扫描二维码,添加微信
免费法律咨询金本色律所帮您高效解决法律纠纷
已有1200+预约
×
广东金本色律师事务所明法与心·依法正行
189-0238-0213
189-0238-0213
2021年8月20日《个人信息保护法》(下称“《个保法》”)正式通过,并于2021年11月1日正式生效。
《个保法》生效后,对于我国个人信息保护具有划时代的意义。 企业作为个人信息处理者之一,在人力资源管理工作的过程中会大量接触和掌握员工的个人信息 。
企业应如何处理员工个人敏感信息?
1
严格限制处理敏感信息的范围和处理方式
根据 《个保法》第二十八条第二款 : “只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。 ”
企业在处理员工敏感个人信息前,需要注意两个基本原则:
1)目的是否特定?
个人信息处理者在处理敏感个人信息时的目的应当具有特定的指向性。
如企业基于与员工缔结劳动合同的目的而需收集员工的身份证等敏感个人信息,则该等信息 仅能用于缔结劳动合同 。
企业不得将此等敏感个人信息用于其他目的。
2)是否必要?
所谓必要,是指处理敏感个人信息应当符合必要性原则的要求, 在有可替代性方案的情况下,应当避免收集和处理敏感个人信息。
例如,用人单位要求员工提供银行卡账号用以发放工资可认定为具有充分必要性,而用人单位采集员工人脸信息用于考勤打卡是否具有必要性则有待进一步商榷。
2
充分履行告知义务
3
取得员工的单独同意
首先,企业可参考 《 中华人民共和国劳动合同法》第八条及第十七条 规定的,用人单位有权了解劳动者与劳动合同直接相关的基本情况。
而在劳动合同的必备条款中,劳动者姓名、住址和居民身份证或者有效身份证证件号码,劳动者是需要主动提供给用人单位的。
第二,如果企业想通过规章制度和集体合同的方式处理员工敏感个人信息的,需要注意 《个保法》第十三条第二项 规定重点是在于“是否为实施人力资源管理所必需”, 而非依法制定的劳动规章制度及集 体合同。
即使规章制度和集体合同均已经合法程序制定或签订,但是企业仍需从 必要性角度出发,结合处理的场景、目的、方式和范围,来综合判定某一信息处理行为是否具有必要性,以及是否满足最小范围原则。
因此,在目前缺乏相关指引的情况下,小金 建议企业在人力资源管理中,如需处理员工敏感个人信息的,可让员工签订 “同意书” 的方式来取得员工的单独同意。
不同阶段的员工个人信息保护合规建议
1
招聘录用期间的个人信息保护
1)招聘渠道的个人信息该如何进行法律风险识别和评估?如何对招聘供应商开展个人信息尽调评估?在审核第三方渠道的《服务协议》中,应该注意哪些风险点?
招聘阶段一般会收集大量的与该候选人个人及工作相关的信息,因为企业还未与候选人形成劳动关系,为此还不能通过规章制度进行约束。
因此在招聘阶段,应该特别注意简历等 个人信息收集渠道的合法性 ,并注意履行“告知-同意"的合规动作。
如果通过第三方平台获得候选人简历的, 建议企业与第三方平台公司签署协议 ,明确要求第三方平台向用人单位提供简历需经过求职者同意。
约定如发生争议,应由第三方公司负责处理并承担相应的责任,以降低用人单位的自身风险。
同时应开展对 招聘 供应商的尽调 ,重点关注其是否具备相关资质(网络招聘中介机构需要取得业务许可资质); 是否制订了平台服务协议和服务规则、网络招聘服务用户信息保护制度、隐私政策; 有无受到网信办等监管单位的处罚、目前整改进度以及是否存在严重违反红线的情形,避免受到波及。
2) 笔试、面试 流程中,该注意哪些个人信息保护问题?
企业应该规范自身笔试题库、面试题库, 谨慎进行录音录像 ,对于面试者也要做好个人信息保护法的培训工作。
同时,在笔试、面试开始前,应向候选人进行充分告知,获得其同意后,再进行答题。
2
日常管理期间的员工个人信息保护
1)企业如需采取员工 人脸识别或指纹 进行打卡考勤,企业应如何处理?
根据《信息技术安全 个人信息安全规范》相关指引可知,指纹、声纹、虹膜及面部特征等个人生物识别信息均属于敏感个人信息。
所以企业应在 充分告知员工 的前提下, 取得员工的单独同意 。
企业需要处理员工的生物识别数据的,除了应征得员工明示单独同意外,还应当提供处理其他非生物识别数据的替代方案。
但如果企业在特定人力资源管理场景中确需处理员工生物识别数据,无法用其他方式替代的,可以处理员工的生物识别数据。
2)企业是否可以通过 摄像头、AI监控系统 监控员工的手机、电脑?有哪些风险?如何应对?
如要实施合规的监督监控,需要基于两个不同的合法性基础。
▋ 一个是基于人力资源管理所必要 ,可能会受到比较大的挑战,除非在特殊岗位上,如一些金融机构的风控岗位或者基于掌握内幕信息的人员;
▋ 一个是有无充分告知并获得员工同意,并且将个人信息与公司信息进行规定及区分 ,部分研发部门或者掌握企业商业秘密的部门,其电脑、手机可能都会有大量敏感信息,需要对其电脑、手机进行监控。
通过充分告知,并经过员工同意,确定个人信息与公司信息的分界,才能更好地防范风险。
3)在职期间,企业使用 人力资源外包与劳务派遣服务 ,企业如何防范个人信息泄露风险?
这种场景下,涉及对外提供员工的劳动报酬支付情况、社保缴纳情况、劳动力资格与安全情况。需要与第三方约定双方权利义务,并进行定期监督 。
否则可能面临共同处理个人信息情形下的 连带责任赔偿风险 。
3
离职后的员工个人信息保护
1)用人单位处理雇员离职期间交接的 配发工作设备 中的个人信息 有什么注意事项?
如未经离职员工同意或非基于合理需要的,不得不当使用或公开传播其配发工作设备中的个人信息。
小金建议:如相关业务涉及工作设备交接的,应当将交接程序和设备中可能储存的个人信息处理事宜一并写入规章制度加以规定 ;或者也可以让离职的员工单独就设备交接事宜签订同意书。
同时企业应避免在未经雇员同意的情况下,对雇员配发工作设备中的个人信息进行拷贝、不当使用或公开传播。
除非基于合法、合理且正当的原因,如配合司法机关调查取证的需要。
2)存储离职员工信息的范围和期限?
《个保法》对于个人信息的保存期限仅规定“应当是实现处理目的所必要的最短时间”。
在实务中,企业可以通过与离职员工单独进行约定,明确 保留时间、信息的使用目的和用途,以及是否可提供给第三方 等,在使用目的完成后,企业应及时对该信息进行删除或匿名化处理。
同时人力资源部门需对收集的离职员工个人信息进行定期排查,对过期个人信息进行删除或匿名化处理。
- END -
免责声明:本 微信文章并不用于任何商业目的,仅为交流探讨之目的,不得视为广东金本色律师事务所律师出具的正式法律意见;部分图文来源于网络,版权归原作者所有,如涉及作品内容、版权和其他问题,请与我所联系,我们将在第一时间删除内容!
本文标签: 合同纠纷律师费多少钱 如何申请企业破产 如何税务筹划 什么是财富管理 劳动争议法律援助
全国服务热线