意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)
编者按:
意大利数据保护机关(Garante)是根据1996年意大利隐私法案设立的独立行政机构,总部设在罗马,迄今为止有23年的隐私保护工作经验。之前其主要执法依据是2003年《意大利个人数据保护法典》(现已废止),2018年在GDPR生效后,意大利数据保护局(Garante)成为GDPR规定的意大利境内数据保护方面的有权监督机构。
作为目前冠状病毒疫情最为严重的欧洲国家,意大利当局在此次疫情公共信息披露中体现了较高的透明度。在个人信息保护方面,意大利数据保护局于2020年3月2日发布了最新通知,相当严格的重申了GDPR关于个人数据处理的规定。
DPO社群全文翻译了这份通知,供大家参考。
译者说明
意大利数据保护机关(Garante)在通知中提出了以下四点意见:一、重申个人数据处理的合法性原则,即个人数据的处理必须从个人隐私保护的角度出发,即使在疫情时期也必须完全符合GDPR和境内有关法律的要求(包括国内法律法规、紧急状态下出台的民防法以及2020年3月1日特别通过的总理令)。
二、严格遵守最小化处理原则,重点规范了健康数据和行踪轨迹数据这两种敏感信息,强调经过疫区的每个个人都有义务主动向当地卫生部门报告自己的健康数据和位置数据,但也只有医务工作者和紧急状态法授权的民防部门才能豁免个人同意的要求来评估和收集有关感染症状的健康信息以及位置信息。
三、用人单位不是上述主体之内,因此,未经员工的明示同意,用人单位不得违反法律法规以系统、概括性的方式收集和处理上述特殊信息,违法者将被追求责任,如果必要的话,可能会面临刑事处罚。
三、对于在公共行政部门工作的公务员和其他工作人员(例如后勤、保洁、翻译等)是否经过疫区等信息,可能是出于公共安全的考虑,这部分个人信息与需要披露的公共信息重合度较高,目前意大利数据保护机关支持公共行政部门要求其工作人员负有报告信息的义务。
四、对于工作场合的个人信息保护进行了重点处理,虽然用人单位有义务向员工通报工作场合可能受到疫情影响的健康风险,但用人单位不能强制收集员工(以及其密切接触者)疫情感染的数据和工作场合之外的行踪数据,但是可以邀请员工自己主动沟通。
与我国网信办2020年2月4日公布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》【相关情况见:传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知】相对照,可以看到:1)我国网信办《通知》在强调合法处理原则、最小化原则、知情同意原则的同时,还特别指出了非歧视原则,但是在鼓励私营机构运用大数据分析支撑联防联控工作时,可能应当更加强调企业在收集和处理行踪轨迹这类敏感信息(“确诊者、疑似者、密切接触者等重点人群的流动情况”)之前获得个人信息主体的明确同意;2)意大利数据保护机关对于工作场合的个人数据保护指导值得进行进一步思考和借鉴;3) 公共行政部门工作人员的相关信息可能与公共信息有重叠的部分,在实践中应当视具体情况处理。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点