《個人信息保護法》下員工個人信息保護合規(guī)清單

1、個人信息保護法下員工個人信息保護合規(guī)清單員工個人信息保護制度構(gòu)建。是是否建立員工個人信息保護制度？n否是否建立員工個人信息分類分級保護機制，根據(jù)員工個人信息性質(zhì)，選擇適用不同的合法性基礎，比方事先區(qū)分哪些個人信匚是息為實施人力資源管理所必須，哪些信息需事先獲取員工同意?口否是否通過顯著方式（勞動規(guī)章制度、（集體）勞動合同等）向員工以清晰易懂的語言真實、準確、完整地明確告知員工個人匚是信息保護制度（范圍、目的、處理方式、救濟等），并讓員工閱讀知悉并簽字？口否在處理員工敏感個人信息時，是否事韌取員工的單獨同意，即在處理員工敏感個人信息前就該事項進行單獨告知并獲取同二是意？口否在法定的存儲期限結(jié)束或

2、已無必要存儲時，是否及時對離職員工的個人信息進行刪除、銷毀或匿名化處理？需繼續(xù)處理離職員工個人僖息的，是否重新向離職員工進行告知并獲取同意，或者具備其他合法性基礎?在第三方調(diào)直機構(gòu)或招聘企業(yè)向企業(yè)收集離職員工的個人信息時，是否核實離職員工的背景調(diào)直同意聲明，并將提供的個人匚是u否是匚否口是0否匚是u否是匚否口是0否信息限制在必要范圍之內(nèi)？是否將員工個人信息的處理范圍限制在實施人力資源管理的必要范圍之內(nèi)？（比方在辦理入職手續(xù)時僅處理姓名、年齡、學口是歷、工作經(jīng)歷等”與勞動合同直接相關的個人信息，而不得收集婚育情況、宗教信仰等與勞動合同并不直接相關的個人信否 息）匚是當員工個人信息保護制度變更或超

3、出員工同意處理個人信息時,是否重新告知員工,并在必要情況榜取其同意?口否是否建立便捷的員工行使權(quán)利的申請受理和處理機制，當存儲的員工個人信息存在錯誤或超出同意/人力資源管理必要范圍【是時，給予員工必要有效的救濟？口否口是是否采取相應的加密、去標識化等平安技術(shù)措施保障員工個人信息平安？口否 是是否建立員工個人信息平安事件應急機制？口否是否將非法處理員工個人信息的行為列舉為重大違紀行為，以降低以非;去處理員工個人信息為由解除勞動關系的法律風險？匚是否 口是是否明確員工個人信，息保護責任人或負責機構(gòu)?否口是是否根據(jù)部門及崗位職責設計不同的員工個人信息訪問權(quán)限？口否口是 是否與可接觸、處理員工個人信息

4、的崗位人員（比方財務人員、檔案管理人員、人事部員工等）簽署保密協(xié)議?。否口是是否認期開展員工個人信息保護平安教育與培訓，并做好留痕工作？否日常管理中的員工個人信息保護是否引入基于指紋、聲紋、人臉信息等生物識別信息或地理位置、行蹤軌跡等信息的考勤系統(tǒng)？是否 口是是否提供其他可替代的考勤方式供員工選擇？否口是在辦公區(qū)域安裝監(jiān)控設備時，是否事先對員工進行明確告知，并在視頻采集區(qū)域設置顯著的提示標識？。否口是是否僅在公開辦公區(qū)域安裝監(jiān)控設備的情況？口否是否會對員工的工作郵箱、 、其他信息系統(tǒng)進行監(jiān)控？在采取前述監(jiān)控措施前，是否向員工明確告知用人單位對公司設口是備、郵箱、系統(tǒng)等采取的監(jiān)控措施和形式，并明

5、確告知用人單位可監(jiān)控的信息范圍？口否企業(yè)在引入前述可能采集員工個人敏感信息的考勤系統(tǒng)或監(jiān)控設備前，是否對設備安裝的必要性與風險進行評估，是否征求0是員工意見？(否匚是署系統(tǒng)服務器或識別算法？否匚是署系統(tǒng)服務器或識別算法？否企業(yè)在收集前述人臉信息等個人敏感信息時，是否在實現(xiàn)相應目的后及時刪除原始數(shù)據(jù)，僅存儲摘要信息或盡可能本地化部口是涉及利用員工個人信息進行自動化決策的，是否采取措施防止出現(xiàn)算法歧視或不合理差異待遇等情況？否口是是否對利用員工個人信息進行自動化決策活動事前進行個人信息保護影響評估并采取相應的平安保障措施？否 。是是否認期對其處理員工個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計？口

6、否對外攫供或委托處理中的員工個人信息保護員工個人信息的類型、數(shù)量、顆粒度控制在實施人力資源管理的必要范圍之內(nèi)？對外提供或委托處理員工個人信息是否出于合法、必要的目的（比方代繳社保、績效分析、業(yè)務外包、背景調(diào)杳等），并將是否匚是響評估，并對處理情況進行記錄?口否在委托處理員工個人信息、向其他個人信息處理者提供員工個人信息、公開員工個人信息時，是否事前進行個人信息保護影0是在又效隈供或委托處理員工個人信息前是否事先向員工告知，并獲取員工的單獨同意？口否口是是否對接收方的個人信息保護能力和相關業(yè)務資質(zhì)進行評估?口否。是是否與接收方簽訂協(xié)議以明確個人信息保護義務？口否是需向境夕隰供員工個人信息的，是否

7、就該事項獲取員工的單獨同意？0否是否與境外員工個人信息接收者簽訂個人信息保護協(xié)議？口是口否在向境夕隰供員工個人信息前，是否具備以下條件之一：(1)通過國家網(wǎng)信部門組織的平安評估；是(2)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；否(3)按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務；(4)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件是是否對員工個人信息的跨境流動活動事前進行個人信息保護影響評估并采取相應的平安保障措施？。否口是應外國司法或執(zhí)法機構(gòu)要求提供存情于中國境內(nèi)員工個人信息的，是否獲得主管機關的批準?口否招聘過程中的個人信息保護通過自運營的APP、公

8、眾號、4濯序、網(wǎng)站等平臺收集應聘者簡歷時，是否制定符合相關法律規(guī)定的隱私政策或個人信息保。是護政策？口否通過第三方招聘平臺、獵頭公司、勞務派遣公司等外部機構(gòu)獲取應聘者或勞務派遣人員個人信息時，是否與外部機構(gòu)核實該匚是個人信息來源的合法性及個人信息主體的同意范圍？口否通過外部機構(gòu)獲取的個人信息超出個人信息主體的同意范圍的，是否要求外部機構(gòu)或自行向該個人信息主體重新告知并獲取匚是同意？O否口是與關聯(lián)公司共享應聘者個人信息的，是否進行事前告知并獲取同意？口否自行或委托第三方調(diào)查機構(gòu)對應聘者進行背景調(diào)直時，是否以書面形式告知背景調(diào)杳涉及的個人信息范圍、目的、使用方式口是以及第三方調(diào)直機構(gòu)的名稱等相關信息，并請應聘者簽字同意，且將個人信息處理活動限制在必要范圍內(nèi)?口否引入具備自動決策機制的信息系統(tǒng)對應聘者進行篩選的，在規(guī)劃設計階段或首次使用前是否開展個人信息平安影響評估,并是依評估結(jié)果采取有效的保護個人信息主體的措施？否匚是是否在使用過程中定期（至少每年一次）對上述信息系統(tǒng)開展個人信息平安影響評估，并依評估結(jié)果改進個人信息保護措施？否采用自動決策機制對應聘者進行篩選的，是否對應聘者提供針對自動決策結(jié)果的投訴渠道，并支持對自動決策結(jié)果的人工豆是核？口否口是招聘環(huán)節(jié)結(jié)束后，是否及時對未錄用者的