新员工入职过程中的个人信息保护违规风险及合规措施.docx

《新员工入职过程中的个人信息保护违规风险及合规措施.docx》由会员分享，可在线阅读，更多相关《新员工入职过程中的个人信息保护违规风险及合规措施.docx（9页珍藏版）》请在第一文库网上搜索。

1、新员工入职过程中的个人信息保护违规风险及合规措施目录一、入职定义2二、业务流程2三、典型场景23. 1入职体检23.2背景调查33. 3入职手续办理3三、违规风险33.1 入职体检中的违规风险33. 2收集健康信息违反合理必要原则43.3背景调查中的违规风险53. 4入职手续办理中的违规风险6五、合规措施75. 1授权同意75.2最小必要75. 3第三方管理8一、入职定义新员工入职流程，主要共分为六个步骤，分别是入职准备;入职报到；入职手续；入职培训；转正评估；入职结束。入职是指在确定人员录用后，正式入职前的一系列准备动作，包括入职体检、背景调查、入职手续办理等环节。入职过程中企业处理的个人信

2、息不仅包括身份资料、职业履历等信息，还可能涉及薪资流水、健康状况等敏感个人信息。企业做好入职过程中的个人信息保护，既是合规遵从的客观要求，也是企业雇主形象提升的内在需要。二、业务流程入职一般包括体检、入职资料填报等环节，如果是社招入职的人员，还可能会开展背景调查。三、典型场景在入职过程中，涉及个人信息处理的典型场景如下：5.1 入职体检企业一般会要求入职者进行入职体检，体检合格后办理入职手续，通常有以下两种方式：1）入职者到企业指定的体检机构体检。因体检报告的敏感性，目前一般由体检机构向企业提供体检合格与否的结论，但也存在体检机构将体检报告直接提交企业的情况，由企业核查后做出体检合格与否的结论

3、；2）入职者提交符合要求的体检报告。企业对体检报告进行核查后做出合格与否的结论。5.2 背景调查企业一般会要求入职者配合背景调查，通常有以下两种方式：1）企业自行开展背景调查。企业直接向入职者收集相关资料，可能包括与原雇主的劳动关系证明材料、学历学位证明材料、薪资证明材料等；2）企业聘请第三方服务商进行背景调查。由服务商向入职者收集相关资料，服务商根据入职者提供的材料向企业出具背景调查报告。5.3 入职手续办理企业一般会要求入职者填报入职资料，包括入职者的个人身份证号码、联系地址、社保账号、公积金账号等与劳动合同相关的个人信息。三、违规风险3.1 入职体检中的违规风险（1）收集健康信息未获授权

4、同意【法律规定】根据个人信息保护法第二十八条、第二十九的规定，医疗健康信息属于敏感个人信息，处理敏感个人信息应当取得个人的单独同意。如企业未经入职者同意私自增加检查项，则违反个人信息处理的授权同意规定。【违规案例】A企业入职体检的部分检查项未明确告知入职者，也未在体检单中显示，入职者对该部分检查项目并不知情，A企业未经入职者单独同意收集其个人健康信息，违反个人信息处理的授权同意规定。3.2 收集健康信息违反合理必要原则【法律规定】劳动合同法第八条规定；”企业在招用员工时，有权了解其与劳动合同相关的个人情况”，一些地方性规范也明确规定企业有权在招录阶段了解入职者的相关健康状况，如上海市劳动合同实

5、施条例江苏省劳动合同条例，因此，企业在入职阶段可以了解入职者的健康状况。但根据个人信息保护法的规定，企业收集个人信息应限于实现处理目的的最小范围，因此入职者的健康状况应严格限制在与劳动合同相关的范围内。除此之外，根据关于切实做好维护乙肝表面抗原携带者入学和就业权利工作有关问题的通知关于进一步规范招聘行为促进妇女就业的通知等规定，企业不得进行带有就业歧视的体检项目，包括乙肝抗原测试（除国家法律、行政法规和国务院卫生行政部门规定禁止乙肝病原携带者从事的工作外）、妊娠测试等。因此，企业不得在入职体检中进行乙肝抗原检查、妊娠检查，收集相关个人健康信息。【违规案例】B企业在入职体检中设置了妊娠检查（仅针

6、对女性）、染色体检查，但入职者妊娠信息、基因信息并非与劳动合同相关的个人信息，B企业收集的个人信息超出了必要范围，违反合理必要原则。3.3 背景调查中的违规风险（1）背景调查违反授权同意原则【法律规定】在背景调查阶段，入职者与企业之间尚未建立劳动关系，根据个人信息保护法第十三条的规定，企业处理入职者的个人信息应以“同意”作为合法性基础。因此，在背景调查中，企业基于核实入职者简历真实性等目的收集原劳动关系证明材料、学历学位证明材料、薪资证明材料等个人信息，需要征得入职者的同意。【违规案例】C企业HR因私人关系有某位入职者原雇主HR的联系方式，该HR在未经入职者同意的情况下，擅自与其原雇主HR联系

7、，了解入职者之前的业绩表现、薪资待遇等个人信息。C企业未经入职者同意对其开展背景调查收集个人信息，违反了知情同意原贝11。(2)背景调查服务商违规处理个人信息【法律规定】企业通过服务商进行背景调查，如服务商违规收集处理个人信息，包括买卖或泄露个人信息，可能导致企业违反个人信息保护法第五条规定的个人信息处理的合法性要求。另外，服务商接受企业委托对入职者进行背景调查，属于个人信息保护法第二十一条规定的“个人信息处理者委托处理个人信息”的情形，企业应当与受托人签订协议，就委托处理的目的、期限、处理方式、个人信息种类、保护措施及双方的权利和义务等明确约定，并监督受托人的个人信息处理活动。【违规案例】D

8、企业聘请第三方服务商为其提供背景调查服务，但D企业未与服务商签订个人信息处理协议，也未对服务商收集处理个人信息的行为进行监督。该服务商在进行背景调查的过程中违规收集个人信息，导致D企业违反了个人信息处理的合法性要求。3.4 入职手续办理中的违规风险(1)收集入职资料超出合理必要范围【法律规定】根据个人信息保护法的规定，收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。在入职阶段，如企业没有明确、合理的目的，要求入职者超范围提供个人信息，违反个人信息处理的合理必要原则。【违规案例】入职者在完成了入职体检及背景调查后，到E企业办理入职手续，除了填写劳动合同中的必要个人信息外,还需要

9、填写宗教信仰、家庭成员的身份证号码及户口所在地等与劳动合同及企业管理无关的个人信息，E企业收集上述个人信息没有明确、合理的目的，违反了合理必要原则。五、合规措施5.1 授权同意企业在进行入职体检及背景调查之前应获取入职者的同意，向入职者提供隐私通知书，充分说明处理个人信息的种类及目的、处理方式、存储期限、权利行使途径等信息，对于入职体检中涉及的医疗健康等敏感个人信息应获得单独同意。5.2 最小必要企业应对入职体检、背景调查及入职手续办理中收集的各项个人信息进行必要性评估，明确每项个人信息收集的目的及必要性，避免超范围收集个人信息。在入职体检中应注意不设置可能引起就业歧视的检查项，包括乙肝检查、妊娠检查、HIV（艾滋病病毒）检查等。5.3 第三方管理企业选择第三方服务商提供背景调查服务的，应与服务商签署个人信息处理协议，明确约定背景调查所收集的个人信息种类、目的、期限、处理方式、保护措施及双方的权利和义务等内容，有效通过协议约束服务商的数据处理行为，避免服务商违规处理个人信息导致企业违反个人信息处理的合法性要求。在选择服务商时，企业应通过对服务商的个人信息保护体系进行评估选择个人信息保护能力较强的供应商。