個資法通過,企業主除了採購資安設備或顧問服務,更重要的是對員工進行機會教育,尤其是企業內部肩負保管個人資料責任的員工,透過教育使其提高警覺,才能確實達到保護個人資料的目的。
以人事單位為例,其保有求職者及員工的履歷資料,倘若接獲檢調單位來函,表明為了案件的偵查需求,請提供特定幾位員工的個人資料,此時應不應該給資料?
根據個資法第八、第九條規定,若公務機關執行法定職務或非公務機關履行法定義務所必要,則可免除個人資料在蒐集、處理或利用前的告知義務,另外,個資法第15條則規定,公務機關在執行法職務必要範圍內,可以蒐集或處理個人資料。
換句話說,公務機關因為執行法定職務的緣故,得以向企業要求給予資料,企業資料保管者站在履行法定義務的立場上,必須交付資料,因此就前例來看,HR必須交付員工資料給檢調單位,但若今天發函單位換成派出所,HR就不能交付資料,因為派出所不是司法調查單位,其所執行的不是法定職務,HR如果將員工資料交給派出所,等於是洩露員工的個人資料。
究竟,保管個資的人如何知道來要資料的單位,是否真的因為執行法定職務而有需求?這個問題並沒有標準答案,惟有提高警覺,遇到其他人或單位要求給予資料,必須先確認有無交付資料的必要性,而不是直接給予資料,如此才能避免擔上洩露個人資料的罪名。