”)正式生效。《个人保护法》是专门针对个人信息保护领域的立法,涵盖个人信息处理活动的方方面面,规定了个人信息处理者的一系列义务。但是,人身保护法作为一项新颁布的法律,其适用或解释及相应的配套措施尚不完善。因此,有些条款在实施时仍不明确或存在争议。许多企业都在依法履行员工的个人信息保护义务。由于缺乏明确的指导,过程中也会出现混乱。
本文就员工个人信息管理实践中比较常见的问题进行探讨,以期帮助企业更加合规、有效地履行个人信息保护义务。
一、您如何理解“个人作为一方当事人的合同的订立和履行所必需的,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的” “?
《人身保护法》第十三条规定:“个人信息处理者符合下列情形之一的,方可处理个人信息:……(二)个人订立和履行合同所必需的)当事人一方,或者依照依法制定的劳动规章制度和依法签订的集体合同,为实施人力资源管理所必需的;……依照本法其他有关规定,应当经本人同意为处理个人信息而取得的,但有前款第2项至第7项规定的情形,无需个人同意。”
因此,在满足下列条件时,如果个人信息处理活动应当基于同意,个人信息处理者可以不征得个人主体的同意:
B、根据依法制定的劳动规章制度和依法签订的集体合同,实施人力资源管理所必需的。
企业在处理员工个人信息时当然可以应用上述条款来提高管理效率,但在实际操作过程中仍需注意这些适用的界限,以免落入非法处理个人信息的范畴。员工的个人信息。
《劳动合同法》第八条规定:“用人单位有权了解与劳动合同直接相关的劳动基本情况”。因此,我们认为,如果是与劳动合同直接相关的基本个人信息侵权法个人信息保护论文,则可以满足个人作为当事人的合同订立的必要条件。一般来说,员工的姓名、地址、身份证号码(或其他有效身份证号码)、健康状况、知识技能、工作经历等信息是与劳动合同直接相关的个人基本信息[1]。但在实践中,一般认为婚姻状况、生育状况、是否为乙肝表面抗原携带者等信息(法律禁止的工作除外,行政法规和卫生部)不一定与劳动合同的签订和履行有关。.
Ø 根据依法制定的劳动规章制度和依法签订的集体合同,实施人力资源管理所必需的
除了劳动合同的订立和履行,企业在日常人力资源管理过程中还会处理员工的其他个人信息,包括工资信息、病假证明、紧急联系方式等。
对于上述个人信息的处理,企业可以依法制定劳动规章制度或在与员工依法签订的集体合同中作出明确规定或约定。一般来说,集体合同在实践中很少见。常见的操作是企业依法履行民主协商程序,在内部规章制度中规定相关内容,并履行公示或告知员工的义务[2]。
企业仍需注意,虽然企业可以将依法制定的劳动规章制度或依法签订的集体合同作为其处理员工个人信息的法律依据,但仍需满足“必要条件”。实施人力资源管理”,不应随意扩大。处理个人信息的范围。
如上所述,基于同意的个人信息处理活动在符合《人身保护法》第十三条第2项至第7项[3]规定的条件时,可以免于获得同意。
但此类豁免是否也适用于需要个人主体个人同意的情形(如处理敏感个人信息、向第三方提供个人信息、公开处理个人信息、向境外提供个人信息等)是一个未知数。实际的事情。有争议的。
在没有官方解释或执法实践的情况下,我们认为企业应该选择更加谨慎的解释,即在法律要求个人主体的个人同意时要求员工单独签署同意书(同时也建议企业使用法规在系统中指定)。毕竟,“单一同意”涉及对个人利益影响较大的事项,而这些个人信息处理活动本身的必要性应该高于仅基于“同意”的必要性。但我们也认为,在实践中发生突发公共卫生事件,或危及人身、健康、财产安全等突发事件时,
在实践中,企业很难避免将其合法收集的员工个人信息提供给第三方进行处理。《个人保护法》对向企业以外的第三方提供个人信息进行了区分:委托处理(第21[4]条)和向其他个人信息处理者提供个人信息(第23[5]条)。在企业管理实践中,企业首先需要根据自身与第三方的关系以及自身个人信息处理活动的性质,判断上述哪种情况属于哪一种,然后履行相应的义务。
委托第三方处理员工个人信息的常见情况包括将员工个人信息存储在第三方云服务器中,或者委托律师、法证技术团队对员工进行内部调查等。一方为受托方,其对个人信息的处理基于企业的委托。因此,在企业处理个人信息已征得员工同意的基础上,无需进一步的委托处理征得员工同意。
当然,在委托第三方处理员工个人信息之前,企业应与第三方签订协议,以书面形式明确约定目的、时限、处理方式、个人信息类型、保护措施等。双方的权利和义务。此外,我们认为企业在决定使用第三方前还应履行审慎义务,如:审核第三方内部合规政策等个人信息保护相关文件,要求第三方签署个人信息保护合规承诺书同时,企业还应在委托处理前进行个人信息保护影响评估[6]。
员工个人信息移交受托方处理后,企业应对其处理活动进行监督,如要求受托方定期报告处理活动,对处理活动进行合规性审计等。
企业也可以将员工的个人信息提供给独立的个人信息处理者,例如将参保员工(或其亲属)的个人信息提供给商业保险以获取员工福利。
在这种情况下,个人信息接收方与企业没有委托关系,往往根据其业务具有独立的处理目的和方式。企业应将接收者的姓名、联系方式、处理目的、处理方式和个人信息类型等告知员工,并征得员工的单独同意。
我们经常遇到跨国企业客户需要将在中国收集的员工个人信息转移到其海外母公司进行统一的人力资源管理。如果企业有此类需求,个人信息出境不仅要符合行政监管要求,还要履行告知义务并征得个人同意,并对个人信息保护进行影响评估。
企业要将员工的个人信息转移到境外,一般需要具备以下条件之一(《人身保护法》第三十八条[7]条):
目前实践中,国家网信部门组织的安全评估和专业机构的个人信息保护认证工作尚未正式启动,官方尚未发布数据导出的标准合同模板。针对目前的情况,我们认为企业在向境外提供员工个人信息之前,应当对出境个人信息的安全性进行自我评估,通过评估后传输出境,并形成相应的评估报告以备将来参考。
对于跨国公司的人力资源管理来说,一般不可能一次性完成员工个人信息的出境(比如员工入职或信息变更都会触发这种跨境传输)。评估的频率也是企业非常关心的问题。针对此问题,我们认为可以参考《信息安全技术数据出境安全评估指南(征求意见稿)》(已发布)4.2.2条注释规定2017 年 8 月 25 日):
“注1:当网络运营商的数据出口满足连续退出条件时,视为单次出口,免于重复评估; 注2:连续退出是指数据出口的目的,接收方相同, “范围、类型、数量都一样。没有大的变化,两次数据退出的时间间隔不超过一年。”
因此,如果集团内员工的个人信息频繁传输至境外母公司以满足人力资源管理的需要,且个人信息的范围、类型和数量没有发生重大变化,则该等个人信息的离开可以视为一次性转让。出境行为。相应地,安全评估也可以只进行一次,即不必每次员工个人信息出境时都进行安全自评估。
根据《个人保护法》[8]的要求,将员工个人信息传输至境外的企业还必须履行法定的告知义务(包括姓名、联系方式、处理目的、处理方式、个人信息类型、个人信息等)。海外接收者的信息)对海外接收者等行使《人身保护法》规定的权利的方式和程序,并征得员工个人同意。
目前,要求候选人或员工在招聘流程开始(涉及候选人)和员工入职时签署单独的同意书(纸质或电子形式)以跨境传输个人信息是可行的。如果应聘者在求职时不同意将个人信息转移到国外,且公司在中国不具备独立管理人力资源的能力,我们认为公司有合理理由拒绝应聘者的求职申请,且不构成职业歧视。
《个人保护法》还明确要求,在个人信息出境前,应当对个人信息保护的影响进行评估,并形成评估报告记录处理情况(至少保留三年)。个人信息保护影响评估与个人信息出境安全评估不是同一个评估。个人信息保护影响评估应当包括以下内容(《个人保护法》第五十六条[九]):
除上述情况外,企业还应注意,如果是关键信息基础设施运营商和个人信息处理者,处理国家网信部门要求的个人信息量,则应将收集和产生的个人信息存储在国内。确需向境外提供的,应当通过国家网信部门组织的安全评估。
这里所说的“国家网信部门规定的数量”可暂参照《数据出境安全评估办法(征求意见稿)》(2021年10月29日发布)中的定义,即处理个人信息达到 100 万或 100 万人。累计提供海外10000余人个人信息或敏感个人信息10万余条[10]。
一般而言,在职员工不应该有权要求公司删除其提供的个人信息,否则公司显然会在人力资源管理上造成混乱,同时也会有障碍公司履行必要的职责和法律义务。但企业应注意,上述员工提供的个人信息应以必要性小为原则,仅限于企业依法收集的信息。企业超出合法合理范围收集个人信息的,员工有权要求企业删除。对于员工无权要求企业删除的部分个人信息,
此外,企业管理论文与现有员工不同。在合法合理的情况下,应聘者和离职员工有权要求企业删除其个人信息。而对于企业而言,个人信息的保留期限越长,安全风险和运维成本就越高。因此,企业应按照“必要短时间”的原则保存候选人/员工个人信息。
ž 如应聘者未被企业录用侵权法个人信息保护论文,有权要求企业立即删除其个人信息。但是,如果企业有重新申请职位的冻结期,候选人有权在该合理期限届满后要求删除其个人信息。
ž 离职员工在法定和约定期限届满后,也有权要求公司删除其个人信息。法定期限参照《劳动合同法》第五十条[11]规定的二年。约定的期限一般涉及竞业限制期,根据《劳动合同法》第二十四条[12]的规定,竞业限制期不得超过二年。因此,我们认为,一般来说,两年是一个比较合理的时期。在没有特别法律规定或约定的情况下,在该期限届满后,离职员工有权要求公司删除其个人信息。
[1] 《劳动合同法》第十七条规定:……(二)劳动者的姓名、住址和居民身份证或者其他有效身份证件号码。
市劳动合同条例第八条……用人单位在招用劳动者时,有权了解劳动者的健康状况、知识、技能和工作经历,劳动者应当如实说明。
[2] 《劳动合同法》第四条用人单位应当依法建立健全劳动规章制度,保障劳动者享有劳动权利,履行劳动义务。在制定、修改或决定劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、员工培训、劳动纪律、劳动定额管理等直接影响切身利益的规章制度或重大事项时计划和意见由职工代表大会或者全体职工讨论提出,并与工会或者职工代表平等协商确定。
在执行规章制度和重大事项决定的过程中,工会或者职工认为不适当的,有权向用人单位协商提出修改完善。
用人单位应当将直接涉及劳动者切身利益的重大事项的规章制度和决定向劳动者公示或者告知。
(二)个人作为一方当事人的合同的订立和履行所必需的,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的;
(四)为应对突发公共卫生事件,或在突发事件中保护自然人生命、健康和财产安全所必需的;
(五)为公共利益实施新闻报道、舆论监督等,在合理范围内处理个人信息;
(六)依照本法规定,在合理范围内,对个人已经公开或者依法公开的个人信息进行处理;
依照本法其他有关规定,处理个人信息应当征得本人同意,但有前款第二项至第七项规定情形的,可以不征得本人同意。
[4] 第二十一条 个人信息处理者委托处理个人信息的,应当与受托人就目的、期限、处理方式、个人信息类型、保护措施以及双方的权利义务等进行约定。等。对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的和方式处理个人信息;委托合同无效、无效、撤销或者终止的,受托人应当将个人信息退还给个人信息处理者或者删除,不得留存。
[5] 第二十三条 个人信息处理者将其处理的个人信息提供给其他个人信息处理者的,应当将接收者的姓名或者姓名、联系方式、处理目的、处理方式、个人信息等告知个人。信息类型并获得个人的个人同意。接收方应当在上述处理目的、处理方式和个人信息类型的范围内处理个人信息。接收方改变原处理目的和处理方式的,应当依照本法规定重新征得本人同意。
[7] 第三十八条 个人信息处理者因业务需要确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(三)按照国家网信部门制定的标准合同与境外收件人签订合同,约定双方的权利义务;
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件作出规定的,可以依照其规定执行。
个人信息处理者应当采取必要措施,确保境外接收者对个人信息的处理符合本法规定的个人信息保护标准。
[8] 第三十九条个人信息处理者在中华人民共和国境外提供个人信息时,应当告知个人境外接收者的姓名或者姓名、联系方式、处理目的、处理方式、个人信息类型和个人信息。境外收款人行使本法规定的权利的方式和程序,并征得本人本人同意。
[10] 第四条:数据处理者向境外提供数据并符合下列情形之一的,应当通过所在地省级网信部门向国家网信部门提交数据出境安全评估……(三)@ >处理个人信息 达到100万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供100000余条个人信息或10000余人敏感个人信息……
[11] 第五十条 用人单位应当将被解除或者终止的劳动合同文本至少保存二年备查。
[12] 第二十四条:劳动合同解除或者终止后,前款规定的人员应当到与本单位生产、经营类似产品或者从事类似业务的其他用人单位有竞争关系,或者自行生产或经营。同类产品和同类业务的竞业禁止期不得超过二年。
更多详情请访问:学前教育论文-人力资源管理论文-工商管理论文-会计论文-MBA研究生论文-财务管理论文-学术类论文出版网