https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

【從法規面解讀 7大產業如何遵循個資法】系列~~HR使用員工個資 應考量目的與比例原則

2013 / 09 / 02
朱瑞陽
【從法規面解讀 7大產業如何遵循個資法】系列~~HR使用員工個資  應考量目的與比例原則


公司門前貼員工解雇公告,老闆觸個資法起訴

某工廠老闆,不滿員工表現,將該名員工開除後,並在店家門口鐵捲門兩側,張貼公告指明「OO員工在O年O月O日於公司內,對公司員工發生公然傷害事件,自事發當日起,即刻予以開除」。員工看到遭解僱公告後,認為自己的個人資料被雇主不當使用,而且在張貼公告之前,未經他的同意,控告老闆違反個資法。檢察官偵查後認為,被告老闆的確未經當事人同意,而將當事人個人資料公佈在公司鐵門兩側,因而依違反個資法罪嫌,將被告老闆提起公訴。(中時電子報2013/02/19)


案例中,雇主為解僱員工而公告其個人資料的行為,即被檢察官認定違反個資法,雖然,雇主可以依照工作規則對於員工進行獎懲,並適當公告以達到管理效果,但仍要考慮是否有尊重當事人權利並符合比例原則,亦即進行獎懲時,應調查是否屬實,如認為有必要公告,應在適當必要的範圍內為之。此案例公開員工身分證字號並張貼在大門兩側,除了員工以外,所有路人都可以看到,顯然非屬人事管理的必要範圍。因此雇主對於內部管理亦應注意遵守新版個資法之規定,並考量目的與手段的合理關聯性,否則除民事損害及行政罰責任外,亦將面臨刑事責任追訴的高度風險。

企業在因應新版個資時,大多著重於對外業務活動時所蒐集到之客戶資料,有時會忽略企業內部重要資源之一-員工,同樣受到個資法保護,以下將依照人事流程,說明人力資源部門(以下簡稱HR)該如何因應新版個資法。

檢視日後利用目的 進行適當告知


從員工在面試、遴選過程,HR取得其履歷資料時,就已進入蒐集個人資料的階段,首要面對問題即是否需進行告知。由於履歷取得管道多為人力銀行或是應徵者自行投遞,符合當事人自行公開之事由,在「進行面試」的特定目的範圍內,故可以免為告知,惟若是透過人力銀行取得求職者履歷資料,因求職者可能同時透過多種管道投遞履歷,在首次聯絡時,仍應告知資料來源及企業名稱較為恰當。

 
此時應注意的是,對於最後未錄取的面試者履歷資料,如果有面試以外的利用目的,例如成為企業內部人才資料庫,並在有適當職缺時進行通知,仍應適當告知當事人,讓當事人充分知悉其資料被利用的狀況,避免日後爭議。再者,如果錄取後會直接將應徵表上所載的個人資料轉為人事檔案,而不會請錄用者重新填寫,在進行面試時,就應視日後可能涉及之特定目的及範圍進行告知(如後述)。另外,在面試階段還要注意,通常HR在評估是否錄取員工時,會對前任或現任主管或推薦人進行人事背景查核(Reference Check),此部分亦應注意符合個資法規定,例如告知或取得應徵者同意。


 

人員錄取後,基於人事管理及履行法定義務範圍內,雇主得利用員工之個人資料,例如雇主依法為員工投保勞健保,在此利用範圍內,應可免為告知,但人事管理的範圍涵蓋廣泛,例如將員工資料提供給職工福利委員會或內部員工查詢,是否屬於人事管理的範圍,則可能會有爭議。

 
以提供內部員工查詢為例,法務部曾經表示:「公司將員工編號、公務電子郵件信箱等資料提供予其他員工,或供相關員工查詢系統登錄帳號等資料,係屬原蒐集個人資料之特定目的(人事管理)必要範圍內之利用行為。惟提供查詢個人資料時,仍應注意比例原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」是以,法務部認為將「員工編號」、「公務電子郵件信箱」提供給其他員工或供查詢系統登錄帳號,是在人事管理的利用範圍,且仍須注意比例原則。但「住家電話」、「私人手機號碼」可否印製成內部通訊錄或供其他員工查詢,仍存有疑義。因此,建議HR檢視日後內部利用目的,並對錄取人員進行告知,以減少爭議。


限縮蒐集的個人資料範圍 避免觸法

有關員工個資的蒐集範圍,除個資法第5 條有規定不得逾越特定目的之必要範圍,並應與蒐集目的具有正當合理關聯外,應注意就業服務法第5條第2項第2款規定,雇主招募或僱用員工,不得「違反求職人或員工之意思,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需之隱私資料」,像過去應徵表上多會有家庭成員詳細資料的欄位,此類資料大多非就業所需,倘若違反員工意願要求提供時,主管機關可依就業服務法第67條處6萬元以上30萬元以下的罰緩。


個資法第6條對於較敏感的醫療、病歷、健康檢查、犯罪前科等個人資料,提供更嚴謹的保護,除例外規定外,原則上不得蒐集、處理或利用。上開條文雖然暫緩實施,但仍應該注意未來修法通過並實施後,對於此類資料蒐集要採取更謹慎的態度,審視蒐集的依據,並予以說明。


另外要注意的是,有些雇主基於保護營業秘密及落實個資保護目的,全程監控員工電子郵件、上網行為及即時通訊軟體,甚至電話全程錄音,由於這些通訊內容恐涉及個人資料,且社會活動本屬個人資料之一種,因此必須注意監控手段的合法性,例如是否對所有員工公告監看政策,否則可能會涉及個資法、妨害秘密罪或違反通訊保障及監察法等相關規定。

 
特定目的內利用 採取適當安全維護措施

再來則是員工個資的利用方式,必須在特定目的範圍內,且有正當合理關聯性。若為了內部運作需要,而將聯絡資訊提供給其他員工查詢時,應參考法務部意見,考慮提供範圍的合理關聯性。為了減少風險,建議採取適當的管控措施,例如結合帳號密碼機制,控管存取人員及留下記錄,避免紙本通訊錄易於流通或遺失之風險。至於關係企業間人員留用及資料互通,也應該依照公司的制度及實際運作情況,建立符合個資法的程序及機制,例如在聘僱契約中進行相關約定。

 
應有當事人權利行使的管道及程序

員工依照個資法的規定,得行使當事人權利,而HR能否因應員工請求?例如,員工請求獎懲紀錄時是否能提供?請求刪除時該如何因應?這都是未來HR會面臨的問題,因此必須參照勞基法與個資法規範,建立當事人權利行使的管道及程序,舉例來說,離職員工請求刪除人事資料,依勞基法規定,雇主應保存勞工名卡至勞工離職後五年,此時就不能依當事人請求進行刪除。

 


培訓員工建立個資管理認知
由於部份員工在業務範圍內會接觸到企業保有之個人資料,因此HR除了著重員工個人資料保護外,亦應對員工建立個資管理機制。重點如下:

1、建立個資管理機制,配合員工教育訓練
企業應依個資法要求事項,建立個人資料管理制度,讓員工有遵循的標準,並配合教育訓練,讓員工對於個資法及內部管理程序的規定有一致的認知與標準。

2、進行權限控管並留存相關使用記錄
企業應配合內部管理機制設定權限控管,依照職別開放不同權限,並留存使用記錄,以控管人員對個人資料的利用情形,並於日後發生爭議時進行舉證。

3、透過聘僱契約,分散法律風險
為讓員工遵守個資法及內部管理程序的規定,建議在聘雇契約中加入相關要求,並增定違約責任,以分散法律風險並降低雇主之舉證責任。

因應個資法實施,HR對於員工個人資料的保護及管理身負重任,利用個資盤點機會,可以重新檢視人事制度,除建立符合個資法的人事管理制度外,也可藉此機會加強營業秘密的保護,讓企業資訊安全機制更健全與完善。

 

本文刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝。