Q: 您好,如果公司在面試新人“前”,將所有面試者個資未加遮蔽或做任何處理,即公開於公用資料區(面試前後均未告知當事人、亦未取得同意),公司內部有使用公用資料區權限的幾百名員工均得以查閱,人員錄用後,所有面試者的個資也未刪除,在公用資料區放了很長時間;請問如果有檔案或圖片等之類的洩露個資實證,該如何舉報,才可以避免由吹哨者變成洩密者?
A:
您好:
一、按,個人資料保護法第27條第1項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」及個人資料保護法施行細則第12條第1、2項規定:「(第1項)本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。」、「(第2項)前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。」
二、本題事業單位(公司)因招募或僱用員工而保有求職人或員工之個人資料(按個人資料依個人資料個護法第2條第1款規定,係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。),事業單位(公司)即應依個人資料保護法第27條第1項規定,採取行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,例如依個人資料保護法施行細則第12條第2項規定,「配置管理之人員及相當資源」、「個人資料之風險評估及管理機制」、「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全稽核機制」…等等。
三、如本題事業單位(公司),求職人或員工之個人資料,未為遮蔽或加密措施等,長時間放置在公司內部系統之公用資料使用區,導致公司內部數百名員工有權限之員工均可登入系統任意觀覽、查閱,且於招募員工結束,亦未刪除求職者之個人資料,此種即存在有未採行適當之「安全措施」之事前預防義務問題,此種情況可能已違反個人資料保護法第27條規定,得依同法第48條第4款規定,得處新臺幣2萬元以上20萬元以上罰鍰。且因事業單位(公司)未採取適當安全措施,更有可能進一步導致個人資料洩漏或竊取、竄改或其他侵害情事,如有洩漏等情,應負損害賠償責任。是以,本題事業單位(公司)假如有上開情況,建議儘速依個人資料保護法第27條第1項及同法施行細則第12條第2項規定,採取「適當之安全措施」。
四、假如,求職者個人資料經事業單位(公司)査證後確有洩漏或竊取、竄改或其他侵害情事,則應依個人資料保護法第12條規定通知當事人。如未通知當事人,可能因違反個人資料保護法第12條規定,得依同法第48條第2款規定處新臺幣2萬元以上20萬元以上罰鍰。再者,事業單位(公司)違反個人資料保護法之規定,致個人資料遭不法蒐集、處理、利用或其他侵害,依個人資料保護法第29條第1項規定,負損害賠償責任,並依個人資料保護法第29條第2項準用同法第28條第2項至第6項規定,被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分;以及如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算損害金額。
五、以上回覆敬供參考,謝謝您。
A:
您好,
一、依您所述,公司可能違反個資法之情形,主管機關得依法向公司處以罰鍰 ,違法情形分別說明如下:
(一)公司蒐集面試者個人資料,應盡個資法第8條告知義務,包括目的及利用方式與期間,如公司未行告知,原則已違反個資法規定。,面試者不知道其個資會被放置於公用資料區,亦不知公司保存個資期間。
(二)公司處理(儲存)面試者個人資料應採取適當安全措施,公司將個人資料放置於公用資料區,如職務上不相干之公司人員亦可接觸,可能使個人資料陷於隨時可能被洩漏或不當使用之風險,而有違反個資法第27條,個人資料未採取適當安全措施之疑慮。
(三)公司蒐集個人資料目的如已消失,公司應主動刪除,對於未錄取之面試者的個人資料,公司就人事應徵之特定目的應已消滅,如公司沒有其他特定目的下,卻未予刪除而保留則也有違反個資法疑慮。另補充,錄取之員工,依勞基法等相關規定,公司仍得保存其個資。
二、至於舉報公司違法情形,實務上常見公司以刑事責任(違反刑法、營業秘密法洩密罪)、契約責任(違反忠實義務、保密義務)向內部吹哨者施壓。不過,公司上述主張在法律上不一定皆會成立,可能只是恫嚇手段,分別說明理由如下:
(一)洩密罪以「無故」(無法律上之正當事由)洩漏秘密為要件,實務上以價值衡量及比例原則作為個案判斷標準,並非向司法或行政機關舉報公司違法行為就等於洩密。如仍有疑慮,也可經由舉報後,由相關機關依公權力進行檢查及蒐證。
(二)若公司以您違反忠實義務、保密義務為由,予以處分,則可能有違反勞基法問題(需進一步判斷),您得依勞基法規定向主管機關申訴。
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!