「個人資料保護法」終於在今年10月1日生效施行,由於產業特性與商業模式的不同,企業所面對客戶的屬性與蒐集的個資形態不盡相同,對於客戶個資保護的具體做法也有差異。因此,企業落實個資保護,需從員工做起。
員工協助企業保護客戶個資
以上所述是關於企業對員工個資的保護,另一方面,員工也應協助企業保護客戶的個資。雇主對客戶蒐集、處理及利用個資,有賴員工執行上開「告知後同意」的標準作業流程。而客戶就其個資行使查詢、更正及刪除等權利時,也需要專責員工受理客戶的請求並告知處理結果。
以上各種書面文件與電腦檔案,皆需確實由員工記錄、管理及保存,以利將來發生法律糾紛時,能引為證據作為企業的護身符。
此外,依個資法第27條規定,非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。另依個資法第12條規定,個資被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
因此,企業對於個資保護亦須做到事前安全防護以及事後通報處理,此亦有賴員工的充分配合。如果遇到駭客入侵,已進行上開措施的企業則可依個資法第29條規定證明其無故意或過失而免責。
另一方面,員工執行個資維護職務如有故意或過失,則可能導致雇主要連帶負責。依民法第188條規定,受僱人因執行職務,不法侵害他人之權利者,由僱用人與行為人連帶負損害賠償責任。
但選任受僱人及監督其職務之執行,已盡相當之注意或縱加以相當之注意而仍不免發生損害者,僱用人不負賠償責任。因此雇主應強化對員工的選任並監督其業務之執行,特別須落實關於個資安全維護的教育訓練以及管理稽核。
結語
企業為因應個資法的生效施行,必須從員工做起,才能具體落實個資保護。除要求員工簽署上開「權益告知暨同意書」以保護員工個資之外,亦應要求員工簽署「個資安全承諾書」,責令所有員工應遵守雇主對個資安全所訂定的基本規章與標準作業程序,並積極參與個資相關的教育訓練且定期考核驗收成果,以強化員工對個資安全維護的職責,俾降低企業違反個資法的風險。