個資法第19條為中小企業合法蒐集非敏感性資料(詳第一篇、個
人資料保護法之基本內涵及涵蓋範疇、Q2)之基礎性規定。依本規定,
蒐集個人資料,應有特定的目的,並應具備法律明文列舉的下列要件
之一:
一、 法律明文規定;
二、 與當事人有契約或類似契約之關係;
三、 當事人自行公開或其他已合法公開之個人資料;
四、 學術研究機構基於公共利益為統計或學術研究而有必要,且資料
經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人;
五、 經當事人書面同意;
六、 與公共利益有關;或
七、 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理
或利用,顯有更值得保護之重大利益者,不在此限。
本條所指之「特定目的」,將由法務部會同各目的事業主管機關
訂定特定目的的項目,由中小企業從中挑選使用。至本條各款之合法
性事由,觀諸中小企業一般營運蒐集個人資料之情形,其合法蒐集個
人資料之依據,主要會是前揭第二款之「當事人有契約或類似契約之
關係」及第五款之「經當事人書面同意」。第二款所指「有契約或類似契約之關係」、「契約關係」之典型者,如公司蒐集員工之基本資料,係因為與員工之間存在的僱傭契約
關係,故得合法蒐集其資料;「類似契約關係」於個資法施行細則草
案第23條有進一步之闡釋,指:
一、於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為;或
二、契約因無效、撤銷、解除、終止或履行而消滅時,為行使權利、履行義務,或
確保個人資料完整性之目的所為之連繫行為。
第五款所指「當事人書面同意」,是基於個人資訊自主原則而來,
要求蒐集者於取得當事人同意後,才可以蒐集其個人資料。
另宜注意,個資法就此處「當事人書面同意」特別予以明文定義,
謂其係指「當事人經蒐集者告知本法所定應告知事項後,所為允許之
書面意思表示」。因此,中小企業宜留意於當事人決定是否同意前,
應先踐履有關之告知義務,取得其「告知後同意」,方屬合法(詳下
題)。
又,實務運作上,為能保障當事人權益並確保中小企業蒐集個人
資料合法性之證明力,建議中小企業於蒐集個人資料時,即使與當事
人間存在契約或類似契約之關係,仍應取得當事人書面同意,並且將
應告知之事項,一併明列於當事人擬行使其書面同意之書面上。
參考法條;詳參附錄二,個人資料保護法第19 條
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!