第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)
众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第三份第29条工作组的指导意见——《第2/2017号关于工作中数据处理的意见》的中文翻译现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。
译者序言
随着科学技术的不断发展,企业对员工个人信息的处理情形也越来越多,以往的法规对于员工个人信息的保护力度已力感不足,基于此种情况,第29条工作组对于新型技术可能带来的风险场景进行了评估,侧重于平衡雇主利益以及员工合理隐私期望,为落实具体场景下的GDPR合规工作做出了明确的指引。
首先,在数据处理的合法性事由方面,对于“同意”这一事由在具体工作中的适用做了说明:WP29认为“同意”极不可能成为工作中数据处理的依据,员工和雇主之间的权力不平衡,员工很难给予自由的同意,因此对于雇主以其他合法化事由处理员工数据时,必须符合必要性、比例性等原则,同时还要具备足够的透明度。
其次,从适用主体方面,此意见书并未将“员工”限定在传统意义的范围内,而是结合了新环境下出现的新劳动关系,对“员工”的含义进行了广义上的解读。而雇主的首要义务则是保证员工信息安全,之后才会涉及依据合同等合理事由处理员工的个人信息的情况。意见书结合了DPD等法律规定,同时涉及了GDPR中的部分内容,对于雇主的权利义务进行了分析。
最后,意见书将法律规定与具体场景相结合,通过九种具体的实务场景对雇主和员工的权利义务进行说明,其中的核心问题是对员工的监控。正常为维护公司安全运营的监控和导致侵犯员工隐私权的过度监控之间的边界十分模糊,企业应该通过合理的制度规范及技术手段去规避风险。意见书着重说明了告知义务的重要性,如在对员工的移动设备、行车记录仪等进行跟踪时必须明确告知员工。对于面部识别、健康数据等问题,意见书也明确建议企业做到少涉及或不涉及,因为此类问题很可能会涉及到一些边缘化的例外情况或已经被法律明文禁止。
译者们作为从事数据合规的中国律师,同时曾有企业实务工作经验,经常会遇到企业和员工之间因对于信息披露及信息监控而出现的矛盾情况。翻译并分享这份指南也是希望能在工作中有所借鉴并和业界同行交流如何结合中国的语境和场景提出合理的判断标准。因为水平所限,译文难免有不准确或错误之处,欢迎大家指正(请发邮件至mengjie@glo.com.cn)。
孟洁
下载第29条工作组《第2/2017号关于工作中数据处理的意见》中文翻译,请点击文末左下角的“阅读原文”。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点