企业在人力资源管理过程中,会面临大量员工个人信息的处理需求。《个人信息保护法》(以下简称“《个保法》”或“该法”)的施行促使企业对员工个人信息的处理需更为谨慎。针对企业在处理员工个人信息时应注意的若干事项,分享如下:
01 企业可处理的员工个人信息范围
个人信息是指以电子或者其他方式记录的,与已识别或可识别的自然人有关的,不包括匿名化处理后的各种信息。企业收集员工个人信息的方式可分为两类,一类为需经员工明确同意后使用的,包括需员工单独同意、书面同意的敏感信息;另一类为法定条件下企业无需取得员工同意即可使用的。在实践中,企业可能更为关注的是如何适用无需取得员工同意即可处理其个人信息的规定。而该关注点更多时候可能会落在如何理解《个保法》第十三条第一款第二项规定,即为订立、履行员工作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的情形。
如何定义“所必需”,企业可结合所处行业特性与《劳动合同法》等相关规定进行理解。如根据《劳动合同法》第八条规定,用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。在实践中,上述所指“直接相关的基本情况”主要包括姓名、身份证号、联系方式、学历学位、工作经历等个人基本信息(以下简称“个人基本信息”)。
02企业如何合法收集员工信息
“告知-同意”规则是《个保法》中的核心规则。对于个人基本信息外的其他信息(如敏感信息)的收集,我们建议企业单独书面告知员工收集相关个人信息的必要性及对其个人权益的影响,并取得该员工的书面同意;对于无法取得同意但又必须收集使用情形,建议企业根据该法第十三条的规定健全劳动规章制度或签署集体合同并明确该等信息为必需信息。
另外,若企业内部管理工具如应聘申请表、入职信息表、考勤制度、休假制度等相关文件及制度涉及收集员工个人基本信息外的其他信息,企业应及时进行调整,并匹配更新相应员工个人信息授权同意书。同时,企业应当根据《个保法》第十七条规定,将涉及的信息以显著方式、清晰易懂的语言,真实、准确、完整地进行告知。
03企业收集员工信息后的管理
为积极履行法律责任,有效避免违法情形出现,我们建议企业结合《个保法》及时制定关于员工个人信息保护的管理措施。企业可结合该法第五十一条规定,通过制定内部管理制度和操作规程、对员工个人信息实行分类管理、采取加密、去标识化等安全技术措施等方式,确保员工信息不被窃取、篡改、删除。
04企业收集员工个人信息在不同行业存在差异
需注意的是,因企业所处行业的不同,员工个人信息的收集需要遵守的规定及注意事项存在差异。比如,仅从餐饮行业内部看,企业对从事接触直接入口食品工作员工与其他员工所需收集的个人信息范畴就不同。根据《食品安全法》、《有碍食品安全的疾病目录》规定,患有霍乱、细菌性和阿米巴性痢疾等疾病人员,不得从事接触直接入口食品的工作。以上疾病信息属于医疗健康信息范畴,根据《个保法》规定属于敏感信息,需要取得员工单独同意。为提高管理效能,企业可以将处理该信息约定于依法制定的劳动规章制度和依法签订的集体合同中。
05违反《个保法》对企业的影响
如果企业未能严格遵守《个保法》的规定,根据该法第六十六条、第六十九条、第七十一条规定,可能给企业造成民事赔偿责任、行政责任甚至刑事责任等不利后果。即情节严重的,企业可能构成侵犯公民个人信息罪,也可能面临被监管机构处以没收违法所得、千万元级罚款、停业整顿,吊销营业执照的处罚。
