時必須倍加小心，因為該公司除向物業管理公司披露資料外，可能亦同時向業主立案法團披露了有關資料一般來說，提供薪酬方面的資料而不披露個別保安員的身分，已屬足夠444.前僱員事宜4.1引言4.1.1 僱員可能因轉職另一間公司、辭職、因紀律處分而被革職、清除冗員、退休、喪失工作能力或死亡而離職4.1.2僱主可為履行對前僱員的責任或履行某些條例所規定的法律責任而保留前僱員的相關個人資料僱主可能需要有關資料作下述用途：4.1.2.1 符合法定規定 — — 這可能與薪俸稅記錄、業務記錄及病假記錄的保留有關；4.1.2.2 為前僱員或其家屬履行在退休金、離職金或強制性公職金計劃方面的任何剩餘責任；4.1.2.3 在任何民事或刑事訴訟中用以為機構辯護 —— 如根據法例 (例如《僱員補償條例》) 可能採取的任何法律行動；4.1.2.4 就僱員在受僱期間及/或因受僱而涉嫌引致的醫療問題或受傷所提出的索償為機構辯護；4.1.2.5 如有合理理由相信前僱員會再申請受僱，讓僱主可聘用有關前僱員；或4.1.2.6 應前僱員的要求提供工作表現評介。

4.1.3舉例來說， 《僱傭條例》1規定僱主須在僱員停止受僱後保留僱員的記錄六個月，當中列明有關僱員在過去 6 個月僱傭期內的工資及僱傭歷史4.1.4僱主為了上文第 4.1.2 段所述的目的所持有的前僱員的個人資料，須受僱員所提出的查閱及改正資料要求所規限故此，就本節而言，除非可引用條例中的豁免事項，否則必須遵守第 1 章所述的查閱及改正資料要求在適用的情況下，僱主亦須遵守上文第 3.10 (使用現職僱員的僱傭資料)及第 3.11 段 (披露或移轉與僱傭有關的資料) 所述而適用於前僱員的規定 1 請參閱《僱傭條例》(第 57 章)第 49A 條45前僱員事宜的實際指引4.2繼續保留前僱員的個人資料4.2.1僱主可為了上文第 4.1.2 段所述的目的或其他目的而保留前僱員的個人資料，只要該等其他目的是：4.2.1.1 為僱主履行合約或法律責任所需要的；4.2.1.2 與管理僱主與前僱員之間的關係直接有關；或4.2.1.3 獲前僱員的同意4.2.2僱主可保留前僱員的身分證號碼，用以連繫、檢索或處理所持有的僱員記錄。

舉例來說，按照《身分證號碼及其他身分代號實務守則》第 2.6.4 段，僱員的身分證號碼可用來聯繫強制性公積金計劃下由不同資料使用者所持有關於僱員的記錄4.2.3僱主不應保留前僱員的個人資料超過 7 年，由前僱員離職日期起計，除非：4.2.3.1 有具體理由規定僱主須保留有關資料一段較長的期間1；或4.2.3.2 前僱員給予訂明同意可將有關資料保留超過 7 年一般來說，如法律禁止僱主刪除資料、正進行訴訟、僱主因須履行合約上的責任而須保留有關資料，或不刪除該等資料是符合公眾利益 (包括歷史方面的利益) 的，則僱主獲准保留有關個人資料良好的行事方式是僱主應在僱員離職後，盡早採取所有切實可行的步驟，以確保只保留符合規定所需的僱員資料舉例來說，僱主可撰寫前僱員的服務記錄撮要或前僱員的服務證明書，以便為前僱員提供工作表現評介，或處理前僱員 1 第 26(1)(a)及(b)條46的再聘用申請，但卻毋須保留全部詳情，因有關目的並不需要這些資料4.3前僱員的個人資料的準確性4.3.1僱主須採取所有合理地切實可行的步驟，以確保為了履行僱員離職後僱主仍須繼續履行的目的而持有的個人資料的準確性1。

一般來說，如資料的不準確性對使用有實質的影響，當僱主在接獲僱員通知資料有所改變時即更新有關資料，或在行將使用資料時更新有關資料，則可視作已符合此項規定4.3.2在顧及有關資料的保留目的後，如僱主有合理理由相信前僱員的個人資料不準確，則僱主不應使用該等資料，除非及直至上述理由不再適用於該等資料2舉例來說，僱主或須定期郵寄前僱員的福利付款文件如僱主再三收到退回的郵件，指出郵遞地址錯誤，則此情況顯示前僱員的聯絡地址可能已不準確在此情況下，在核實前僱員的地址前，僱主應避免再使用該地址郵寄福利付款文件4.3.3僱用第三者管理離職僱員事宜的僱主，例如管理前僱員的公積金計劃，應採取所有切實可行的步驟，以確保：4.3.3.1 在顧及有關資料的使用目的後，所移轉的資料是準確的3；及4.3.3.2 如在所有情況下知悉資料在移轉時在要項上不準確是切實可行的，則接受該等資料的人士應獲告知該等不準確事項，並獲提供改正該等資料所需詳情4 1 保障資料第 2(1)(a)原則2 保障資料第 2(1)(b)原則3 保障資料第 2(1)(a)原則4 保障資料第 2(1)(c)原則474.4前僱員的個人資料的保安4.4.1僱主應採取所有切實可行的步驟，以確保在本身所在的樓宇內或其他樓宇內採取必要的保安措施，以防所保留的前僱員的個人資料受到未獲准許的或意外的查閱1。

良好的行事方式是如僱主用電腦或紙張檔案保留前僱員的個人資料，應將有關檔案與現職僱員的檔案分開，以加強保安如僱主在較低成本的地方保存前僱員的個人資料，則該處亦應有合理的保安措施4.5為前僱員提供工作表現評介4.5.1僱主在向第三者提供前僱員的工作表現評介前，必須確保有關僱員已給予訂明同意2當前僱員向第三者求職時，有關第三者許多時都會要求僱員的前僱主提供工作表現評介在提供評介前，僱主應先取得有關僱員的同意，或要求該第三者證明已取得有關僱員的同意請注意如口頭提供的個人評介是直接來自書面或電腦記錄的個人資料，則提供口頭評介的個人屬披露個人資料，故事前應先取得上文所述的有關人士的訂明同意4.6關於前僱員的公開聲明4.6.1僱主如認為有必要公開宣布僱員已離職及不再代表其機構，則宣布中只應包括足以識辨前僱員身分所需的最少資料僱主應注意不得在任何關於前僱員的公開聲明中披露僱員的身分證號碼一般來說，前僱員的全名、以前擔任的職位及機構的名稱已足以履行聲明擬作的目的一般來說，僱主不應在為此目的而作出的公開聲明中公布前僱員的離職原 1 保障資料第 4 原則2 保障資料第 3 原則48因。

如須披露有關原因，則僱主應考慮在事前先取得有關僱員的同意，除非僱主有合理理由相信向新聞機構披露該等資料是符合公眾利益的4.7刪除前僱員的個人資料4.7.1為了上文第 4.2.1 段所述目的保留前僱員的個人資料的僱主，如在第 4.2.3段所述的獲准保留期間屆滿前，不再需要為該等目的保留有關資料，應確保不會將有關資料使用於其他目的，以及會在切實可行情況下盡早刪除有關資料1前僱員的個人資料許多時並非以紙張檔案儲存，例如儲存於縮微平片或縮微膠卷在這種情況下，要按需要將當中的個別資料項目刪除或非切實可行不過，如記錄是儲存於實體的紙張檔案中，則銷毀就有關目的不再需要的資料是切實可行的僱主可在下次為某一目的查閱有關檔案時，或是在下次定期清除無用檔案時銷毀該等資料良好的行事方式是僱主應制訂個人資料管理政策 ， 並據之而制訂資料處理措施，以方便刪除不再需要的各類資料政策亦應訂明須定期銷毀及清除記錄4.7.2上文第 4.7.1 段所述的規定同時適用於僱主所持有的前僱員的家屬的個人資料4.8退休4.8.1只要僱主有責任管理與僱員的退休計劃有關的事宜，即可保留已退休的職員或其家屬的有關個人資料2一般來說，僱主或須保留前僱員或根據退休計劃可享有該等福利的前僱員的家屬的姓名、聯絡資料及銀行戶口資料。

為確保前僱員的個人資料的準確性，僱主須要求前僱員在本人或家屬 (如適用) 的個人情況有變，以致須將資料更新 1 保障資料第 2(2)原則2 保障資料第 2(2)原則49時，將有關資料通知僱主4.9僱員死亡4.9.1已逝世的前僱員的資料不屬本守則的涵蓋範圍不過，如僱主保留已逝世僱員的遺屬的個人資料，則該等資料受本守則所管限1舉例來說，僱主或須為管理公司的退休金的目的而保留已逝世僱員的遺屬的個人資料該等資料受本守則所管限 1 第 2 條的“個人資料”的釋義50附錄1  《個人資料(私隱)條例》的釋義、原則及主要條文《 個人資料(私隱)條例》的釋義“資料” (data) 指在任何文件中資訊的任何陳述(包括意見表達)，並包括個人身分標識符；“查閱資料要求” (data access request)指根據第 18 條提出的要求；“改正資料要求” (data correction request)指根據第 22(1)條提出的要求；“文件” (document)除包括書面文件外，包括(a)包含視覺影像以外的資料的紀錄碟、紀錄帶或其他器件，而所包含的資料能夠在有或沒有其他設備的輔助下，從該紀錄碟、紀錄帶或器件重現；及(b)包含視覺影像的膠卷、紀錄帶或其他器件，而所包含的影像能夠在有或沒有其他設備的輔助下，從該膠卷、紀錄帶或器件重現；“僱用” (employment)指在以下合約下的僱用(a)僱傭合約或學徒訓練合約；或(b)由個人親自進行某工作或勞動的合約，而相關詞句均須據此解釋；“個人資料” (personal data)指符合以下說明的任何資料(a)直接或間接與一名在世的個人有關的；(b)從該等資料直接或間接地確定有關的個人的身分是切實可行的；及(c)該等資料的存在形式令予以查閱及處理均是切實可行的；“個人身分標識符” (personal identifier)指(a)由資料使用者為其作業而編配予一名個人；及(b)就該資料使用者而言，能識辨該名個人的身分而不虞混淆，的標識符，但用以識辨該名個人的該人的姓名，則不包括在內；“使用” (use)，就個人資料而言，包括披露或移轉該等資料。

51保障資料原則1第1原則收集個人資料的目的及方式(1)除非 (a)個人資料是為了直接與將會使用該等資料的資料使用者的職能或活動有關的合法目的而收集；(b)在符合(c)段的規定下，資料的收集對該目的是必需的或直接與該目的有關的；及(c)就該目的而言，資料屬足夠但不超乎適度，否則不得收集資料2)個人資料須以 (a)合法；及(b)在有關個案的所有情況下屬公平，的方法收集3)凡從或將會從某人收集個人資料，而該人是資料當事人，須採取所有切實可行的步驟，以確保 (a)他在收集該等資料之時或之前，以明確或暗喻方式而獲告知 (i)他有責任提供該等資料抑或是可自願提供該等資料；及(ii)(如他有責任提供該等資料)他若不提供該等資料便會承受的後果；及(b)他 (i)在該等資料被收集之時或之前，獲明確告知 ──(A) 該等資料將會用於甚麼目的(須一般地或具體地說明該等目的)；及(B) 該等資料可能移轉予甚麼類別的人；及(ii)在該等資料首次用於它們被收集的目的之時或之前，獲明確告知 (A)他要求查閱該等資料及要求改正該等資料的權利；(B)該等要求可向其提出的個人的姓名及地址，但在以下情況屬例外：該等資料是為了在本條例第 VIII 部中指明為個人資料就其而獲豁免而不受第 6 保障資料原則的條文所管限的目的而收集，而遵守本款條文相當可能會損害該目的。

522第2原則個人資料的準確性及保留期間(1)須採取所有切實可行的步驟，以 (a)確保在顧及有關的個人資料被使用於或會被使用於的目的(包括任何直接有關的目的)下，該等個人資料是準確的；(b)若有合理理由相信在顧及有關的個人資料被使用於或會被使用於的目的(包括任何直接有關的目的)下，該等個人資料是不準確時，確保 (i)除非該等理由不再適用於該等資料(不論是藉著更正該等資料或其他方式）及在此之前，該等資料不得使用於該目的；或(ii)該等資料被刪除；(c)在於有關個案的整體情況下知悉以下事項屬切實可行時 ──(i)在指定日當日或之後向第三者披露的個人資料，在顧及該等資料被使用於或會被使用於的目的(包括任何直接有關的目的)下，在要項上是不準確的；及(ii)該等資料在如此披露時是不準確的，確保第三者 (A)獲告知該等資料是不準確的；及(B)獲提供所需詳情﹐以令他能在顧及該目的下更正該等資料2)個人資料的保存時間，不得超過將其保存以貫徹該等資料被使用於或會被使用於的目的(包括任何直接有關的目的)所需的時間3第3原則個人資料的使用如無有關的資料當事人的訂明同意，個人資料不得用於下列目的以外的目的(a)在收集該等資料時會將其使用於的目的；或(b)直接與(a)段所提述的目的有關的目的。

4第4原則──個人資料的保安須採取所有切實可行的步驟，以確保由資料使用者持有的個人資料(包括採用不能切實可行地予以查閱或處理的形式的資料)受保障而不受未獲准許的或意外的查閱、處理、刪除或其他使用所影響，尤其須考慮 ──(a)該等資料的種類及如該等事情發生便能造成的損害；53(b)儲存該等資料的地點；(c)儲存該等資料的設備所包含(不論是藉自動化方法或其他方法)的保安措施；(d)為確保能查閱該等資料的人的良好操守、審慎態度及辦事能力而採取的措施；及(e)為確保在保安良好的情況下傳送該等資料而採取的措施5第5原則──資訊須在一般情況下可提供須採取所有切實可行的步驟，以確保任何人 (a)能確定資料使用者在個人資料方面的政策及實務；(b)能獲告知資料使用者所持有的個人資料的種類；(c)能獲告知資料使用者持有的個人資料是為或將會為甚麼主要目的而使用的6第6原則──查閱個人資料資料當事人有權 ──(a)確定資料使用者是否持有他屬其資料當事人的個人資料；(b)要求 ──(i)在合理時間內查閱；(ii)在支付並非超乎適度的費用(如有的話)下查閱；(iii)以合理方式查閱；及(iv) 查閱採用清楚易明的形式的，個人資料；(c)在(b)段所提述的要求被拒絕時獲提供理由；(d)反對(c)段所提述的拒絕；(e)要求改正個人資料；(f)在(e)段所提述的要求被拒絕時獲提供理由；及(g)反對(f)段所提述的拒絕。

本守則所提及的主要條文2釋義(3)凡根據本條例任何作為可經某人(不論如何描述該人)的訂明同意而作出，該同意 ——54(a)指該人自願給予的明示同意；(b)不包括已藉向獲給予同意的人送達書面通知而予以撤回的任何同意(但不損害在該通知送達前的任何時間依據該同意所作出的所有作為)18查閱資料要求(1)任何個人或代表一名個人的有關人士可提出內容如下的要求(a)要求資料使用者告知他該使用者是否持有該名個人屬其資料當事人的個人資料；(b)如該資料使用者持有該等資料，要求該使用者提供一份該等資料的複本2)在第(1)款(a)及(b)段下的查閱資料要求，須視為單一項要求，而本條例的條文須據此解釋3)在沒有相反證據的情況下，第(1)款(a)段下的查閱資料要求須視為該款(a)及(b)段下的查閱資料要求，而本條例的條文(包括第(2)款)須據此解釋4)就某些個人資料而言，如某資料使用者(a)不是持有該等資料的；但(b)控制該等資料的使用，而控制的方式禁止實際持有該等資料的另一資料使用者依從(不論是完全依從或部份依從)關乎該等資料的查閱資料要求，則他須當作持有該等資料，而本條例的條文(包括本條)須據此解釋。

19依從查閱資料要求(1)在符合第(2)款及第 20 及 28(5)條的規定下，資料使用者須在收到查閱資料要求後的40 日內，依從該項要求2)凡資料使用者不能在第(1)款指明的期間內依從查閱資料要求，他 (a)須在該期間屆滿前 (i)藉書面通知告知提出要求者他不能如此依從該項要求，以及其理由；及(ii)在他能依從該項要求的範圍(如有的話)內，依從該項要求；及(b)須在該期間屆滿後，在切實可行的範圍內盡快依從或盡快完全依從(視屬何情況而定)該項要求5520資料使用者須在或可在何種情況下拒絕依從查閱資料要求(1)在以下情況，資料使用者須拒絕依從查閱資料要求 ——(a)該資料使用者不獲提供他合理地要求 ——(i)以令他信納提出要求者的身分的資訊；(ii)(如提出要求者看來是就另一名個人而屬有關人士)以令他 ——(A)信納該另一名個人的身分；及(B)信納提出要求者確是就該另一名個人而屬有關人士，的資訊；(b)(在符合第 (2) 款的規定下)該資料使用者不能在不披露另一名個人屬其資料當事人的個人資料的情況下依從該要求；但如該資料使用者信納該另一名個人已同意向該提出要求者披露該等資料，則屬例外；或(c)(在其他情況下)在當其時，依從該要求根據本條例是被禁止的。

2)第(1)(b)款的施行不得 — —(a)令該款提述另一名人屬其資料當事人的個人資料之處，包括提述識辨該名個人為有關的查閱資料要求所關乎的個人資料的來源的資訊(但如該名個人在該等資訊被點名或該等資訊以其他方式明確識辨該名個人的身分則除外)；(b)令資料使用者無須在不披露該另一名個人的身分(不論是藉著略去姓名或其他能識辨身分的詳情或以其他方法)的情況下，在有關的查閱資料要求是可予依從的範圍內依從該項要求22改正資料要求(1)在不抵觸第(2)款的條文下，如 ——(a)資料使用者已依從查閱資料要求而提供個人資料的複本；及(b)屬有關的資料當事人的個人或代表該名個人的有關人士認為該等資料不準確，則該名個人或有關人士(視屬何情況而定)可提出要該資料使用者對該等資料作出所需的改正的要求2)就某些個人資料而言，如某資料使用者 ——(a)不是持有該等資料的；但(b)控制該等資料的處理，控制的方式，禁止實際持有該等資料的另一資料使用56者就關乎該等資料的改資要求遵守(不論是完全遵守或部分遵守)第 23(1)條，則他須當作可向其提出該項要求的資料使用者，而本條例的條文(包括第(1)款)須據此解釋3)在不損害第 23(1)(c)及 25(2)條的概括性原則下，任何資料使用者如在接獲一項改正資料要求後但在依據第 24 條依從該要求前或在依據第 25 條拒絕依從該項要求前，向第三者披露該項要求所關乎的個人資料，則該使用者須採取所有切實可行的步驟，以告知該第三者有關資料為該使用者仍在考慮中的改正資料要求的標的(或相似意思的字眼)。

23依從改正資料要求(1)除第(2)款及第 24 條另有規定外，如資料使用者信納改正資料要求所關乎的個人資料屬不準確，在收到該項要求後的 40 日內 ——(a)他須對該等資料作出所需的改正；(b)他須向提出要求者提供經如此改正的該等資料的複本一份；及(c)除第(3)款另有規定外，如 ——(i)在緊接作出有關改正之前的 12 個月內該等資料曾披露予第三者；及(ii)該等資料是為某目的(包括任何直接有關的目的)披露予該第三者，而該資料使用者沒有理由相信該第三者已停止將該等資料用於該目的，他須採取所有切實可行的步驟，向該第三者提供經如此改正的該等資料的複本一份，並附同一份述明改正理由的書面通知2)如資料使用者不能在第(1)款指明的期間內就某項改正資料要求遵守該款，他 ——(a)須在該期間屆滿前 — —(i)藉書面通知告知提出要求者他不能如此遵守該款，以及其理由；及(ii)在他能遵守該款的範圍(如有的話)內，遵守該款；及(b)須在該期間屆滿後，在切實可行的範圍內盡快遵守或盡快完全遵守(視屬何情況而定)該款24資料使用者須在或可在何種情況下拒絕依從改正資料要求(3)在以下情況，資料使用者可拒絕就某項改正資料要求遵守第 23(1)條 ——57(a)該項要求既不是採用中文而以書面作出，亦不是採用英文而以書面作出；(b)該資料使用者不信納該項要求所關乎的個人資料屬不準確；(c)該資料使用者合理地要求某些資訊，以確定該項要求所關乎的個人資料在哪些方面不準確，但是他不獲提供該等資訊；(d)資料使用者不信納屬該項要求的標的之改正是準確的；或(e)(在符合第(4)款的規定下)有另一資料使用者控制該等資料的處理，而控制的方式禁止本款所述的第一位資料使用者遵守(不論是完全遵守或部分遵守)該條。

25拒絕依從改正資料要求等的通知(1)依據第 24 條拒絕就某項改正資料要求遵守第 23(1)條的資料使用者，須在收到該項要求後的 40 日內，於切實可行範圍內盡快以書面通知告知提出要求者 ——(a)拒絕該項要求一事及拒絕的理由；及(b)(如第 24(3)(e)條適用)有關的另一資料使用者的地址及姓名或名稱2)在不損害第(1)款的概括性原則下，凡 ——(a)改正資料要求所關乎的個人資料是一項意見表達；而(b)有關的資料使用者不信納該項意見屬不準確，則 — —(i)(A)如提出要求者就某些事宜認為該意見屬不準確，該資料使用者須作一項關於該等事宜的附註(不論是附於該等資料或附於別處)；而(B)作出該項附註的方式，須令任何人(包括該資料使用者及第三者)不能在該人不會注意到該項附註的情況下及不能在該項附註不能供該人查閱的情況下，使用該等資料；及(ii)該資料使用者須將該項附註的複本一份，附於第(1)款所提述的關乎該項要求的通知書上3)在本條中 — —“意見表達”(expression of opinion)包括斷言一項 ——(a)不能核實的事實；或(b)在有關個案的所有情況下，予以核實不是切實可行的事實。

5826刪除不再需要的個人資料(1)凡資料使用者持有的個人資料是用於某目的(包括與該目的有直接關係的目的)，但已不再為該等目的而屬有需要的，則除在以下情況外，該資料使用者須刪除該等資料(a)該等刪除根據任何法律是被禁止的；或(b)不刪除該等資料是符合公眾利益(包括歷史方面的利益)的2)為免生疑問，現聲明 (a)即使任何其他資料使用者(“前者”)控制(不論是完全控制或部分控制)該等資料的處理，持有有關資料的資料使用者(“後者”)須按照第(1)款刪除個人資料；(b)後者不得就該等刪除而在前者為損害賠償而提出的訴訟中負法律責任53僱傭— —職工策劃(1)包含與 — —(a)填補任何系列的現正出缺或可能會出缺的僱傭職位；或(b)終止任何組別的個人的僱用，的職工策劃建議有關的資訊的個人資獲豁免而不受第 6 保障資料原則及 18(1)(b)條的條文所管限54僱傭過渡性條文(1)凡個人資料 — —(a)是 — —(i)在緊接指定日之前被持有；(ii)由屬有關的資料當事人的僱主的資料使用者持有；及(iii)與該當事人的僱用有關；及(b)是由一名個人提供，並是在該當事人不會有途徑接觸該資料的暗喻或明示條件的規限下提供的，該等資料獲豁免而不受第 6 保障資料原則及第 18(1)(b)條的條文所管限，直至緊接本條例制定之後的 7 年屆滿為止。

59(2)凡個人資料 (a)屬第(1)(a)款所適用的個人資料；或(b)是 (i)在指定日當日或以後才被持有；(ii)由屬有關的資料當事人的僱主的資料使用者持有；及(iii)與該當事人的僱用有關，該等資料獲豁免而不受第 6 保障資料原則及第 18(1)(b)條的條文所管限，直至 1996年 7 月 1 日為止55有關程序(1)屬有關程序的標的之個人資料獲豁免而不受第 6 保障資料原則及第 18(1)(b)條的條文所管限，直至該程序完成為止2)在本條中 “有關程序” (relevant process) (a)除(b)段另有規定外，指任何程序，而個人資料是在該程序下由一個或多於一個的人為決定以下事宜(或為使以下事宜得予決定)予以考慮的 (i)就 (A)僱用或委任以擔任職位；(B)在僱用或職位方面的晉升或繼續留任；(C)解僱或免除職位；或(D)授予任何合約、名銜(包括學術及專業資格)；獎學金、榮譽或其他利益，而言，有關的資料當事人的合適程度、是否合乎資格或具資歷；(ii)與有關的資料當事人有關的任何合約、名銜(包括學術及專業資格)、獎學金、榮譽或利益應否予以延續、修改或撤銷；或(iii)應否為有關的資料當事人違反其僱用條款或委任以擔任職位的條款而對他採取紀律行動；(b)如在某程序中，針對該等決定提出上訴(不論是根據條例或其他依據提出)是不獲容許的，則不包括該等程序；“完成” (completion)，就有關程序而言，指“有關程序”的定義(a)段所提述的有關決定的作出。

6056個人評介由資料使用者持有並包含符合以下說明的個人評介的個人資料(a)由一名個人在其職業的正常過程以外作出的；及(b)與就現正出缺或可能會出缺的僱傭職位或其他職位的填補而言另一名個人的合適程度或其他條件有關的，獲豁免，而 (i)在任何情況下，不受第 6 保障資料原則及第 18(1)(b)條的條文所管限，但如(a)段所提述的個人已以書面告知該資料使用者他不反對該評介被(b)段所提述的個人閱覽(或用相似意思的字句)，則屬例外；或(ii)在該評介是本條開始實施之日或以後作出的情況下，不受第 6 保障資料原則及第 18(1)(b)條的條文所管限，直至(b)段所提述的個人已獲書面告知他已被接納或已被拒絕以填補該僱傭職位或其他職位(或用相似意思的字句)為止，以先發生者為準58罪行等(1)為 — — (a)罪行的防止或偵測；(b)犯罪者的拘捕、檢控或拘留：(c)任何稅項的評定或收取；(d)任何人所作的不合法或嚴重不當的行為、或不誠實的行為或舞弊行為的防止、排除或糾正(包括懲處)；(e)防止或排除因 — —(i)任何人輕率的業務經營手法或活動；或(ii)任何人所作的不合法或嚴重不當的行為、或不誠實的行為或舞弊行為，而引致的重大經濟損失；(f)確定有關的資料當事人的品格或活動是否相當可能對以下事情有重大不利影響 — —(i)由該資料使用者執行法定職能所關乎的事情；或(ii)與本段憑藉第(3)款而適用的職能的執行有關的事情；或(g)本段憑藉第(3)款而適的職能的執行，而持有的個人資料，在以下情況獲豁免而不受第 6 保障資料原則及第 18(1)(b)條的條61文所管限 — —(i)該等條文適用於該等資料便相當可能會損害本款所提述的任何事宜；或(ii)該等條文適用於該等資料便相當可能直接或間接識辨屬該等資料來源的人的身分。

2)凡 — —(a)個人資料是為第(1)款所提述的目的而使用(不論該等資料是否為該等目的而持有)；及(b)第 3 保障資料原則的條文就該等使用而適用便相當可能會損害該款所提述的任何事宜，則該等資料獲豁免而不受第 3 保障資料原則的條文所管限，而在為任何人違反任何該等條文而針對他進行的法律程序中，如該人證明他當時有合理理由相信不如此使用該資料便相當可能會損害任何該等事宜，即為免責辯護65僱主及主事人的法律責任(1)任何人在其受僱用中所作出的任何作為或所從事的任何行為，就本條例而言須視為亦是由僱主所作出或從事的，不論其僱主是否知悉或批准他作出該作為或從事該行為2)任何作為另一人的代理人並獲該另一人授權(不論是明示或默示，亦不論是事前或事後授權)的人所作出的任何作為或所從事的任何行為，就本條例而言須視為亦是由該另一人作出或從事的3)在根據本條例對任何人就其僱員被指稱作出的作為或從事的行為(視屬何情況而定)而提出的法律程序中，該人如證明他已採取切實可行的步驟，以防止該僱員作出該作為或從事該行為或在其受僱用過程中作出該類作為或從事該類行為，即為免責辯護4)為免生疑問，現聲明：本條不就刑事法律程序而適用。