如果中小企業預計將所蒐集的個人資料公開或透露予第三人知悉,但不確定如此作法是否合法,可以採取以下判斷流程。
首先,應判斷是否為「個人或家庭活動目的」,如是自然人為個人或家庭活動目的,蒐集並利用當事人個人資料透露予第三人知悉,依個人資料保護法第51條第1項第1款規定,尚無個人資料保護法之適用,亦無須履行告知義務。
如非屬為個人或家庭活動目的情形,則應依個人資料保護法第8條、第9條規定履行告知義務,告知當事人其個人資料利用之期間、地區、對象及方式等法定事項,也就是在蒐集個人資料當時或至少在對外公開之前,要讓當事人知悉其個人資料有被對外公開或再傳遞之可能性,並且須充分提供相關訊息,包括該接受個人資料的第三人身分為何,以及基於何等理由或在什麼情況下資料蒐集者會將個人資料透露予第三人知悉等。
接著,欲將所蒐集之個人資料公開或再行透露予第三人知悉,應留意必須於其蒐集之特定目的必要範圍內為之,個人資料保護法第20條第1項定有明文。如果公開或透露並非為了當初蒐集之目的或不在必要範圍內,則屬特定目的外之利用,此時就要檢視是否符合第20條第1項但書各款所列情形之一,始得為合法之利用。若找不到第20條第1項但書任一款之合法事由可資適用,而中小企業仍將他人之個人資料逕自公開或透露予第三人知悉,將違反個人資料保護法之規定。
將上述判斷流程加以具體運用,有助於解決可否公開或透露予第三人知悉的疑慮,關於中小企業日常業務可能遭遇之個案情境,請詳參第三篇至第五篇「個人資料保護法案例解析」之說明。
參考資料:法務部102年4月19日法律字第10203503430號函
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!