前幾天休假參加兒子運動會時,接到一通電話問我:
有人跟他公司的人資說:「你們不能蒐集員工的健康檢查資料,這違反個資法第六條,健檢資料是特種個資,不能隨便蒐集。」
聽起來很有道理對吧?畢竟個資法第六條確實規定,健康檢查資料屬於特種個人資料,原則上不得蒐集、處理或利用。
但問題來了。
如果公司真的不能蒐集員工健檢資料,那職業安全衛生法第二十條明文規定「雇主於僱用勞工時,應施行體格檢查;對在職勞工應施行下列健康檢查」,這條法律是要怎麼執行?
難道立法者制定職安法時,腦袋裝的是水泥?一邊叫你做健檢,一邊又不准你蒐集資料?
這就是我今天要講的重點:普通法跟特別法的基本法理。
法律適用的基本原則
台灣的法律體系有一個很基本的原則:「特別法優於普通法」。
什麼意思?
個人資料保護法,是一部保護所有個人資料的法律。不管你是哪個行業、哪種情況,只要涉及個人資料的蒐集、處理、利用,都要遵守個資法。所以個資法是「普通法」。
職業安全衛生法,是一部專門為了保障勞工職業安全衛生而制定的法律。它針對特定的對象(雇主和勞工)、特定的目的(職業安全衛生管理),規範了非常具體的事項。所以職安法是「特別法」。
當兩部法律都適用同一件事情時,要優先適用特別法。
這不是我說的,這是法律適用的基本原則,在法學緒論的第一堂課就該教的道理。
讓我們看看職業安全衛生法第二十條怎麼說:
「雇主於僱用勞工時,應施行體格檢查;對在職勞工應施行下列健康檢查: 一、一般健康檢查。 二、從事特別危害健康作業者之特殊健康檢查。 三、經中央主管機關指定為特定對象及特定項目之健康檢查。」
第二項更明確:
「前項檢查應由中央主管機關會商中央衛生主管機關認可之醫療機構之醫師為之;檢查紀錄雇主應予保存,並負擔健康檢查費用。」
你看到了嗎?法律明文規定「檢查紀錄雇主應予保存」。
如果不能蒐集健檢資料,你要怎麼保存?難道用念力?
個資法也有例外規定
其實個資法第六條第一項雖然說特種個資原則上不能蒐集,但但書就有六款例外情形。
其中第二款就寫得很清楚:「公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。」
雇主依職業安全衛生法辦理員工健康檢查,就是在「履行法定義務」。而且只要採取適當的安全維護措施(例如資料加密、限制存取權限、定期銷毀等),就完全符合個資法的規定。
所以這根本不衝突!
職安法要求做健檢,個資法也允許為了履行法定義務而蒐集特種個資。兩部法律是互相配合的,不是互相矛盾的。
為什麼會有這種誤解?
那為什麼還是有人會說「不能蒐集員工健檢資料」?
我覺得有幾個原因:
對個資法的片面理解
很多人看到個資法第六條第一項「不得蒐集、處理或利用」就停住了,沒有繼續看但書的六款例外。但書最重要,因為有些人往往看到前段就拿著雞毛了!結果令劍斬到自己。
不了解法律適用原則
特別法優於普通法,這是法律系大一就會教的東西(甚至社會大學出社會也會懂得)。但一般人不見得知道,甚至有些號稱懂法律的人也搞不清楚。
把「保護」跟「禁止」混為一談
個資法的目的是保護個人資料,不是禁止一切個人資料的利用。如果真的禁止一切利用,那員工身體狀況、如果在上班暈倒了,到底誰知道該怎處理?
保護資料的存取才是對的,而不是禁止蒐集。
員工來上班,人資單位除了把人招進來之外,更要注重員工的生理衛生(包含生理跟心理),也就是相關的EAP (Employee Assistance Program)該做的其中一部份。
說到底 搞不懂保護跟禁止是兩回事的大有人在(而且不乏職場老鳥)
實務上怎麼做才對
那實務上,公司到底該怎麼做?
很簡單,依法行政:
- 依職安法辦理健檢
該做的體格檢查、一般健康檢查、特殊健康檢查,通通要做。這是法律規定,不做是違法的。
你不做,才違法。(就跟網路上那個 你才XXX,你全家都XXX 很像,我有點衝動想這樣說) - 依個資法保護資料
蒐集來的健檢資料,要採取適當的安全維護措施。該加密的加密,該限制存取的限制存取,該定期銷毀的定期銷毀。不能作為職安法規定的目的以外的用途。 - 該告知的要告知
個資法第八條、第九條有規定,蒐集個人資料時應該告知當事人的事項。雖然職安法是法定義務可以免除部分告知,但建議該說明的還是要說明清楚。
這三件做好,就沒有煩惱
不要拿普通法來對抗特別法
回到一開始的問題。
有人拿個資法說公司不能蒐集員工健檢資料,這就是典型的拿普通法來對抗特別法。
這不是法律見解的差異,這是對法律適用原則的基本誤解。
就好像有人拿民法說公司不能扣員工薪水,但勞基法明文規定某些情況可以扣薪。你不能拿民法的一般原則,去否定勞基法的特別規定。
法律不是拿來比大小聲的,法律是有體系、有邏輯、有適用順序的。
文章寫久了,最常遇到的就是這種「似是而非」的奇妙論述
表面上聽起來很有道理,引經據典、條文清楚,但實際上是對法律的片面理解,就跟AI會正經八百的跟你胡說八道一樣。
特別是在個資法這個領域,因為大家都知道要保護個人資料,所以很容易走火入魔,變成「什麼都不能做」、「什麼都是違法」。
但法律的目的不是讓你什麼都不能做,法律的目的是讓你在合法的範圍內,把事情做好。
職業安全衛生法要求雇主辦理員工健康檢查,是為了保障勞工的健康。個人資料保護法要求妥善保護健檢資料,也是為了保障勞工的隱私。
兩部法律的目的都是保護勞工,只是切入的角度不同。
所以當你依法辦理健檢、依法保護資料,你就同時遵守了這兩部法律,也同時達成了保護勞工健康和隱私的目的。
這才是法律的真正意義!
下次如果有人跟你說「公司不能蒐集員工健檢資料」,你可以告訴他:
「職業安全衛生法第二十條明文規定要做健檢,而且要保存紀錄。個資法第六條第一項但書第二款也允許為了履行法定義務而蒐集特種個資。這兩部法律沒有衝突,你搞錯法律適用原則了。」
輕輕柔柔的拍打並告訴他,然後把這篇文章丟給他看。請注意不要用力過大、或造成其他勞資糾紛。(冷靜,深呼吸三口)
寫到這裡,我補充一下當天運動會時,孩子同學受傷,我送孩子去保健室時,校護先做了處置、然後拿起學生的資料,翻閱了健檢、緊急連絡人並打給孩子的媽媽。
我想,如果把場景換到辦公室,這位跟HR說不能蒐集的員工,我們該怎辦?
所以,我真心覺得那些想要凹一些什麼觀點的,先好好把法條讀懂。
補充:
如果你是人資單位、或者是任何員工。
當你看到那些體檢機構給你的制式文件上 要你同意時,包含「提供個資與檢查結果予任職單位及醫院做為....」
作為人資,你應該直接要求委辦單位刪除或修改這一條。
作為員工,你可以直接劃掉寫上「僅同意依職業安全衛生法提供受雇單位使用,除法定規定外不得作其他用途」
沒有留言:
張貼留言