属于我们的Compliance & Regulation系列
阅读完整指南员工数据隐私管理:平衡人力资源需求与隐私权
**员工数据是大多数公司处理的最敏感的个人数据类别。**它包括财务信息(工资、银行详细信息)、政府标识符(SSN、税号)、健康数据(病假、残疾住宿)和行为数据(绩效评估、纪律记录)。然而,人力资源部门经常收集和存储超出必要数量的员工数据,而且往往保护措施不足。
本指南涵盖了在整个就业生命周期中管理员工数据隐私的法律要求、实用框架和技术实施。
要点
- 同意很少成为员工数据处理的适当法律依据——权力不平衡使得同意变得非自由
- 员工监控必须适度、透明且有合法基础
- 员工数据跨境传输(例如向集团总部)需要特定的传输机制
- 人力资源数据的数据保留期限从 1 年(招聘拒绝)到 30 年以上(养老金记录)不等,具体取决于类型
处理员工数据的法律依据
GDPR 法律依据(第 6 条)
| 法律依据 | 何时使用 | 示例 |
|---|---|---|
| 合同履行(第 6(1)(b) 条) | 履行劳动合同所必需的 | 薪资处理、工作安排、福利管理 |
| 法律义务(第 6(1)(c) 条) | 法律要求 | 税务报告、社会保障缴款、工作场所安全记录 |
| 合法权益(第 6(1)(f) 条) | 业务需求与员工权利的平衡 | IT 安全监控、欺诈预防、组织规划 |
| 同意(第 6(1)(a) 条) | 真正的可选活动 | 员工名录照片、社交活动、非强制性调查 |
| 切身利益(第 6(1)(d) 条) | 危及生命的情况 | 紧急医疗信息 |
重要:同意应该是员工数据的最后手段。雇主与雇员之间的权力失衡意味着可能无法按照 GDPR 的要求“自由给予”同意。尽可能使用合同履行或法律义务。
特殊类别(第 9 条)
健康数据、生物特征数据、工会会员身份和其他特殊类别需要额外的法律依据:
| 特殊类别数据 | 法律依据 | 常见人力资源场景 |
|---|---|---|
| 健康数据 | 雇佣法义务或明确同意 | 病假、残疾住宿、职业健康 |
| 生物识别数据 | 明确同意或重大公共利益 | 指纹门禁、人脸识别考勤 |
| 工会会员资格 | 雇佣法,明确同意 | 工会会费扣除、集体谈判 |
| 犯罪记录 | 法律义务 | 背景调查(在法律允许的情况下) |
| 宗教信仰 | 明确同意 | 饮食要求、宗教节日 |
整个生命周期的员工数据
招聘
| 收集的数据 | 保留 | 笔记 |
|---|---|---|
| 简历/简历 | 被拒后6-12个月 | 保留时间越短越安全 |
| 采访笔记 | 被拒后6-12个月 | 仅保留与工作相关的笔记 |
| 参考检查结果 | 做出决定后 6 个月 | 及时删除 |
| 评估/测试结果 | 被拒后6-12个月 | 提前通知候选人 |
| 背景调查 | 做出决定后 6 个月,或根本不做 | 严格的目的限制 |
必须告知考生:在收集数据之前,请提供隐私声明,说明收集哪些数据、为何收集数据、保留数据的时间及其权利。被拒绝的候选人的数据应在 6-12 个月内删除,除非候选人同意保留在人才库中。
入职
| 收集的数据 | 目的 | 法律依据 |
|---|---|---|
| 全名、地址、出生日期 | 雇佣合同 | 合同 |
| 税号/SSN | 税务报告 | 法律义务 |
| 银行详细信息 | 工资支付 | 合同 |
| 紧急联系人 | 工作场所安全 | 合法权益 |
| 照片(可选) | 员工名录 | 同意 |
| 设备序列号 | 资产追踪 | 合法权益 |
| 工作资格文件 | 移民合规 | 法律义务 |
就业期间
| 处理活动 | 法律依据 | 需要透明度 |
|---|---|---|
| 薪资处理 | 合同 | 标准 |
| 业绩回顾 | 合法权益 | 高(告知标准) |
| IT系统监控 | 合法权益 | 高(需要监控策略) |
| 邮件监控 | 合法权益(有限) | 非常高(需要具体政策) |
| 央视 | 合法权益 | 高(标牌+政策) |
| GPS追踪 | 合法权益(如果成比例) | 非常高 |
| 时间和出勤率 | 合同+法律义务 | 标准 |
| 培训记录 | 合同+合法权益 | 标准 |
| 纪律记录 | 合法权益+法律义务 | 高 |
下班
| 行动 | 时间轴 | 笔记 |
|---|---|---|
| 撤销所有系统访问权限 | 出发日 | IT 清单 |
| 返回公司设备 | 出发日 | 资产追回 |
| 存档就业记录 | 出发日 | 移至限制访问 |
| 删除非必要数据 | 30 天 | 照片、个人档案、饮食偏好 |
| 保留法律要求的数据 | 根据保留计划 | 税务记录、养老金、雇佣合同 |
| 回应参考请求 | 正在进行(有限数据) | 受雇日期、担任职位 |
员工监控
比例框架
任何员工监控都必须通过比例测试:
- 合法目标:具体目的是什么? (安全性、生产力、法律合规性)
- 必要性:监控是实现目标的侵入性最小的方法吗?
- 比例:业务需求是否超过隐私影响?
- 透明度:员工是否清楚地了解所监控的内容?
按管辖区监控比较
| 监控类型 | 欧盟 (GDPR) | 美国 | 英国 | 法国 (CNIL) | 德国 |
|---|---|---|---|---|---|
| 电子邮件内容监控 | 受限(仅按比例) | 一般允许(有通知) | 受限制 | 非常受限制(私人电子邮件受保护) | 非常有限(劳资委员会同意) |
| 网页浏览监控 | 经通知和目的允许 | 允许(有通知) | 经通知后允许 | 仅供专业用途 | 受限制 |
| 工作场所闭路电视 | 允许(不在私人区域) | 允许(各州法律有所不同) | ICO 指南适用 | 不在休息室 | 需要劳资委员会同意 |
| GPS车辆追踪 | 只允许在工作时间 | 一般允许 | 工作时间允许 | 仅限工作时间,员工告知 | 非常有限 |
| 击键记录 | 普遍不成比例 | 允许(有通知) | 普遍不成比例 | 不成比例 | 不成比例 |
| 屏幕录制 | 受限制(有时间限制、特定目的) | 允许(有通知) | 受限制 | 非常有限 | 非常有限 |
跨境员工数据传输
常见场景
| 场景 | 需要转移机制 |
|---|---|
| 欧盟子公司到美国总部(薪资) | 标准合同条款 (SCC) + 转让影响评估 |
| 欧盟母公司的英国子公司 | 英国充分性决定(相互) |
| 欧盟至印度(IT 支持) | SCC + 补充措施 |
| 多国人力资源系统(Odoo、Workday) | 带数据处理器 + DPA 的 SCC |
实施
对于使用集中式人力资源系统的跨国公司:
- 映射数据流:记录哪些员工数据在哪些国家之间移动
- 评估充分性:检查接收国是否有欧盟充分性决定
- 实施 SCC:数据导出方和导入方之间签署标准合同条款
- 转让影响评估:评估接收国的法律是否破坏SCC保护
- 补充措施:根据需要添加加密、假名或访问限制
请参阅我们的跨境数据传输指南,了解详细的传输机制指南。
人力资源数据保留时间表
| 数据类型 | 保留期限 | 法律依据 |
|---|---|---|
| 雇佣合同 | 持续时间 + 6 年(诉讼时效) | 法律义务 |
| 工资记录 | 就业后 7-10 年(因国家/地区而异) | 税法 |
| 纳税表格(W-2、P60) | 7 年(美国)、6 年(英国) | 税法 |
| 养老金记录 | 直至最终养老金支付后 6 年后 | 法律义务 |
| 业绩回顾 | 工作期限+2年 | 合法权益 |
| 纪律记录 | 持续时间 + 1-3 年(可变) | 合法权益 |
| 病假记录 | 持续时间 + 3 年 | 法律义务 |
| 培训记录 | 持续时间 + 2-3 年 | 合法权益 |
| 招聘数据(已拒) | 6-12 个月 | 同意或合法权益 |
| 闭路电视录像 | 30 天(大多数司法管辖区最多 90 天) | 合法权益 |
| 访问日志 | 1-3年 | 安全+合法权益 |
| 劳资委员会会议纪要 | 10年 | 法律义务 |
常见问题
我们可以使用同意作为处理员工数据的基础吗?
仅适用于真正可选的活动,员工有真正的自由选择,而拒绝不会产生任何负面后果。示例:可选的公司新闻通讯订阅、在公司网站上使用员工照片、参与非强制性员工调查。对于工资单、绩效管理或对雇佣关系至关重要的任何数据处理,请使用合同履行或法律义务。
我们可以监控员工电子邮件吗?
在大多数欧盟司法管辖区,如果满足以下条件,您可以在有限范围内监控企业电子邮件帐户:(1) 明确告知员工监控情况,(2) 监控与合法目的相称,(3) 禁止个人使用企业电子邮件(使所有电子邮件成为业务)或将个人电子邮件排除在监控之外,(4) 监控是系统性的,而不是无故针对个人。法国和德国的限制最为严格。
我们如何在 Odoo HR 中处理员工数据?
Odoo HR 模块收集大量员工数据。实施:(1) 将 HR 数据限制为授权人员的访问组,(2) 敏感字段(工资、SSN)的字段级访问控制,(3) 前员工数据的自动归档规则,(4) 针对员工数据主体请求的数据导出功能,(5) 对敏感字段更改的审核日志记录。 ECOSIRE 提供Odoo HR 实施,并内置隐私控制。
如果员工行使删除权会发生什么?
删除权(GDPR 第 17 条)并不凌驾于法定保留义务之上。如果法律要求您保留数据(税务记录、养老金记录),您可以拒绝删除。您必须删除没有合法或正当保留依据的数据(超出保留期限的前员工的旧绩效评估、被拒绝的候选人的招聘数据、内网上前员工的照片)。
接下来会发生什么
员工数据隐私是治理计划的组成部分之一。将其与 数据保留政策 相结合以实现自动执行,将其与 GDPR DPO 实施 相结合以实现治理结构,并与 跨境数据传输 相结合以实现国际劳动力数据。
联系 ECOSIRE 获取 HR 数据隐私咨询和 Odoo HR 隐私控制实施。
由 ECOSIRE 发布——帮助企业尊重和合规地保护员工数据。
作者
ECOSIRE Research and Development Team
在 ECOSIRE 构建企业级数字产品。分享关于 Odoo 集成、电商自动化和 AI 驱动商业解决方案的洞见。
相关文章
更多来自Compliance & Regulation
审计准备清单:您的 ERP 如何使审计速度加快 60%
使用 ERP 系统完成审核准备清单。通过适当的文档、控制和自动证据收集,将审计时间减少 60%。
Cookie 同意实施指南:合法合规的同意管理
实施符合 GDPR、ePrivacy、CCPA 和全球法规的 cookie 同意。涵盖同意横幅、cookie 分类和 CMP 集成。
跨境数据传输法规:驾驭国际数据流
通过 SCC、充分性决策、BCR 以及 GDPR、英国和亚太地区合规性的传输影响评估来应对跨境数据传输法规。
按地区划分的网络安全监管要求:全球企业合规地图
了解美国、欧盟、英国、亚太地区和中东的网络安全法规。涵盖 NIS2、DORA、SEC 规则、关键基础设施要求和合规时间表。
数据治理与合规性:科技公司完整指南
完整的数据治理指南,涵盖合规框架、数据分类、保留政策、隐私法规和科技公司的实施路线图。
数据保留策略和自动化:保留您需要的内容,删除您必须的内容
根据 GDPR、SOX 和 HIPAA 的法律要求、保留计划、自动执行和合规性验证来构建数据保留策略。