新知一下
海量新知
5 9 7 3 2 2 4

个人信息保护与用人单位管理权的边界在何方?

【白话劳动法】 | 2021/11/23 22:36

APP考勤打卡,座位下的传感器人体感应以及员工脑袋顶上的现时监控……关于职场中种种管理与被管理的冲突与痛点,我们【白话劳动法】曾推出了 劳动者隐私权与用人单位管理权的边界在何方 ? 》(点击即可跳转阅读) 一文,就员工的隐私权和公司管理权的边界问题进行探讨,当时由于没有明确立法,所以对于因隐私权与管理权冲突引发的层出不穷的乱象,劳资双方只能在观望司法实践中谨慎前行。

然而 本月1号,《个人信息保护法》(以下简称“《个保法》”)落地实施 之后,新生的“国美式摸鱼”热点事件,让我们关注到单位通过对员工办公电脑及流量监控而进行处罚,更是将个人信息保护与用人单位管理的边界问题又一次推上风口浪尖。当法律明确规定“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形下,单位可以处理个人信息。那么 在用工管理中,单位到底怎么处理个人信息才不违法 ?针对这个问题,今天我们一起来探讨下个人信息保护与用人单位管理权的边界在何方?

一、范围:劳动合同法VS个保法

我们知道,在《劳动合同法》中一方面明确了用人单位有权了解与劳动合同直接相关的基本情况,另一方面则明确劳动合同应当具备劳动者的姓名、住址和居民身份证或者其他有效身份证件号码的内容。至于何为与劳动合同直接相关的基本情况,现行法律法规文件中并未进行解释,若出现在个案中则会根据个案情况来确定,这就导致了评判标尺的不一。

而在《个保法》中,明确了用人单位可以处理为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的劳动者个人信息等。在此规制下,对个人信息的处理不仅要求个人信息为人力资源管理所必需,而且还要通过依法制定的制度或者集体合同来加以体现。

从上述表述来看,《劳动合同法》与《个保法》规定的范围是模糊且不完全重合的。因此,在双法并行的情形下,单位不得不思考在用工管理过程中如何应用才能都满足。

二、选择:个人单独同意VS法定许可

在《个保法》出台以前,尽管我国有其他立法对个人信息保护也进行了规定,但由于没有执行强制责任与救济措施,所以在实际用工管理中,企业对于个人信息的处理往往是自由无限制的。比如有的企业在员工入职时收集员工婚育信息,要求员工孕检等等,这些信息的收集已经超出了用工管理权的范围。所以在《个保法》施行以后,企业必须得明晰以下内容:

1、 哪些信息是用工管理所需要 ,即 依据《个保法》第13条第(二)项规定的为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的信息 。比如说员工的经常居住地应明确到门牌号,这个信息员工应当配合单位来提供,因为法律和实践中对基于管理的文件送达地址均有要求,这种情况下员工就不能基于居住地属于个人被保护的信息而不同意提供,比如我们之前办理过的一个案件,由于员工在劳动合同中将地址仅明确到小区,导致单位无法正常送达通知文件,只能去公告。

2、 哪些是其他法律许可单位可以直接处理个人信息的情形 ,即 依据《个保法》第13条第(三)至(七)项法律许可的内容 。比如说单位有代扣代缴个税和缴纳社保的义务,需要将员工的个人信息提供给税务部门或者社保部门,那么这种情况下若还需要单位去获得员工的同意,将会增加单位的管理难度,而且也不利于有关部门的税费征缴。

3、 除上述情形之外,单位处理个人的信息均需要取得个人的单独同意 ,而且这种同意是个人在充分知情的前提下自愿、明确作出的。比如我们之前提到的单位要求员工入职时告知单位相关婚育信息等与用工管理无关的个人隐私信息,实质上已经侵害了个人信息保护权;再比如说员工请病假时要求提供全部员工个人健康生理等敏感信息以及要求员工通过指纹、面部识别进行考勤打卡等情形时,尽管与用工管理相关,但由于并非必然采取的措施,所以在实践中仍建议单位要征得员工个人单独同意。

三、要求:懂劳动法TO懂《个保法》

对于单位来说,基于法律许可能享有一定范围的个人信息处理权,但同时《个保法》也对单位处理信息设定了义务,比如要采取保护措施防止个人信息泄密、篡改、丢失等,要定期进行合规审计,要事前进行个人信息保护影响评估等等。如果在处理员工个人信息方面未能有效把控住法律风险,那么单位面临的法律责任是清晰的,从民事责任到行政责任甚至到刑事责任,法律均予以了明确。

而HR作为用工管理环节的重要一员,对其从业要求必然要拔高到《个保法》的层次上来。以前HR们只要懂用工管理就可以在公司独挡一面,现在HR们不仅要懂用工管理,还要懂用工合规,特别是当成为公司的个人信息保护负责人之时,还要面临着被处罚款或禁止任职相应的法律风险。

四、建议:保护期待TO管理范围公示

如何平衡用工管理权与个人信息保护、如何平衡工作需要与个人风险规避、如何平衡个人保护与职业发展,对于单位、HR们以及员工们来说,对《个保法》的实施都会有一点介怀。对此,我们【白话劳动法】建议单位和个人要明晰各自的界限,聊清楚员工的保护期待以及单位管理范围。比如“国美式摸鱼”事件上,公司认为员工不应该在工作时间内于工作区域过度占用公司网络资源从事与工作无关事宜,若从事无关事宜则单位有权介入管理;而网友热议偶尔摸鱼放松不太过,揭示出职场人士对于企业用工管理的柔度存在一定的期待。

对于其他单位来说,“国美式摸鱼”事件其实带来了一定的用工启示。无论是法律还是司法实践,都支持用人单位依法制定规章制度,并对员工的工作行为进行管理。可见,规章制度制定或者修订的过程,就是平衡员工保护期待与单位管理范围的过程。基于个人信息保护,单位可以向员工明确告知哪些信息属于法律许可单位直接处理的范围,哪些信息属于员工单独同意的范围。在明确各自界限的基础上,单位有权对规定的行为进行用工管理,HR们有权按照规章制度来落实执行避免职业风险,员工们也有权就单位提出的不合理信息处理的要求予以拒绝。

当我国开始进入以《个保法》为基本法的个人信息保护新时代下,企业不得不思考如何在规章制度、劳动合同以及用工流程中体现出个人信息保护的规制要求。尽管个人信息保护对于企业来说是新兴事务,但用工管理过程中的问题依旧是围绕劳动法的应用,【白话劳动法】始终围绕劳动法的应用深入研究企业用工管理,力图为企业与HR提供第一手热点分析和解决方案,欢迎大家遇到用工问题时想到我们、找到我们,我们将竭诚为您提供落地、务实、具有针对性的咨询服务。




更多“法务”相关内容

更多“法务”相关内容

新知精选

更多新知精选