個資法對HR的影響與因應
個資法於2012日開始上路,為因應個資法議題,公司在舉辦的「雲端世代下新版個資法對企業HRM系統之影響與衝擊研討會」的茶敘時間中與許多來賓閒聊,發現其實多數人對於即將上路的個資法仍然非常陌生,許多人反應個資法的議題雖然已經討論好一段時間,不論是資安軟硬體廠商或是顧問公司也都舉辦許多與個資法議題相關的研討會,大多是推銷自家的硬體產品或是資安防護軟體之功能,但是真正與HR同仁解說應該注意的事項以及現行人事薪資系統或人力資源系統應該有的防範措施與功能之研討會卻是非常少.我想這也是為什麼此次的研討會會在短短幾周的時間報名人數就額滿的最大原因了!
研討會結束後,分析來賓留下的問卷或是來電諮詢大致上可以分成兩個層面,有許多來賓對於公司內部各種不同的資料庫或是書面保管的資料,到底哪些要納入個資法的管控,包含企業客戶的聯絡人資料或是HR常會建置一些配合的講師資料、財務單位會有會計師、股東、監察人等等的資料,幾乎企業內每個部門都可能會建置或保管許多自然人的資料等;對於HR來說這些事項幾乎很難統一管理,甚至有些單位所建置或流通的資料,HR單位根本不清楚有該份資料,管理不易是許多客戶共同的困擾與疑問.另一個層面是針對公司內部使用的人事薪資系統應該要有那些管控點才能符合個資法的規範呢?關於上述兩個層面的疑問說明如下:
到底哪些要納入個資法的管控
首先針對第一個層面提供以下幾點建議:
一、企業內部應該要先成立一個個資法專案團隊,成員一般會有公司的法務、人資、公司指派之專案經理人。
二、由此專案團隊招集各部門主管,內部先進行現行各系統與資料的盤點,看看現有的各系統與保管資料有哪些與個資法相關。
三、個資盤點後,需要討論並核定公司各人員職務的權限,那些職務可以看到自然人的那些資料,不歸該職務權限可查閱或取得的資料,就需要加以防護與管理。
四、要核定內部個資管理規範與個資申請流程,當有個資需要時必須經過適當的申請流程,方可取得該資料。
五、定期對內部員工進行教育訓練,讓員工了解個資法的規範以及公司管理的規定,重點是要員工遵守個資法,並小心保管個資資料。
六、人資單位須擬定員工個資蒐集同意書,並提供給現行在職員工填寫,表示公司蒐集所有員工的個資均經過員工的同意,甚至面試人員填寫的人事資料卡或履歷表也要加註個資蒐集同意之說明與簽名確認。
七、資訊單位要確保公司內部現有的電腦硬體Server和個人工作電腦及公司內部的防火牆,是否有符合科技當代水準,盡心盡力的去維護資訊安全。
八、各系統資料庫存放於機房,機房進出有無安全管理機制,非任何人員均可進入,進出機房有無保留進出軌跡。
