透過最新穎的人力資源系統,現時我們可以輕易地大量搜集員工的個人及工作行為的資料,準確掌握員工表現,方便我們進行績效考核。同時,作為僱主,我們有理由進行一定程度的員工監察安排,以確保公司的利益得到合適的保障。我們亦必需確保員工在工作時,沒有進行任何不合法的行為。
然而,我們在搜集資料時亦必需考慮法律上關於私隱的規定,防止誤墜法網,不必要地侵犯員工的私隱。在香港,有甚麼私人保障相關的規定我們需要注意呢?
法律根據
個人資料保障的法律基礎主要為以下兩個來源:
《個人資料(私隱)條例》,及
「香港個人資料私穩專員」透過《個人資料(私隱)條例》第12(1)條所予之權力而發出的實務守則。
除了現職員工外,離職員工的個人資料同樣需要受保障。以下讓我們分享三個大家需要注意的地方。
如何判斷對員工的監察是否合適?
以下根據<<保障個人資料私隱指引:僱主監察僱員工作活動須知>>2016年4月版製作:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/code_of_practices/files/Monitoring_and_Personal_Data_Privacy_At_Work_revis_Chi.pdf
一般來說,監察員工應該以公開方式而非隱蔽方式進行,除非有足夠原因證明若以公開式方法進行,則所搜集的證據可能因此受影響而變得偏頗,且以隱蔽式方法進行是能夠偵查出非法行為的唯一方法。
即使監察的安排是以公開方式進行,在進行監察員工前我們應考慮以下「3A」原則,即風險評估(Assessment)、替代選擇(Alternatives)及盡責管理(Accountability),從而判斷員工監察的安排是否屬可行方法中的最好一個。
3As -風險評估(assessment)、替代選擇(alternatives)及盡責管理(accountability)
- 風險評估 – 是否必定要用監控、監察的安排來應對公司業務中的風險,及相關安排是否對公司的生產力有益?
- 替代選擇 – 有沒有其他牽涉私隱程度較輕,而同樣有效的安排?
- 盡責管理 – 僱主有責任製定一套私隱處理的守則,並對員工監察的活動負上最終責任。
上述原則並不代表個別監控安排必定不可進行,但下表描述了不同的安排如何按上述原則作平衡。
| 電話紀錄 | 閉路電視 | 上網紀錄 | 電郵 | |
| 風險評估 | 員工是否可能因為與客戶的對話中有不當的地方而影響公司利益? | 如需監控危險活動,則監控行為可能是必需的。 | 需防止的是瀏覽個別網頁,還是下載個別非法檔案至公司電腦? | 是否必需審查每個電郵的內容以確保公司電資料不會外洩? |
| 替代選擇 | 能否只涵蓋個別法例或公司要求的對話類別? | 能否只對個別電話號碼作監察? | 應該在哪一範圍進行監控,還是在全公司範圍進行監控? | 能否考慮只禁止瀏覽個別不適合的網頁,而非紀錄所有上網紀錄? |
落實後,我們可以按「3C」原則,即清晰政策(Clarity)、政策傳達(Communication)及妥善存用(Control)三個原則,確保對員工監察及個人資料處理、管理有適當的政策:
3Cs -清晰政策(Clarity)、政策傳達(Communication)及妥善存用(Control)
- 清晰政策 – 公司的監控政策應該清楚說明圍繞公司業務為主體的監控目的、在甚麼情況下會被監控、有甚麼個人資料會被搜集、搜集個人資料的目的等。
- 政策傳達 – 我們應確保員工清楚明白公司的監察及個人資料政策,例如,透過在公司迎新陪訓、甚至在僱傭合同中加入政策的資料。
- 妥善存用 – 公司對個人資料及監察時搜集回來的資料必需小心處理。一般以言,監察紀錄不應保留超過六個月
只要做到公開、透明,同時清楚表達資料搜集的目的及監察的目的,我們理應可以判斷監察安排是否符合情、合理,及是否配合公司的商業目的。
現職員工 - 績效評核及人力資源調配
以下根據<<人力資源管理實務守則>>2016年4月版本製作:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/code_of_practices/files/PCPD_HR_Booklet_Chi_AW04_Web.pdf
每年第四季都是公司對員工進行評核的旺季,同時大家都可能忙於策劃下一年度的人力資源的調配。
進行表現評核時,我們需要緊記保障個人資料的原則:
清楚了解搜集個人資料的目的:表現評核需要客觀資料作為憑證,但日常搜集資料時必需以績效評估、晉升及陪訓等目的為依歸,不能漫無目的地隨意搜集資料。
搜集資料的手段必需合法合理,並且需要讓員工知道(可參考第1點關於隱蔽方式安排的條件)。例如把員工電話裡的每一段對話用作績效評估的根據,可能有矯枉過正及不合理,不公平的嫌疑。
評核後發現表現優異的員工當然值的高興。在討論相關員工晉升機會時,有甚麼關於個人私隱的問題需要考慮呢?
對於個別升遷的個案,特別是職級較高的員工,是否升遷可能不僅是員工直屬上司的決定,並可能需通過升遷、或人事委員會的考核。向可能被定義為「第三者」的委員會成員提供被考核員工的資料是被准許的,但必需確保提供的個人資料並不超出作升遷考慮的目的。
相反,對於表現差劣的員工的處理,有甚麼考慮的地方?
一旦牽涉紀律處分程序,公司必需確保搜集的證據的真確性。另外,資料必需安存的保存,同時防止不相關人士能夠查閱。
如需對未來人力資源調配,即進行所謂《個人資料(私隱)條例》第53條的「職工策劃」時,有甚麼可以留意?
即使個別員工察覺公司可能正要進行裁員或改組,因而有機會影響自己崗位而提出索取個人資料的要求,作為人力資源同事的我們可以注意,根據法例規定,我們毋需向員工提供有關裁員或改組等「職工策劃」的細節,即使該員工的確是受影響的一員。
離職員工的資料保留及匿名化的重要
以下根據<<人力資源管理實務守則>>2016年4月版本製作:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/code_of_practices/files/PCPD_HR_Booklet_Chi_AW04_Web.pdf
最後,對於已離職員工,我們必需平衡資料保存的需要及私隱保障的需要。
一般來說,根據<<僱傭條例>>,即使員工離職,我們依然需要保留員工資料至少6個月,當中包括過去12個月的工資、工時等僱傭資料。
而如果牽涉下列情況,員工即使離職,其個人資料可能仍需保存一段時間:
訴訟
醫療索償
退休金、離職保償計算
其他法例規定
應離職員工要求
然而,按照<<人力資源管理實務守則>>,如法律並無禁止刪除資料(例如因為進行訴訟的需要),在正常情況下,離職員工的資料不應保留超過7年,除非離職員工曾經訂明同意其資料可保留超過7年。
然而,如果員工一旦離職便要刪去資料,那公司如何在大數據年代,利用辛苦搜集得來的數據及行為紀錄作分析?
根據<<個人資料的刪除與匿名化指引>>:
基於不同原因,例如為研究及/或統計目的,我們作為資料使用者可保留部份個人資料,但必需把資料「匿名化」。當資料不足以識別相關人士時,資料便不再是法例定義的「個人資料」。因此,除了在員工離職後完全刪除資料,我們亦可考慮將資料進行「匿名化」。
匿名化是指刪除個人資料中可供識別身份的元素。按一般理解,識別身份元素主要包括身份證號碼及姓名。然而,我們必需按個別情況作考慮判斷甚麼是「識別元素」,同時作出清晰的承諾,確保保存的資料不足以重組出當事人的身份。
參閱<<個人資料的刪除與匿名化指引>>
https://www.pcpd.org.hk/tc_chi/publications/files/erasure_c.pdf
上述資料有用嗎?歡迎跟您的朋友分享!
