20 августа 2021 года был официально обнародован Закон о защите личной информации (далее – Закон о защите персональных данных), который вступит в силу 1 ноября 2021 года. В качестве специального законодательства в области защиты личной информации PIPL выдвигает более подробные обязательства перед работодателями (как обработчиками личной информации) – путём включения специальных глав и положений.
Учитывая это, основываясь на нашем предыдущем опыте в области соблюдения требований в области защиты информации, мы хотели бы поделиться некоторыми нашими предложениями об обязанностях работодателя в отношении обработки личной информации сотрудников во время трудовых отношений.
Роль работодателя в соответствии с PIPL
Редакция Портала PRC.TODAY уже излагала ранее в статье «Работодатели в Китае должны подготовиться в соответствии с проектом PIPL» некоторые из ключевых моментов. В контексте данной статьи имеются некоторые изменения, с которыми вам стоит ознакомиться.
Согласно PIPL, работодатели являются «обработчиками личной информации», поскольку они «самостоятельно решают цель и метод обработки и другие вопросы обработки личной информации» личной информации сотрудников. Эта концепция аналогична «контроллеру данных» в соответствии с Общим регламентом Европейского Союза по защите данных (GDPR).
Что считается обработкой личной информации в соответствии с законодательством Китая?
Обработка личной информации относится к типам поведения в отношении личной информации, включая сбор, хранение, использование, обработку, передачу, предоставление, публикацию и удаление личной информации.
В сценариях трудоустройства, например, когда работодатель просит вновь принятых на работу сотрудников заполнить бортовую форму с указанием их имен, номера телефона, контактного адреса, контактного лица в экстренных ситуациях и т.д., они «собирают» свою личную информацию. Когда работодатель вводит информацию о сотрудниках в системы управления персоналом для эффективного администрирования, они «хранят» свою личную информацию. Когда работодатель предоставляет информацию о сотруднике страховой компании с целью приобретения групповой страховки для наших сотрудников, они «используют» и «передают» свою личную информацию. От сбора до удаления это можно рассматривать как «жизненный цикл» личной информации. Все эти этапы жизненного цикла в совокупности называются «обработкой» личной информации.
Подпадают ли работодатели за пределами Китая под обязательства по соблюдению требований PIPL?
Следует отметить, что даже если работодатель зарегистрирован за пределами Китая, организация всё равно может попадать под действие PIPL в следующих двух обстоятельствах:
• Где компания предоставляет продукты или услуги частным лицам на территории Китая; и
• Где компания анализирует и оценивает деятельность частных лиц на территории Китая.
Это условие аналогично «юрисдикции с длинными руками» в соответствии с GDPR ЕС.
Три основных принципа обработки личной информации сотрудников
При обработке личной информации сотрудников работодатели должны следовать трём основным принципам:
• Обработка персональных данных должна осуществляться в соответствии с принципами законности, законности, необходимости и добросовестности.
• Обработка личной информации должна осуществляться с определенной и разумной целью, быть непосредственно связана с целью обработки и должна проводиться таким образом, чтобы свести к минимуму влияние на личные права и интересы; чрезмерный или навязчивый сбор личной информации не допускается.
• Обработка персональных данных должна осуществляться в соответствии с принципами открытости и прозрачности, с обнародованием правил обработки персональных данных и чётким указанием цели, метода и объёма такой обработки.
Среди всех принципов «принцип необходимости» и «принцип минимума» могут быть двумя, которыми труднее всего управлять и в которых легко возникают споры в области управления человеческими ресурсами (HR).
Например, при управлении отпуском по болезни нередко работодатели просят работника предоставить медицинские записи в дополнение к регистрационному листку о лечении и рекомендательной записке по отпуску по болезни, подписанной врачом. Относится ли это к чрезмерному сбору и нарушает ли принцип минимума? Поскольку на данный момент прецедентов нет, судейская коллегия может по-разному трактовать этот вопрос и, таким образом, привести к различным судебным результатам. Работодателям предлагается проявлять осторожность, пересматривать свою текущую политику и управлять сбором информации, чтобы снизить подверженность рискам соответствия требованиям PIPL.
Как законно обрабатывать личную информацию сотрудников
При обработке персональных данных работников работодателями должны быть надлежащим образом выполнены следующие условия:
• Согласие сотрудника должно быть получено;
• Согласие работника должно быть дано добровольно и ясно выраженным образом при условии полного знания; и
• Работодатель должен чётко уведомить сотрудника о цели, способе обработки, типе и сроке хранения собираемой личной информации.
На практике, чтобы стандартизировать внутренний процесс управления персоналом и контролировать затраты на управление персоналом, всё больше работодателей предпочитают передавать свои вопросы управления персоналом на аутсорсинг стороннему агенту по обслуживанию персонала. При этом агент службы кадров будет иметь доступ к личной информации сотрудников.
Согласно соответствующим положениям PIPL, работодатель должен согласовать с кадровым агентом цель, сроки и метод доверенной обработки, тип личной информации и меры защиты, а также права и обязанности обеих сторон и осуществлять надзор за деятельностью кадрового агента по обработке личной информации. Агент должен обрабатывать личную информацию в соответствии с соглашением и не должен обрабатывать личную информацию сверх согласованной цели и метода обработки. В случае, если договор доверительного управления не вступил в силу, недействителен, отозван или расторгнут, кадровый агент должен вернуть личную информацию работодателю или удалить её и не должен сохранять её. Без согласия работодателя агент по персоналу не должен повторно поручать обработку персональных данных другим лицам.
Соответственно, когда сотрудничество работодателя со сторонней фирмой предполагает обработку личной информации, работодатель должен выполнить своё обязательство по уведомлению и получить отдельное согласие от работника. Кроме того, работодатель должен провести тщательную проверку третьей стороны, чтобы гарантировать её безопасность и соответствие требованиям, прежде чем сотрудничать с ней. Кроме того, работодатель должен внести соответствующие положения в коммерческий контракт с третьей стороной для уточнения вопросов, связанных с обработкой личной информации.
Обработка конфиденциальной личной информации
PIPL определяет конфиденциальную личную информацию как «личную информацию, которая может нанести ущерб личному достоинству любого физического лица или нанести ущерб его личной или имущественной безопасности после её раскрытия или незаконного использования, включая такую информацию, как биометрическая идентификация, религиозные убеждения, конкретная личность, медицинское состояние, финансовый счёт, местонахождение и следы, а также личную информацию несовершеннолетних в возрасте до 14 лет».
Национальный стандарт КНР GB/T 35273-2020: Технология информационной безопасности – Спецификация личной информационной безопасности, которая была выпущена 6 марта 2020 года и вступила в силу 1 октября 2020 года, содержит более подробные стандарты для конфиденциальной личной информации:
Согласно PIPL, работодатель может обрабатывать конфиденциальную личную информацию своих сотрудников только для определенной цели и при достаточной необходимости и только в том случае, если были приняты строгие меры защиты.
Кроме того, обработка конфиденциальной личной информации сотрудника должна осуществляться с отдельного согласия сотрудника. Если законы и административные правила предусматривают, что обработка конфиденциальной личной информации должна осуществляться с письменного согласия, такие положения имеют преимущественную силу.
Кроме того, работодатель должен, в дополнение к чёткому уведомлению сотрудников о необходимой информации, такой как цель, способ обработки, тип и срок хранения собираемой личной информации, также информировать сотрудников о необходимости обработки их конфиденциальной личной информации и о влиянии на их личные права и интересы.
Предоставление личной информации иностранным заинтересованным сторонам
На практике в целях интеграции управления персоналом многие китайские работодатели передают личную информацию своих сотрудников в свои зарубежные штаб-квартиры (штаб-квартиры) или предоставляют своим зарубежным штаб-квартирам доступ к своей базе данных для получения личной информации своих сотрудников. Такая передача или предоставление доступа к базе данных определяются PIPL как «трансграничное предоставление личной информации». Согласно PIPL, если китайский работодатель занимается трансграничным предоставлением личной информации своих сотрудников, должно быть выполнено любое из следующих предварительных условий:
• он должен быть сертифицирован специализированным агентством по защите личной информации в соответствии с положениями Администрации Киберпространства Китая; или
• он должен заключить контракт с зарубежным получателем в соответствии со стандартным контрактом, разработанным Администрацией Киберпространства Китая, с указанием прав и обязанностей обеих сторон.
В тех случаях, когда международные договоры или соглашения, заключенные Китайской Народной Республикой или к которым она присоединилась, содержат положения об условиях предоставления личной информации за пределами территории Китайской Народной Республики, такие положения могут иметь преимущественную силу.
Китайский работодатель должен принять необходимые меры для обеспечения того, чтобы деятельность по обработке персональных данных его зарубежной штаб-квартирой соответствовала стандартам защиты персональных данных, предписанным в настоящем документе.
Кроме того, для предоставления личной информации сотрудников в зарубежную штаб-квартиру за пределами территории Китайской Народной Республики китайский работодатель должен информировать сотрудника о таких вопросах, как название зарубежной штаб-квартиры, контактная информация, цель и способ обработки, тип личной информации, а также способ и порядок осуществления сотрудником прав, предусмотренных в настоящем документе, в отношении зарубежной штаб-квартиры, и должен получить отдельное согласие сотрудника.
Практические советы по подготовке к соблюдению требований PIPL
С учётом влияния PIPL на управление занятостью, работодателям следует провести всесторонний обзор и оценку своих мер по управлению занятостью. Это позволит работодателям определить возможные меры по управлению правовыми рисками, а также сформулировать и принять соответствующие решения и стратегии в рамках организации в соответствии с конкретными требованиями PIPL.
Ниже мы приводим контрольный список для работодателей, с которого можно начать:
Для получения дополнительной информации о требованиях работодателей в соответствии с Законом о защите личной информации, пожалуйста, пишите об этом в комментариях.
Статья «Новый закон Китая о защите личной информации: Влияние на управление занятостью», подготовлена Порталом PRC.TODAY по материалам агентства China Briefing – Fanny Zhang.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.