HR场景下如何落实《个人信息保护法》

《个人信息保护法》将于2021年11月1日起实施,对于用人单位而言,将直面员工个人信息保护与用人单位管理权之间的矛盾。《劳动合同法》给予了用人单位“了解劳动者与
作者:王洪量
2021-10-13 10:40:17

     《个人信息保护法》将于2021年11月1日起实施,对于用人单位而言,将直面员工个人信息保护与用人单位管理权之间的矛盾。《劳动合同法》给予了用人单位“了解劳动者与劳动合同直接相关的基本情况”的权利,但随着《个人信息保护法》的实施,这种“了解”无疑应当在《个人信息保护法》的规则下进行,用人单位不能再随心所欲地“了解”员工的个人信息。

 

       《个人信息保护法》对于不同的信息种类以及处理方式,为作为“信息处理者”的用人单位设置了不同的义务,如有处理不当,不仅仅将招致劳动争议的风险,更有可能是面临行政责任、民事责任乃至声誉受损的风险。

 

       因此,用人单位亟须厘清日常人力资源管理流程中涉及个人信息保护的环节,根据《个人信息保护法》的要求具体应对。虽然《个人信息保护法》终稿中新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理处理个人信息的,作为允许收集和处理个人信息的情形,不需个人同意”之规定,但用人单位依然不能忽视“依法制定的劳动规章制度和依法签订的集体合同”这一前提。为了将规章制度作为处理个人数据的合法依据,用人单位有必要在2021年11月1日《个人信息保护法》实施前完成规章制度的修订及生效。

 

       除此之外,从入职到离职的HR管理全周期中,仍有不少文本需要及时更新。笔者在此结合人力资源管理的常见场景,对《个人信息保护法》进行梳理,为用人单位罗列了各场景下需要签署的文本以及操作,以供读者参考。

序号场景文本解析&操作
1入职前背景调查《应聘者背景调查个人信息处理授权书》要求员工签署《应聘者背景调查个人信息处理授权书》。如果用人单位委托第三方进行背景调查的,还需要从应聘者处获取向第三方提供其个人信息的授权。
2签订劳动合同并入职①《劳动合同》中增加个人信息处理条款;②《员工个人信息登记表》③《员工个人信息处理授权书》①修改劳动合同,增加个人信息处理的条款,要求新入职员工签署;②员工入职时填写个人信息收集表,录入个人信息。用人单位对于个人信息的收集应当符合最小限度、合目的、合法等原则,并符合用人单位规章制度的要求;③鉴于《个人信息保护法》对于生物信息、医疗健康、金融账户等敏感信息的处理有“单独同意”之要求,且敏感信息是否涵盖在“不需个人同意”的范围之中尚不明确,谨慎起见,仍有单独获取员工对于敏感信息的授权使用的必要。
3日常管理中的个人信息保护《员工手册》增加个人信息保护章节/《个人信息保护隐私政策》需要注意的是,此处的劳动规章制度需要经过民主流程方能生效。规章制度中应当明确收集个人信息的范围、使用目的以及处理规则,并且不违反法律规定的,方能成为“不需个人同意”处理个人信息之依据;同时,规章制度中还需要明确用人单位的个人信息保护职责,设置用人单位个人信息保护负责人以及员工行使查阅、复制等个人信息权利的规则等具体内容。
4向第三方(劳务派遣公司、合作方等)传输员工个人信息①《劳务派遣协议》等商务合同增加个人信息处理条款;②《员工个人信息处理授权书》、规章制度①增加《劳务派遣协议》等涉及员工个人信息的商务合同(如与电子劳动合同服务商、与社保代缴公司)中的相关条款,明确接收方/受托方个人信息处理目的、期限、方式、种类、保护措施等权利义务;②建议在《员工个人信息处理授权书》中明确个人信息接收方/受托方的信息以及用途,获得员工授权。
5向境外传输员工个人信息《员工个人信息处理授权书》、规章制度《个人信息保护法》规定,向境外提供个人信息的,应当取得个人的单独同意。同样,个人信息出境是否涵盖“不需个人同意”的范围之中尚不明确,建议特别是外资用人单位,应当在上文《员工个人信息处理授权书》中加入个人信息出境的授权。
6离职《员工个人信息处理授权书》、规章制度离职的员工可能会向用人单位提出删除其个人信息的请求。但是,员工离职通常并不意味着用人单位已无处理员工个人信息之必要,应当考虑到履行竞业限制协议、进行劳动争议等常见情形,以及法律法规对于工资凭证等资料保存期限的要求;由此,我们建议在《员工个人信息处理授权书》中对于授权期限的设置,需要涵盖离职后的一定期限,并且在规章制度中明确离职后个人信息的处理或者个人信息删除的相关规则;当然,该等情况下,用人单位应当停止除存储和采取必要的安全保护措施之外的处理。

注:截至发稿日,《个人信息保护法》尚无相关立法解释或司法解释,对于部分条文的逻辑以及词语的内涵边界尚待明确。从风险防范的角度,笔者建议在当下适当从严把握与理解。