企業人資管理如何因應個人資料保護法的實施
個資法實施後,許多公民營企業在日常管理上發生管理過當或認知不正確的案例,如:學校將表現優異學生全名隱藏後公告;企業內活動所需,人資部門不願提供其他部門員工名單;勞檢所進行勞檢業務時,公司以個資法規定為由,拒絕提供員工相關資料等事件。個資法實施後,企業人資單位要考量的議題是我們蒐集的個人資料有哪些?是否有必要蒐集?是否有安全儲存與管理?內外部如何運用?以及日後該如何建立調整管理機制?以下就人資管理作業的觀點與範疇來解析正確的因應對策。
1. 個資法實施後,是否應該要求員工一律簽署個人資料同意書?
員工個人資料的蒐集,非公務機關依第19條在有契約關係的情形下,在人資管理的特定目的下,並不需要與員工簽署「書面」的個人資料同意書。而員工資料後續的利用行為,非公務機關依第20條於蒐集之特定目的必要範圍內為之,即屬合法利用,應該沒有讓員工簽署「書面」的個人資料同意書的必要性。
第8條的法定告知義務,依施行細則第16條規定,「得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。」亦未要求須以書面告知,故由條文的解析觀察,就一般企業員工的個人資料蒐集、利用的行為,不另行簽署個人資料蒐集、處理、利用的同意書,並不會使企業陷於違反個資法的困境。但假設企業超出人資管理目的範圍的利用,考量到以書面取得員工有關特定目的外利用同意,可以避免法律條文解釋疑義的風險,且減少對外提供員工個人資料須逐次徵詢員工同意的執行成本,確實可以在考量企業對於員工個人資料對外利用的需求之後,請員工簽署個人資料同意書,或在勞動、聘僱契約中以獨立的區塊載明要求員工簽名同意。
2. 企業內部使用員工個人資料:假設總務部門負責辦理公司成立三十周年慶祝活動,需要人資部門提供員工個人資料時,人資部門能否提供予總務部門作為內部使用?
企業對員工個人資料的利用,應於蒐集的特定目的,如人資行政管理作業之必要範圍內為之。而此一利用包括企業內部使用在內。因此,企業人資單位因其他部門需求,提供相關部門同事個人資料的行為,應無違反個資法的規定。
3. 員工個人資料做為行銷商業利用:若企業對保有的員工個人資料,從事人資行政管理特定目的外的利用,例如將員工個人資料提供公司業務單位或外部行銷公司做為非人資管理目的之商業利用,是否須先取得當事人的書面同意?
個資法第7條第2項規定:「第20條第1項第5款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。」所謂單獨所為之書面意思表示,是指蒐集者就蒐集的個人資料為特定目的外之利用,依法須經當事人書面同意始得為之,如與其他意思表示於同一書面為之者,應於適當位置單獨使當事人得以知悉其內容後並確認同意,不得以概括同意的方式為之。
施行細則第27條規定:「本法修正施行前已蒐集或處理由當事人提供之個人資料,於修正施行後,得依本法有關個人資料保護之規定,繼續為處理及特定目的內之利用。其為特定目的外之利用者,應依本法修正施行後之規定為之。」亦即企業不能便宜行事於定型化勞動契約內為此一約定,而須另立書面為之,始符合新個資法的規定。
4. 企業為勞工辦理體格及健康檢查可否保存勞工檢查結果報告?
適用勞工安全衛生法的企業,依照該法第12條規定,勞工體格或健康檢查是法律強制規定雇主須為勞工辦理的項目,且雇主應負擔健康檢查費用,並須將檢查結果發給受檢勞工。企業基於對作業場所安全衛生管理所必要,為保存及管理所屬勞工依照「勞工健康保護規則」所定檢查項目的結果,法定保留時間為10年,在不危害勞工隱私權的情形下,蒐集應是符合個資法第6條第1款的規定。
但若企業另行給與受檢勞工超出「勞工健康保護規則」所定檢查項目的其他檢查結果,則應有勞工的書面同意文件,始得合法蒐集。至於不適用勞工安全衛生法的企業,基於對員工的福利照顧,若欲保存及管理受檢員工的健康檢查結果,則應事先取得員工的書面同意文件,始能合法蒐集。企業為了達成上述目的,可思考將該同意內容置入勞動契約或其他書面,以為約定。
5. 企業內部員工通訊錄的管理原則
筆者過去任職公司就曾發生員工間因個人私怨,透過內部員工通訊資料的取得,得知對方居家住址與電話,進而挾怨報復,引發洩漏員工個資的爭議。因此個資法實施後,建議企業內部員工通訊錄應該注意以下重點:
(1)通訊錄欄位應與企業職務有必要的連結性,有勞動契約關係之證明,得認為有職務上的必要。
(2)通訊錄之一般欄位僅包含公務郵件、公務信箱、公務電話、分機號碼、英文名字、部門及職稱等資料,員工私人住址、身高、體重、私人郵件及私人電話則避免分享。
(3)通訊錄中增加個人資料權益保護提醒,並定期執行通訊錄更新。
(4)公司內部聯絡資訊查詢系統必須建置帳號管理機制,如有公告應該要保留紀錄。
(5)職工福利委員會在組織上並非企業內部單位,相關會務運作使用時,建議由會員自行提供個人資料。
6. 勞工檢查處在進行勞檢業務時,若請求企業提供員工的個人資料、考勤狀況及薪資明細時,企業能否提供予勞工檢查員?
勞檢員依照勞動檢查法的規定請求提供企業員工個資,企業據此提供員工的個人資料,應是符合新個資法第20條第1款「法律明文規定」之例外規定,得為特定目的外之利用,不須取得員工之書面同意即得為之。
7. 員工離職時要求企業人資單位刪除保有與該員工有關的個人資料,請問企業是否須配合予以刪除?
個資法第2條第4款所稱刪除,指使已儲存的個人資料自個人資料檔案(包括備份檔案及軌跡資料)中消失。如為事後查核、比對或證明之需要而留存「軌跡資料」者,得不予刪除。所謂「軌跡資料」是指個人資料在蒐集、處理、利用過程中所產生非屬於原蒐集個資本體之衍生資訊,包括但不限於資料存取人之代號、存取時間、使用設備代號、網路位址(IP)、經過之網路路徑等,可用於比對、查證資料存取之適當性。
個資法第11條第3項規定:「個人資料蒐集之特定目的消失或法定保存期限屆滿時,應主動或依當事人的請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。」因此,該名離職員工所提刪除該個人資料的權利主張,企業人資須檢視個人資料蒐集的法定保存期限是否已經屆滿?是否有其他法律上的依據可以優先主張?
勞動基準法、勞工保險條例、勞工退休金條例、勞工安全衛生法與勞工健康保護規則中,均有規定保存員工個資的法定年限。在法定保存期限尚未屆滿前,該名離職員工請求企業刪除屬於上述範圍內個人資料的行為,企業當可依據前述法律規定予以婉拒。若企業對於現職或離職員工個人資料已屆法定保存期限,有繼續保存該資料的需要,可思考於勞動、聘僱契約內,增列與當事人個人資料留存期限的約定。
8. 個資法新增一項蒐集個人資料前,原則上須盡到對當事人的「告知義務」,企業人資於蒐集求職者個人資料時,是否須做到此項告知義務?
新個資法第8條規定:「非公務機關依第19條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
但有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害第三人之重大利益。
五、當事人明知應告知之內容。
依照免為告知事項第5款「當事人明知應告知之內容」,企業得免為告知。求職者應徵企業職缺,無論是經由企業官網徵才入口、參加校園或軍中就業博覽會徵才,或是經由人力銀行主動應徵,求職者應該不可能不知資料被蒐集之目的及用途。如當事人已明知應告知的內容,企業即無必要再重複告知。但若企業願意依照上述規定主動告知求職者應告知的內容,對企業雇主品牌形象而言,應該具有正面加分效果。
9. 企業該如何自行盤點個資法的適法狀況?
一般中小企業很難像大型企業擁有健全的資訊系統與資源,建構完全符合法令的流程、資訊系統與機制,建議人資部門可以先就企業內各部門所掌握的個資進行盤點,並加強個資的管理,依照個資洩漏的風險程度,逐步建構完善的管理系統。盤點的項目包含個人資料檔案名稱、資料來源、使用及保存目的、是否有個人資料相關同意文件、個人資料類型、個資處理方式、直接取得或間接取得,若屬間接取得,是否與直接取得資料混同、是否提供予第三人、檔案管理人員、檔案保存方式、得接觸檔案人員、是否可刪除或停止利用、是否採取適當安全措施、其他與個人資料相關事項等項目。
結語
個資法的規範內容相當完備與先進,完全尊重每位國民對個人基本資料的主導權,但要讓全體國民及企業均完全遵守相關規定,確實尚需一段調適時間。對企業而言,必須透過嚴謹的管控機制與態度,才能逐步建構良善的管理環境,降低企業在個人資料管理上的企業風險。
作者:鍾文雄/怡東集團人資長暨松誼企管執行副總經理
轉載自《經濟部工業局》
不過伴隨而來的是 IPv6的弱點將會成為攻擊者入侵網路的標的。
