《个人信息保护法》已于2021年11月1日正式施行,而用人单位在员工管理中必然会涉及收集、保存、处理员工个人信息,属于《个人信息保护法》第三条第一款规定的个人信息处理者。
因此用人单位在处理员工个人信息时须遵循法律对于“个人信息处理者”的相关规定。本文将对《个人信息保护法》的相关条文进行具体梳理,帮助用人单位在人力资源方面进行更好地合规性管理。
用人单位在规章制度中应增设
有权处理员工个人信息的条款
《个人信息保护法》第十三条第一款第二项规定,“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形下处理员工信息不需征得员工个人同意,这是用人单位有权处理员工个人信息的例外条款。
若用人单位尚未制定相关规章制度,需依法制定规章制度并根据《劳动合同法》的相关规定通过民主程序,并向员工进行告知和培训,以此作为“人力资源管理所必需”的先决条件。
据此,小金建议用人单位可以按照如下方式进行处理:
(1)制定相对应的规章制度,明确约定个人信息的范围、使用目的、处理规则等涉及用人单位处理员工个人信息的条款,并通过民主程序,向员工进行告知和培训,具体内容可根据用人单位的具体情况制定。
(2)若用人单位已有依法制定的规章制度,则需审查相关内容并依法进行修订,在《员工手册》《劳动合同》等中增加约定个人信息范围、使用目的、处理规则等相关内容的条款,避免在《个人信息保护法》施行后处理员工个人信息缺少相关合法性依据。
在招聘、录用等需要获取个人信息的环节
应事先取得员工的授权同意
虽然《个人信息保护法》规定了一定情形下用人单位未经员工单独授权但仍然可以处理员工个人信息的例外条款,但如果用人单位未就处理员工个人信息制定相关规章制度,或员工尚未正式入职,以至于单位的规章制度暂时无法直接适用于该员工,此时用人单位须单独取得员工的授权同意,才能在招聘、录用过程中所获取员工的个人信息。
根据《个人信息保护法》第五条、第六条的规定,用人单位处理员工信息应当遵循合法、正当、必要和诚信原则;应当具有明确、合理的目的并告知员工,采取对员工个人权益影响最小的方式;收集员工个人信息应当限于实现处理目的的最小范围,不得过度收集。
据此,小金对用人单位在人力资源管理的各环节提出以下建议:
(1)在招聘环节如需对候选人进行背景调查,应当事先取得候选员工签署的《背景调查授权书》,同时应当明确告知候选员工背景调查的事项及目的,此后应在候选员工的授权范围内进行背景调查。
(2)在入职环节需要收取员工信息的,应当要求员工签署《个人信息处理的知情同意书》,在取得员工的知情同意后再对员工个人信息进行收取。
(3)对于仅在部分岗位需要的任职条件等信息(如法律明确规定需要无犯罪记录才能从事的职业要求员工提供无犯罪记录证明),用人单位可按条件分类设置《员工入职信息登记表》和相应的《个人信息处理知情同意书》,避免过度收集员工个人信息。
适用指纹、人脸识别等方式考勤打卡
需征得员工单独同意
根据《个人信息保护法》第二十八条、第二十九条、第三十条的规定,处理生物识别、行踪轨迹等敏感个人信息应当取得个人的单独同意。
目前通常采用的考勤方式如指纹打卡、人脸识别打卡均需采集员工个人的生物识别信息,GPS定位则会收集员工个人的行踪轨迹,因此,用人单位在处理这些信息时不仅应当告知员工处理敏感个人信息的必要性以及对个人权益的影响,同时应当取得员工的单独同意。
同时《个人信息保护法》第十五条还规定,“基于个人同意处理个人信息的,个人有权撤回其同意”,基于此,我们建议用人单位可以按照以下方式进行处理:
采用指纹、人脸识别、定位等方式考勤打卡前,应告知员工处理生物识别/行踪轨迹信息的必要性以及对个人权益的影响,在征得员工同意后应当要求员工单独签署相应《知情同意书》等授权表单,同时用人单位应准备不涉及个人敏感信息的考勤方式备用,以便在员工撤回同意时过渡适用,以免不影响考勤工作安排。
员工离职后应设置删除员工个人信息的操作流程
根据《个人信息保护法》第十九条的规定,个人信息的保存期限应当为实现处理目的所必要的最短时间。
若员工离职后未发生仲裁诉讼,结合《劳动合同法》有关竞业限制期限的相关规定,个人信息保存时间以离职后2年为宜;如产生劳动争议,用人单位在调查取证时若涉及到调取监控视频、邮件、恢复数据等行为时也需注意权利边界,避免产生不必要的纠纷。
据此,小金建议用人单位可以采取如下处理方式:
(1)在制定内部管理制度和操作规程中,应增设员工离职后或符合条件时删除员工个人信息的操作规程,并在要求员工签署《知情同意书》时告知员工相关权益。
(2)设置《个人信息撤回同意书》《个人信息删除申请》及相关文件,在员工提出撤回同意和提出删除申请时对相关员工个人信息进行删除并及时告知员工。
与第三方机构合作时应妥善保护员工个人信息
根据《个人信息保护法》第二十一条的相关规定,用人单位在委托他人处理员工个人信息,如用人单位在与第三方合作招聘、档案存放代理等事项中涉及到的员工个人信息处理,应增加相关个人信息处理条款,对第三方合作机构的处理情况进行审查和监督,尽到安全保障义务。
据此,小金建议用人单位在委托第三方机构处理员工个人信息时,应当与相关机构签订委托协议,约定处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务等,并对员工个人信息处理活动进行监督。
当委托合同不生效、无效、被撤销或者终止的,应要求第三方机构将员工个人信息返还或者予以删除。
采取必要的安全措施保障员工个人信息安全
根据《个人信息保护法》第五十一条、第五十二条的相关规定,用人单位作为个人信息处理者,应当采取必要的安全措施保障所处理的员工个人信息的安全,用人单位采取安全保护措施应当贯穿于个人信息处理的全过程、各环节。
若违反《个人信息保护法》,将面临承担行政、民事、刑事等责任的风险(《个人信息保护法》第七章的相关规定)。
据此,小金建议用人单位按照《个人信息保护法》的相关规定采取如下处理方式:
(1)根据制定的内部管理制度,制定相应的操作规程;
(2)对个人信息实行分类管理,对一般信息与敏感信息分级管理;
(3)在保存和传输过程中采取相应的加密、去标识化等安全技术措施;
(4)合理确定用人单位负责个人信息处理的工作人员的操作权限,定期对从业人员进行安全教育;
(5)制定并组织实施个人信息安全事件应急预案。
机构合作时应妥善保护员工个人信息用人单位
对员工个人信息处理不当存在的法律风险
《个人信息保护法》第七章专门设置了法律责任条款,用人单位若对员工个人信息处理不当则存在以下法律风险:
(1)被信用惩戒的风险。
根据《个人信息保护法》第六十七条的规定:“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”
(2)承担行政责任的风险。
根据《个人信息保护法》第六十六条、第七十一条的相关规定,用人单位如果违反法律规定处理员工个人信息,则将可能被有关部门给予警告、没收违法所得、责令暂停或终止服务、罚款甚至是吊销营业执照的行政处罚。
有关部门也有权对用人单位直接负责的主管人员和其他直接责任人员处以罚款,甚至可以禁止相关负责人员在一定期限内担任相关企业的董监高和个人信息保护负责人职位。
(3)承担民事责任的风险。
根据《个人信息保护法》第六十九条、第七十条的规定,用人单位如果违反法律规定处理员工个人信息,给员工造成损害且不能证明自己不存在过错的,应当承担赔偿等侵权责任。
若用人单位违反法律规定侵害众多员工权益的,人民检察院、法律规定的消费者组织等也能够直接向法院提起公益诉讼。
(4)承担刑事责任的风险。
根据《个人信息保护法》第七十一条规定,违反本法规定,构成犯罪的,依法追究刑事责任。
根据《刑法》第二百五十三条之一有关【侵犯公民个人信息罪】的规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
综上,《个人信息保护法》实施后,用人单位作为个人信息处理者应严格遵守相关法律规定,制定相应的规章制度并对相关合同中涉及处理员工个人信息的部分进行相应修改,避免产生不必要的纠纷。
,