《个人信息保护法》于2021年11月1日正式生效,该法的诞生,在保护个人信息权益、规范个人信息处理活动以及促进个人信息合理利用上将具有划时代的意义。对企业而言,从员工的背景调查、薪酬管理、猎头招聘到人事外包的各个人力资源领域都涉及《个人信息保护法》事项,但是企业不能再随心所欲地“处理”员工的个人信息。因此,HR部门亟须厘清人力资源管理流程中涉及个人信息保护的环节,根据《个人信息保护法》的要求具体应对。
1、完善入职的前背景调查
《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”
在招聘环节对候选人进行背景调查时,企业或接受企业委托提供背景调查服务的第三方人力资源机构,需要保证应聘人员充分知情,且需要签署《应聘者背景调查个人信息处理授权书》后,方可以处理其个人信息。
2、修订入职时的劳动合同
《个人信息保护法》第13、14条指出为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需时不需取得个人同意。同时个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
因此用人单位一方面在修订劳动合同时注意增加处理个人信息的相关条款,要求新入职员工签署。另一方面用人单位对于个人信息的收集应当符合最小限度、合目的、合法等原则,在符合用人单位规章制度的情况下,让员工在入职时填写个人信息收集表以及签署《员工个人信息处理授权书》进行规范。
3、重视在职员工个人隐私信息保护
《个人信息保护法》第28条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
该条款强调不得过度收集个人信息,以及收集敏感信息时员工有知情权。HR应该注意这些敏感数据在人力资源领域都有涉及:
生物识别:门禁时用到的人脸识别、指纹识别系统
医疗健康:员工体检报告、医疗报销单据
金融账户:薪酬发放时的银行账户信息
行踪轨迹:员工居家办公、出差时根据位置判断来跟踪员工出勤率的移动打卡技术
在员工管理的各个环节都可能涉及员工的个人敏感信息,企业在依法进行情况了解、企业管理及调查取证时,需要注意避免侵犯个人敏感信息,并主动告知并获得员工签字确认。
4、规范弹性福利方案
《个人信息保护法》第24条规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”
在致力打造员工极致体验的时代,人力资源领域也在通过各种方式对员工进行分析,比如利用强大的数据统计能力,通过企业个性化的弹性福利系统为员工推送定制化的福利产品,以此来提高员工的满意度。最常见的就是对应员工的生日、特定节日,有针对性的推送祝福和福利产品。
由于员工选择福利通常也要消耗对等的福利积分,严格来说这也是一种软性的商业营销。基于《个人信息保护法》的明确要求,企业要提前告知员工相关数字化系统会通过分析员工个人信息进行专属推送和推荐,并让员工有便利的方式来同意接受或者拒绝此功能。