This is an HTML version of an attachment to the Freedom of Information request 'Documents relating to notification of privacy breach by Commonwealth Bank (CBA) to OAIC and OAIC’s advice to CBA that it did not intend to inquire further about breach'.



Decision 
I am an officer authorised under s 23(1) of the FOI Act to make decisions in relation to FOI 
requests. 
I have identified four documents within the scope of your request. A schedule describing each 
document and the access decision I have made is at Appendix A to this decision. 
I have decided to grant you access to the documents in part, with matter exempt under ss 45 
(material obtained in confidence), 47E(d) (certain operations of agencies), and 47F (personal 
privacy) deleted from the documents. 
Further information about my decision follows. 
Reasons for decision  
Material taken into account 
In making my decision, I have had regard to the following: 
  your freedom of information request dated 3 May 2018 
  the documents at issue 
  the FOI Act, in particular ss 11A(5), 45, 47E(d) and 47F 
  submissions made by CBA 
  the Guidelines issued by the Australian Information Commissioner under s 93A of the 
FOI Act to which regard must be had in performing a function or exercising a power 
under the FOI Act (FOI Guidelines), in particular paragraphs [5.155] – [5.172], [6.1] — 
[6.28] and [6.124] — [6.148] 
  relevant case law, in particular Maurice Blackburn Lawyers and Australian Securities 
and Investments Commission (Freedom of information) [2017] AICmr 111; Dan Conifer 
and Department of the Prime Minister and Cabinet (Freedom of information) [2017] 
AICmr 103; Debra Duncan and Australian Criminal Intel igence Commission (Freedom 
of information) [2017] AICmr 75; ‘LK’ and Department of the Treasury (Freedom of 
information) [2017] AICmr 47; Bel  and Secretary, Department of Health, (Freedom of 
information) [2015] AATA 494; Re Maksimovic and Australian Customs Service [2009] 
AATA 28; ‘FG’ and National Archives of Australia [2015] AICmr 26; Diamond and Chief 
Executive Officer of the Australian Curriculum, Assessment and Reporting Authority 
[2014] AATA 707; ‘AW’ and Australian Taxation Office (Freedom of information) [2014] 
AICmr 1 and Utopia Financial Services Pty Ltd and Australian Securities and 
Investments Commission (Freedom of information) [2017] AATA 269. 
Material obtained in confidence (s 45) 
I have decided that parts of document 1 are exempt from disclosure s 45 of the FOI Act. 
Section 45 provides that a document is exempt if ‘its disclosure under this Act would found an 
action, by a person (other than an agency or the Commonwealth), for breach of confidence’. 
www.oaic.gov.au  |  2 
 

As discussed in the FOI Guidelines and in IC review cases,1 the main requirement of this 
exemption is that disclosure of a document would found an action for breach of confidence. 
The FOI Guidelines explain that for s 45 to apply, the following five criteria must be satisfied: 
  the information must be specifically identified 
  the information must have the necessary quality of confidentiality 
  the information must have been communicated and received on the basis of a mutual 
understanding of confidence 
  the information must have been disclosed or threatened to be disclosed, without 
authority, and 
  unauthorised disclosure of the information has or will cause detriment.
Document 1 is a file note of a meeting between CBA and the OAIC on 7 June 2016. 
The 7 June 2016 meeting was conducted on a confidential basis. The OAIC agreed to treat the 
information provided at the meeting in confidence and returned hard copies of the briefing 
pack to CBA at the end of the meeting. 
Addressing the five criteria in the FOI Guidelines I find as follows: 
  The information has been specifical y identified. The document comprises a file note of a 
meeting between the OAIC and CBA on 7 June 2016. 
  The document has the necessary quality of confidentiality. Information about the meeting 
between CBA and the OAIC on 7 June 2016 is not in the public domain; this remains 
confidential between the OAIC and CBA. 
  CBA undertook to meet with the OAIC on 7 June 2016 on the basis that the information 
provided would be treated confidential y by the OAIC. The OAIC agreed to meet CBA on 
this basis. The information was therefore communicated and received on the basis of a 
mutual understanding of confidence. 
  CBA has asserted that information about the 7 June 2016 meeting is confidential and that 
disclosure by the OAIC would breach the mutual understanding of confidence which 
attaches to this document if it was disclosed in response to this FOI request. 
  Disclosing the document is likely to cause detriment to CBA. Specific information relating 
to the meeting is not in the public domain. Release has the potential to disclose 
commercially sensitive information which may negatively impact on CBA’s reputation and 
competitive standing. 
The part of document 1 that relates to the 7 June 2016 meeting between CBA and the OAIC is 
exempt from disclosure under s 45 of the FOI Act. 
                                                      

General y, see FOI Guidelines [5.155] – [5.172]; Maurice Blackburn Lawyers and Australian Securities and Investments 
Commission (Freedom of information) [2017] AICmr 111; Dan Conifer and Department of the Prime Minister and 
Cabinet (Freedom of information) [2017] AICmr 103; Debra Duncan and Australian Criminal Intel igence Commission 
(Freedom of information) [2017] AICmr 75 and ‘LK’ and Department of the Treasury (Freedom of information) [2017] 
AICmr 47. 

FOI Guidelines [5.159], footnotes omitted. 
www.oaic.gov.au  |  3 
 

Certain operations of agencies conditional exemption (s 47E(d)) 
I have decided that parts of documents 1 and 4 are conditionally exempt from disclosure 
under s 47E(d) of the FOI Act. 
Section 47E(d) relevantly provides: 
Public interest conditional exemptions—certain operations of agencies 
A document is conditional y exempt if its disclosure under this Act would, or could reasonably 
be expected to, do any of the fol owing: 
… 
(d)  have a substantial adverse effect on the proper and efficient conduct of the operations of 
an agency. 
The FOI Guidelines explain: 
For the grounds in ss 47E(a)–(d) to apply, the predicted effect needs to be reasonably expected to 
occur ..  There must be more than merely an assumption or allegation that damage may occur if the 
document were to be released.3 
... 
An agency cannot merely assert that an effect would occur fol owing disclosure. The particulars of the 
predicted effect should be identified during the decision making process, including whether the effect 
could reasonably be expected to occur. Where the conditional exemption is relied upon, the relevant 
particulars and reasons should form part of the decision maker’s statement of reasons, if they can be 
included without disclosing exempt material. .
In deciding whether disclosure would, or could reasonably be expected to, have a substantial 
adverse effect on the OAIC’s operations, I have considered the functions and responsibilities 
of the OAIC.  
The OAIC has a range of functions and powers directed towards protecting the privacy of 
individuals by ensuring the proper handling of personal information. These functions and 
powers are conferred by the Privacy Act 1988 (Privacy Act) and by other legislation containing 
privacy protection provisions. Investigating privacy breaches, either in response to a 
complaint from a member of the public or on the Commissioner’s own initiative, is one of the 
OAIC’s primary functions. 
In particular, I have had regard to the regulatory powers conferred on the Information 
Commissioner by the Privacy Act and other legislation, which includes investigation and 
enforcement powers. 
Parts of the documents form the basis of an ongoing privacy investigation. Disclosing these 
documents in response to an FOI request, to individuals not party to the investigation, is 
reasonably likely to disrupt or prejudice the ongoing investigation and potentially the 
                                                      

FOI Guidelines [6.101]. 

FOI Guidelines [6.103]. 
www.oaic.gov.au  |  4 
 

outcome of the investigation, which would have a substantial and adverse effect on the 
OAIC’s operations. 
In making this finding, I have considered decisions of the Administrative Appeals Tribunal 
(AAT) which discuss the s 47E(d) exemption. The AAT has found that disclosure of documents 
held by statutory regulators and investigatory bodies would have a substantial adverse effect 
on an agency’s proper and efficient conduct of operations. 
In the AAT case of Utopia Financial Services Pty Ltd and Australian Securities and Investments 
Commission (Freedom of information) [2017] AATA 269, Deputy President Forgie found 
documents concerned with ASIC’s investigation and surveil ance functions to be exempt 
under s 47E(d). Deputy President Forgie found that the subject-matter of the documents was 
directed to the investigations associated with Utopia and that: 
… disclosure would give insight into an aspect or aspects of the way in which ASIC goes about its task of 
investigating or conducting surveil ance on those who come within its regulatory responsibilities. Utopia 
itself might have some idea of them as it has been the subject of such surveil ance and examination of 
its affairs. Others would not. To disclose them under the FOI Act would, I find, have an adverse effect on 
the proper and efficient conduct of ASIC’s operations.  I am also satisfied that the adverse effect would 
be substantial.6  
I note also that the AAT has recognised that the conduct of an agency’s regulatory functions 
can be adversely affected in a substantial way when there is a lack of confidence in the 
confidentiality of the complaint investigation process.
It is my view, based on the factual context and character of these documents, that the 
predicted adverse effect of disclosure would be likely to occur. 
Accordingly, in this case, I am satisfied that giving you access to the documents would, or 
could reasonably be expected to, substantially adversely affect the proper and efficient 
conduct of the operations of the OAIC. 
I am satisfied that parts of documents 1 and 4 are conditionally exempt under s 47E(d) of the 
FOI Act. I will consider the public interest in relation to these conditional y exempt documents 
below. 
Personal privacy conditional exemption (s 47F) 
I have decided that the personal information of CBA staff in the documents is conditionally 
exempt from disclosure under s 47F. This personal information includes names, email 
addresses, mobile and landline telephone numbers and position titles. 
                                                      

FOI Guidelines [6.121] and [6.122]. 

Utopia Financial Services Pty Ltd and Australian Securities and Investments Commission (Freedom of information) [2017] 
AATA 269 [103]. 

Telstra Australian Limited and Australian Competition and Consumer Commission [2000] AATA 71 (7 February 2000) 
[24]. 
www.oaic.gov.au  |  5 
 

Section 47F of the FOI Act provides a conditional exemption for personal privacy, where a 
document is conditional y exempt if its disclosure under the FOI Act would involve the 
unreasonable disclosure of personal information about any person (including a deceased 
person). 
The FOI Guidelines explain that the personal privacy exemption is designed to prevent 
unreasonable invasion of third parties’ privacy. The test of ‘unreasonableness’ implies a need 
to balance the public interest in disclosure of government-held information and the private 
interest in the privacy of individuals.8 
‘Personal information’ means: 
information or an opinion about an identified individual, or an individual who is reasonably 
identifiable: 
(a) whether the information or opinion is true or not; and 
(b) whether the information or opinion is recorded in a material form or not.9 
In establishing whether the disclosure of a document would involve the unreasonable 
disclosure of personal information, s 47F(2) requires me to have regard to: 
  the extent to which the information is well known 
  whether the person to whom the information relates is known to be (or to have been) 
associated with the matters dealt with in the document  
  the availability of the information from publicly accessible sources 
  any other matters that the agency considers relevant. 
The FOI Guidelines provide further factors that may be relevant when considering whether 
disclosure of personal information would be unreasonable. 
6.142 Key factors for determining whether disclosure is unreasonable include: 
a.  the author of the document is identifiable 
b.  the documents contain third party personal information 
c.  release of the documents would cause stress on the third party 
d.  no public purpose would be achieved through release. 
6.143 As discussed in the leading s 47F IC review decision of ‘FG’ and National Archives of 
Australia [2015] AICmr 26, other factors considered to be relevant include: 
• 
the nature, age and current relevance of the information 
• 
any detriment that disclosure may cause to the person to whom the information 
relates 
• 
any opposition to disclosure expressed or likely to be held by that person 
• 
the circumstances of an agency’s collection and use of the information 
• 
the fact that the FOI Act does not control or restrict any subsequent use or 
dissemination of information released under the FOI Act 
                                                      

FOI Guidelines [6.138] (footnotes omitted) 

Privacy Act 1988 (Cth), s 6. 
www.oaic.gov.au  |  6 
 

• 
any submission an FOI applicant chooses to make in support of their application as to 
their reasons for seeking access and their intended or likely use or dissemination of 
the information, and 
• 
whether disclosure of the information might advance the public interest in 
government transparency and integrity. [Footnotes omitted] 
The conditionally exempt information (names, email addresses, mobile and landline 
telephone numbers and position titles) is not publicly available and the relevant individuals 
are not known to be associated with the matters dealt with in the documents (that is, the 
data breach). The OAIC obtained this personal information for the purpose of communicating 
with CBA about this privacy incident.  
The personal information in the documents is current, and the relevant individuals have 
objected to their personal information being disclosed. 
CBA submits that disclosure of this information is likely to cause stress to these employees 
and may generate unsolicited or nuisance communications directed to these employees, with 
members of the public using the disclosed contact details to circumvent established public 
channels of communication. I accept CBA’s submissions that disclosure of the personal 
information identified above will cause detriment to the relevant individuals. 
Further, I do not consider that disclosing the names, email addresses, mobile and landline 
telephone numbers and position titles of CBA staff advances the public interest in 
government operations and decision-making. 
In considering whether the disclosure of the personal information of CBA staff is 
unreasonable, I have had regard to each of the factors set out above and have balanced the 
public interest in understanding the data breach notification process against the privacy of 
the individuals concerned. 
I consider that disclosing the personal information in the documents would be unreasonable 
and that as a result it is conditionally exempt under s 47F of the FOI Act. 
My consideration of the public interest follows. 
The public interest (s 11A(5)) 
An agency cannot refuse access to a conditionally exempt document unless giving access 
would, on balance, be contrary to the public interest (s 11A(5)). 
 
In the AAT case of Utopia Financial Services Pty Ltd and Australian Securities and Investments 
Commission, Deputy President Forgie explained that:  
… the time at which I make my decision for s 11A(5) requires access to be given to a conditional y 
exempt document “at a particular time” unless doing so is, on balance, contrary to the public interest.  
www.oaic.gov.au  |  7 
 

Where the balance lies may vary from time to time for it is affected not only by factors peculiar to the 
particular information in the documents but by factors external to them.10 
Therefore I must consider whether, in the context of an ongoing Commissioner initiated 
investigation into the CBA data breach, disclosure of the documents would be contrary to the 
public interest. 
The public interest factors favouring disclosure in this case are that disclosure would promote 
the objects of the FOI Act and inform debate on a matter of public importance. 
Against these factors I must balance the factors against disclosure. The FOI Act does not 
specify any factors against disclosure, however the FOI Guidelines provide a non-exhaustive 
list of factors against disclosure. This includes factors such as when disclosure could:  
  reasonably be expected to prejudice the protection of an individual’s right to privacy 
  reasonably be expected to impede the flow of information to the OAIC in its capacity 
as a privacy regulator 
  reasonably be expected to prejudice the OAIC’s ability to obtain confidential 
information in the future 
  reasonably be expected to impede the administration of justice generally, including 
procedural fairness 
  reasonably be expected to prejudice the OAIC’s ability to obtain and deliberate 
regarding sensitive information.11 
I have decided that in the context of an ongoing investigation, giving you access to the parts 
of the documents that I have found to be conditional y exempt under ss 47E(d) and 47F of the 
FOI Act would be on balance, at this time, contrary to the public interest. 
Release of documents 
Because an affected third party was consulted in the making of this decision and has objected 
to release of the documents, I am required, under s 27(6) and 27A(5) of the FOI Act, to advise 
it of my decision and provide an opportunity to seek: 
  internal review of my decision or 
  review of my decision by the Information Commissioner. 
CBA has 30 days from the date I notify it of my decision in which to seek review. As a result, 
the documents I have decided can be released with deletions cannot be released to you until 
this time has expired, or any internal review or appeal has been completed and my decision 
to release the documents upheld or confirmed. 
                                                      
10 
Utopia Financial Services Pty Ltd and Australian Securities and Investments Commission (Freedom of information) [2017] 
AATA 269 [133]. 
11 
Accepted by the Information Commissioner as a public interest factor against disclosure in Foundation for Alcohol and 
Research Education and Department of Health [2015] AICmr 38 at [24]. 
www.oaic.gov.au  |  8 
 


Disclosure log 
Section 11C of the FOI Act requires agencies to publish online documents released to 
members of the public within 10 days of release, except if they contain personal or business 
information that it would be unreasonable to publish. 
The documents I have decided to release to you do not contain business or personal 
information that it would be unreasonable to publish. As a result, the documents will be 
published on our disclosure log shortly after being released to you (subject to third party 
review rights as outlined above). 
Your review rights are outlined on the following page. 
Yours sincerely 
 
 
Raewyn Harlock 
Assistant Director 
Freedom of Information 
2 July 2018 
www.oaic.gov.au  |  9 
 

 
If you disagree with my decision 
Internal review 
You have the right to apply for an internal review of my decision under Part VI of the FOI Act. 
An internal review wil  be conducted, to the extent possible, by an officer of the OAIC who 
was not involved in or consulted in the making of my decision. If you wish to apply for an 
internal review, you must do so in writing within 30 days. There is no application fee for 
internal review. 
If you wish to apply for an internal review, please mark your application for the attention of 
the FOI Coordinator and state the grounds on which you consider that my decision should be 
reviewed. 
Further Review 
You have the right to seek review of this decision by the Information Commissioner and the 
Administrative Appeals Tribunal (AAT). 
You may apply to the Information Commissioner for a review of my decision (IC review). If you 
wish to apply for IC review, you must do so in writing within 60 days. Your application must 
provide an address (which can be an email address or fax number) that we can send notices 
to, and include a copy of this letter. A request for IC review can be made in relation to my 
decision, or an internal review decision. 
It is the Information Commissioner’s view that it will usually not be in the interests of the 
administration of the FOI Act to conduct an IC review of a decision, or an internal review 
decision, made by the agency that the Information Commissioner heads: the OAIC. For this 
reason, if you make an application for IC review of my decision, it is likely that the Information 
Commissioner will decide (under s 54W(b) of the FOI Act) not to undertake an IC review on 
the basis that it is desirable that my decision be considered by the AAT. 
Section 57A of the FOI Act provides that, before you can apply to the AAT for review of an FOI 
decision, you must first have applied for IC review. 
Applications for internal review or IC review can be submitted to: 
Office of the Australian Information Commissioner 
GPO Box 5218 
SYDNEY NSW 2001 
Alternatively, you can submit your application by email to xxx@xxxx.xxx.xx, or by fax on 
02 9284 9666. 
Accessing your information 
If you would like access to the information that we hold about you, please 
contact xxxxx@xxxx.xxx.xx. More information is available on the Access our 
information page on our website. 
www.oaic.gov.au  |  10