您的位置:首页 > 国内 >

《个人信息保护法》施行3个多月:用人单位处理员工信息的原则

来源:中工网-工人日报 2022-02-19 15:00:17

从去年11月1日起,《个人信息保护法》施行已经3个多月。对于劳动者而言,在招聘、入职、日常劳动管理甚至离职过程中,用人单位会掌握其个人信息,也涉及到用人单位对信息的处理。这些信息包括出生日期、身份证号、住址、通信方式、银行账户甚至入职体检时的个人健康信息等。

在《劳动合同法》的语境下,劳动者有义务提供和劳动合同直接相关的信息。同时,用人单位也要意识到,在《个保法》的语境下,用人单位在处理员工信息时,要满足该法所规定的“合法”、“正当”、“必要”、“诚信”原则。

从劳动关系角度来说,合法原则主要指两方面,一是指用人单位处理员工信息,必须符合法律的相关规定,“用人单位处理个人信息必须取得员工个人的同意”。二是处理信息时必须遵守法定的义务,比如企业收集信息为员工办社保,办社保是法律规定的义务,这一背景下收集必要信息就符合原则。用人单位在处理信息时采取必要措施保障信息安全,预判可能的数据安全风险,制定保护信息的规章制度,合理确定信息处理的权限,发现数据泄漏需及时补救。

正当主要是指用人单位处理信息的手段和目的均应符合社会正向价值判断。如果用人单位收集员工遗传病史、婚配情况、生育情况等与劳动关系无关的个人信息以便进行非法劳动歧视,就违反了正当的原则。

必要原则又称“最小化”原则,是指处理的信息不应当超过实现相应目的的最小范围。举例来说的话,如果以某目的处理信息,需要姓名、别、年龄信息,则不得以该目的收集除上述三项以外的个人信息。因此,应在最小且必要的范围内处理信息,最大限度保障员工的个人信息权益。

诚信原则,指在处理个人信息的过程中应当正当行事,以保障员工的个人信息权益的最大化、最优化。在复杂的劳动管理实务中,往往需要在不同的场景下对具体处理行为进行《个保法》下的判断。当其他相关原则和具体法律规定无法提供准确的行为指导时,要求用人单位对个人信息保护的持有善意的前提下进行处理,并满足员工对其个人信息保护的合理期待。

现在,有的企业会在关联企业内部共享员工个人信息,我们就应当应对具体的个人信息处理行为,包括但不限于:具体目的是否为履行法定义务?分享前是否经过劳动者同意?是否在取得同意时告知了信息的处理目的、处理形式和处理信息种类?拟处理的信息是否是实现这一目的的最小必要信息?处理的手段和方式是否善意保护了员工的个人信息?

举例来说,用人单位计划在集团内部表彰优秀员工,通报文案中披露员工个人信息。这种前提下,披露姓名和部分工作履历属于合法且正当的,但应注意事前通知且取得同意。但如果在表彰中披露身份证号,则超过了表彰这一目的的必要

《个保法》的出台,实际上给企业劳动管理中个人信息保护的合规提出了更多要求。因此,建议企业在日常人事和劳动事务中,对涉及员工个人信息的部分进行梳理,避免涉嫌违法处理个人信息。

相关推荐