個人資料保護

安全輔導、業務輔導、內控輔導

個資管理概念

企業人資部門的個資遵法觀念介紹

人資部門肩負企業各階段人才的招募、儲備、發展及退離等關鍵任務,人選履歷表或員工基本資料中記載了身份識別資料、連絡方式、學經歷、甚至是關於過去薪資、前公司離職原因及薪酬等隱私性極高個人資料。當許多大型企業還在爭論個人資料保護的主責單位該是由客戶業務部門或是法務,甚至IT部門來擔綱演出,人資部門是卻是責無旁貸得默默地扮演第一配角,甚至是素人主角,無怪乎在法務部公告個人資料特定目的,名列[002人事管理],其重要性及風險之高不言而喻。

以筆者曾擔任獵頭顧問,長期擔任徵才企業與求職人選的中間橋樑,深刻體認企業與未成為正式員工前的人選,對個人資料及隱私保護的差異,過去人資部門為能早期為企業由篩選出適量人選供用人單位面談,多半未站在求職者角度思考個人資料與隱私保護,求職者也為能留給求才企業好印象儘量去配合提供個人資料,自然形成求職者與求才企業於企業招募期間不對等地位。在個人資料保護法於去年10月1日實施之前,有關現行人資的法規,如勞動基準法、就業服務法及勞工安全衛生法均僅規範企業對個人資料保存最低時限的義務,多數的企業在實務上只要實體或電子資料儲存空間允許,不會主動因員工是否已經離職多年進行刪除,個人資料是否安全被保存?是否合理利用?似乎無人聞問。

就人資業務中個人資料的蒐集、儲存、處理、傳輸、利用及銷毀生命週期如下圖,相對風險較大需要多加關注的就是蒐集及銷毀2個階段,這2個階段是進入及脫離人事管理特定目的保護傘的高風險階段,也是聘僱關係尚未形成及結束的階段,本文針對這2階段有關個人資料保護議題做深入解說。

以下就此2階段重點提示

一、蒐集階段:

這個階段除正式將員工招募進進企業外,尚包括將暫時沒有適當職位任用之優秀人選建置人才資料庫之議題,重點如下:

  1. 鑑別個資蒐集管道為直接或間接:
    (1) 直接蒐集:
      係指企業或組織透過刊登媒體(包含平面及電子)或人力銀行廣告、校園徵才、網路搜尋或由社群網路(Linkedin/Facebook/Twitter…)等管道接觸求職人選,所直接蒐集之求職人選履歷表,並後續進行面談及Reference Check等程序。

    (2) 間接蒐集:
      係指企業或組織透過內部員工轉介、人力銀行配對遞送、外部招募機構(獵頭/人資管顧/政府就業輔導中心)等管道代為接觸求職人選,並間接其蒐集求職人選履歷表,而後續進行委外面談及Reference Check等程序。

  2. 直接蒐集告知事項:

    依個人資料保護法第8條向求職人選直接蒐集個人資料時應以明確及適當方式告知當事人下列事項:

    (1) 徵才公司名稱。

    (2) 蒐集目的:

      002人事管理(包含甄選、離職及所屬員工基本資訊、現職、學經歷、考試分發、終身學習訓練進修、考績獎懲、銓審、薪資待遇、差勤、福利措施、褫奪公權、特殊查核或其他人事措施)

    (3) 行使當事人權利及方式。


  3. 間接蒐集告知事項:

    (1) 儘可能由轉介員工於蒐集時告知當事人前項告知事項,如無法及時告知建議於收到求職人選履歷表時以電子郵件或其他適當方式告知。

    (2) 如透過委託外部招募機構蒐集,建議於契約中將個人資料蒐集告知作業,委由外部招募機構執行。


  4. 個人資料欄位蒐集時機,建議視人選由投遞履歷、面談及正式聘用等各階段,依序蒐集從基本識別性資料至較為敏感資料,如企業現行面談基本資料表已有蒐集個資法第6條中有關「醫療、基因、性生活、健康檢查及犯罪前科」等限制蒐集特種個人資料項目(現階段行政院暫時涷結修法,朝放寬至個人同意即可蒐集),建議調整為選項或刪除。

  5. 對個人資料蒐得期間但無適當職務任用之優秀人選,可徵得人選簽署保留同意書(詳如)約定持續保留90至180天於儲備人才庫外,其餘個人資料應於90日內歸還人選或刪除。

二、銷毀階段:

員工因轉職、退休或其他原因離開企業,原則上與企業的僱傭契約關係中止,人事管理之特定目的消失,除因勞動相關法律或與離職員工書面約定外,建議每月(或每季)批次刪除離職員工履歷資料。實務執行參考準則建議如下:

  1. 員工履歷,依「勞動基準法」需保留勞工名卡5年。
  2. 員工健康檢查資料,依「勞工安全衛生法授權訂定勞工健康保護規則」,健康檢查表需至少保留7年以上,最長達30年。
  3. 終止勞動契約以保留『工作期間』『職務』『薪水』等統計及查閱資料(在職證明)為主。

人資業務除上述2階段,尚有員工在企業任職期間個人資料之處理、利用及當事人個資權利行使議題,限於篇幅另以專文討論。