《個人信息保護法》於2021年11月1日正式實施,違法處理個人信息將會面臨高額罰款甚至構成犯罪。作爲企業,其處理的個人信息既包括外部的客戶/用戶信息,也包括內部的員工信息。企業針對外部信息合規管理工作正加緊進行,但對員工信息合規管理重視程度不夠。建議企業梳理之前工作流程、文件,查找漏洞,完善員工信息合規管理,避免因此遭受處罰。
一、招聘信息的處理
企業招聘時會獲得大量簡歷,上面包含應聘者的個人信息。企業對應聘未成功者的信息處理一般只是提示作爲企業後備人才納入儲備庫中,目前這種做法已經不適應法律要求。建議企業在招聘信息中明確應聘未成功者簡歷的處理方式,若要將信息納入人才儲備庫中,應當徵得同意並建立人才庫管理規範以做到合法合規。
二、“背調”的規範
員工背景調查環節的信息保護問題主要分兩方面:一是企業對員工進行背景調查;二是企業收到其他公司對員工的背景調查。對第一種情況,建議企業在“背調”前徵得員工的書面同意,並在書面文件中明確調查範圍;對第二種情況,若企業事先未徵得員工同意,不建議企業向他人透露員工的信息。
三、入職員工信息的分類
絕大部分企業都要求員工填寫《員工信息採集表》等文件,其內容包括姓名、聯繫方式、住址、學歷、婚姻狀況、健康狀況等。上述信息部分屬於訂立合同實施人力資源管理所必須,部分屬於應當徵得員工同意方可收集。企業應當進行區分,並告知員工信息收集的目的、使用方式、保護措施等。
四、員工信息日常管理
建議企業設立人力資源專業崗位,明確責任主體;建議設立員工信息保護機制,明確可查詢、複製的權限;建議制定員工信息管理規範,對員工信息保存、查詢、複製、刪除等流程進行規範;建議針對員工信息的使用、處理均要留痕。
五、離職員工信息處理
員工離職並不代表企業必須要刪除員工的個人信息,當然也不代表企業可以隨意處置信息。企業應當準確區分哪些信息屬於實施人力資源管理所必須,哪些信息屬於需經員工同意纔可處理。無論上述哪一類信息,企業都應當做好保護措施,未經員工許可前不得向他人披露。