《个人信息保护法》教你如何管理离职员工信息

《个人信息保护法》教你如何管理离职员工信息

引用

搜狐

等

9

来源

1.

https://m.sohu.com/a/798614582_121971706/?pvid=000115_3w_a

2.

https://baijiahao.baidu.com/s?id=1814120355642310612

3.

https://www.junzejun.com/Publications/14222514d8abe9-c.html

4.

https://m.toutiao.com/article/7107403750494536224/?wid=1668470791054

5.

https://www.glo.com.cn/Content/2022/12-13/1451277277.html

6.

https://law.asia/zh-hans/%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E4%BF%9D%E6%8A%A4%E6%B3%95%E5%91%98%E5%B7%A5%E4%BF%A1%E6%81%AF%E7%AE%A1%E7%90%86/

7.

https://www.lawyers.org.cn/info/0bb987222834492d912bd1f65f912b39

8.

https://www.zhonglun.com/research/articles/52693.html

9.

https://www.pcpd.org.hk/tc_chi/data_privacy_law/mainland_law/mainland_law.html

随着《个人信息保护法》的实施，企业在管理离职员工信息时需要严格遵守相关法律规定，确保个人信息的安全和隐私。本文将围绕以下几个关键问题，为企业提供合规管理离职员工信息的指导。

简答：未经离职雇员同意，不得不当使用或公开传播其配发工作设备中的个人信息，除非基于合理需要。

合规建议：

1. 用人单位应在雇员入职阶段，明确告知离职期间交接配发工作设备的程序和要求，签订书面的确认函。如果雇员要求拷贝配发工作设备中的个人信息，应允许用人单位派员陪同以避免对用人单位的工作信息造成泄露。
2. 用人单位应在规章制度中明确规定雇员离职后不得拷贝除个人信息外的工作信息。
3. 用人单位应避免在未经雇员同意的情况下，对雇员配发工作设备中的个人信息进行不当使用或公开传播。除非基于合法、合理且正当的原因，如配合司法机关调查取证的需要。

简答：除配合司法机关取证需要等正当理由或事前双方对此达成一致约定，用人单位不得在雇员离职后继续收集其个人信息。

合规建议：

1. 用人单位应在雇员入职阶段，明确告知雇员离职后可能持续收集其个人信息的情况，并征得雇员的书面同意。
2. 用人单位应在规章制度中，明确规定雇员离职后收集其个人信息的情况。
3. 用人单位应避免在未经雇员同意的情况下，对离职后的信息进行持续收集。除非基于合法、合理且正当的原因，如配合司法机关调查取证的需要。

简答：离职雇员个人信息的保存范围和期限应考虑现有法律法规的综合要求，用人单位可同雇员作书面约定。

合规建议：

1. 用人单位应参考《劳动合同法》和相关档案管理规定，对离职雇员的劳动合同保存两年备查；
2. 用人单位应参考《个人信息保护法》和相关个人信息保护规定，个人信息的保存期限应当是实现处理目的所必要的最短时间；
3. 法律法规对特定工种雇员的个人信息保存时限作特殊规定，如送餐人员、网约车驾驶员等，需要结合岗位特殊规定以设定时限；
4. 用人单位可同离职雇员对个人信息的存储进行书面约定，明确保留时间、信息的使用目的和用途，以及是否可提供给第三方等，在使用目的完成后，用人单位应及时对该信息进行删除或匿名化处理；
5. 用人单位人力资源部门需对收集的离职雇员个人信息进行定期排查，对过期个人信息进行删除或匿名化处理。

具体来说，出于存档等合理目的，在雇员离职后可以保留、同时需保管好必要范围内的信息，如姓名、入职时间、离职时间等。对于雇员档案中的测评记录、考勤记录、绩效评定、奖励及处罚记录等，属于广泛意义上的个人信息，但是鉴于后续的可能需要，可以不予删除。“保管“信息应做到使其保持不可被日常检索、访问的状态。但是，如指纹信息、面部识别信息等个人敏感信息，并不在保留的合理范围内，则应在最短时间内删除。

在法律另有规定的情况下，雇员信息的保留应当遵守其特别规定。如《网络预约出租汽车监管信息交互平台运行管理办法》规定，网约车监管信息交互平台所接收的运营信息数据，在线保存期限不少于6个月。

规定可见于《个人信息保护法》、《劳动合同法》等法律法规当中。《个人信息保护法》规定：“个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的，从其规定。”《劳动合同法》规定：“用人单位对已经解除或者终止的劳动合同的文本，至少保存二年备查。”

简答：用人单位可提交雇员个人信息作为证据，但不得不当使用或公开传播；同时，雇员的个人隐私不受侵犯，若用人单位提交的证据侵犯雇员个人隐私，则该证据不能作为认定案件事实的依据。

合规建议：

1. 用人单位应避免在司法程序中对包含雇员个人材料（特别是隐私信息）进行不当使用或公开传播。
2. 在证据涉及雇员个人隐私情形下，用人单位应主动提示司法机关对该案件进行不公开审理。
3. 用人单位可在双方协议或内部规章中明确规定在此情形下使用雇员个人信息的程序和要求，并征得雇员的同意。
4. 离职雇员个人信息是否可作为证据呈现在劳动争议中，与信息是否被归为雇员的个人隐私有关。如果被归为雇员个人隐私，则此证据可能将不能作为认定事实的依据。

简答：用人单位传输离职雇员个人信息时，需要遵循《个人信息保护法》的相关规定，确保个人信息的安全和隐私。

合规建议：

1. 用人单位需要明确告知接收信息方的名称、处理目的、处理方式和个人信息的种类等信息，并取得员工的单独同意。
2. 如果涉及到境内企业的上级集团企业是境外企业的，即使获得员工同意，也不能直接将员工个人信息提供给境外集团企业。根据《个人信息保护法》的规定，因业务等需要向境外提供个人信息的需要至少具备下列一项条件：（1）通过国家网信部门组织的安全评估；（2）经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（4）法律、行政法规或者国家网信部门规定的其他条件。

相较于企业收集员工个人信息的合规而言，企业处置员工个人信息的合规更是一个系统的、综合的、长期的过程。我们尝试通过将其归类为文本合规、体系合规、执行合规三个部分，帮助企业逐步建立员工个人信息的合规处理制度。

（一）文本合规
文本合规指，需要围绕员工个人信息处置制定不同场景下的法律文本，企业内部有明确可依据的法律文本，是做好合规处置员工个人信息的第一步。企业需要梳理确定员工个人信息的处理目的、处理方式和处理个人信息种类，将其纳入企业规章制度或集体合同。同时，企业还可以进一步制定员工个人信息保护政策。参考互联网企业在网站、APP中公示的隐私政策相似，与员工单独达成处理个人信息的文件。

针对外包服务的情况，企业还需要进一步制定模板化的个人信息保护条款或单独的个人信息保护协议。在个人信息保护中，要求外包服务方健全个人信息保密制度、落实技术手段保护个人信息、外包服务完成后的个人信息删除义务等。

（二）体系合规
体系合规指，企业需要建立完善的个人信息保护体系，包括但不限于：建立个人信息保护组织架构、制定个人信息保护政策、开展个人信息保护培训、建立个人信息保护应急预案等。企业需要确保所有员工都了解个人信息保护的重要性，以及如何在日常工作中保护个人信息。

（三）执行合规
执行合规指，企业需要确保所有员工都遵守个人信息保护的相关规定，包括但不限于：定期检查个人信息保护政策的执行情况、对违反个人信息保护规定的员工进行处罚、对个人信息保护政策进行定期更新等。

通过以上三个方面的合规建设，企业可以更好地保护员工的个人信息，避免因个人信息泄露而引发的法律风险。