(接續前文)
個資法與人力資源工作有關的重要法條摘要說明
|
法條 |
法條摘要 規範內容 |
說明 |
備註 |
|
§2 |
個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 |
間接方式 |
|
|
§51 |
不適用本法的情況 |
(1)非自然人之資料不適用本法 (2)單純個人或家庭活動之目的,而蒐集、處理或利用個人資料 |
例1:公司的人與人交換名片,是因業務目的,受本法規範 例2:家庭聚會與家族成員交換名片,是家庭活動目的,不受本法規範 |
|
§6 |
個人資料分為一般性資料與敏感性資料;敏感性資料禁止蒐集 |
(1)敏感性資料:包括:醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用 (2)法有明定者、當事人自行公開(或已合法公開)等例外。 |
犯罪前科資料: 如為員工自主性去警局取得而主動提供公司之良民證,其中只證明有/無犯過罪,應無違反本法;但如有記載犯罪項目即為違法 |
|
§19 |
個人資料之蒐集或處理應(1)有特定目的,(2)並符合下列情形之一 |
兩要件同時符合才可蒐集或處理 |
|
|
經當事人(1)書面(2)同意 |
書面同意為要式行為(同意:為確保雙方意思表示,書面:避免被更改) |
簽名=可表示同意,而電子簽章,應符合電子簽章法 |
|
|
§7 |
書面同意 |
以一對一的方式為主 |
|
|
§8 |
告知義務與告知事項: 蒐集個人資料時,應明確告知當事人下列事項 |
告知: 特定使用目的、資料利用期間、地區、對象、方式 |
資料利用期間:通常是在合約有效期間內來利用;如為一次性或短暫性契約,則約定一定年限 |
|
自由選擇提供個人資料時,不提供將對其權益之影響 |
當事人如不告知其個人資料可能造成的權利影響 |
如:不提供個人資料將不會再收到生日禮券 |
|
|
§11 |
特定使用目的消失或期限屆滿 |
應主動或依當事人之請求,刪除、停止處理或利用該個人資料;但如是執行職務或業務所必須,而當事人要求刪除其個資,則可不需刪除 |
如:簽約3年,但簽約後(仍在合約期間),當事人即要求刪除其個資,公司可不同意(因業務上仍有需要) |
|
§9 |
間接蒐集資料之義務 |
主要要告知當事者取得其資料來源+告知§8規定事項 |
如:參加活動,請活動單位提供參加者名單,則以間接方式取得資料後,應主動告知是透過參加該活動而得到 |
|
§12 |
違反本法規定,致個人資料外流,公司有通知義務 |
要件: (1)違反本法規定 (2)查明後 (3)適當方式通知:避免當事人被詐騙 |
如公司無違反本法,公司有舉證義務 |
|
§25 |
非公務機關有違反本法規定 |
被禁止蒐集、處理或利用個人資料(這將影響公司未來的營運),或被公布非公務機關之違法情形,及其姓名或名稱與負責人…等 |
|
施行細則草案部分
第9條 本法所稱適當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施。
前項必要措施,應包括下列事項:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
第11條 本法第7條所定書面意思表示之方式,如其內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。
第12條 本法第7條第2項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。
人資部門因應方案
- 設置個資保護專責人員:
我建議由各個部門分工設置專責人員,或由現有人員經專業訓練擁有相關知識擔任之。所以在組織設計、工作任務、工作流程、人員選定標準,都要事先規劃。
- 進行實務執行方案:
我建議直接依照時施行細則第9條所稱必要措施,在人力資源日常行政工作中實際執行一次。例如:人資作業管理機制稽核、事故預防通報應變處理、遵照合法作業流程、認知宣導及教育訓練、委外作業保護等。
若現在就可行作業應包括:
(1)盤點現有員工所有相關文件:例如舊有招募時之敏感性題目、員工犯罪紀錄、員工體檢報告…等,未來新法實施,此部份資料公司不能再保存,應事先處理掉,以免觸法
(2)強化內部教育訓練:包含各個高層管理者,需因認知而表達正確決策,各個管理部門(除資訊部門外)都必須詳盡仔細學習,因為目前其實還會有一陣摸索適應期。而一般員工也要有基礎認識,避免違法,必能體諒企業用心,得以配合支持。
在正式實施後,未來因應方面包括:
(1)Reference Check時,應先取得員工與前公司相關同仁的同意書面文件,並再取得本公司與該員工同意的書面文件(此或可由系統設計以符合電子簽章方式來操作,讓員工勾選)。
(2)招募及人事資料檔中的表單表格:刪除敏感性問題。
(3)招募系統內容(問題)變更。
(4)體檢報告不能蒐集,僅留存財會憑證供公司做帳。
(5)離職員工的個人資料、考績資料等,於員工新進簽約時,加註同意留存年限條款。
(6)工作契約與個人資料同意契約應分別與員工(相關人員)親自簽定。
結論
「個資法」對企業來說,這是一場企業經營必備的知識學習,也是人力資源工作者未來必須正視的新挑戰。在現今通訊科技發達的時代,資料傳輸往往相當迅速,因此,一旦個人資料外洩或遭竊取,該資料當事人之隱私在短時間內恐即遭侵害,所以也算企業危機管理的新議題!絕不是一套軟體就可以解決全部問題,更何況新法實施陣痛期至少一年半載,要調整修正肯定很多,企業不可不慎!
留言列表
評論園地 (2)
