引 言
《个人信息保护法》于2021年11月1日生效至今已一年有余,公司对员工的管理中涉及到员工个人信息部分问题,难免会对法条理解及适用陷入迷茫,本文将对实务中人力资源管理下的员工信息保护应当注意的问题并结合案例进行阐述,以期在企业数据合规项下人力资源管理中的员工信息保护层面对企业有所帮助。
一、可收集劳动者信息的范围
参考案例
(2022)京02民终309号
案件事实
周某在其填写并提交给公司的员工入职登记表中所填写的工作经验与入职后周某再次向公司提供了一份个人简历有明显差异。周某称,其发送给公司的个人简历中的工作经验是随意写的,认为这个信息只是用于展示个人能力,是否精确并不重要。
法院认为
根据公司与周某的约定,以及公司已向周某送达的作为双方劳动合同附件的员工手册的规定,公司有权与提供虚假个人信息和资料(含工作经验、工作履历)的员工解除劳动合同。周某存在向公司提供虚假个人信息的情形,公司据此与周某解除劳动合同,符合法律规定和其公司的规章制度的规定。
案例解读
用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。劳动者的工作履历属于劳动者与劳动合同直接相关的基本信息,劳动者应当如实向用人单位说明相关情况。劳动者严重违反用人单位的规章制度的,用人单位可以解除劳动合同。
那么除了工作履历,公司还有权收集员工哪些与劳动合同直接相关的基本信息?
《个人信息保护法》第十三条规定
● 规定取得个人的同意以及为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需时,个人信息处理者可处理个人信息。
《劳动合同法》第八条规定
● 用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。
因此与签订劳动合同有关的员工基本个人信息,员工应当提供给公司。实践中公司基于对员工的日常管理必要性的原则出发,收集的基本个人信息的主要包括“姓名、性别、指纹、人脸、民族、籍贯、身份证号、联系方式、住址、健康状况、工作经历、学历状况、紧急联系人或主要家庭成员、定位信息”等。
但,另外值得公司注意的是婚育状况、是否为乙肝表面抗原携带者及是否为艾滋病病毒携带者(除法律、行政法规和卫生部规定禁止从事的工作)等信息因涉及就业歧视而属于法律禁止收集的个人信息。
二、公司侵害个人信息案例解读
参考案例1
(2022)京02民终1072号
案件事实
公司主张员工马某休病假期间与朋友在外游玩并在微信朋友圈发布外出聚会游玩照片,构成伪造出差、骗取休假,对其依据公司规章制度予以记过处罚并以严重违反公司规章制度为由拒绝与该员工签订无固定期限劳动合同。并提交内部规章制度及马某朋友圈截图、微信聊天记录等证据在案佐证。
法院认为
公司提交的微信朋友圈截图并不能证明马某的行为构成“伪造出差、骗取休假”,故公司据此给予马某记过处分的行为不妥,法院不予采信。庭审中公司称其提交的微信聊天记录截图系其从员工工作电脑中已经删除的数据中自行恢复所得。但法院认为,不论该微信聊天记录内容为何,其系专属于员工的个人信息,应当在员工充分、知情的前提下自愿、明确作出同意处理个人信息后进行恢复和采集。现该公司擅自恢复员工已删除数据并采集作为内部处分依据及本案证据的行为,构成对员工个人信息的不当使用,亦违背了个人信息保护的核心要旨。
案例解读
员工工作电脑中的数据公司预采集和处理,需事先经过员工的书面同意,否则擅自采集使用和处理会被认定为侵犯原告个人信息,该类证据也不会被法院采信。
参考案例2
(2022)鲁1002民初5863号
案件事实
徐某系物业公司员工,在名为业主微信群中发送“22年4月”压缩文件,该压缩文件内含杨某、冯某、李某个人信息在内的16份文档,各文档内容系物业公司作为原告向相应业主主张欠付物业服务费等民事起诉状。
法院认为
徐某在微信群中发送包含他人个人信息的文件,被群内成员查看,造成姓名、住址、身份证号码、电话号码泄露的后果,对私密空间、私人生活安宁造成一定影响。虽物业公司辩称徐某并非故意散布他人隐私信息,但是否存在散布他人信息的主观故意均不影响过错行为的成立,对此公司应承担相应责任。
案例解读
自然人的个人信息受法律保护,任何自然人、法人以及非法人组织不得非法公开公民个人信息。用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任。
三、人力资源三大阶段个人信息的管理及实操
三大阶段员工信息管理
1. 入职阶段
入职阶段可能会涉及到个人信息填写的书面材料有:面试登记表、体检通知书、录用通知书、入职登记表、个人信息授权确认书等。提醒公司在招聘录用中,应根据业务、岗位需求等具体情况确定收集范围,坚持必要性和合理性的原则避免过度收集。同时应当在上述文件填写前获得对员工信息收集获取的授权及诚信承诺。
录用前对候选人的背景调查中,公司为核实员工学历及工作经历可能会委托第三方背景调查机构,此时应当事先获得候选人对背景调查的书面授权。
2. 在职管理
1) 预设信息合规机制
企业对在职员工档案的管理、社保公积金、薪酬发放、年度体检、考勤管理、休假管理、绩效考核、差旅报销、安全防护、外籍员工就业居住许可等均涉及对员工个人信息的收集与存储。在如此繁复的信息处理场景下,针对信息种类、管理人员、处罚机制、处理方式等企业都应当事先有针对性的设计信息收集、处理等合规制度。
同时企业对员工个人信息有妥善保管及审慎处理的义务,值得提醒的是一些企业会收集员工的指纹或者人脸识别来考勤,指纹和人脸属于敏感个人信息中的生物识别信息,根据《个人信息保护法》第二十九条的规定处理敏感个人信息应当取得个人的单独同意,建议员工签订单独的知情同意书。另外处理敏感个人信息时只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理。故知情同意书中还应当包含向个人告知处理敏感个人信息的必要性以及对个人权益的影响的内容。
2) 设置信息处理及管理人员权限规则
随着电子化办公及HR人事系统的广泛使用,导致员工信息大多以电子数据形式储存,对于有权限接触到个人信息的人员,企业应确定专人管理模式,明确其岗位职责,与其签订保密协议,并在其离职时履行好交接手续,防止资料外泄。另外对于员工使用公司电脑处理工作事务时难免会在公司设备中残留非经员工授权的信息,如个人聊天记录等信息。企业应当预先在公司规章制度中明确提醒员工不应用公司设备处理个人事务,同时预设免责机制。
3) 委托第三方处理场景
委托第三方处理员工个人信息时,应当在收集员工个人信息时进行告知并获得其同意(可在员工知情同意书中一次性全部列明告知),同时需要注意在委托合同中添加个人信息处理及保密义务条款并设定违约责任,严格限制第三方不得将获取的个人信息提供给他人。在资料传输及信息传递过程中尽量做到去标识化处理以防止信息外泄,此外还应当审查第三方的履行情况。
4) 跨境传输场景
企业涉及到向境外传输员工个人信息时,会触及境外数据传输合规性问题。企业应当及时自我审查并事前获得员工的书面同意。建议公司委托专业机构进行个人信息保护影响评估,同时与境外接收方订立的合同应当充分约定信息安全保护责任义务等法定内容。并结合公司实际处理个人信息数量等具体情况来判断对于个人信息出境是需要进行个人信息出境标准合同备案还是申请数据出境安全评估。
3. 离职
离职结算、竞业限制调查
对于某些负有保密义务的员工,在员工离职后的日常行为企业很难掌握,同时自行收集证据若采用跟踪拍摄收集个人行踪轨迹的行为可能违反相关法律规定。需针对该类员工事先取得“离职后同意公司将其信息披露给第三方机构的”单独同意。
离职员工在法定及约定的期限经过后也有权要求企业删除其个人信息。法定期限可以参考《劳动合同法》第五十条,对于已经解除或者终止的劳动合同的文本,至少保存二年的规定。在没有特殊法律规定或约定的情况下,该等期限经过后,离职员工有权要求企业删除其个人信息。
