.jpg)
由於世界各國逐漸重視對於個人資料的保護,在個人資料合法蒐集處理上必須具有合法基礎(個人資料保護法第十九條明訂八款法定事由),其中一般最常見的就是以當事人同意書為合法取得基礎,當然同意書取得有一定合法應記載事項(個人資料保護法第八條)。而本篇筆者想討論的是,以當事人同意書作為個人資料取得的基礎上的一些問題,供大家思考。
首先,筆者之前或許提到過,東南亞地區普遍習慣以當事人同意書,作為個人資料取得之合法基礎,一度被詬病是否過於浮濫,畢竟亞洲民情風俗對於合約或通知書條文的審閱或是否(願意)理解態度讓人不得不存疑。翻成白話也就是,恐怕當事人縱使簽署了同意書,他也不清楚他授予了哪些權利或是有甚麼後果。
其次,回歸到一般實務層面,一個企業的個人資料蒐集處理的對象不外乎是員工(包含求職者以及員工家屬),以及(自然人)客戶(或是消費者)。是以公司內部之蒐集部門而論,即由人事部門取得、或由行銷與業務部門端取得。
關於員工部分的個人資料取得的基礎應歸類於基於當事人有契約或類似契約之關係(個人資料保護法第十九條第一項第二款),而非基於當事人之同意,因為
當事人的同意依法是可撤回的,自撤回時起,如蒐集特定目的或要件已不存在(除有個人資料保護法第十一條第三項但書規定情形外),企業應主動或依當事人請求,刪除、停止處理或利用該等個人資料;然而,雇傭關係之進行,個人資料蒐集處理是必然的項目,甚至是為了法定義務(例如所得稅扣繳、勞健保辦理等),而不能因當事人行使撤回而刪除之。當然或許也可以解釋為蒐集特定目的仍然存在而不得刪除之。
筆者想討論的一個實際案例是,最近筆者在進行公司內部印尼關係企業工廠端依法對工廠員工進行壓力問卷調查隱私影響評估(privacy impact assessment),問卷設計很詳細,問題都是依據當地法律強制要求針對工廠員工身心健康各項評鑑,所蒐集到的個人資料是屬於與健康有關的敏感個資,首先在問卷首頁建議仍應按當地法令載明隱私權聲明,另外筆者在做隱私影響評估時針對合法蒐集基礎時,勾選的就不會是當事人同意,而是依法律規定(履行法律義務),同時也讓員工明白個人資料法上的當事人權利關於刪除這部分在本案例無法適用(實際上的做法是僅提及適用的個人資料法下的當事人權利)。
所以看似簡單的一個是否以當事人同意為合法蒐集個人資料的議題,其實可以探討出很多不同的思考層面,供大家參考。
