健康信息是员工个人信息的重要组成部分,基于用工管理的需要,用人单位可以收集员工的健康信息吗?对员工个人信息处理不当要承担什么法律责任呢?
【案 例】
案例来源
(2021)宁01民终2013号
案情简介
说明:与主题无关的内容予以省略。
2019年3月18日,张某入职某公司,从事洁净服清洗工作。
2020年3月7日,公司统一体检,张某参与体检。体检后公司统一取回体检报告,并得知张某体检结果。
2020年4月10日,公司告知张某乙肝表面抗原阳性。
2020年5月13日,张某与公司解除劳动关系。
公司有职工定期体检及疾病报告制度。在岗员工健康体检不合格、乙肝表面抗原呈阳性,不得从事直接接触药品的工作。
在岗员工健康体检不合格,办公室应通知员工本人、部分负责人,公司主管领导,经公司对健康体检单审核后,决定员工是否能从事直接接触药品的岗位工作。参与审核人员,应对员工健康体检结果保密,不得对外传播。
在岗员工体检单,由办公室指定人员到医疗机构领取。
张某认可入职时公司告知过其疾病报告制度。
张某诉讼请求:判令公司赔偿非法侵害人格尊严权、隐私权的精神抚慰金62622元。
法院认为
某公司作为药品生产企业应确保所生产药品的安全质量,公司根据药品生产安全制定员工体检及健康管理制度,并定期对接触药品生产的职工进行健康体检。
张某在公司任职期间从事洁净服清洗工作,其职责是清洗药品生产车间员工服装,公司按照管理制度定期对张某进行健康体检,其中体检项目涉及乙肝表面抗原项目的检测是其制药企业的管理制度所决定。公司在张三接受体检后对张三体检结果进行管理也是其执行制药企业管理的需要。
本案中,张三称公司在取得体检结果后通过微信将结果发送给公司管理人员,构成在微信网络中传播侵犯其人格权。
对此,公司否认将张三体检结果通过微信在网络中进行传播,张三对此也未提交证据证明公司管理人员在收到微信后又进行传播的事实。
故张三主张公司的行为侵犯其人格权的诉请不能成立,判决驳回张三的诉讼请求。
【分 析】
1、本案为什么不是劳动争议?
本案虽然发生在劳动合同履行过程中,但并未经过劳动仲裁程序,法院审理时的案由是人格权纠纷,并非劳动争议纠纷。
《劳动争议调解仲裁法》第二条及《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》第一条规定了劳动争议案件的适用范围,总体的判断原则是建立劳动关系后,与实际用工有密切联系而产生的纠纷为劳动争议纠纷,但并不是在用工过程中产生的所有纠纷均为劳动争议纠纷。
还要看该纠纷的诉请所依据的法律,即请求权基础是什么。
本案中,劳动者认为公司将其健康信息在微信网络中传播,侵犯其人格权,请求权基础是《民法典》第四编人格权及第七编侵权责任,主要依据的条文是隐私权和个人信息保护。
2、用人单位有权处理员工的健康信息吗?
员工的健康信息属于《民法典》第一千零三十四条第二款规定的个人信息的一部分。处理员工的个人信息,应当遵循合法、正当、必要原则,不得过度处理,并符合一定的条件。
那么,用人单位是否有权处理员工的健康信息呢?
《个人信息保护法》第二章规定了个人信息的处理规则,第十三条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”
依据该条规定在符合特定条件的情形下,用人单位可以处理劳动者的健康信息。
本案中,用人单位是生产注射剂药物制药的企业,为医药制造业。
《药品管理法》第五十条规定:“药品上市许可持有人、药品生产企业、药品经营企业和医疗机构中直接接触药品的工作人员,应当每年进行健康检查。患有传染病或者其他可能污染药品的疾病的,不得从事直接接触药品的工作。”
《药品生产质量管理规范(2010年修订)》第三十一条规定:“企业应当对人员健康进行管理,并建立健康档案。直接接触药品的生产人员上岗前应当接受健康检查,以后每年至少进行一次健康检查。”
第三十二条规定:“企业应当采取适当措施,避免体表有伤口、患有传染病或其他可能污染药品疾病的人员从事直接接触药品的生产。”
依据以上规定,医药生产企业对员工进行年度健康检查,对员工进行健康管理,并建立健康档案,有相应的法律依据,且是实施人力资源管理所必需。
因此,本案中的公司有权在特定条件下处理员工的个人健康信息。
3、侵犯员工的健康信息要承担什么法律责任?
用人单位虽然可以处理员工的个人健康信息,但要注意对员工健康信息的保护,否则将承担相应的法律责任。
《民法典》第一千零三十八条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”
《个人信息保护法》第二十五条规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”
依据以上规定,保护员工的个人信息是用人单位的法定职责,如果侵犯员工权益,员工可以要求用人单位承担《民法典》第七编规定的侵权责任。
同时,《个人信息保护法》第六十九条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”
该规定明确对于侵权员工个人信息的行为用人单位要举证证明自己没有过错,否则要承担侵权责任。
中国律师事务所-律政在线 http://law-firm-china.com/?id=2605 转载需授权!