雇主收集和使用雇员的个人资料，包括未来雇员、现在雇员和过去雇员的个人资料，以作不同的用途，包括招聘、福利、薪金、人事档案、疾病记录、监察和评估、人事报告和遣散费。雇主可能需要收集雇员的资料，以履行雇佣法的义务，以及保护雇员。雇主应确保雇员资料的处理符合GDPR所有方面的规定，包括给予雇员查阅其 个人资料的权利。

在处理雇员的个人资料时，雇主应考虑成员国劳动法中适用于该情况的任何义务。例如，可能要求雇主咨询各种国家工作委员会。在员工权利法律保障力度强的司法管辖区，以及数据收集严重影响员工个人隐私的情况下，咨询相关委员会是必需的。

由于欧盟各地的就业法律差异很大，数据保护和就业法律的混合可能会使雇员关系中的隐私数据合规变得异常复杂。此外，某些欧盟国家，如芬兰，有专门处理员工数据的法律，或者像德国，可能有专门的关于监控工作场所的隐私法。介于此，GDPR第88条也承认，成员国可能会就处理员工个人数据提供更具体的规则。如果一个成员国实施了这种类型的国内法， 需要将这些法律通知欧盟委员会。

雇主处理雇员个人数据的合法依据与数据控制人处理数据主体个人数据的法律依据相比基本上差异不大，以下将分别简要介绍合法的个人数据处理依据：

虽然获得员工的同意似乎是处理员工个人数据的一个简单的解决方案，但在实践中最好避免过于依赖同意。因为根据欧盟数据保护法的要求，真正有效的同意是出了名的难以实现，因为要想生效，同意必须是自愿给出的、具体的、知情的、明确的、表示同意的员工意愿。而在现实中，这些条件的同时满足往往需要极高的文件存档标准以达到证明合规的目的。

另外根据数据保护监管机构的规定，对同意的依赖应只限于雇员有真正的自由选择，并能够在不造成任何损害的情况下撤回同意的情况。反之当同意不是自由的，它的作出也是无效的。监管机构的关注点是，由于雇主与雇员之间的权力不平衡，雇员没有真正的选择自由。GDPR Recital 43特别指出，在数据主体与数据控制人之间有明显不平衡的情况下，同意不应被视为处理个人数据的有效法律依据。雇员可能会在同意使用他们的数据时感受到来自雇主的压力，因为他们担心拒绝会对他们的就业造成不利影响。因此，除非随后撤回同意不会对处理活动的合法性造成问题，或不会不利于雇员的就业，否则不建议雇主完全依赖同意作为数据处理依据。

此外，即使雇员已同意雇主对其的数据处理，处理雇员数据在欧盟成员国国内法下可能被认为是不合法或不公平的。例如，雇员可能已同意收集特定的个人资料，但当地法律规定不能就此类处理给予同意。或者，雇员的同意可能涉及与雇主追求的目的不相称或过分的数据收集。换句话说，即使获得同意，雇主仍然必须遵守数据保护法的所有其他方面以确保合规。

最后，同意应该是雇主只有在绝对必要时才会采取的最后手段。在某些欧盟国家，征得同意可能意味着雇主必须获得雇员的书面同意，从而导致冗长的通知，以及非常详细向雇员说明雇主试图如何使用雇员的个人数据。

雇主必须处理雇员的个人资料以履行雇佣合同时，可以作为数据处理的合法理由。例如，为了支付雇员的工资，雇主必须处理雇员的姓名和银行账户等信息。或者，通过使用雇主的OA系统，雇员的某些信息会被雇主获得并进行处理。

特定法律可能会对雇主规定特定义务，因此雇主为了履行这些法定义务有时必须处理员工数据。但GDPR明确规定，这种情况必须是基于欧盟或成员国的法律，如向当地税务机关提供员工工资的详细信息。

在许多情况下，雇主可以依据合法利益的理由来处理员工的个人数据。例如，当雇主对系统进行结构性更改时，可能需要将员工数据从旧的系统迁移到新系统时，可能是基于合法利益这一法律要求进行数据处理。

在收集和处理有关雇员的敏感个人数据，包括种族或族裔出身、政治意见、宗教或哲学信仰、工会成员情况、基因数据、生物特征数据或有关健康或性生活的数据(所有这些数据都可以从广义上进行解释 )时，雇主必须确保其数据处理行为符合GDPR第9条规定的可以处理敏感数据的例外情况之一。

第一个很容易被想到的数据处理例外情况的是依赖于数据主体的明确同意，但同样，这个选择应该是雇主的最后手段，而非第一选择。因为在雇主与雇员的关系中，获得雇员的有效同意的标准是很高的，很多情况下即便形式上满足了同意的要求，也会因实际情况的不同对该同意的有效性产生影响。此外，在一些成员国，即使雇主获得了雇员的同意，雇主也不能仅依据同意作为合法理由处理敏感个人数据。

GDPR第9(2)条承认处理敏感个人数据对于数据控制人在欧盟或成员国劳动法法、社会保障和社会保护法下履行义务和行使特定权利是必要的。在许多司法管辖区， 雇主能够对雇员敏感数据的处理程度取决于所在过的就业或劳工法。例如，波兰 的《劳动法》规定了雇主有权向雇员或求职者索取的数据的类别。或者，各成员国当地数据保护监管机构可以发布与处理员工数据相关的特殊授权。比如意大利数据监管机构发布了一系列授权法案，规定了在未经员工同意的情况下雇主处理雇员敏感数据的具体情况和要求。

雇主也可能需要处理雇员敏感的个人数据，用以行使法律辩论权或辩护权，例如在劳动争议中使用部分雇员个人敏感数据。雇主必须仔细检查当地法律，包括任何适用的相关雇佣规则。

无论处理雇员个人数据的合法理由是什么，雇主仍有必要向员工提供适当的通知，告知其数据的使用、目的、查询时应联系谁，以及与数据相关的权利是什么。雇主可以选择通过员工手册或提供给所有新员工的特定通知文件来做到这一点，这些通知文件应当可以在其他需要的地方获得，比如公司内网。这些通知必须保持更新，特别是当添加任何数据处理的新用途时，应该通知员工。特别注意的是，根据GDPR，该通知必须提供足够详细的细节信息，以便雇员了解数据处理的目的、法律依据、合法权益是什么、何时依据该等理由、数据的接收人、数据会转移到何处，以及雇主会保留资料多久等等。

从个人申请职位的那一刻起，雇主就开始收集员工的个人信息。与员工相关的记录涵盖了广泛的活动，从招聘流程，病假，医疗保险和工资评估，绩效评估，到最终解雇。这些记录所包含的个人数据不应保留超过数据保护规则所规定的时间。一般来说，当一个人是企业的现任雇员时， 雇主有合法的理由保留该雇员的数据。然而， 一旦员工离职，这些原因就会消失，则雇主不应当在保留这些个人数据。

当然，某些欧盟成员国法律会要求雇主保留前雇员的个人数据一段时间，因此即便雇员离职，雇主在某些情况下也有权保留个人数据。然而，一旦某人的雇佣关系结束，雇主通常应该更改对前雇员记录的内部访问权限。由于访问前雇员的记录不太可作为人力资源部门的日常工作需求，因此在这种情况下，必须保留的前员工的数据应该安全地存档并限定能够访问的权限。

员工的隐私权并不因在工作场所进行工作而消失，即便是在工作场所员工的隐私权也应当被尊重。但是雇主基于合法利益保护公司的利益以及防范内部风险也是对一个组织而言必不可少的，这包括对员工的背景调查、以及一些内部合规行为监控软件的使用。因此隐私权与公司的合规控制权这两者之间需要采取某种方式以达到平衡。

根据数据保护规则，雇主仍有权使用在工作场所产生的雇员个人资料。但雇主必须遵守当地相关的就业法律和任何与电子通信隐私有关的具体规则。雇主可能会因为一些不同的原因监控其雇员，包括雇员使用雇主的设备时的保障措施或涉嫌未经授权的活动的监控。当雇主决定对工作场所进行监控时，必须满足必要性、合法性、适当性和透明性这四个基本条件。

若要在工作场所进行对雇员的监控，雇主必须确保这种监控行为对实现企业或组织的经营或合规目标而言是必须的。换句话说，雇主在开始进行工作场所监控之前应该考虑其他对个人隐私侵入性较低的监督方法。根据GDPR的要求，当监控活动可能对个人的权利和自由造成高风险时，雇主应当进行数据保护影响评估（DPIA）或私隐影响评估（PIA）。如果监控活动可以被认为是基于自动化处理的对个人进行系统性和广泛性的评估，并且在此基础上做出的决定对个人产生了法律方面或同样重要的影响，则必须进行数据保护影响评估。GDPR下的WP29指引对需要作出评估的情形做了举例说明。关于数据保护影响评估详见第八章。

雇主对工作场所的监控行为必须基于合法理由。雇主可能希望监控办公场所的互联网使用情况，以确保员工没有使用互联网下载色情内容或向外界泄露雇主的机密信息。另外，监控也可以用来确保雇员本身的安全。从数据保护的角度来看，雇主有合法的利益来保护自己的业务免受重大威胁，比如防止机密信息被发送给竞争对手，但也需要同时考虑雇员的隐私保护，因此这通常意味着雇主需要依赖于合法的利益平衡测试。

虽然GDPR第9条允许雇主根据就业、社会保障和社会保护法的具体要求的需要处理雇员的敏感数据，但即便敏感数据处理有欧盟或成员国法律或提供充法律依据，收集敏感数据的工作场所监控可能依然会出现问题。因此，当雇主预见到工作场所监控可能涉及处理种族、宗教、政治观点和性生活有关的数据时，雇主必须将参照欧盟和当地法律的指导。在某些情况下，可能没有足够的理由通过监控活动处理员工敏感数据。

此外在德国等国家，雇主可能有必要考使用虑集体协议或在监控前咨询工会。例如，在奥地利，劳动法限制雇主在未首先与工会达成协议的情况下实施对员工的监控。

当雇主考虑进行工作场所监控时，还需要着重考虑使用的监控手段与雇主希望达到的合法目的之间的适当性。比如，为了防范员工泄露公司机密而监控所有员工的邮箱肯定是过度的，因而不符合适当性的原则；然而，为了确保保雇主IT系统的安全对大量的电子邮件进行自动化监控很可能会被认为是适当的，因为这种监控是利用技术手段来发现IT系统中的漏洞。因此，监测活动必须设计成合理和现实的 应对潜在的或已知的威胁。“相称性的需要与 有关。该原则是根据《尽量减少资料规例》订定的原则，即个人资料 必须足够、相关，并受限于与处理该等资料的 目的有关的必要内容。因此，在可能的情况下，对电子邮件的监控应限于电子邮件产生的传输数据，例如谁在什么时间发送了电子邮件，而不是监控邮件的内容。

与第五章所介绍的数据处理告知义务的要求类似，雇主在进行工作场所监控时，需要向雇员提供充足有效的信息。遵守透明性的要求不仅是为了符合GDPR中关于通知的要求，也是为了让员工对他们的工作将如何被监控的有一个合理预期。这一心理预期的形成对雇主的合规至关重要，如果员工没有被告知他们的行为将在工作场所被监控，他们对隐私的期望就会更大，而告知员工他们将如何被监控可以降低这种对工作场所隐私的期望。比如若员工事先被告知在工作场所使用雇主设备的使用标准，并被告知这种使用将受到监控，那么他们在未来就没有足够的余地争辩说他们不知道自己的行为违反了雇主的行为标准，并且不能就受到监控一事提出异议。但要注意的是，不能仅仅因为雇主已经警告员工他们没有工作场所的隐私，就认定雇员在工作场所缺乏隐私是可以接受的。法院或数据监管机构不会承认通过雇主单方面的警告而进行工作场所监控是合法的，因为法律规定，员工在工作场所享有一定程度的隐私，这一要求无法完全消除。因此，雇主应该使用可接受的使用政策(AUP)，该政策向面所有新员工和现有员工，并详细列出雇主通信设备的使用标准，并向员工表明起使用过程是可能被监控的。

当然，在某些情况下，雇主可能认为有必要进行秘密监视，因为通知某个特定的人他们正在受到特别监视，这就意味着此人涉嫌从事不法活动。如果雇主有合理的理由怀疑员工的行为，那么在某些情况下也可以进行秘密监视。在一些欧盟司法管辖区，这种类型的秘密监视只在非常有限的情况下才被允许，比如员工涉嫌刑事犯罪，在某些司法管辖区，则根本不被允许。

在WP29中就雇主应向雇员提供的信息作出了指引，这些信息包括：

1、公司的电子邮件/互联网使用政策，其中应详细描述员工可以使用公司拥有的通信设施进行私人通信的程度（比如是否有时间和长度的限制）

2、如果有正在进行的监控行为，需要说明进行监控的原因和目的。如果雇主允许雇员因私人目的使用公司的通信设施，在非常有限的情况下，这种私人 通信可能会被法律允许受到雇主的监视。

3、采取的监控措施细节，包括监控的对象、监控的行为类型、监控的方式、监控的时间等。

4、关于执行程序的细节，包括告知雇员违反内部政策的时间和方式，以及雇员对其进行申辩的权利的使用方式。

其中有一些指引特别适用于对电子邮件的监控，这些信息包括：

1、员工是否有权拥有一个纯粹用于个人用途的电子邮件帐户，是否允许在工作中使用网页邮件帐户 ，以及雇主是否建议员工使用一个私人的网页邮件帐户纯粹用于个人使用

2、访问员工电子邮件的安排

3、任何信息的备份存储周期

4、关于从服务器上删除邮件的相关信息

5、雇员代表参与制定政策的情况

其中还有一些指引特别适用于对网络使用的监控，这些信息包括：

1、明确规定允许因非工作原因使用互联网的条件 ，并指明不能查看或复制的信息。

2、有关系统防止访问某些网站和对不良使用进行检测的情况。应规定此类监测的范围，例如，此类监测是否涉及个人或公司的特定部门，或雇主是否在特定情况下查看或记录所访问网站的内容。

3、负责执行控制政策和进行调查的雇主代表的信息。

雇主处理雇员个人数据的数据保护并非一个孤立的合规领域。雇主应综合考虑其在劳动法下的义务以及与工会和任何工会达成的集体协议。工会是代表雇员的机构，一般根据当地法律享有某些影响雇主使用雇员个人数据的权利。工会可以在决定员工的个人数据是否可以被处理方面发挥作用，因为他们通常有义务保护员工的权利，包括数据保护和隐私权。在很多欧盟国家，像法国，德国，意大利，工会非常活跃，并且有非常大的权力。在某些国家，不让工会参与可能意味着数据处理是非法的，比如根据德国的工会法案，工会可以否决雇主对雇员使用监控设备，工会可能有权寻求法院禁令，雇主可能会受到经济处罚。因此，最好的操作是在进行任何监控前咨询工会的意见。

很多雇主允许雇员在工作场所使用自己的个人设备(如智能手机/平板电脑)进行工作内通的处理。员工可以将他们的工作电子邮件安装到他们的个人设备上，以便他们使用一个设备同时进行个人和工作通信。但自带设备参与工作(BYOD)会带来一定的数据保护合规问题 ，因为雇主仍然作为数据控制人负责处理任何在员工的个人设备上处理的与工作相关的个人数据，但该设备也包含雇员的个人生活的信息，雇主通常没有合法理由访问这些信息。此外，在工作场所以外的地方，储存着个人数据的员工个人移动设备很容易丢失或使里面的数据被滥用。因此，对于存储着与员工工作生活有关数据的个人设备，雇主需要对该设备寻求强有力的数据保护。介于此，允许雇员自带设备进入工作场所进行工作的雇主需要进行如下操作：

1、建立一个BYOD政策，向员工解释他们如何在工作中使用个人设备以及他们的数据保护职责是什么。

2、要清楚通过个人设备处理的数据存储在哪里， 以及必须采取什么措施来保持数据安全。

3、确保从个人设备到公司 服务器的数据传输是安全的，尽可能避免任何安全威胁。

4、需要考虑一旦员工离开公司或设备被盗或丢失，如何管理保存在个人设备上的个人数据。尤其是在移动设备上，有必要采用远程控制软件在设备丢失时定位设备和删除数据。