在有簽聘僱合約的情況下，是否可以不需員工的個資書面同意書？

問題摘要：

與員工簽訂聘僱合約可視為蒐集其個資之合法基礎，不須另行取得書面同意，但該前提僅限於合約履行所需之範圍，超出者仍需員工明示同意。聘僱契約中宜明確揭示個資蒐集之目的與使用對象，並提供員工告知與行使權利之程序。如原契約內容不足，則應補行告知或修約以補足合法性，並建立內部控管機制，方能在保障企業運作效率與符合法規義務之間取得平衡。

 

律師回答：

關於這個問題，在公司與在職員工之間已簽訂正式聘僱合約的情況下，依照個人資料保護法第19條第1項第2款之規定，若雙方基於該聘僱合約已屬「與當事人有契約關係」，則公司於蒐集或處理員工的個人資料時，即可主張具備法定的正當事由，得免除另行取得員工書面同意的義務。然而，這種免除並非無限制的授權，公司仍應受個資法其他條文之拘束，尤其是在已採取適當之安全措施及蒐集目的、使用範圍及資訊揭露對象等方面，皆須符合比例原則與必要性原則。

 

簡言之，公司雖可基於聘僱關係蒐集員工的基本個資，如姓名、身分證號碼、戶籍地址、聯絡方式、學歷、緊急聯絡人、銀行帳戶資訊等，但若要超出合約履行必要的範圍使用這些資料，例如用於行銷推廣、商業合作或轉交第三人，則仍須取得員工的特別書面同意。

 

此外，公司即便在合法蒐集與處理員工個資的情況下，仍應依據個資法第8條、第9條之規定，於蒐集前向員工告知其個人資料將被如何使用、資料類別、使用目的、使用期間、使用對象與方式、當事人權利及行使方式等內容，並提供員工行使查詢、更正、刪除或停止使用等權利之機會。尤其若公司聘僱契約內容未明確記載上述個資告知事項，或條款敘述不清，使員工無法理解其個資的蒐集目的及使用範圍，則實務上仍可能構成告知義務之違反。因此，公司雖依法無須另行取得書面同意，但仍負有完整告知義務。

 

實務建議，公司應審閱現行之聘僱契約範本，檢視其中是否已納入足夠明確之個資蒐集、處理及利用條款，例如可加入「本公司因辦理聘僱關係相關事務，將蒐集、處理並利用員工之個人資料，包括但不限於身分證字號、聯絡方式、戶籍與通訊地址、金融帳戶、保險資訊、健康聲明等，並得於合法必要範圍內提供予保險公司、金融機構、政府機關及依法令有權取得資料之第三人」等表述。

 

此外，若員工個資可能會跨境移轉，例如使用雲端儲存、人資系統外包等情況，亦應依法於告知事項中清楚載明，避免日後爭議。對於舊有員工聘僱契約中未記載個資使用條款者，建議公司採取「補充告知」與「更新同意」的方式，以合規為優先，透過正式函件或內部人資系統發布告知通知，並可依需要補充簽署一份簡要明確的個資利用同意書。雖然實務上原則上不強制要求員工簽署同意，但若涉及對個資使用範圍擴張或移轉第三人之計畫，仍宜謹慎處理，取得書面文件以利保存證據。

 

反之，公司若逕行擴張使用員工個資範圍，或擅自提供予第三人而無合法依據，將可能構成違反個資法第29條、第41條之非法利用，輕則遭行政裁罰，重則須負損害賠償責任，甚至涉及刑責。雇主雖得基於契約履行情形蒐集與使用員工個資，但如無員工之明示授權或法律明文規定，不得任意為非合約目的之利用。因此，聘僱契約的存在雖提供了一定程度的合法性基礎，但並不等同於全面豁免公司對個資保護法之遵循義務。在實際操作面，公司除更新契約與建立告知程序外，亦應建立內部個資管理制度，例如訂定員工資料使用及存取之內控機制、指定專責人員管理個資存取權限、定期清查與銷毀不必要資料等，以保障員工權益並降低法律風險。

-勞資-職場隱私權-職場個資-

瀏覽次數：14