疫情当前,全社会迎来各种挑战,今天让我们一起探究,疫情对GDPR工作的影响有多大。欧洲数据保护机构(European Data Protection Authorities DPA)明确指出,关注欧盟《一般数据保护条例》(GDPR)的工作,就是企业在这种情况下如何处理个人数据(尤其是健康数据)。
DPA(欧洲数据保护机构)和欧洲数据保护委员会(European Data Protection Board EDPB)意识到,GDPR存在“刚性”——由于欧盟各国对GDPR的认识不同,使得任何平衡其规定与防治流行病的要求都十分困难。
疫情在多方面影响着欧洲DPA的工作
1、可用性有限。由于采取了隔离措施,欧洲的许多DPA工作正在放慢脚步。例如,波兰的DPA办事处现在仅可以线上方式联系。在保加利亚,走访DPA办公室仅限于行政诉讼的当事方,因为他们无法远程查阅档案。捷克DPA建议采用线上或电话通讯方式联系,而不是现场访问。欧洲数据保护监管者( European Data Protection Supervisor EDPS)和荷兰的DPA目前正在进行远程办公。
2、流程延迟。COVID-19新冠病毒的全球化蔓延正在对全球产生各种影响。EDPS宣布推迟至5月出版其五年战略规划,并宣布在接下来的几周内,EDPS将就基本权利(包括数据保护)和安全之间的关系和可能的权衡进行进一步思考。欧盟网络安全机构ENISA(European Union Agency for Cybersecurity)也决定推迟进行考察,以测试医疗保健行业的网络安全、业务连续性和危机管理能力。可能会有更多的DPA推迟其资料发布和调查结果的进行。
3、资源有限。DPA缺乏资源可能会影响其工作。例如,并非所有管理工作场所都适合进行远程办公。然而,在新型冠状病毒大流行的背景下,DPA不太可能获得更多资金,因为欧盟国家倾向于优先考虑更紧迫的需求。
DPA对大流行病的反应
截至3月16日,几乎所有地区DPA都已发布应对病毒传播的指导方针。但这些准则往往仅以本国语言提供,这造成了一些障碍。
例如,英国DPA认为,雇主询问雇员是否有COVID-19症状是合理的,但雇主应尽量减少收集到的信息并采取适当的措施保护已收集的信息。法国和丹麦的DPA指出,雇主不能不加区别地从员工那里收集健康数据,但可以创建生病员工的记录。荷兰DPA表示,雇主不能记录员工疾病的性质,但可以询问他们将缺席多久。意大利和卢森堡的DPA建议,雇主应该避免任何“系统性和全面性”的健康数据收集,而应该依靠员工自己报告任何症状。
欧洲数据保护委员会(EDPB)的态度
EDPB负责确保GDPR在欧盟的统一实施以及所有DPA之间的合作,分别于3月16日和3月19日发表声明,分享DPA对危机的协调态度。
EDPB明确指出,GDPR不会阻碍针对新型冠状病毒大流行采取的措施,但企业不能免除遵守GDPR的责任。GDPR核心原则仍然适用,包括以下内容:
目的限制和数据最小化。为达到所追求的目标而必须提供的个人资料,应按指定及明确的目的处理。
透明度。个人应以清晰明了的语言接收透明信息说明企业的数据处理方法及其主要特征,包括收集数据的保留期限和处理目的。
安全。企业必须采取适当的安全措施和保密政策,以确保不会将个人数据泄露给未经授权的各方。
问责制。企业应记录其为管理紧急情况而实施的措施和基本决策过程。
EDPB的工作重点是:(1)关注就业方面处理的个人数据,(2)政府处理的电信数据。
这里的关键问题是如何合法处理个人的个人数据。EDPB的声明并没有详细说明这一点。但是EDPB对采取安全措施的立场也很重要,下文3点为进一步的阐述。
关于处理雇员的个人数据
企业并不总是需要征求其雇员的同意才能处理其个人数据。他们可以在为了遵守法律义务(例如,与健康和安全有关的义务)或出于公共利益(例如,疾病控制)而必须这样做时处理此类数据。
尽管健康数据受更严格的要求,但不一定总是需要同意。根据EDPB,企业可以根据欧盟法律或欧盟国家法律(例如,防止对健康的严重传播风险),基于公共卫生领域的重大公共利益,处理员工的健康数据。
然而,EDPB忽略了企业只有在个人无法给予同意的情况下,企业才能以保护重要利益为依据。这里虽然强调了是针对流行病的控制,但基于个人切身利益处理个人资料,只应在明显不能依靠其他法律基础的情况下进行。目前尚不清楚这些遗漏是否旨在表明EDPB愿意广泛地解释GDPR。
EDPB在3月19日发表的声明包括针对员工健康数据处理的特定问题,但主要说企业应遵守其所在的欧洲国家/地区的法律。然而,关键的一点是EDPB专注于相对应和数据最小化。例如,雇主应将有关冠状病毒的情况告知员工并采取保护措施,但不应传达过多的必要信息。如果有必要透露受感染员工的姓名,前提是相关欧洲国家/地区的法律允许,且必须提前告知已感染员工,并保护其尊严和诚信。
关于政府处理电信数据
一些欧盟国家政府开始使用移动位置数据来应对疫情的蔓延。为了确定患者的位置和接触者,评估政府控制病毒隔离措施的效果,并在高风险地区提供有针对性的信息。例如,在情况紧急的意大利北部,电信运营商根据大量匿名数据制作了热点地图。在比利时,几家电信运营商同意共享其数据库,以帮助公共当局对抗冠状病毒的传播。比利时DPA已批准该计划,在电信和卫生部长的指导下成立一个工作队,该工作队将分析如何使用匿名数据。在德国,一家电信运营商向负责疾病控制和预防机构提供了匿名的客户电信数据,该机构将使用这些数据来模拟病毒的传播。
电信数据(例如位置数据)的处理受《电子隐私指令》( ePrivacy Directive)的约束。位置数据只能在匿名或获得相关个人同意的情况下使用。但是,《电子隐私指令》使欧盟国家能够采取立法措施来维护公共安全。这种例外的立法只有在提出必要时才有可能,适当和相对应的措施仅限于紧急情况的时间内。政府在疫情危机中起草此类紧急法律时,要确保考虑到数据保护的各个方面,这是具有挑战性的。
网络安全问题
网络安全也是一个至关重要的问题,因为有证据表明犯罪分子正在利用冠状病毒在线犯罪。随着人们转向在家办公,这种风险甚至更高,网络攻击可能会增加。网络攻击的案例包括犯罪分子冒充世界卫生组织发送的欺诈性电子邮件或带有冠状病毒主题的网络钓鱼电子邮件,这些电子邮件带有受感染的附件,其中包含虚拟安全措施或指向恶意网站的链接。
DPA和网络安全中心也对此做出了反应。例如,英国国家网络安全中心敦促企业和公众遵循在线安全建议。丹麦DPA发布了在家办公的最佳指南。DPA建议员工使用VPN,避免在本地存储文件,并远程连接到公司自己的服务器。
冠状病毒危机正在挑战欧洲DPA合作的方式以及GDPR的信誉。
欧洲的DPA对这一流行病的反应相当随意,但这反映了欧盟的总体反应,其中包括国家对策,而不是欧洲的协调行动。这影响了企业期望GDPR实现统一的方法。
GDPR的信誉也受到威胁。一方面,有些人可能想知道为什么当这么多生命受到威胁时,保护如此重要。如果GDPR阻止在疫情中使用个人数据,谁会认真对待它?另一方面,鉴于数据保护是欧盟的一项基本权利,如果它在危机时期被完全滥用,会是什么样?因此,灵活性和相对应性可能是需要牢记的两个关键词。数据保护权是基本的,但不是绝对的。它必须与其他欧盟基本权利(例如生命权和医疗权)保持平衡。不能放弃数据保护权,但必须面对现实。对于DPA和企业而言,这都是一个巨大的挑战。
原文链接:
https://www.jdsupra.com/legalnews/gdpr-in-times-of-pandemic-99710/
