《中华人民共和国个人信息保护法》于2021年11月1日起正式生效,这标志着我国个人信息保护立法体系更上一个台阶。作为第一部专门保护个人信息的法律,《个人信息保护法》为数据保护的合规性提供指导,对处理个人信息的企业和个人如何使用相关数据进行更严格的管理,具有划时代意义。
为了更好地了解《个人信息保护法》将对企业与和人力资源部门带来什么样的影响,日前ADP北亚区总经理张晓云就《个人信息保护法》相关问题进行了解读。
《个人信息保护法》正式生效,标志着我国个人信息保护制度进入了新的阶段。ADP曾提出,《个人信息保护法》与欧盟的《通用数据保护条例》(以下简称:GDPR)有相似之处,但其中仍存在一些关键区别。请问它们反映在哪些具体层面?
张晓云:首先需要明确的是,与GDPR一样,《个人信息保护法》规定了在雇佣关系中,个人信息处理者可以处理的个人信息的定义:为订立、履行个人作为一方当事人的合同所必需的信息。除此之外,《个人信息保护法》还特别授权企业处理按照依法制定的劳动规章制度或依法签订的集体合同,实施人力资源管理所必需的信息, 而GDPR在这种情况下则没有做出明确规定。
最后,在敏感个人信息的分享与处理、个人信息跨境传输等事项上,《个人信息保护法》的处理方式与GDPR也有所不同。《个人信息保护法》除了要求企业建立完善的个人信息跨境传输机制外,个人信息处理者还必须确保个人信息主体同意此类处理活动。
《个人信息保护法》的实施对企业数据合规提出了新的挑战。其中容易出现的主要问题有哪些?企业应如何通过组织架构,确保数据合规?
张晓云:企业主要面临着三个方面的挑战。第一,加强其数据安全意识是企业的首要任务,强化组织管理者和员工对数据合规性的认知,对于企业的合规流程非常重要。企业需要不断调整自身的经营模式,持续做出优化,以确保遵守《个人信息保护法》的相关规定。
第二,信息管理工具是否具有合规性的问题,同样不容忽视。企业使用的某些数据收集和管理工具可能不符合《个人信息保护法》的要求。陈旧的软件和系统,也会给企业带来一定的合规风险。
第三,企业完全能够通过组织架构,确保数据合规,譬如通过以下这些手段:咨询法律和信息收集使用技术专业人士数据合规相关问题,在合规解决方案和技术解决方案之间取得平衡;使用合适的信息管理工具并指派相关专家持续监测数据处理活动,能够有效地预防潜在的违规行为;对员工进行数据合规培训,备案与数据处理有关的纠纷和违规。
对于企业和人力资源部门来说,最重要的考虑因素是什么?
张晓云:除消费者和客户数据两个层面以外,新法还规范了企业能够掌握的员工信息的范围。因此,企业需要将人力资源和薪酬系统也纳入考量。与此同时,企业需要全面考虑他们在处理数据时的全部义务和数据主体的权利,譬如信息通知、数据使用的选择、访问和删除的权利、适当的安全措施,以及与受托方签订合同的合规性。
另外,数据最小化、隐私设计、可访问性与准确性、对第三方供应商的监督、跨境数据传输、事件管理与响应、标准化记录数据处理活动和信息管理等事项,都是企业需要考虑的方面。企业必须在自身的合规计划中解决《个人信息保护法》提出的新要求。
企业应该对新法的各项要求进行全面的分析,以确定新法将如何影响企业的业务。接下来,企业应检查现有流程,绘制数据处理流程图,与新法规定的标准化流程对比,明确原有流程中亟待解决的问题。在此之后,企业管理者可以列出响应新法行动计划,让相应的部门及人员参与到合规流程中,包括但不限于隐私、法律、人力资源、信息技术、销售和市场等方面的专业人士;最后,企业及其人力资源部门,应将《个人信息保护法》的合规工作视作一项长期流程,而非一蹴而就的任务。同时,企业领导者应制定公司治理计划,展现出负责任的态度,并时刻保持自省,以确保在未来的运营中长期保持合规。
那企业和人力资源的负责人应该如何为未来的发展做好准备?
张晓云:对于企业和人力资源负责人来说,时刻关注法案对员工个人信息跨境传输的最新要求,是重中之重。这次更新的新法中规定了服务器必须存放在中国境内的情形。《个人信息保护法》规定:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将其在中华人民共和国境内收集和产生的个人信息储存在境内。如果确需向境外提供这些信息,应当参与并通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的个人信息处理者,从其规定。
同时,个人信息跨境提供也有四个前提条件。第一,事先告知:应当向个人告知境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项;第二,单独同意:应当取得个人的单独同意;第三,保障措施:个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准;第四,影响评估:事先进行个人信息保护影响评估,抖客网,并对处理情况进行记录。
妥善处理敏感个人信息,是企业应对未来发展的所需关注的第二个重点。敏感个人信息包括生物识别、财产信息和健康情况信息,《个人信息保护法》中对此有明确的规定和要求。
为了更好地应对未来的合规问题,企业应选择值得信赖的第三方供应商为其保驾护航。企业签订合同时,需要关注供应商所提供的合规服务是否是《个人信息保护法》下的合规,涉及处理员工个人信息 (包括收集、存储、使用、加工、传输、提供、公开和删除)的问题时,双方的合同中也应按照《个人信息保护法》的规定,增加相关个人信息处理的条款,包括受托方应对《个人信息保护法》的合规要求的能力。
通过与ADP北亚区总经理张晓云的对话,我们了解到,《个人信息保护法》正式实施之后,对相应的个人信息处理行为都有更为明确的规范和约束。作为个人信息的处理者,企业与人力资源部门从业者务必要在法律规定的范围内,遵循合法、正当、必要和诚实信用的原则处理个人信息。
-完-
关于ADP(NASDAQ – ADP)
领先技术、卓越服务、非凡体验,ADP始终致力于创造更好的工作方式,帮助人们尽情发挥职场潜能。从人力资源、人才、社保福利、薪酬到合规管理,以数据为基础,为人力而设计。
ADP和ADP标志是ADP公司的注册商标。所有其他商标所有权均归其各自所有者所有。Copyright © 2021 ADP, Inc.
原标题:【ADP北亚区总经理张晓云:《个人信息保护法》的正式生效对企业有何影响】 内容摘要:《中华人民共和国个人信息保护法》于2021年11月1日起正式生效,这标志着我国个人信息保护立法体系更上一个台阶。作为第一部专门保护个人信息的法律,《个人信息保护法》为数据保护的 ... 文章网址:https://www.doukela.com/jc/77274.html; 免责声明:抖客网转载此文目的在于传递更多信息,不代表本网的观点和立场。文章内容仅供参考,不构成投资建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。 |