個人資料保護法施行之後,許多企業常來電詢問的問題之一,就是若未請員工簽署個人資料蒐集、處理及利用的同意書,或未在勞動契約中加上個資的條款,是否就會違反個人資料保護法?員工個人資料當然是屬於個資法保護的個人資料,但個資法之立法目的除了在維護個人資料避免資訊隱私權受侵害外,亦兼顧社會上有關個人資料合理利用的需求,對於所有公務機關或非公務機關皆會面對的約聘雇員工或公務員而言,原則上我們會儘可能尋求在最小衝擊的狀況,處理個資法施行因應的問題。
員工個人資料的蒐集,公務機關依個資法第15條於法定職務必要範圍內,非公務機關依第19條在有契約關係的情形下,在人事管理的特定目的下,並不需要與員工簽署「書面」的個人資料同意書。而員工資料後續的利用行為,公務機關依第16條於執行法定職務必要範圍內為之,並與蒐集之特定目的相符,非公務機關依第20條於蒐集之特定目的必要範圍內為之,即屬合法利用,亦無以員工簽署「書面」的個人資料同意書的必要。至於第8條的法定告知義務,依施行細則第16條規定,「得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。」亦未要求須以書面告知,故由條文的分析觀察,就一般機關、企業與公務員或員工的個人資料蒐集、利用的行為,不另行簽署個人資料蒐集、處理、利用的同意書,並不會使機關或企業陷於違反個資法的困境。
當然,若是機關或企業考量到個人資料蒐集、處理及利用合法性的確保及證據的留存,將法定告知事項載明於個人資料同意書,使員工個人資料的蒐集符合第15條或第19條所載「經當事人書面同意」之要件,即可以在個人資料同意書中就特定目的稍做擴張,使機關或企業取得較大的員工個人資料利用的範圍或較長的保留或利用期間,只要這個程序不會造成公司執行層面的困擾,確實可使蒐集機關個資法因應的風險降低,亦屬合理的建議。
簡言之,若是機關或企業僅是在人事管理的必要範圍內進行員工個人資料的利用,只要透過內部公告或電子郵件通知等方式盡到個資法第8條的法定告知義務,其實無須要求員工另行簽署個人資料同意書,甚至若員工離職或退休後依法律所定期限保留個人資料,而不需要永久保留的情形,解釋上還有依第8條第2項規定符合「當事人明知應告知之內容」,而無須告知的機會。
至於若機關或企業有超出人事管理的必要範圍為利用的情形,例如:公司為進行政府或企業與資安相關的標案,業主要求公司須提供參與該標案執行人員之身分證件、勞健保投保資料等,或是公司派員至協力廠商處進行查核或技術移轉,因相關交通、住宿成本由協力廠商負擔,故由協力廠商代辦機票、訂房、保險等事宜,而由公司提供相關個人資料等情形。廣義來看,這些行為其實是公司日常業務執行常見涉及個人資料對外提供利用的行為,固然有機會解釋為還在是「與當事人有契約或類似契約之關係」,但仍然有其風險存在。公司除了在每一次對外提供個人資料時徵詢員工的意見或重新進行蒐集之外,請員工簽署個人資料同意書,確實不失為一個降低執行成本及風險的好方法。
綜合前述的說明,機關或企業是否有必要請員工簽署個人資料蒐集、處理及利用的書面同意,其實還是回到機關或企業本身對於員工個人資料利用的需求(目的)而定,單純在人事管理目的範圍內的內部管理利用行為,依法其實無須取得員工的書面同意,只要注意告知義務的履行即可;而若是機關或企業超出人事管理目的範圍的利用,考量到以書面取得員工有關特定目的外利用同意,可以避免法律條文解釋疑義的風險,且減少對外提供員工個人資料須逐次徵詢員工同意的執行成本,確實可以在統一評估企業對於員工個人資料對外利用的需求之後,請員工簽署個人資料同意書,或在約聘雇的契約中以獨立的區塊載明要求員工簽名同意。
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?
蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題
蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?
蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?
蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?
蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?
蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?
賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?
蕭家捷律師,個人資料保護法Q&A-學校可以公告成績單、獎懲或榜單等事項嗎?
賴文智律師,個人資料保護法Q&A-使用者因個資外洩遭詐騙,可以向業者把遭詐騙的損失全部要回來嗎?
蕭家捷律師,個人資料保護法Q&A-父母向學校索取學生成績或其他校內表現記錄,學校該怎麼辦呢?