文章系本公众号独家首发,未经授权不得转载、摘编
疫情防控下的员工个人信息保护
随着以新冠疫情为代表的公共卫生事件的发生、发展和持续,用人单位基于配合政府疫情防控、保障员工健康安全、优化生产经营配置等原因,需要收集、处理员工健康状况、地理位置等个人信息。做好疫情防控下的员工个人信息保护,既是合法合规的客观要求,又是雇主责任的内在需要。
一、疫情防控下用人单位收集处理个人信息基于哪些原因?
1. 配合政府疫情防控
【依据】
《传染病防治法》第十二条规定,任何单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况;《突发事件应对法》第二十二条规定,所有单位应当建立健全安全管理制度,掌握并及时处理本单位存在的可能引发社会安全事件的问题,防止矛盾激化和事态扩大。《广东省餐饮服务业新冠肺炎防控工作指引》明确规定“......各餐饮经营单位对员工的健康管理负主体责任,员工要如实告知旅居史......餐饮经营单位要设立健康管理员,负责收集单位员工健康状况,每日对从业人员进行晨检和体温监测......”
【实务】
用人单位作为疫情防控的责任主体,有义务积极采取措施配合疫情防控,因此,用人单位可基于疫情防控的需要收集员工疫情相关的个人信息。疫情防控期间,各级政府机构也可能会基于疫情防控的需要要求用人单位上报员工的相关个人信息,用人单位在接到政府机关的要求后,需要积极配合防疫要求,对员工的个人信息进行收集、排查,避免疫情扩散的发生。
2. 保障员工健康安全
【依据】
《劳动法》第五十四条规定,用人单位有义务为员工提供安全的工作环境。
【实务】
疫情防控期间,如员工被确诊或者确定为密切接触者,将威胁到其他员工的健康安全,因此用人单位需要在特殊情况下收集员工的相关个人信息,以及时采取措施保障员工健康安全。
3. 优化生产经营配置
【依据】
《劳动合同法》第八条规定,用人单位有权了解员工“与劳动合同直接相关的基本情况”。
【实务】
疫情防控期间,如员工被确诊或者确定为密切接触者,将直接影响用人单位的生产及工作安排,需要用人单位迅速做出反应调整生产经营安排和资源配置。因此,员工疫情相关的个人信息也就属于“与劳动合同直接相关的基本情况”,用人单位在合理必要情形下具有知情权。
二、疫情防控下用人单位收集处理员工个人信息存在哪些风险?
1. 违反个人信息保护合规要求
【风险】
用人单位虽然可以基于疫情防控、员工健康、生产经营等需要收集处理员工个人信息,但过程可能因不当方式而违反个人信息保护合规要求。根据《个人信息保护法》的相关规定,用人单位收集个人信息不合规,可能面临责令改正、警告、罚款等处罚。
【示例】
用人单位为了更全面掌握疫情相关情况造成“过多”“过度”收集个人信息,违反最小必要原则;用人单位在公司内部传递确诊/密接员工的个人信息,未作权限管控导致超范围披露,违反安全性、保密性要求;用人单位未告知员工所收集个人信息的种类、目的、用途、权利行使途径等,违反知情同意原则。
2. 员工个人信息泄露
【风险】
疫情发生以来,确诊患者个人信息泄露事件屡见不鲜,随之发生网络暴力等严重侵害个人权益的后果。员工的行程、健康信息,如上下班线路、家庭住址、体温信息等,属于敏感个人信息,一旦被泄露、非法提供或滥用,可能导致员工个人的身心健康、名誉受到损害或造成其他严重影响。
【示例】
用人单位在疫情突发情况下,临时采用表格填写的方式收集员工的个人信息,并通过即时通讯软件、办公软件或邮件系统转递,扩大了个人信息接触范围,存在个人信息泄露的风险。
三、 疫情防控下用人单位收集处理员工个人信息有哪些注意事项?
1. 隐私政策
在收集员工个人信息之前向员工提供隐私政策,满足个人信息处理的透明性要求。隐私政策中应当说明用人单位收集、使用的个人信息的种类、目的、用途、储存地点等,员工享有的个人信息权益及相应的权利行使途径。隐私政策应当以简明易懂的方式提供,以便员工能够充分知晓个人信息处理的情况。
2. 安全措施
对于已经收集的员工个人信息,采取必要的技术措施保障个人信息的安全。例如,对收集的个人信息采用加密技术进行存储;如需要进行个人信息的传输,可以采用https等加密传输技术,确保传输过程不被恶意第三方破解盗取。
3. 限制用途
严格限制收集的个人信息用途。用人单位应严格按照隐私政策中的描述,仅将个人信息用于隐私政策中已说明的目的(即疫情防控的目的),在达到个人信息处理的目的后应及时删除信息,绝不超期存储个人信息。如果用人单位需要将已收集的个人信息用于疫情防控之外的其他目的,需要另行征得员工的同意。
4. 最小必要
严格遵守最小必要的原则收集员工个人信息。用人单位在收集员工个人信息之前应当由法务或者合规部门评估拟收集的个人信息的必要性,仅收集基于疫情防控的目的而必须收集的个人信息。如果因疫情形势的变化,需要增加收集的个人信息的种类,用人单位应当基于新的形势对新增的个人信息收集项重新进行评估,避免违反必要性原则收集个人信息。
5. IT工具
有条件的用人单位可以采取IT化的方式收集员工的健康信息,避免传统方式导致的个人信息泄露风险。用人单位可以在办公软件或者OA系统上开发员工个人健康信息收集的模块,统一通过IT化的方式收集疫情中所有的个人信息,这样就避免了传统方式收集个人信息需要层层流转的情况。IT化的信息收集方式便于用人单位进行权限管理,有利于有效管控接触员工个人信息的人员范围,降低员工个人信息泄露的风险。
提升员工隐私体验,践行企业隐私合规
“法律遵从、信任共建、道德履行”
本文作者:G.RX、Y.YX,W.AD,Ch.YF
免责声明
本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证;
本文仅为分享、交流、学习之目的,任何人都不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。
声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
