16. 在開始進行上述之僱員監察活動前,僱主應否通知僱員? 僱主應如何處理收集得來的資料?
僱主應通知僱員有關任何的監察活動。最佳做法是擬備一份周全的書面私隱政策/僱員監察政策,並在監察活動開始前將這份政策分發給所有僱員。根據個人資料私隱專員公署的建議,這份政策應明確地指出下列事項 :
- 藉僱員監察希望達到之業務目的 ;
- 可能進行監察的情況及可能用以進行監察的方式 ;
- 監察過程中可能收集的個人資料類別 ;
- 有關個人資料的用途。
有關這類私隱政策聲明的例子,可參考由公署發出之《保障個人資料私隱指引:僱主監察僱員工作活動須知》的附錄一,當中載有關於電郵監察的私隱政策聲明樣本 。
除非 僱主經已取得僱員的明確及自願給予的同意 ,或根據法律下有適用的豁免情況,否則收集得到的個人資料只能用於僱員監察政策訂明的用途 (或與其直接有關的用途)。
有關個人資料的保存時間,不應超過使用該等資料而達到原定目的之實際所需。例如,閉路電視錄影帶所記錄的資料應按既定安排而定期清洗,並只能在特殊情況下 ( 如資料會作為法律程序或紀律聆訊中之證據 ),才可延長保存時間。
僱主亦應採取適當的資料保安措施。舉例,閉路電視錄影帶應存放在限制出入區域裡的保管設施內。