全部课程
法律
合规
医疗

员工隐私保护实务:人才招聘中的个人信息保护(违规风险、合规措施等)

2022-06-01 13:21

隐私保护
1481

详细内容

人才招聘中的个人信息保护

招聘一般指企业根据经营发展需要从外部吸收人才的活动。招聘过程中,企业处理的个人信息通常包括应聘者的身份信息、联系方式、教育背景、职业履历等,做好招聘中的个人信息保护,既是企业合规遵从的客观要求,又是建立企业雇主形象的内在需要。

一、业务流程

招聘通常由企业的业务部门提出需求,人力资源部门统筹组织,从企业角度看一般包括招聘需求提出、简历获取、人员筛选、面试组织、结果评定、发放Offer等环节。

二、典型场景

招聘过程中,涉及个人信息处理的典型场景如下(以应聘者个人基本信息及简历收集为例):
【典型场景】企业通过自有渠道招聘:通过官方渠道(如企业官方招聘网站、App、微信公众号、小程序等)发布招聘信息、提供注册途径,获取应聘者基本信息、个人简历。
【典型场景】企业通过第三方招聘平台招聘:通过第三方招聘平台主动查找符合条件的应聘者,获取应聘者基本信息、个人简历。

【典型场景】企业采购第三方服务商适格应聘者推荐服务:第三方服务商(如猎头)向企业推荐符合条件的应聘者,企业通过第三方服务商获取应聘者的基本信息、个人简历。

三、违规风险

1.  违反最小必要原则

【风险】企业为更全面的了解应聘者个人情况,可能会收集与招聘无关的应聘者个人信息,违反《个人信息保护法》第六条的最小必要原则。

【示例】企业A希望在面试阶段了解应聘者的家庭情况,要求应聘者在面试前填写《个人信息登记表》,填写的内容包括父母、配偶、子女的全部姓名、户口所在地、工作学习单位等信息,企业A收集上述信息超出了招聘所需的个人信息范围,违反最小必要原则。


2.  违反公开透明原则

【风险】企业收集应聘者的个人信息,但未告知应聘者个人信息处理目的、方式、权利行使途径等,违反《个人信息保护法》第七条规定的公开透明原则。

【示例】企业B通过官方招聘网站进行招聘,应聘者需在网站上注册账号、填写相关个人信息并上传个人简历,但该企业未在网站上提供隐私政策,应聘者无法获知其个人信息处理的目的、方式、存储期限、权利行使途径等信息,违反了公开透明原则。


3.  违反目的限制原则

【风险】企业收集的应聘者个人信息只能用于招聘业务及提供的隐私政策中载明的用途,如将应聘者个人信息用于其他用途,但未重新征得应聘者同意,违反《个人信息保护法》第六条规定的目的限制原则。


【示例】企业C收集应聘者的电话号码用于面试联络,但该企业销售部在未征得应聘者同意的情况下,利用应聘者的联系电话向其发送推广营销信息,企业C超出原目的(面试联络)处理个人信息,违反目的限制原则。


4.  违反限期存储要求

【风险】对于未进入面试或者面试未通过的应聘者,在应聘者同意的情况下企业可在一定期限内继续存储应聘者的个人信息,如企业未经应聘者同意或者超过原定的存储期限存储的,违反《个人信息保护法》第十九条限期存储的规定。

【示例】企业D招聘完成后,经应聘者同意将落选应聘者的个人信息在其人才信息库中继续存储6个月,以备可能的人才需求。6个月期满后,企业D并未及时删除上述应聘者的个人信息,超过了原定的存储期限,违反限期存储的要求。


5.  第三方违法违规处理个人信息

【风险】企业通过第三方平台或者猎头获取应聘者个人信息,如第三方平台或猎头提供违规收集处理的个人信息,可能导致企业违反《个人信息保护法》第十三条的合法性要求。

【示例】企业E的某岗位通过猎头招聘,猎头将应聘者个人信息提供给企业,但该个人信息系猎头违规收集的应聘者个人信息,且企业E未与猎头签署数据处理协议或条款,违反个人信息处理的合法性要求。

四、合规措施

1.  授权同意

企业应向应聘者提供隐私政策,经同意后再收集其个人信息,隐私政策中应说明个人信息处理目的、方式、存储期限、权利行使途径等内容。


2.  最小必要

企业应对收集应聘者个人信息的必要性进行评估,明确每项个人信息收集的目的及必要性,避免超范围收集个人信息。

3.  用途限制

企业应严格限制收集的应聘者个人信息的用途,不将应聘者个人信息用于招聘之外的其他目的,确需用于其他目的应重新征得应聘者的同意。

4.  限期存储

企业应设定存储应聘者个人信息所必要的最短时间,招聘完成后及时删除落选者的个人信息,如需将其存储到人才库,需征得同意并告知存储期限,存储期限届满后应及时删除。


5.  第三方管理

企业通过第三方获取应聘者个人信息,应对第三方的个人信息保护能力和水平进行评估,如第三方隐私政策的内容、获取个人信息的流程、采取的个人信息保护措施等。另外,应在合同中嵌入个人信息保护条款或签署单独的个人信息处理协议,明确个人信息处理的目的、期限、处理方式、个人信息的种类、个人信息保护措施以及双方权利义务。


6.  安全管理

企业应采取必要的组织、技术措施保护应聘者的个人信息,通过权限控制、加密脱敏等手段避免个人信息泄露。


本文作者:W.AD, Ch.YF, Y.YX, G.RX


评论列表(0)
暂无提问

发表提问 取消回复

登录

客服热线:
021-621880012 ( 9:00-18:00 )

icp备案号:2022 安拓EVERPRO, 沪ICP备19019733号-2
关于我们| 我们的优势| 我们的客户| 产品与服务| 业务合作| 联系我们

安卓下载

ios下载

小程序

订阅号