法律論壇

A:  您好：
關於您的問題，請您先行參照個人資料保護法第19條：「非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：一、法律明文規定。二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、經當事人同意。六、為增進公共利益所必要。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。八、對當事人權益無侵害。蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。」規定。
因差勤系統涉及員工個資之使用，公司應依個資法第19條規定為使用，其中，與您個案最相關可能為「經當事人同意」的討論，您應檢視當初員工與公司同意的個人資料使用範圍為何，來討論公司差勤系統是否有經員工同意可以由非主管的人員處理差勤，如果該個資之利用經員工同意，此即無個資法違反問題；反之，則否。

以上建議提供參考，如有任何問題，歡迎與我們諮詢，謝謝 (Line@帳號: @462lvlvy)

A:  公司為落實對員工差勤等「人事管理」之目的，由非主管的人員處理差勤者，應認符合個人資料保護法所稱之「特定目的」，如同時符合「與當事人有契約或類似契約之關係，且已採取適當之安全措施」、「經當事人同意」或「為增進公共利益所必要」等情形之一者，且係在必要範圍內為處理時，屬個人資料之合法處理，無從論以個人資料保護法第41條之非法處理個人資料罪，亦難認有不法侵害當事人權利之情事。

1. 按個人資料保護法所稱之個人資料，係指自然人之姓名、職業、社會活動及其他得以直接或間接方式識別該個人之資料(個人資料保護法第2條第1款)；蒐集，指以任何方式取得個人資料(同條第3款)；處理，指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送(同條第4款)；非公務機關，指中央或地方機關或行政法人以外之自然人、法人或其他團體(同條第8款)。
非公務機關對個人資料之蒐集或處理，應有「特定目的」，並應符合「與當事人有契約或類似契約之關係，且已採取適當之安全措施」、「經當事人同意」或「為增進公共利益所必要」等情形之一(個人資料保護法第19條第1項第2款、第5款、第6款)。
又個人資料保護法第5條並明文規定：個人資料之蒐集、處理，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

2. 上開個人資料保護法第5條所稱特定目的必要範圍內之個人資料之蒐集、處理，其內涵實指憲法第23條指示之比例原則。司法院解釋多次援引憲法第23條為比例原則之依據，揭示其衍生權包括合適性原則、必要性原則及狹義比例原則（即過量禁止原則），據此，對於上開規定所稱「有無逾越特定目的必要範圍」之判斷，自應審查目的是否有正當性、基於正當性目的而利用個人資料之手段是否適當、是否是在所有可能達成目的之方法中盡可能選擇對當事人最少侵害之手段、因此對個人造成之損害是否與其手段不成比例等情。(民國111年5月3日最高法院111年度台上字第2226號刑事判決、最高法院107年度台上字第4747號刑事判決、民國103年6月10日臺灣高等法院臺南分院103年度上易字第186號刑事判決參照。)

3. 另個人資料保護法所稱之「特定目的」，參照「個人資料保護法之特定目的及個人資料之類別」，其中修正特定目的項目代號2：「人事管理（包含甄選、離職及所屬員工基本資訊、現職、學經歷、考試分發、終身學習訓練進修、考績獎懲、銓審、薪資待遇、差勤、福利措施、褫奪公權、特殊查核或其他人事措施）」之規定，可知公司為落實對員工差勤等人事管理，而蒐集、處理員工之個人資料者，應符合個人資料保護法所稱之「特定目的」；且該等資料之蒐集、處理，如同時符合「與當事人有契約或類似契約之關係，且已採取適當之安全措施」、「經當事人同意」或「為增進公共利益所必要」等情形之一者，且係在必要範圍內為蒐集、處理時，自屬個人資料之合法蒐集、處理。

4. 所詢公司由非主管的人員處理差勤者，徵諸上開說明，應認公司係基於為落實對員工差勤等「人事管理」之特定目的，如同時符合「與當事人有契約或類似契約之關係，且已採取適當之安全措施」、「經當事人同意」或「為增進公共利益所必要」等情形之一者，且係在必要範圍內為處理時，自屬個人資料之合法處理，而無從論以個人資料保護法第41條之非法處理個人資料罪，亦難認有不法侵害當事人權利之情事。