知識分享

個人資料保護法Q&A-員工的個人資料可以保留多久呢？

2013/06/21

企業向員工所蒐集或在勞雇關係互動所產出的個人資料，當然也受到個資法的保護，不會因為員工與企業間處於勞資的特殊關係而被排除在個資法保護的範圍外。因此，企業在蒐集、處理與利用員工的個人資料時，同樣須遵守個資法相關規定。員工在職期間這些個人資料的蒐集、處理或利用行為問題確實比較小，只要是在人事管理的特定目的範圍內，其實個資法因應的問題不大，大部分都在當事人明知的範圍內。然而，有朝一日員工離職或是退休了，企業還可不可以繼續保有甚至是利用這些離職或退休員工的個人資料呢？

個資法第11條第3項規定，「個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。」原則上，只要蒐集時的特定目的消失，蒐集者就應該主動刪除當事人的個人資料。但有原則就有例外，我們至少可以找出五種例外情形可以繼續保有特定目的消失後的個人資料。例如，有特別法規定個人資料的保存期限時，當然可以繼續予以保留（如病歷記錄依法保存七年，因此醫院不需要在病人看診痊癒後就刪除個資）；前開條文但書中將「當事人書面同意」及「執行職務或業務所必須」列為例外可以繼續保有個資的情形。此外，依個資法施行細則第21條規定，包括「有法令規定或契約約定之保存期限」、「有理由足認刪除將侵害當事人值得保護之利益」、「其他不能刪除之正當事由」等三種情形都屬於所謂的「執行職務或業務所必須」。只要符合上述幾種例外事由，即使特定目的消失或是期限屆滿，依然可以繼續保有企業所握有的個人資料無須刪除。

回到企業向員工蒐集個人資料的問題，其特定目的應該就是勞雇契約關係所衍生的「人事管理」，因此，解釋上當員工離職後，因勞雇契約所生人事管理目的自然也隨之消失，理論上，依個資法的前開規定應刪除該離職員工之個人資料。但事實上勞雇契約終止後，勞雇雙方仍可能有相關互動的需求，例如，因勞雇關係薪資等支付所生稅務資料的保存；勞動基準法第7條亦規定，勞工名卡應保管至勞工離職後五年，依勞工安全衛生法授權訂定的勞工健康保護規則，更規定勞工健康檢查記錄表應保存至十年以上。基於這些的規定，企業至少可以在勞工離職或退休後繼續保有前員工的資料五年以上，而不須要在勞工離職後便立即刪除。

讀者可能會問，五年還是有點短，如果公司希望將離職員工的資料做更長久的保存該怎麼辦呢？個資法施行細則第21條將「契約約定之保存期限」也列為因執行職務或業務所必須而可以例外繼續保有個資的情形，因此，只要企業與勞工透過在勞雇契約內約定個資於特定目的消失後特定保有個人資料的期間，就可以輕易的達到企業希望較長期保存員工個人資料的目的，甚至由於企業請員工以書面方式（例如：許多企業希望與簽署個人資料同意書），同意企業於其離職或退休後繼續保有個資，也是合法的方法之一。當然，還是要提醒企業注意，個人資料的蒐集、處理及利用，還是必須要遵守個資法第5條有關尊重當事人、比例原則、合理關聯性原則，企業應該釐清為何有必要長期保留離職或退休員工之個人資料，員工也比較能夠接受，達到促成個人資料合理利用的目的。

綜而言之，雖然依個資法的原則，若是特定目的消失或是期限屆滿就應該立即刪除個人資料，但由於稅務、勞工法規的因素，離職或退休員工的個資至少還可以保存五年才須要刪除，且企業若是另有較長期保留離職或退休員工個人資料需要，更可以透過契約或是取得員工書面同意的方式將保存期間拉長至合理的期限範圍內。因此，對企業來說，想要在員工離職或退休後繼續保有其個人資料，就法律規範的遵守而言，並不是困難的任務，反而是員工若質疑公司為何需要保存他的個資達到這麼長的時間，如何回應及說服員工，細緻的執行面會需要企業以相當的智慧來推行。

同系列文章

黃曉薇律師，個人資料保護法Q&A-書面同意是否一定要以紙本為之？

賴文智律師，個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力？

賴文智律師，個人資料保護法Q&A-網友「人肉搜索」的合法性？

賴文智律師、蕭家捷律師，個人資料保護法Q&A-僱主臉書(Facebook)洩個資，當然不行！

賴文智律師、蕭家捷律師，個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料？

賴文智律師、蕭家捷律師，從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度

賴文智律師，個人資料保護法Q&A-從NFC手機談個人資料的管制

賴文智律師，個人資料保護法Q&A-企業上雲端，個資保護責任誰負？

賴文智律師，個人資料保護法Q&A-依法股東名冊絕不能外流？

賴文智律師，個人資料保護法Q&A-拒絕電話行銷後，仍然不斷收到相同業者的電話？

賴文智律師，個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料，是否有違反法律？