專家傳真－GDPR遵循：有同意就可以處理員工個資嗎？

工商時報【黃國銘、蔡孟芩寰瀛法律事務所資深合夥律師、資深律師】 思考一下，若企業至歐盟境內設立據點，該據點雇用（或派遣）員工之個資之蒐集、處理、利用（下稱「處理」），是否需要考量GDPR？若需要，是否以「通知」加上「同意」之方式即以足夠？關於這個問題，希臘GDPR執法機關於2019年7月裁處PWC Business Solution（PWC BS）案可資借鏡。 PWC BS案的啟示 PWC BS在希臘雇用員工並蒐集個資，其同意書中僅載明以同意（consent）作為合法基礎（legal basis），並希望員工簽署該同意書。主管機關明確指出PWC BS之作法違反GDPR，命其限期改善並課予15萬歐元之罰鍰。本案重點摘要如下： 1.以同意作為合法基礎並不恰當 依GDPR規範，企業必須具備合法性基礎才能處理個資。依GDPR第6條第1項，合法基礎包括同意、履行契約、法定義務、正當利益等等；而GDPR所要求的同意，為任意性同意，意即「自由給予的同意」（freely-given consent）。本案涉及僱傭關係中，主管機關認為雙方地位不平等，員工所給予的同意不符GDPR所指之任意性同意。 此外，依GDPR第5條第1項第a款所示的個資處理合法、公平及透明性原則（lawful, fair and transparent），在欠缺其他GDPR第6條之合法基礎的情況下，才能以同意作為合法基礎。因本案屬於僱傭關係之情境，個資處理活動可能與執行僱傭契約事務直接相關（例如薪資及人事管理等處理活動），故履行契約或其他雇主的正當利益，似為較恰當的合法基礎，據此，PWC BS逕行以同意作為合法基礎不符GDPR。 再者，以同意作為合法基礎有違反GDPR第5條第 2 項的「當責性」原則（accountability）。PWC BS在沒有詳盡分析其個資處理目的、範圍及活動適當性的情形下，只要求員工簽署相關文件以聲明PWC BS的個資處理目的、範圍及活動的適當性，形同將雇主進行相關分析的遵循義務轉嫁給員工，而違反當責性原則。此外，當責性原則在執行面上，PWC BS在進行個資處理活動前，必須分析如何選擇合法基礎並保持紀錄，並於主管機關要求時予以提供，然而PWC BS未能依主管機關要求提供相關分析紀錄，亦有違反當責性原則的情形。 2.未將同意以外的合法基礎納入告知事項以致誤導當事人 依GDPR第5條第 1 項的透明性原則，告知內容應充分及全面。本案中PWC BS在合法基礎中只有提及同意，而沒有提及其他合法基礎，恐造成員工對於自己個資的處理目的以及合法基礎的錯誤認知，因而違反GDPR第5條第 1 項的透明性原則。 同意不是萬用解法 自我國個資法施行後，企業常以取得員工同意書之方式，作為個資處理的合法基礎，此在我國現行個資法的脈絡下或許並不違法。但企業若擴張至歐盟，則參照上述PWC BS案，在我國常見的僅取得員工同意之模式，在歐盟境內未必是可行的做法。 因此，企業針對在歐盟境內的僱傭活動，宜在事前針對個資處理活動進行分析，充分列舉相關合法基礎。舉例而言，如雇主依法為員工投保而擬使用員工個資，其合法基礎可能需額外納入履行法定義務，並將此事由充分告知員工。此外，企業內部也應視其規模大小，保存相關分析紀錄，建立GDPR遵循軌跡，以降低違法風險。