【第177期 June 5, 2012】 |
||
|
 |
資安前哨站[發表日期:2012/6/5] 前言
一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。 上述是個資法對於特種個資的管制規定,由於我們在此僅討論「健康檢查結果」這項個資,因此企業是否可蒐集處理員工的健康檢查紀錄,首先要判斷的就是是否符合新版個資法中第一項「法律明文規定」要件?
前項檢查應由醫療機構或本事業單位設置之醫療衛生單位之醫師為之;檢查紀錄應予保存;健康檢查費用由雇主負擔。 前二項有關體格檢查、健康檢查之項目、期限、紀錄保存及健康檢查手冊與醫療機構條件等,由中央主管機關定之。 勞工對於第一項之檢查,有接受之義務。 企業蒐集員工的健康檢查資料,依據勞工安全衛生法是於法有據的。勞委會勞工安全衛生處也進一步解釋這條法令:「雇主於僱用勞工時應實施體格檢查;對在職勞工應實行定期健康檢查,所稱體格檢查係指於僱用勞工或變更其工作時,為識別勞工工作適性,考量其是否有不適合作業之疾病所實施之健康檢查。所稱健康檢查係指依在職勞工之年齡層,於一定期間所實施之一般健康檢查;及從事特別危害健康作業之勞工,依其作業危害性,於一定期間所實施之特殊健康檢查,其目的在保護勞工健康,以早期發現職業病,並改善勞工作業環境。」
一、農、林、漁、牧業。 二、礦業及土石採取業。 三、製造業。 四、營造業。 五、水電燃氣業。 六、運輸、倉儲及通信業。 七、餐旅業。 八、機械設備租賃業。 九、環境衛生服務業。 十、大眾傳播業。 十一、醫療保健服務業。 十二、修理服務業。 十三、洗染業。 十四、國防事業。 十五、其他經中央主管機關指定之事業。 §九十年行政院勞工委員會另外公告指定適用勞工安全衛生法之事業及適用部分工作場所之事業如下: 一、銀行業。 二、建築及工程技術服務業。 三、保全服務業。 四、遊樂園業。 五、環境檢測服務業。 六、教育訓練服務業之高級中學、高級職業學校之實驗室、試驗室、實習工場或試驗工場(含試驗船、訓練船)。 七、批發業、零售業中具有冷凍(藏)設備、使勞工從事荷重一公噸以上之堆高機操作及儲存貨物高度三公尺以上之工作場所。 這期間勞委會也不斷的又納入了許多行業,但是勞工安全衛生法其實還是沒有包含所有的勞工,像我們自己資訊服務業就沒有包含在內。包含在上述行業的勞工,新個資法施行後,雇主仍可依法蒐集、處理,並進行符合「特定目的」的利用,其他的勞工呢?就要看勞工安全衛生法的修正了。
一、人的適用範圍擴大:本次修正如經立法院照案通過,其適用範圍將由現行670萬人擴大至1,067萬人,幾乎涵蓋所有職場工作者。 二、體格檢查、健康檢查之施行: 公司蒐集健康檢查紀錄是否有範圍限制?
行政院勞委會亦曾表示,基於選工、配工、職業病預防及職場健康管理需要,企業保存及管理員工健檢報告符合「特定目的」所為之搜集與處理,但是企業必須要有適當安全維護措施以符合新版個資法第6條第1項第2款的規定,同時保障勞工隱私權。上述是針對「勞工健康保護規則」所訂的檢查項目,若有在該規則外的檢查項目及結果仍依個資法規定辦理。 甚麼是「勞工健康保護規則」呢? 規則要求雇主負有健檢資料管理與保存之責任,並律定了健康檢查的項目及年限,僅小部分摘錄大家較關心的內容如下:
1、檢查項目: 2、一般健康檢查檢查年限: 二、特殊健康檢查: 1、須實施之作業場所: 2.保存年限 上述的說明希望讓您了解企業可以合法蒐集處理健康檢查資料的法源條列,答案很明確的,依據勞工安全衛生法,適用的670萬勞工,雇主都可以合法地蒐集處理符合「勞工健康保護規則」項目的健康檢查紀錄,其他不適用的勞工,建議雇主在「職業安全衛生法」通過前請不要蒐集處理員工的健康檢查資料。 接下來我們討論當雇主於法有據的蒐集處理健康檢查紀錄時,是否仍需告知員工,以及後續針對健康檢查紀錄的利用是否有相關的限制等問題。 企業蒐集健康檢查紀錄是否需要告知當事人? 企業蒐集員工健康檢查紀錄,如係由員工交付屬於直接蒐集,則依
一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。 如果公司蒐集員工健康檢查資料由健檢機構交付則可屬於間接蒐集,則依
有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。 依上述兩個法條,不論屬於直接蒐集還是間接蒐集,答案都是一樣的,依據第八條第二項第二款「非公務機關履行法定義務所必要」,亦即履行勞工安全衛生法規定的義務,得免為前項之告知,因此,雇主依勞工安全衛生法蒐集、處理、利用員工健康檢查紀錄,是不必告知當事人相關事項的。 公司利用員工的健康檢查紀錄是否有限制?
包含上述的第五條,前面總共提到三次「特定目的」了,特定目的是甚麼?基本上就是公司宣告對於個人資料將利用的方式,在本文中也就是企業在利用員工的健康檢查紀錄上的限制。我們要保護我們的健康檢查資料,當在蒐集處理的部分公司都於法有據時,在利用方面的限制便是我們保護我們健康檢查紀錄所必須注意的了。 特定目的指的是電腦處理個人資料保護法於民國八十五年08月07日由法務部公發布的各種特定目的項目,節錄相關代號如下:
○○一 人身保險業務 (依保險法令規定辦理之人身保險相關業務) ○○二 人事行政管理 …… ○二一 行銷 (不包括直銷至個人) ○二二 行銷 (包括直銷至個人) …… ○三一 科技管理 …… ○三七 客戶管理 …… ○四五 個人資料之交易 …… ○四八 財產保險業務 (依保險法令規定辦理之財產保險相關業務) ○四九 財產管理 …… ○五三 教育或訓練行政 ○五八 採購與供應管理 …… ○六○ 統計調查與分析 …… ○六三 會計與相關服務 ○六四 電信監理業務 ○六五 資訊與資料庫管理 ○六六 會員 (籍) 管理 (含會員指派之代表) …… ○七○ 發照與登記 …… ○七四 經營電信業務與電信加值網路業務 …… ○七九 學生資料管理 ○八○ 徵信 ○八一 學術研究 …… ○九七 其他合於營業登記項目或章程所定業務之需要 …… 一○一 其他諮詢與顧問服務。 舉例而言,例如中華電信依電信業電腦處理個人資料管理辦法第六條規定,公告電信業電腦處理個人資料(登記、變更登記、終止登記、補發執照)申請書,內容節錄如下:
申請日期:九十八年09月23日 登記項目: 1.申請機構名稱:中華電信股份有限公司 2.總公司所在地:台北市信義路一段21之3號 3.代表人姓名:。。。 4.個人資料檔案名稱:客戶基本資料檔、客戶應收款檔 5.保有之特定目的: 022/行銷(包括直銷至個人)、037/客戶管理、060/統計調查與分析、065/資訊與資料庫管理、074/經營電信業務與電信加值網路業務、080/徵信、097/其他合於營業登記項目或章程所定業務之需要、101/其他諮詢與顧問服務。(下略) 因此,中華電信對於個資的利用不可超過上述特定目的範圍之外。相同的,各企業在新個資法施行後雖不必再像電腦個資法當初規範的幾種行業蒐集個資必須提出申請,可是依新個資法
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。 各非公務機關保有個人資料檔案者,將被要求訂定個人資料檔案安全維護計畫,計畫內亦將需明定蒐集、處理、利用之特定目的,對於健康檢查紀錄的利用特定目的,應該不得逾越勞工安全衛生法所訂定的目的,如有其他特殊利用目的,亦應該要獲得當事人的書面同意為宜。 結語 筆者原只想分析企業蒐集員工健康檢查紀錄的相關議題,沒料到相關的法條與規定還是相當的繁多,一不小心就變成長篇大論了,如果上述論點有任何疑義與問題,還請大家不吝指教。 參考資料
|
 |
友善列印
轉寄友人