专业研究
企业数据合规体检要点之八:员工个人信息处理
发布时间:
2024-09-05
作者:
陈嘉伟 张功俐
来源:
至融至泽
企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引,本专题总结了企业开展数据合规体检工作的十大要点,希望帮助企业内部人员了解数据合规工作所包含的具体内容,通俗而言,即数据合规工作到底需要做什么以及需要做到什么程度。
本篇系本专题第八篇,重点聚焦员工个人信息处理问题。在企业劳动用工场景下,从招聘、入职、日常管理到离职等全流程中,企业不可避免地需要处理员工的各类个人信息,但过往大多企业并未重视员工个人信息处理的合规要求。随着当前实践中,因违法处理员工个人信息而引发的纠纷等事件日益增多,员工个人信息处理将成为企业数据合规工作的一个重要方面。本文将对员工个人信息处理下的合规要点进行分析,并针对性提出相应实务建议,以协助企业合法合规地处理员工个人信息,保障员工的个人信息权利。
一、员工个人信息处理的合法性基础
根据我国《个人信息保护法》第十三条规定,只有在取得个人同意或者具备其他合法性基础的前提下,个人信息处理者方可处理个人信息。在劳动用工场景下,企业处理员工的个人信息通常可主张的合法性基础包括“取得员工的同意”、“为订立、履行与员工签署的劳动合同所必需”、“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”以及“为履行法定义务所必需”(如依据《劳动法》规定的支付劳动报酬等义务处理员工的个人信息)。
选择适用的合法性基础至关重要,以上合法性基础在劳动用工场景下主要存在两方面问题:(一)员工同意的“自愿”性容易受到挑战。《个人信息保护法》要求以“同意”作为个人信息处理的合法性基础时,需满足同意的“充分知情”、“自愿”、“明确”及“可撤回”要件。当前实操中,个人信息处理者往往倾向于首选“同意”作为个人信息处理的合法性基础。而在劳动用工场景下,鉴于企业和员工之间关系的不对等,企业要求员工“同意”企业处理其个人信息时,员工往往“不敢不同意”。因此,企业以已取得员工同意主张其合法处理员工个人信息时,员工同意的自愿性可能受到质疑。在域外立法实践中,也多对企业依赖员工同意处理其个人信息作出了或多或少的限制。(二)“必需”缺乏明确的判断标准。尤其是拟主张基于“人力资源管理所必需”处理员工个人信息时,到底何种个人信息属于“人力资源管理所必需”的范畴过于模糊,存在很大的解释空间。实操中,员工、企业以及监管机构对“必需”的判断也可能并不统一,这也给企业依据“必需”事由主张个人信息处理的合法性造成了一定困难。
当前劳动用工场景下,为解决上述“同意的自愿性”以及“必需的模糊性”等问题,实操中多倾向于构建多种合法性基础的方式以尽可能缓释该等问题可能带来的风险。
二、员工个人信息处理的合规建议
(一)完善内部劳动规章制度/员工劳动合同等文件中涉及员工个人信息处理的内容、制定员工个人信息处理政策。
如上分析,“人力资源管理所必需”当前并没有清晰的判断标准,且需具备“按照依法制定的劳动规章制度和依法签订的集体合同实施”的前提。当前我国“集体合同”较为少见,因此,建议企业可在自身劳动规章制度中明确列明员工个人信息处理的场景,告知员工个人信息的处理目的、处理方式、处理的个人信息种类等内容,以尽可能争取满足“按照依法制定的劳动规章制度”的前提。
此外,企业可在与员工签订劳动合同时,在劳动合同正文或附件中列明处理员工个人信息的安排,在员工签订劳动合同时由其进行确认,以履行对员工的告知义务和获取员工的同意。但也需注意,更多情况下,并非在劳动合同中强制插入一项个人信息处理条款,即可主张系为履行劳动合同所必需而处理个人信息,其关键在于把握“必需”的判断尺度。
实操中,企业制定单独的员工个人信息保护政策也较为常见。通过员工个人信息保护政策,企业向员工就个人信息处理安排进行告知。部分企业还会进一步要求员工签署该等个人信息保护政策。而即便员工不愿意签署该等个人信息保护政策,也建议企业将该等员工个人信息保护政策进行公示,以履行告知义务,充分保障员工的知情权。
(二)从招聘、入职、日常管理、离职等全流程梳理员工个人信息处理场景,完善个人信息处理的告知同意安排。
企业在开展员工个人信息处理合规治理时,建议可从招聘、入职、日常管理、离职等全流程梳理涉及的个人信息处理场景。该等梳理一方面可作为上述内部劳动规章制度、员工劳动合同、员工个人信息处理政策等制度文件起草的基础。另一方面,可对各个环节所收集处理的个人信息进行核查,确保符合必要性的原则,避免过度收集员工个人信息。例如实操中除某些特殊岗位需要外,企业收集员工婚姻生育信息的必要性也经常受到质疑。
除在内部劳动规章制度、员工劳动合同、员工个人信息处理政策等制度文件中约定员工个人信息处理安排外,部分场景可能还需要进一步获取员工的单独同意。例如企业对外投标时,若需要对外提供员工的个人信息,建议通过线上流程或线下书面授权等方式进行告知,并获取员工的单独同意。
对于员工离职后,员工个人信息的存储,也需符合《个人信息保护法》第十九条规定的法律、行政法规另有规定或为实现处理目的所必要的最短时间,到期后企业应当主动删除员工个人信息。《劳动合同法》第五十条规定“用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查”;《劳动争议调解仲裁法》第二十七条规定“劳动争议申请仲裁的时效期间为一年”。该等规定也可为企业设置离职后员工个人信息的保存时间提供参考,如企业基于特殊需要需在更长时间内留存员工个人信息的,建议通过离职告知书等形式取得员工的同意。
(三)考勤/门禁处理员工人脸、指纹等敏感个人信息的必要性存疑,尽可能提供无需处理生物识别信息的替代方案。
基于考勤、门禁管理的目的处理员工的人脸、指纹信息在当前实践中较为常见。考虑到人脸、指纹信息的敏感性,原则上只有在具备充分的必要性时方可处理该等个人信息,但通过刷脸、指纹录入的方式进行考勤、门禁管理并不具备不可替代性,企业实际难以主张系“实施人力资源管理所必需”而在该等场景下处理员工的人脸、指纹信息。因此,在该等场景下处理员工人脸、指纹信息,单独同意则是一个相对合适的合法性基础。建议企业可考虑通过制定单独的人脸/指纹信息处理告知书等形式,告知员工处理其人脸/指纹信息的目的、方式、存储时间、所采取的安全措施等内容,并进而征求员工的单独同意。此外,为避免被认定为强迫员工同意,建议企业应当同时提供无需处理生物识别信息的替代方案以供员工进行考勤、通过门禁等,例如刷卡、输入密码打卡等方式。
(四)企业对办公场所、办公设备进行监控时应把握正当必要原则,做好事前告知工作。
实践中,企业通过安装摄像头对办公场所进行监控、配置监控设备对员工电脑等办公设备进行监控并不鲜见,因企业监控员工而被质疑侵犯员工个人隐私/个人信息权益所产生的纠纷也层出不穷。企业在对办公场所、办公设备进行监控时,建议关注以下要点:
1、避免秘密监控,做好事前告知,争取员工同意。企业应当通过员工个人信息处理政策、个人信息授权书等方式,事前告知员工办公场所、办公设备监控安排,让员工了解监控的性质、范围等,避免进行秘密监控。对于办公场所监控区域,还可设置显著提示标识,告知员工已进入监控范围内。在事前告知的基础上,进一步争取取得员工对监控安排的同意。
2、监控的范围和方式等应当具备正当性和必要性。例如在对办公场所进行监控时,应当出于合理管理需要,避免对卫生间、更衣室等私密场所进行不必要的监控。此外,除经员工同意外,建议避免对员工个人手机、电脑等设备进行监控,事前提示员工对公司配发的办公电脑仅用于工作用途,避免基于私人用途使用。
相关推荐
