思考一下,若企業至歐盟境內設立據點,該據點雇用(或派遣)員工之個資之蒐集、處理、利用(下稱「處理」),是否需要考量GDPR?若需要,是否以「通知」加上「同意」之方式即以足夠?關於這個問題,希臘GDPR執法機關於2019年7月裁處PWC Business Solution(PWC BS)案可資借鏡。

PWC BS案的啟示

PWC BS在希臘雇用員工並蒐集個資,其同意書中僅載明以同意(consent)作為合法基礎(legal basis),並希望員工簽署該同意書。主管機關明確指出PWC BS之作法違反GDPR,命其限期改善並課予15萬歐元之罰鍰。本案重點摘要如下:

1.以同意作為合法基礎並不恰當

依GDPR規範,企業必須具備合法性基礎才能處理個資。依GDPR第6條第1項,合法基礎包括同意、履行契約、法定義務、正當利益等等;而GDPR所要求的同意,為任意性同意,意即「自由給予的同意」(freely-given consent)。本案涉及僱傭關係中,主管機關認為雙方地位不平等,員工所給予的同意不符GDPR所指之任意性同意。

此外,依GDPR第5條第1項第a款所示的個資處理合法、公平及透明性原則(lawful, fair and transparent),在欠缺其他GDPR第6條之合法基礎的情況下,才能以同意作為合法基礎。因本案屬於僱傭關係之情境,個資處理活動可能與執行僱傭契約事務直接相關(例如薪資及人事管理等處理活動),故履行契約或其他雇主的正當利益,似為較恰當的合法基礎,據此,PWC BS逕行以同意作為合法基礎不符GDPR。

再者,以同意作為合法基礎有違反GDPR第5條第 2 項的「當責性」原則(accountability)。PWC BS在沒有詳盡分析其個資處理目的、範圍及活動適當性的情形下,只要求員工簽署相關文件以聲明PWC BS的個資處理目的、範圍及活動的適當性,形同將雇主進行相關分析的遵循義務轉嫁給員工,而違反當責性原則。此外,當責性原則在執行面上,PWC BS在進行個資處理活動前,必須分析如何選擇合法基礎並保持紀錄,並於主管機關要求時予以提供,然而PWC BS未能依主管機關要求提供相關分析紀錄,亦有違反當責性原則的情形。

2.未將同意以外的合法基礎納入告知事項以致誤導當事人

依GDPR第5條第 1 項的透明性原則,告知內容應充分及全面。本案中PWC BS在合法基礎中只有提及同意,而沒有提及其他合法基礎,恐造成員工對於自己個資的處理目的以及合法基礎的錯誤認知,因而違反GDPR第5條第 1 項的透明性原則。

同意不是萬用解法

自我國個資法施行後,企業常以取得員工同意書之方式,作為個資處理的合法基礎,此在我國現行個資法的脈絡下或許並不違法。但企業若擴張至歐盟,則參照上述PWC BS案,在我國常見的僅取得員工同意之模式,在歐盟境內未必是可行的做法。

因此,企業針對在歐盟境內的僱傭活動,宜在事前針對個資處理活動進行分析,充分列舉相關合法基礎。舉例而言,如雇主依法為員工投保而擬使用員工個資,其合法基礎可能需額外納入履行法定義務,並將此事由充分告知員工。此外,企業內部也應視其規模大小,保存相關分析紀錄,建立GDPR遵循軌跡,以降低違法風險。

#企業