Q: 依據經濟部中小企業處中小企業法規宣導手冊(27)-中小企業因應個人資料保護法手冊
所提及個人資料管理者,應採行資訊安全措施。
中小企業保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
請問若為員工自行竊取、竄改、毀損、滅失或洩漏,仍為業主負擔全責嗎?
員工為企業辦理一些事務需負責人資料亦需經該負責人書面同意嗎?
若負責人無書面簽名但有答應,則員工算洩露而違法嗎?
A:
一、非公務機關保有個人資料而有洩漏等情事時,除非能證明無故意或過失者,即應負損還賠償之責。一般而言,發生員工有自行竊取等情事,應該是非公務機關並未採行適當之安全維護措施而與有過失,故來文之非公務機關仍需對當事人負民事的損還賠償責任。
二、員工為公司業務向負責人蒐集個人資料,要視有無合法蒐集原因,依個人資料保護法第19條規定:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。二、與當事人有契約或類似契約之關係。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。五、經當事人書面同意。六、與公共利益有關。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。」、「蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」,上述合法要件中只要符合其中一項即可,當事人書面同意只是合法蒐集個人資料的原因之ㄧ。
三、若負責人只有口頭答應而未書面同意,則應該依上述個人資料保護法第19條規定為之,始能合法蒐集,當然,在蒐集之前,除非有例外情形,否則仍應依個人資料保護法第8條規定履行告知義務。
註:個人資料保護法第8條規定:「公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。」、「有下列情形之一者,得免為前項之告知:一、依法律規定得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害第三人之重大利益。五、當事人明知應告知之內容。」
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!