基於敏感性資料(詳第一篇、個人資料保護法之基本內涵及涵蓋
範疇、Q2)之高度隱密性,依個資法之規定,中小企業原則上禁止蒐
集敏感性資料,只有在符合下列法定例外事由之一時,才可以蒐集:
一、 法律明文規定;
二、 公務機關執行法定職務或非公務機關履行法定義務所必要,且
有適當安全維護措施;
三、 當事人自行公開或其他已合法公開之個人資料;
四、 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,
為統計或學術研究而有必要,且經一定程序所為蒐集、處理或
利用之個人資料。
值得注意的是,個資法所定蒐集敏感性資料的法定要件並不包括
「當事人同意」。觀諸個資法之立法歷程,原草案訂有「經當事人書面同意」之例外許可蒐集之規定,但立法者考量到弱勢當事人可能不瞭解如何保障自我權益,而將之刪除。因此,敏感性資料縱經當事人書面同意,亦不得蒐集、處理或利用。
此外,如果其他法律有明文規定得蒐集敏感性資料時,或屬個人
資料管理者為履行法定義務所必要而蒐集等,亦得作為中小企業蒐集
敏感性資料之合法事由。例如,勞工安全衛生法對於部分行業,如餐
旅業、醫療保健服務業、環境衛生服務業等,規定雇主於僱用勞工時,
應施行體格檢查,對在職勞工也應施行定期健康檢查,此即為典型的
「法律明文規定」得蒐集敏感性資料的依據。
中小企業得參酌所屬行業別的相關法令規範,判斷是否得於必要
時蒐集當事人之敏感性資料。
參考法條;詳參附錄二,個人資料保護法第6 條
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!