8月20日,《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)正式表决通过,并将于2021年11月1日起施行。对于企业HR来讲,最为关注的当然是员工个人信息的处理与保护问题。
这部法律的适用非常广泛,只要处理个人信息的企业,就需要关注。处理的涵义非常广泛,按照第四条,处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。我们理解无论是B2C企业,还是B2B企业都会适用。因为企业至少会收集员工信息。同时,这部法在违法情形最严重时的罚款额度非常高,按照第六十六条的规定,在违法情形严重时,企业将面临没收违法所得外,并处5000万人民币以下或上一年度营业额5%以下的罚款。也就是顶格罚款额度在5000万人民币或上一年度营业额的5%,请注意此处的计算基础是营业额而非利润。
01.
订立、履行劳动合同所必需信息无需个人同意
作为用人单位,处理员工个人信息的边界在哪里?是否需要征得员工事先同意?企业在收集、存储以及使用员工信息过程中,需要遵循哪些基本原则?这些在《个人信息保护法》规定的内容,作为企业HR必须了解与掌握。 对于企业HR来讲,《个人信息保护法》第十三条规定内容最为重要,不可不知!
《个人信息保护法》第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
注意,《个人信息保护法》第十三条第一款第二项,即“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”情形,是不需取得个人同意的。
因此,对于企业HR来讲,需要了解《个人信息保护法》规定当因为“订立、履行个人作为一方当事人的合同所必需”时,处理员工个人信息是不需要征得员工同意的。常见的情形有,当企业和员工签订劳动合同,企业要求员工提交劳动手册、离职证明、个人身份证明、学历证书、资格证明、家庭地址、联系方式等涉及员工个人信息的相关资料、证书等,员工有义务提供,无需以征得员工同意为前提。
02.
敏感个人信息处置不能通过规章制度设定依据
尽管《个人信息保护法》第十三条提及按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,用人单位可以处置员工个人信息。但上述内容系“个人信息处理规则”的“一般规定”。《个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
由于上述第二十九条系“敏感信息的特别处理规则”,属于法律条款中的特别规定。按照“特别规定优于一般规定”的基本法律,用人单位处理员工的敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息等,应获得劳动者的单独同意。用人单位无法将规章制度、集体合同作为处理员工敏感个人信息的依据。
因此,用人单位如通过人脸识别考勤,需要采集员工的人脸识别特征,结合《个人信息保护法》和《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,用人单位应当制作书面同意文件安排员工签字确认。需要特别指出的是,由于“告知-同意”的信息处理规则下,个人可以撤回同意,如劳动者同意人脸识别考勤后又撤回同意的,用人单位需安排替代考勤方式,而非以“永久授权”或“永久同意”抗辩。
03.
与第三方合作开展员工关系管理工作
在企业人力资源管理中,还经常会出现与第三方合作的现象,如人事代理中的委托招聘、委托背景调查、委托代发工资、委托代缴社保、委托购买商业保险;再如推行电子劳动合同的,将劳动者个人信息存储在第三方平台上等等。这些委托事项的处理,也涉及职工个人信息的处理。
对此,《个人信息保护法》也有相应的规范,该法第21条规定,“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。”
因此,用人单位在与第三方合作,涉及处理职工个人信息(处理的含义前面已介绍,包括收集、存储、使用、加工、传输、提供、公开、删除)的,双方的商务合同中也应注意按照《个人信息保护法》的规定,增加相关个人信息处理的条款。
《个人信息保护法》11月1日正式生效施行,因此,企业需要针对自身业务是否合规进行自检,如果存在风险,在11月前需要尽快弥补相关风险。相对来说,大型企业的业务数据更多、业务类型更加复杂,所以风险也会更大。
04.
《个人信息保护法》实施在即
HR要做哪些具体工作?
1.学习新法律。
善世建议,最起码应该关注或学习一下最新颁布的《个人信息保护法》,在人力资源管理中增强个人信息保护的法律意识。
2.修订劳动合同文本。
《民法典》以及《个人信息保护法》的颁布,也是用人单位修订、完善劳动合同文本的契机,尤其是《个人信息保护法》第13条对用人单位通过劳动合同、集体劳动合同文本实施人力资管理所必需处理个人信息作为可以不经个人同意的法定情形,更提醒用人单位在修订劳动合同、集体劳动合同文本时注意增加处理个人信息的相关条款。最后再提醒一下,别傻乎乎再用政府提供的劳动合同示范文本了,也不要百度上随便下载劳动合同文本了!
3.修订《员工手册》。
通过前面分析,可以看出在用工管理的各个环节都可能涉及员工的个人信息,用人单位在行使知情权、管理权、调查取证权时,需要注意避免侵犯员工的个人信息权益。笔者认为,为避免相应的风险,用人单位重视员工个人信息保护,有必要制定相应的政策,有关政策内容应至少包括个人信息收集、个人信息保管、个人信息使用、个人信息传输、个人信息删除等各个环节,有关政策规定要达到的目的应当满足以下几点:
1)用人单位在处理员工个人信息时应注意避免侵犯员工的个人信息;
2)为用人单位处理个人信息设定合理的铺垫性条款;
3)规范职场上员工与员工之间涉及个人信息的不当行为,如不能在公司内传播他人的个人信息等。
4.设计相关表单。
要全流程分析用工管理各环节涉及处理个人信息的具体事项、所隐藏的风险以及风险规避的措施,如在招聘环节对候选人进行背景调查的,应当设计“背调个人信息的授权书”,并让应聘者签字确认;再如入职环节,应当设计“个人信息授权使用声明”等,并让员工签收等。
5.日常管理注意员工个人信息保护问题。
以上几个方面更多侧重于文本的完善,文本的完善可以为日常管理提供很好的工具,但在日常管理中也应注意员工个人信息的保护,如对于员工提交的病假材料,HR要注意限定知悉范围,否则,就有违安全保障原则;再如向员工公告送达解除劳动合同通知书时,应注意员工敏感个人信息的处理等。
*善世(广东)企业服务外包有限公司致力于为企业、政府、事业单位等提供人力资源外包(HRO)和业务外包(BPO)服务,公司注册资本2100万元,总部设在广州,已在深圳、肇庆、湛江、汕头、南宁、北京、上海、佛山、香港、芜湖、九江、吉安、海口、重庆、南通等地设有分公司或关联公司,已累计服务数百家企事业单位超30万人。善世现为广东省守合同重信用企业、广东省人力资源管理协会理事单位、广东省人才开发与管理研究会副会长单位、国际金钥匙组织中国区全国战略合作伙伴。
往期文章
善世分享:2021年连锁奶茶店用工供不应求,灵活用工成为关键突破口
善世分享:员工自愿不缴社保的承诺是否有效?2021最新判决来了!