查看原文
其他

第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

孟洁 网安寻路人 2020-02-26

众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第三份第29条工作组的指导意见——《第2/2017号关于工作中数据处理的意见》的中文翻译现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。


译者序言


随着科学技术的不断发展,企业对员工个人信息的处理情形也越来越多,以往的法规对于员工个人信息的保护力度已力感不足,基于此种情况,第29条工作组对于新型技术可能带来的风险场景进行了评估,侧重于平衡雇主利益以及员工合理隐私期望,为落实具体场景下的GDPR合规工作做出了明确的指引。


首先,在数据处理的合法性事由方面,对于“同意”这一事由在具体工作中的适用做了说明:WP29认为“同意”极不可能成为工作中数据处理的依据,员工和雇主之间的权力不平衡,员工很难给予自由的同意,因此对于雇主以其他合法化事由处理员工数据时,必须符合必要性、比例性等原则,同时还要具备足够的透明度。


其次,从适用主体方面,此意见书并未将“员工”限定在传统意义的范围内,而是结合了新环境下出现的新劳动关系,对“员工”的含义进行了广义上的解读。而雇主的首要义务则是保证员工信息安全,之后才会涉及依据合同等合理事由处理员工的个人信息的情况。意见书结合了DPD等法律规定,同时涉及了GDPR中的部分内容,对于雇主的权利义务进行了分析。


最后,意见书将法律规定与具体场景相结合,通过九种具体的实务场景对雇主和员工的权利义务进行说明,其中的核心问题是对员工的监控。正常为维护公司安全运营的监控和导致侵犯员工隐私权的过度监控之间的边界十分模糊,企业应该通过合理的制度规范及技术手段去规避风险。意见书着重说明了告知义务的重要性,如在对员工的移动设备、行车记录仪等进行跟踪时必须明确告知员工。对于面部识别、健康数据等问题,意见书也明确建议企业做到少涉及或不涉及,因为此类问题很可能会涉及到一些边缘化的例外情况或已经被法律明文禁止。


译者们作为从事数据合规的中国律师,同时曾有企业实务工作经验,经常会遇到企业和员工之间因对于信息披露及信息监控而出现的矛盾情况。翻译并分享这份指南也是希望能在工作中有所借鉴并和业界同行交流如何结合中国的语境和场景提出合理的判断标准。因为水平所限,译文难免有不准确或错误之处,欢迎大家指正(请发邮件至mengjie@glo.com.cn)。


                                                                                                      孟洁





下载第29条工作组《第2/2017号关于工作中数据处理的意见》中文翻译,请点击文末左下角的“阅读原文”。




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)




    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存