https://twcert2024.informationsecurity.com.tw/

觀點

年底轉職潮 企業履歷保護做了沒?

2011 / 01 / 28
廖珮君
年底轉職潮  企業履歷保護做了沒?

年關將近,許多上班族皆在此時開始轉職規劃,在尋找新工作過程中,求職者可曾思考過這個問題:如果沒有通過面試,對方會如何處理我的履歷表?同樣的問題用來檢視求才企業,我們要問的是:企業如何處理沒通過面試的應徵者履歷表?隨著2010年新版個資法通過,這個問題變得益發重要,因為履歷表也是個人資料的一種,處理不當造成資料外洩,換來的可能就是金錢賠償及無形商譽損失,除了法律責任外,企業也可以透過員工個人資料的保護機制,傳達出對員工的重視度,而這可能就是企業留才的關鍵。

 

面試履歷處理 HR與用人單位未必同調 

 

從人才招聘流程來看,用人單位先開需求給HRHR再去人力銀行網站/報紙廣告/公司網站等不同管道,張貼求才訊息,求職者看到訊息後將履歷表郵寄給HRHR篩選過後將合適人選交給用人單位,由其決定要不要叫應徵者來面試,到了面試階段,面試者除了自行製作的履歷表之外,通常還會再填寫一份企業格式的履歷表,之後才會進入正式面談。

 

在整個招聘過程中,企業會收到的履歷表有電子檔及書面資料兩種形式。第一是電子檔:包括透過人力銀行網站發送的履歷資料、或求職者自行郵寄的Word檔(或任何其他格式的電子檔),第二是書面資料:又分成應徵者自行設計格式的履歷表、及企業制式履歷表二種。

 

面對這麼多不同形式的履歷表,企業處理方式有何不同?某製造業HR表示,倘若來面試的人沒有被錄取,就會將求職者所填寫的企業制式履歷表保留下來,並放在上鎖的鐵櫃裡,時間為半年,半年後就送進碎紙機,而求職者自行製作的履歷表則不保留,直接以碎紙機碎掉,至於電子檔則是自行歸檔存放在個人工作電腦中。

 

  

 

建立履歷回收管理機制 

 

這樣的處理方式,就書面資料來看安全爭議不大,但是沒有集中控管的電子檔安全風險卻相當高,而且除了HR之外,用人單位也會拿到面試者的履歷表,但他們不一定會用同樣的方式來處理

 

 

第一、履歷搜集後的回收管理機制

KPMG企業績效與資訊科技協理謝昀澤表示,HR部門或許有一套針對履歷表的回收管理機制,但用人單位卻不一定知道,也不一定有資安意識,如果用人單位資安意識不足,可能不會將履歷資料送進碎紙機,而是隨意放置甚至當成回收紙,但若有資安意識,就懂得要銷毀或做妥善處理。

 

因此,企業應該建立一套履歷表的回收管理機制,統合管理各部門擁有的履歷表,並向用人單位告知管理流程、要求確實遵守,萬幼筠則認為,除了公告流程以外,企業還要做到定期稽核,確認員工按照流程處理履歷個資,如果擔心稽核效果不夠,甚至可以要求員工簽下切結書,要求其承諾不隨意洩露資料,未來倘若不幸發生資料外洩事件,企業至少有證據證明自身已善盡管理責任。

 

第二、履歷搜集前的告知義務

依據新版個資法規定,公務機關與非公務機關在搜集個人資料前應行告知義務,謝昀澤指出,未來企業在搜集求職者履歷資料前,應該先告知求職者相關的權利義務,同時註明倘若本次面試未獲錄取,將會把履歷資料留存至企業人才資料庫中,日後若有職缺需求將優先通知,若未告知就留存下來,很可能會觸犯個資法。

 

企業除了履行告知義務外,更重要的詢問求職者是否願意保留資料,惟有取得求職者同意,企業搜集履歷個資的行為才算合法。勤業眾信副總經理萬幼筠表示,新版個資法通過後,部分企業主擔心以後不能再搜集履歷,其實這樣的擔憂是多餘的,企業當然可以合法搜集履歷個資,但前提是要取得當事人同意書,詢問當事人是否願意將資料留在企業人才資料庫中,如果願意就可以留下來,如果不願意就必須銷毀。

 

  

 

香港PCPD實務指引 

 

BSI副總經理蒲樹盛指出,對於面試履歷表的處理方式,或許可以參考香港個人資料私隱專員公署(PCPD, Office of the Privacy Commissioner for Personal Data)的作法(1)

 

 

 

PCPD在官方網站上提供4種實務守則/指引,其中一個就是「人力資源管理實務守則」,要求任何一間設立在香港的公司,在招聘新進人員時,一定要發出有關於個資搜集、處理、及利用方式的聲明。主要內容包括:

1.      企業制式履歷表內必須註明,哪些欄位為必填欄位,如果不填,對應徵者會造成什麼樣的影響;

2.      企業可以保留未通過面試的求職者履歷表,最長不得超過2年,除非有具體理由規定企業可以保存更久時間,亦式求職者同意企業保留資料超過2年,否則企業應主動銷毀,在這2年中,若有合適職缺將會優先通知面試;

3.      應徵者也可以選擇不保留,只要提出申請就會立即銷毀

 

除了招聘人才的履歷資料管理外,守則內也規範了在職員工及離職員工的人事資料處理方式,如:離職員工人事資料的保存年限,讓企業有遵循的標準。

 

然而,香港有個資保護的專責單位,可以制定人事招聘專用的個資管理細則/指南,但台灣並沒有類似香港PCPD或歐盟ICO這種專門負責個資的政府單位,只能由法務部負責制定法條和施行細則,再由各個目的事產業訂定個資管理辦法,讓企業在不抵觸母法又能兼顧產業營運特性的情況下,做好個資保護工作。企業如果想看到類似的實務指引,只能期待各主管機關的個資管理辦法。

 

企業所擁有的個人資料分成兩種:外部客戶與內部員工,就資產價值來看,客戶資料顯然高於員工資料,也因此,企業在進行個資防護時,通常會先從保護客戶資料開始做起,然而人才也是企業營運的重要資產,一套好的員工資料管理機制,可以讓員工感受到企業的重視,也許就是能否順利留才的關鍵。

 

1香港個人資料私隱專員公署網站http://www.pcpd.org.hk/chinese/ordinance/ordglance.html