11月1号，《个人信息保护法》正式施行。这对企业在劳动用工过程中，涉及到的员工信息管理，会产生什么影响呢。

求职者应聘这些信息不必提供

《劳动合同法》

第八条 ……用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。

《个人信息保护法》

第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息：

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

这也就是说，与劳动合同履行无关的信息，比如家庭成员、成员职务、联系方式、婚育状况等，必须取得求职者同意，才能进行收集。

如果用人单位以劳动者拒不提供个人信息为由拒绝录用劳动者，劳动者可以用侵犯个人信息保护权为由，寻求法律救济。

员工个人信息不真实企业解除有风险

用人单位通常会以员工个人信息不真实、不完整、虚假为合法理由，与员工解除劳动合同。

根据《个人信息保护法》第十三条第二款，解除劳动合同涉及的员工信息必须为“人力资源管理所必需”的，如果是婚育状况、家庭信息、与工作关联性不大的学历等信息造假了，也不影响劳动合同履行的，用人单位以此为由和员工解除劳动合同的，不会得到法律的支持。

员工请病假企业调查需慎重

个人病历信息属于《个人信息保护法》中规定的敏感个人信息，获取及处理这类信息需要取得员工的单独同意，而且，企业要求员工提供的病历材料等应以必要为限，能够反映其患病就诊事实即可（如病假证明单、挂号单、缴费收据等），不应过分求全，以免侵犯个人隐私，侵害患者权益。

如果用人单位在规章制度中约定，员工必须提交完整的病假证明才能申请病假，会有侵害个人敏感信息的风险，很难得到法院的采信。

《个人信息保护法》

第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

委托第三方处理员工信息须符合用工范围

假如企业找了体检机构为员工体检，或者找了另外一家人力资源公司代发工资，就需要把相应员工的信息提供给这些第三方机构。像这类涉及到个人信息的委托处理、转授权、提供的行为，如果属于用人单位正常的用工范围内，根据《个人信息保护法》的规定，可以不征得员工的同意，但为了避免在处理过程中发生争议，建议可以把相应内容写入劳动合同或规章制度中。

同时用人单位应当与受委托的第三方机构在其合作协议中明确约定相关个人信息处理和保护的条款，并不时进行监督。

《个人信息保护法》

第二十一条　个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

离职员工信息有些要删有些要存

需要保留的员工信息

根据有关劳动法规的规定，企业与员工的劳动合同文本、工资支付记录等应当保存两年以上。像员工的绩效表现、奖惩记录、休假记录等建议在员工离职后保留至少一年的时间，万一员工在劳动仲裁一年的诉讼时效内起诉，企业也能提供相应的证据。

《劳动合同法》

第五十条 用人单位对已经解除或者终止的劳动合同的文本，至少保存二年备查。

《工资支付暂行规定》

用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字，并保存两年以上备查。

建议删除的员工信息

像用于考勤的指纹、人脸识别等信息，员工一旦离职，企业就不再必要使用，基于《个人信息保护法》的必要性原则，应该马上将其删除。超过劳动法规定保存年限的劳动合同文本及工资支付记录等，也可以删除。

《个人信息保护法》

第四十七条 有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满。

侵害员工个人信息

企业处罚加重

在《个人信息保护法》生效后，对于个人信息收集者（用人单位）的举证责任将会加重，处罚力度也将加大。

承担无过错责任

《个人信息保护法》第六十九条　处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

被信用惩戒的风险

《个人信息保护法》第六十七条　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

行政处罚及禁止任职高管的风险

《个人信息保护法》第六十六条　违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得……

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

刑事责任的风险

《个人信息保护法》第七十一条 违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

员工个人信息处理的基本原则

根据《个人信息保护法》的第五条至第九条的规定，用人单位在收集、存储、使用、提供等处理员工个人信息的过程中，应当严格遵循以下原则：

1、合法、正当、必要和诚信原则

用人单位处理员工个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

2、明确性和相关性原则

用人单位处理员工个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。

3、最小程度原则

一是采取对员工个人权益影响最小的方式收集个人信息；二是应当限于实现处理目的的最小范围，不得过度收集员工个人信息。

4、公开透明原则

处理员工个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

5、完整性和准确性原则

处理员工个人信息应当保证个人信息的质量，避免因员工个人信息不准确、不完整对个人权益造成不利影响。

6、安全保障原则

用人单位应当对员工个人信息处理活动负责，并采取必要措施保障所处理的员工个人信息的安全，避免造成泄露。

我们一定会给您带来最“诚”心的内容与干货！

---

信息综合整理自劳动法宝网等，如侵删。