A公司將薪資相關作業外包予會計師事務所B,雙方簽有書面契約,A公司是否仍須與會計師事務所獨立簽訂個人資料保護法的保密約定?是否須另外取得A公司員工之書面同意?
就A公司與會計師事務所B之間,A公司將薪資業務全部外包予會計師事務所,個人資料保護法雖未明文要求應簽訂獨立的相關約定,惟依個人資料保護法第4條規定,受委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。其次,個人資料保護法施行細則第7條、第8條第1項另規定,受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。準此,A公司須履行上述委託機關之監督義務,會計師事務所B洩漏個資之行為,將視同委託機關之行為,由A公司負擔損害賠償責任。是以,建議A公司應要求會計師事務所B保證採取保密保全等具體措施。
就A公司與其員工之間,因會計師事務所B執行查核簽證業務將會有蒐集員工個人資料之行為,如係依相關法律規定(如公司法、證券交易法等)須由會計師查核簽證者,其蒐集行為應屬個人資料保護法第19條第1項第1款之情形。惟倘非屬上開法律明文規定之情形,亦與公共利益無關者,則須經當事人書面同意,始得為之。次按個人資料保護法第8條及第9條規定,非公務機關依第19條規定向當事人蒐集個人資料時,或非由當事人提供之個人資料而於處理或利用前,除有第8條第2項各款或第9條第2項各款規定情形之一始得免為告知義務外,均應向當事人為告知。是以,會計師執行查核簽證而為蒐集行為,如有符合「依法律規定得免告知」、「個人資料之蒐集係非公務機關履行法定義務所必要」、「當事人明知應告知之內容」、「當事人自行公開或其他已合法公開之個人資料」等情形之一,始得免除告知義務,否則應於蒐集時或處理利用前,向當事人告知個人資料保護法所定應告知之事項。
參考資料:法務部100年6月2日法律字第1000008403號函。
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!