随着零工经济的迅速扩张,吸引自由职业者的影响已成为经常出现的新闻——从最高法院最近对优步(Uber)员工分类的裁决,到政府在当前大流行期间对依赖独立顾问的企业的支持。
较少讨论但对企业同样重要的是,考虑自由职业者在哪里可以访问由招聘企业控制的个人数据的数据保护影响。这可能包括其客户的联系方式或其工作人员的姓名。
与雇员不同,自由职业者是第三方,他们可能会成为招聘公司控制的个人数据的“处理者”。在这种情况下,招聘公司和自由职业者都有责任签订一套关于数据保护的强制性合同条款。理想情况下,这些应该成为自由职业者所从事的合同的一部分。
尽管许多此类协议省略了这些条款,但不包括这些条款会带来重大风险,可能会导致英国信息专员办公室(ICO)处以高达870万英镑或全球营业额2%(以较高者为准)的罚款。
这些强制性条款是英国GDPR规定的。具体而言,合同条款必须详细说明相关自由职业者将代表招聘业务处理哪些个人数据,这些个人数据涉及哪一类人,将处理多长时间,以及处理的性质是什么。
该协议还必须包括自由职业者的义务:
- 仅根据招聘业务的书面指示处理相关个人资料;
- 承诺对个人资料承担保密义务,并采取适当的保安措施保护该等资料;
- 协助招聘业务的数据保护合规工作;
- 在业务约定结束时删除或将个人资料归还业务;
- 未经招聘业务事先同意,不得雇用其他任何人处理个人资料;而且
- 允许雇佣企业或其审计师进行审计和检查。
仅仅要求自由职业者遵守公司内部的隐私政策——虽然这当然是一种很好的做法——本身并不能履行上述合同条款的法定义务。
尽管简单地将英国GDPR的相关条款复制粘贴到自由职业者协议中可能很诱人,但这是不够的。最近的指导意见指出,协议必须详细说明自由职业者将采取哪些具体措施来确保足够的数据安全。它还应该要求对这些措施的有效性进行定期审查,并防止自由职业者在未经招聘公司批准的情况下对这些措施进行任何更改。
此外,值得规定的是,在英国境外转移个人数据必须符合英国GDPR,因为这是目前ICO执法议程上的热门话题。
并非所有的独立承包商都将构成“处理者”。例如,律师或会计师等专业服务提供商可能本身就是数据控制者。在这种情况下,没有法定义务在与这些承包商的协议中包括特定条款。
然而,在大多数情况下,企业雇佣的个人自由顾问可能是处理者,因此需要签订包含强制性条款的协议。虽然这可能会使雇佣过程复杂化,但它也有助于保护你的业务,确保每个雇佣的自由职业者都足够值得信赖,并拥有适当的措施和资源,以最大限度地减少个人数据泄露给企业带来的重大财务和声誉风险。
Raj Shah是Collyer Bristow LLP律师事务所的合伙人