HR必备的16个员工信息管理知识!

时间:2021-09-30 阅读量:109 来源:劳达laboroot
导语:新法环境下,企业该如何管理员工信息呢?

  员工入职后,企业需要给员工建立相应的档案,为员工的职业生涯奠定良好的开端。员工信息是企业管理的重要环节,也是员工的岗位调动、升职加薪的主要依据,为人力资源管理中的“选、育、用、留”等日常管理活动提供可参考的信息。为防止企业随意泄露员工的有关信息,保障员工的合法权益,新法对员工信息管理做了相应的规范。


企业管理 (54).jpg


  1.企业可以收集员工的那些信息?

  根据《劳动合同法》第8条规定,企业有权了解员工与劳动合同直接相关的基本情况,员工应当如实说明。与劳动合同直接相关的基本情况包括健康状况、知识技能、学历、职业资格、工作经历以及部分与工作相关的劳动者个人情况,若家庭地址、主要家庭成员构成等。同时,员工还应当提供姓名、住址、居民身份证或其他有效身份证件号码,以便劳动合同的签署;提供银行账号信息以便公司发放工资。


  同时,根据《劳动合同法》第7条和《劳动合同法实施条例》第8条,企业应当建立职工花名册备查,职工花名册应当包括劳动者的姓名、性别、身份证号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。


  需要的注意,根据人社部等九部委发布的《关于进一步规范招聘行为促进妇女就业的通知》,企业在招录员工的过程中,不得询问妇女婚育情况。


  2.企业处理员工的个人信息应当符合哪些要求


  根据《民法典》、《个人信息保护法》及相关规定,企业处理员工的个人信息应当符合以下四项基本要求:


  (1)遵循合法、正当、必要和诚信原则


  合法,即符合法律的要求,简言之,企业在处理员工信息时,应当寻求法律上的支撑,是否有法律规定支持企业的行为;正当,可理解为应当符合社会大多数人的认知和认同,企业在制定个人信息管理制度时,可通过民主程序的方式进行。必要,即企业为实现用工管理的目的,应当最大限度的避免不必要的措施,俗语常言“杀鸡焉用牛刀”的道理;诚信,即企业在处理员工个人信息时,不能存在欺骗、隐瞒等不诚信行为。


  (2)具有明确、合理的目的


  企业处理员工个人的信息,明确、合理的目的是用于组织劳动过程和进行劳动管理等企业用工管理,这里亦包含人力资源管理中的“选、育、用、留”等日常管理活动。


  (3)公开个人信息处理规则,明确处理的目的、方式和范围


  企业可通过《劳动合同法》第4条之规定,制定员工个人信息处理管理制度,明确员工个人信息用于企业日常的经营管理活动、处理的方式和范围等。


  (4)采取必要措施保障处理的个人信息安全


  企业在管理人员的个人信息时应当采取必要的信息安全保障措施,包括不限于:明确责任部门与人员,开展个人信息安全影响评估,数据安全保护的能力,相关人员的管理与培训,安全审计,信息查询、下载、使用等权限管理制度等。


  3.如何理解“个人信息”?


  《民法典》第1043条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。


  《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。


  简言之,能够辨识、识别员工信息,都属于个人信息。


  4.如何理解“个人敏感信息”?


  敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。


  其中,生物识别信息,包括个人基因、指纹、声纹、掌纹、耳郭、虹膜、面部识别特征等。剔除个人基因,其他几项均是企业日常考勤管理常用的信息,企业使用这些信息,应当获得员工本人的同意。医疗健康信息,个人因生病治疗等产生的相关记录,比如,病症、医嘱单、检验报告、用药记录、过往病史、诊疗情况等。企业收集这些信息,事先应当获得员工的同意;事先未获得员工同意的,以确认员工就诊事实为限制,反之则存在超过必要的限度。


  5.企业获得员工授权使用人脸识别技术的无效情形


  根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》规定,企业信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。


  6.如何理解“个人隐私”?


  隐私,是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。比如,以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;拍摄、窥视、窃听、公开他人的私密活动;拍摄、窥视他人身体的私密部位;处理他人的私密信息等等,均构成侵犯他人隐私的行为。


  企业在日常经营管理活动中,涉及到的员工工资收入、员工家庭、教育、医疗、婚姻、房产等属于员工的隐私,未经员工本人授权同意,企业相关工作人员不得随意泄露、公布,避免 引起不必要的争议。


  7.如何理解“个人信息的处理”?


  个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。


  企业在招聘、订立劳动合同、日常用管理过程中,员工个人主动提供、企业和员工协商、企业依法采集员工个人信息。企业在收集员工信息时,应当通过书面声明、承诺等方式获得员工授权同意,这样这样的方式可有效管控合规风险。


  8.如何理解“个人信息进行自动化决策”?


  自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

  通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。


  9.如何理解“个人信息的匿名化”?


  匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。员工个人信息的匿名化,主要通过泛化、压缩、分解等技术手段实现。从计算机技术层面,个人信息的匿名化处理技术比较成熟。


  10.企业合并、分立、解散、破产等过程中员工的个人信息管理?


  企业合并、分立、解散、破产等原因需要转移员工个人信息的,应当向员工告知接收信息的名称、联系方式;接收方继续履行个人信息管理者的义务。若需要对员工个人信息处理的目的、处理方式进行变更的,应当重新获得员工个人的同意。


  11.企业跨境提供个人信息的要求


  企业因为业务需要,需要向中国境外提供个人信息的,应当通过国家网信部门组织的安全评估,或者按照国家网信部门的规定经过专业机构进行个人信息保护认证,或者按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。


  反之,企业不得随意把员工个人信息提供给境外企业等组织。


  企业符合向境外提供个人信息资格时,还应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。


  12.企业处理哪些信息需要进行个人信息保护影响评估?


  出现以下情形之一的,企业应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。


  13.个人信息保护影响评估主要包括哪些内容?


  个人信息保护影响评估主要包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。


  14.企业管理员工个人信息的义务


  企业应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案等。


  15.员工离职后个人信息的处理


  根据《个人信息保护法》的规定,企业对于个人信息保护影响评估报告和处理情况记录应当至少保存3年;同时《劳动合同法》规定,企业对于已经解除或终止的劳动合同的文本至少保存2年备查。从管理方便性、统一性角度而言,建议企业可统一按照3年来管理。

  超过保存期限之后,企业可选择删除个人信息,也可选择对个人信息进行匿名化处理。


  16.企业未依法管理个人信息的责任


  根据《个人信息保护法》的规定,企业违反个人信息保护法的规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


  情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。


—END—


     以上是瑞福云科hrosys整理发布的相关内容。


    瑞福云科 致力于赋能中国HRO企业数字化转型升级,帮助HRO企业提升管理效能和市场竞争力。HROsys是瑞福云科旗下核心SaaS软件服务平台,专注于HRO企业的数字化运营管理效能提升。


     点击“业务咨询”或致电400-182-3808可了解瑞福云科HROsys更多详情。





上一篇:劳务派遣VS小时工有什么不一样

扫码订阅HRO专业内参《HRO视野》

汇集政策、行业、投资等内容,呈现全视角行业变化

热门文章

    政策速递

      平台动态

        扫一扫

        三步上线灵活用工结算管理SaaS系统

        咨询热线:400-182-3808
        预约演示>>
        预约演示>>