查看原文
其他

“史上最严个人数据保护立法”背景下,涉欧企业如何做好员工数据保护?

王倩 顾雪莹 新则 2022-12-10


8月20日,我国首部《个人信息保护法》由人大常委会审议通过,填补了我国个人信息保护领域的立法空白。对个人信息的保护在国际上早有先例,此前,欧盟的《通用数据保护条例》(GDPR)号称“史上最严个人数据保护立法”,该条例主要适用于劳动关系。


在我国企业的生产经营和用工管理中,如何做好员工数据处理,迎接《个人信息保护法》带来的合规挑战,GDPR的相关规定及判例或许可以为我国的司法实践提供参考。


文 | 王倩 顾雪莹

来源 | 本文发表于《德国研究》2021年第2期


目录
一、受到GDPR管辖的涉欧企业1. 欧盟境内存在业务机构的企业
2. 欧盟境内未设立业务机构的企业二、处理员工个人数据的合法性基础1. 基于员工的同意2. 缔结、履行或终止劳动合同所必需3. 为了履行法律义务4. 基于企业合法利益
5. 更严格的保护:特殊种类的个人数据三、员工作为数据主体享有的权利及企业相对应的义务1. 与知情权、访问权相对应的提供数据信息的义务2. 与删除权(被遗忘权)相对应的删除数据的义务3. 与更正权、限制处理权、可携带权相对应的其他配合义务4. 与免受自动化决策的权利相对应的义务四、其他数据合规的要求1. 确保数据处理过程安全性的义务2. 全面记载处理活动的义务3. 泄露通告、影响评估和咨询义务4. 任命数据保护官的义务5. 数据跨境传输中的合规要求
结语


数字经济时代移动互联网、大数据、云计算、人工智能等科技的发展,使数据的产生和处理呈现爆炸式增长,给个人数据保护带来了巨大的挑战。2018年5月25日《通用数据保护条例》(General DataProtection Regulation,以下简称“GDPR”)在欧盟成员国内正式生效实施,该条例可谓是史上最为严格的个人数据保护规范,违反者可能面临最高2000万欧元或上年度全球总营业额4%金额的罚款。


据2020年10月的报道,由于H&M公司过去几年中一直大范围地收集员工请病假、就医以及病情诊断等详细信息,还有管理人员在与员工的非正式聊天中挖掘其家庭问题或宗教信仰等个人数据作为员工考评或任用决定的参考,德国汉堡数据保护局开出了高达3530万欧元的罚单
[1]


GDPR适用于劳动关系中的个人数据保护,其第88条明确规定,成员国可以通过法律或通过集体协议制定特定规则,以确保在雇佣语境下处理雇员个人数据时保护其权利和自由,这在如下情形中尤其适用:为了招聘、履行劳动合同,履行法律或集体合同规定的义务;对工作的管理、计划和组织;工作场所的平等与多样性;工作中的健康和安全;对员工和顾客财产的保护;为了行使和履行与雇佣相关的权利和义务;为了终止雇佣关系。


德国《联邦数据保护法》第26条正是基于此授权对员工的个人数据保护做了针对性安排。我国有众多在欧盟境内设立了业务机构或雇佣了欧盟境内员工的企业,生产经营和用工管理中不可避免地要进行员工的个人数据处理。虽然目前我国还没有出现涉欧企业因为违反GDPR而受罚的案例,但是仍然应该提前了解相关情况、做好相应预防措施,尤其在我国个人信息保护的意识比较淡漠的背景下,涉欧企业更容易“触雷”。


那么,应该采取什么措施才能达到GDPR的合规要求,如何平衡企业的经营管理需求与员工的个人数据保护?了解GDPR对个人数据保护的设计理念与制度框架,探究其在劳动关系中适用的特殊问题,是涉欧企业在用工中实现GDPR合规管理所必须关注的问题。


- 1 -

受到GDPR管辖的涉欧企业


根据GDPR第4条的定义,“个人数据”是指一个被识别或可识别的自然人(数据主体)的任何信息,而所谓自然人可识别是指通过姓名、身份证号码、位置数据、在线身份识别码这类标识或通过针对该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素能够直接或间接地被识别。


“处理”是指针对个人数据或其集合的任何一个或一系列操作,如收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播或其他方式利用、排列或组合、限制、删除或销毁,无论该等操作是否采用自动化方式。


“数据控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、代理机构或其他组织,而“数据处理者”是指为数据控制者处理个人数据的个人或组织。劳动关系中的数据主体是员工,而涉欧企业一般是以数据控制者的身份出现,少数情况也可能是数据处理者
[2]。GDPR极大地扩张了其域外管辖范围[3],具体到员工的个人数据保护,我国涉欧企业可能在两种情形下受到GDPR管辖。


1. 欧盟境内存在业务机构的企业


根据GDPR第3条第1款,该条例适用于数据控制者或处理者在欧盟境内存在业务机构活动的背景下所实施个人数据处理行为,无论该处理行为是否发生在欧盟境内。要理解这一复杂的表述,关键注意以下三点。


① 重要的是在欧盟境内存在业务机构、而非住,GDPR在序言(22)条中将业务机构又称为“营业场所”,而营业指通过稳定的安排有效且真实地开展经营活动,而该安排的法律形式并非判断其是否可以称为营业场所的决定性因素[4]。即只要企业在欧盟境内设有机构并营业,无论机构是否具有分公司或子公司的地位,即使是以办事处、派遣机构等形式存在,企业也应当受到管辖。


② 条例的适用与数据主体是否拥有欧盟公民身份、是否长期居住在欧盟境内无关,与个人数据处理活动是否发生在欧盟境内也无关[5],比如我国涉欧企业将中国国籍的员工外派到欧盟境内的办事处工作,即使对员工的个人数据处理发生在中国总部,也受到GDPR的管辖。


③ 条例的适用限于“在业务机构活动的背景下”所实施的个人数据处理行为,包括“该欧盟境内的业务机构自己进行的个人数据处理活动”和“为该欧盟境内的业务机构进行的个人数据处理活动”。


也就是说,我国涉欧企业并不会因为在欧盟境内设有业务机构而将企业全部的个人数据处理活动置于GDPR的管辖之下,比如涉欧企业的中国总部在中国境内雇佣欧盟公民并对其进行个人数据处理,但是与欧盟境内的业务机构并无关系,则GDPR并不适用
[6]


就如何界定“为该欧盟境内的业务机构进行的个人数据处理活动”,欧盟法院在Google西班牙公司案中认为应该考虑业务机构与数据处理者之间是否存在“密不可分的联系”
[7],具体到劳动关系中这种联系需要根据个案的具体情况来判断。



2. 欧盟境内未设立业务机构的企业


对于没有在欧盟境内设立业务机构的数据控制者或处理者,按照GDPR第3条第2款,若其涉及向欧盟境内的数据主体提供商品或服务,抑或涉及对数据主体发生在欧盟境内的行为进行监控,则适用本条例。此适用情形与数据主体的国籍无关,也与个人数据处理行为是否发生在欧盟境内无关,只取决于数据主体是否位于欧盟境内。


不同于第1款的“业务机构原则”,德国学者将第2款的适用情形称为“市场地原则”或“来源地原则”[8],因为它以数据是否来源于欧盟境内作为管辖权的重要依据,国内也有观点将其归纳为“属地+属人+保护等综合性的影响主义原则”[9]。无论采用何种观点,毋庸置疑的是,诸多并未在欧盟境内设立业务机构的我国企业也可能因为业务或者人员涉及欧盟而面临着GDPR的规制,当然这种适用也只限于对来源于欧盟境内的个人数据的处理活动。


随着经济全球化进程的加快,很多互联网公司由于业务原因向欧盟境内数据主体提供商品或服务,比如电商平台或者社交软件收集用户数据以达到精准营销的目的。在企业用工中此类情形则更多表现为,设立在欧盟境外的企业雇佣了欧盟境内的员工,此时企业在欧盟境内没有营业场所,却出于用工管理等目的需要对远在千里之外的员工进行监控。


GDPR序言(24)条指出,判断某一处理活动能否被视为对数据主体的行为进行监控,需要确定该自然人是否在互联网上被跟踪记录,或者是否潜在地后续使用个人数据处理技术,包括对自然人进行画像、作出自动化决策,或对该自然人的个人偏好、行为和态度进行分析和预测。


例如,欧盟境外的企业使用定位系统对欧盟境内的员工工作地点和时间进行监控,进而自动化地处理数据、分析预测员工行为并以此作为考评依据,此时企业也受到GDPR的管辖。需要注意的是,由于这种情形下我国涉欧企业在欧盟境内没有设立业务机构,所以为方便联络,企业有义务按照GDPR第27条的要求选定一名在欧盟的代表处理相关事项。


- 2 -

处理员工个人数据的合法性基础


我国涉欧企业处理员工的个人数据,首先需要具备合法性基础,这是履行员工个人数据保护义务的重中之重。GDPR第6条列举的合法性基础中主要有以下几种与劳动用工相关。此处需注意,各成员国对于“员工”的理解可能不同,比如德国《联邦数据保护法》第26条第8款就明确表示该条款不仅适用于雇员,也适用于学徒、类雇员、求职者等。


1. 基于员工的同意


按照GDPR第6条第1款(a)项,数据主体同意为一个或多个特定目的而处理其个人数据的,数据处理行为合法。真实有效的“同意”应当满足以下要件:


① 自由要件


自由选择是同意原则的核心,其前提是数据主体存在选择的可能,正如GDPR条第7条第4款的规定,在评估同意是否自由做出时,应着重考虑数据控制者是否将“数据主体同意其处理履行该合同不必要的个人数据设定为合同履行(包括服务提供)的前提”[10]具体到劳动关系中,企业不能以订立劳动合同或其他条件来明示或暗示员工,即只有同意对其数据的处理才会被录用,在劳动关系履行的过程中企业也不能以解雇、降职等任何形式的压力要求员工同意数据处理。


比如根据德国《联邦数据保护法》第26条第2款,判断同意是否自由做出需要特别考虑劳动关系中员工的从属性以及表示同意时的具体情形,在员工可以获得法律上或经济上的好处时或者在企业与员工的利益诉求一致时,往往可以认为同意是自由做出的。


欧盟数据保护第29 条工作组[11]持类似观点,比如它举例指出,企业为员工配备工作使用的通信设备并明确告知对该设备存在一定范围内的监控,但员工拒绝使用该设备也可以由其他合适方案替代,不会影响工作的正常进行且不会受到任何形式的压力,则此时员工使用该设备并接受监控的同意应当被认为是自由做出的[12]


欧盟数据保护委员会延续了此立场,认为由于缺乏真正的自由在劳动关系中大多数的数据处理不能基于员工同意而进行,只在一些特殊情况下企业可能证明同意的自愿性,比如企业请某办公区域的员工在以该区域为背景的电影或视频中出镜,但不愿意被拍摄的员工不会受到任何形式的惩罚,可以在拍摄期间在其他区域获得相同的办公空间[13]


② 具体要件


带有不明确目的的、笼统的或预防性的同意是不被允许的,企业应详细、清晰地呈现处理活动的具体形式,当存在多种数据处理活动时,员工需要有实际的可能就每一种形式表示同意与否。劳动合同的订立不意味着员工对数据处理的当然同意,员工需要在充分了解可能发生的数据处理活动的基础上,单独做出相应的具体同意[14]


充分知情是作出具体同意的前提,企业需保证员工能够以准确、透明、易于理解的方式获得与处理活动相关的各种信息。同意的授权应当符合具有显著性、易理解获得、使用清楚平实文字等形式要求,比如同意条款包含在很长的、涉及其他条件下的使用的文件中,即使员工没有表示反对也不能被认为是有效的同意。若涉及长期的数据处理,企业还应当多次更新所获得的同意,以确保员工对当前最新的处理活动有全面、完整的了解。


③ 可撤回要件


GDPR第7条第3款规定数据主体有权撤回先前的同意,同意的撤回立即生效于之后的数据处理,数据主体可以进一步依据GDPR第17条请求删除个人数据。该规定特别强调,撤回同意应当与做出同意同样容易,同意与撤回的“简单性”对应关系不难理解:当同意是员工口头做出时,不得要求员工以书面形式撤回同意。企业应在员工做出同意之前,将撤回同意的权利和行使该权利的方法告知员工。由于员工可能随时撤回同意,所以对企业的合规管理而言,员工的同意并不是很可靠的合法性基础。


④ 形式要件


根据GDPR序言第(32)条,数据主体应清楚明确地表示同意,例如通过书面陈述(包括电子形式)或者口头形式。同意方式包括在浏览网页时在方框里打钩,但沉默、默认勾选的对话框或者其他不作为都不能构成同意。虽然GDPR并不要求同意必须以书面形式做出,但是各成员国的法律或集体协议可能会提高形式要件要求,比如德国《联邦数据保护法》第26条第2款针对劳动关系明确要求企业应获得员工的书面同意(包括电子形式)。


2. 缔结、履行或终止劳动合同所必需


GDPR第6条第1款(b)项将该原则表述为,数据处理是为履行数据主体作为一方的合同所必需,或者数据处理是在订立一项合同前为依据数据主体的要求采取特定行为所必需。欧盟数据保护委员会认为,要对“签订或履行合同所必需”做限缩解释,应该基于合同的目的判断是否存在客观上的必要性,数据控制者需证明某项数据处理行为如果没有进行,合同就无法订立或无法履行[15]


就劳动关系而言,德国《联邦数据保护法》第26条第1款规定得更明确,即数据处理是为了做出是否建立劳动关系的决定所必需,是履行或终止劳动关系所必需,或者是行使或履行基于法律、集体合同或企业协议产生的权利义务所必需。“缔结、履行或终止劳动合同所必需”可谓是劳动关系中处理员工数据最重要的合法性基础,但需要强调的是,只有当处理活动是为了实现具体的缔结、履行或终止劳动合同的目的所“必需”时才可适用该项,仅是“有用”则不够,也就是说对于该合法性基础的理解和适用应该相当谨慎。


比如,在招聘时企业不得对员工进行压力面试、智商检查、基因分析,因为这些对决定招录与否不是必需的
[16]。又比如,一般情况下不间断地、全面地对工作场所进行公开的视频监控并非履行劳动合同所必需,使用隐藏的摄像头进行秘密监控更是被禁止的,除非有明确、具体的线索指向员工的犯罪行为并且为了查明事实真相不得不进行秘密监控[17]


3. 为了履行法律义务


根据GDPR第6条第1款(c)项,企业可以为了履行法律义务而进行员工个人数据处理,比如出于计税、缴纳社会保险等目的,企业处理员工的家庭住址、婚姻情况、宗教信仰、健康等信息。


但GDPR又对此做出了严格的限制,即将设定义务的法律限定在欧盟法或适用的成员国法的范围内,还必须明确数据处理的一般条件、被处理数据的类型、数据可能被披露的对象和目的、存储期限、处理方法和程序等内容,以保证数据处理的公平性、准确性。


另外,即使是出于履行法律义务所必需,企业的数据处理活动也要遵循一般性的要求,比如企业可能基于确保车辆驾驶员安全的义务,在车辆上安装追踪技术,但员工应当被允许在特殊情况下暂时关闭位置跟踪功能,企业还必须确保收集到的数据不用于跟踪和评估员工等其他目的[18]。


4. 基于企业合法利益


根据GDPR第6条第1款(f)项,企业可基于优先性的合法利益进行数据处理。对于此种合法性基础的适用应该特别谨慎,首先要确定企业就数据处理存在合法利益,然后看是否有与之相冲突的员工的利益、基本权利或自由,再对两者进行利益衡量来判断应该优先保护何者,即利益衡量的结果必须是企业合法利益占优才行进行数据处理。利益衡量时应遵循诚实信用原则,特别是要符合员工的合理预期,还需要考虑以下几方面要求:


首先,透明性是员工行使数据主体权利的基本前提。企业即使基于合法利益的需要进行数据处理,也需保证数据处理过程的公平和透明,员工应被清楚和充分的告知其个人数据的处理情况,包括是否存在任何形式的监测。


其次,员工数据的收集、处理均应当基于特定、明确且合法的目的。比如企业为保护商业秘密对特定区域安装了访问控制系统,记录有权进入该区域的员工的出入行为,以便在发生设备项目丢失、数据遭到未经授权的访问或被盗时获知当时有谁进入过该区域,该处理可能基于企业合法利益而被认为具有合法性来源,但企业不得使用这些数据对员工的工作绩效进行评估[19]。


最后,劳动关系中的数据处理应满足限度最小、成比例、必要性的要求,尽可能以侵入性最小的方式进行,有更为温和手段能达到数据处理目的的就要先用该手段。


5. 更严格的保护:特殊种类的个人数据


根据GDPR第9条的规定,特殊种类的个人数据也被称为敏感数据,包括显示种族或民族出身、政治观点、宗教或哲学信仰、工会会员资格的数据,以及基因数据、生物识别数据、健康相关数据、性生活与性取向的数据。


由于敏感数据更多地涉及数据主体的基本权利和自由,其处理容易导致对数据主体的歧视和偏见,所以GDPR对其保护更为严格,即一般情况下禁止对敏感数据的处理活动,只在例外情形下予以豁免。所以,企业处理员工的敏感数据时需要注意是否符合豁免的情形和条件。


首先,按照GDPR第9条第2款(a)项,数据主体明确表示的同意原则上也可以成立豁免,但正如前文所述,对劳动关系中员工同意的有效性容易产生争议,员工还可能撤回同意,所以企业应该慎重选择该路径。



其次,更为重要的豁免情形规定在第9条第2款(b)项,即数据处理为在劳动法、社会保险法或其他社会保障法律的范畴内履行义务、行使权利所必需。但是,该数据处理须依据欧盟、成员国的法律或依据成员国法律制定的集体合同进行,其所依据的法律或者集体合同还需要规定员工基本权利和利益的保护措施,比如数据加密或假名化等手段,另外还需确保员工主张数据更正和删除的权利,由于第9条的目的是重点保护敏感数据,因此保护措施必须高于一般处理规则的水平[20]


最后,根据第9条第2款(e)项,员工明显已经自行公开了个人数据的构成豁免,比如员工在外部网络上公布了自己的性取向的,反之,若员工只是在社交媒体账户向部分朋友透露此事,不算公开不构成豁免;第9条第2款(h)项适用于在职业安全健康的框架下采取健康防护措施、判断员工劳动能力而需要处理员工的健康数据时;而当前新冠疫情下企业为疫情防控采取的必要措施,则可能属于第9条第2款(i)项所指的为抵御严重的跨境健康威胁而处理员工数据的情形。


相反,对企业高层管理人员的基因进行分析以研究其是否具有重大疾病或基因缺陷,对员工表情等人脸图像或指纹识别等生物识别数据进行采集以进行考勤记录,甚至通过综合分析员工心跳、呼吸、瞳孔转动方向、身体姿态等监控员工工作状态等,此类行为绝大多数情况下是不被允许的[21]


- 3 -

员工作为数据主体享有的权利

及企业相对应的义务


GDPR的“鉴于条款部分”特别提到,欧盟公众普遍认为自然人数据保护、尤其是线上活动相关的数据保护存在很大隐患,所以新增了限制处理权、可携带权、“被遗忘权”等权利,目的在于使数据主体对个人数据拥有更强的控制力和决定权。对员工享有的这些权利,企业负有相应的配合义务。


1. 与知情权、访问权相对应的提供数据信息的义务


员工就自己的个人数据享有知情权、访问权。根据GDPR第12条的要求,企业应当以清晰、简单透明、易于获取、易懂的方式,向员工提供第13条、14条所规定的全部信息内容。无论数据是由员工个人提供,还是由企业通过其他方式获取,员工均享有知情权。


涉及提供信息的方式选择,关键在于员工是否能真正获得相关信息
[22],如序言(58)提到通过向公众开放的网站提供必要的信息也是符合要求的。在需要披露的内容中,对劳动关系尤为重要的是企业数据处理的目的及选择的法律基础、企业委托的其他处理者的身份、是否存在跨境传输以及相应安全保障措施等。


GDPR第15条规定的访问权更多强调的是员工有权自发、主动地向企业要求提供相应信息的权利,原则上企业应当免费提供上述信息,但为避免员工恶意自动化申请获取副本,企业可以在确保合理性的基础上对额外过度索取的如纸质化副本设置相应收费制度,以避免增加不必要的成本
[23]


2. 与删除权(被遗忘权)相对应的删除数据的义务


GDPR第17条第1款规定了六种情形下数据主体的删除权,对劳动关系而言最重要的是第(a)项,即如果对员工的个人数据的收集或其他方式的处理不再是必要的,则企业有义务毫不延迟地删除数据,包括该数据的全部副本、链接和复制件。比如,企业在招聘过程中做出了录用决定之后,就不得再处理没有录用的应聘者的信息,最多可以保留六个月预防可能的争议,即使要继续保存未录用的应聘者的信息形成所谓的人才库,也必须获得其同意且保留期限也不能太长[24]


其次,员工根据第(b)项撤回同意的,企业同样负有删除义务,但是以不存在其他的数据处理的法律依据为前提,也就是说如果存在别的合法性基础则无需删除。比如在企业内部的反舞弊调查中,由于存在企业的合法利益,员工即使撤回其同意,也不能要求企业删除其数据[25]


最后,员工当然也可以按照第(d)项要求企业删除被非法处理的数据,比如企业在招聘时超越知情权的范畴收集的员工信息。第17条第2款适用于企业已经将员工数据公开的情况下,特别是已经在网络上扩散时,此时员工要求企业删除其个人数据的,企业应该在考虑现有技术和实施成本后,采取合理的措施尽可能地将员工的删除要求通知所有其他的数据控制者。


该条款常被认为赋予了数据主体所谓的“被遗忘权”,但这种理解其实不太准确
[26],因为数据控制者只负有通知义务,并不用管通知的接收者有没有真的删除相关数据,所以未必能达到让相应数据在网络上消失的效果[27]。第17条第3款又排除了特定情形下前两款的适用,比如企业是因为遵守法定义务或为了公共卫生领域的公共利益不得删除员工的个人数据,又或者是在已经或很可能发生劳动争议时,为了法定请求权的确立、行使和抗辩而不能删除相关数据。


3. 与更正权、限制处理权、可携带权相对应的其他配合义务


根据GDPR第16条,对于错误的、不准确的个人信息,员工可以要求企业更正,对于某数据处理目的而言不完整的个人数据,员工也有权要求补充完整。比如涉及社会保险的数据,若员工工作年限、交纳时间等有不准确或不完整情况,员工有权要求更正或补充,企业有义务及时处理。


员工行使限制处理权的各项情形中,GDPR第18条第1款的(a)项可能经常适用,即员工对个人数据的准确性提出质疑,而企业在核实期间内的,员工可以限制企业进行数据处理。企业还需要重点关注第(c)项,即当企业不再需要数据处理时,存在着数据被合法删除的风险,而该部分数据为员工行使法定请求权所需要。比如,在已经发生或者很可能发生劳动争议时,若员工需要由企业控制的考勤记录、工资结算等个人数据作为证据,可以限制企业的删除等处理活动。


GDPR第20条规定了所谓的可携带权,即如果数据控制者是基于数据主体的同意或者合同履行的必要而采用自动化方式处理了个人数据的,数据主体可以要求他以结构化的、普遍使用的机器可读的形式将这些数据提供给其他的控制者。


该条款的主要适用场景在竞争法领域,比如用户可以不受限制的将其个人数据从一个社交媒体的账号转移到另一个社交媒体那里去。在劳动关系中,则可能应用于员工跳槽时人事数据系统中档案等数据的携带[28]。因其可能会有商业秘密泄露、不正当竞争等风险,企业需要提前进行防范,比如可以尽量避免涉密数据的自动化处理,以防止员工行使可携带权而导致的企业利益损失。


4. 与免受自动化决策的权利相对应的义务


数据主体有权不受制于可能对他造成重大影响的采用自动化处理手段进行的决策或精准评价,即为评估与自然人相关的某些个人情况而对个人数据进行的任何形式的自动化处理和利用,比如企业为了分析或预测员工的工作表现、经济状况、健康状况、个人偏好、兴趣、可信度、行为、位置或行踪而进行的数据画像。


由于这种处理基于算法,而算法不透明、算法错误、数据源错误等风险难以排除,所以GDPR第22条规定,若某个仅基于自动化处理做出的决定将对数据主体产生法律后果或类似重大影响,则数据主体有权不受该决定的限制。因此,企业在聘用、考核、监督、解雇员工的过程中,应当尽可能的避免自动化决策的使用,优先寻找更合适的替代手段,实在需要进行自动化处理也要尽量保障人的参与,以组织和技术手段纠正不准确的数据,相关数据属于敏感数据时更是要非常谨慎。


- 4 -

其他数据合规的要求


在个人数据处理活动大量进行、处理技术飞速发展的背景下,数据主体往往难以抵御甚至难以察觉侵犯其个人数据的行为,事后追责困难且往往于事无补,所以GDPR的个人数据保护模式更为强调事前预防,而不是仅给予事后救济,相应地设定了一系列数据控制者的数据保护义务。基于问责制原则,尤其是面对监管机关的检查时,数据控制者需能够证明其数据保护达到了法律的要求,所以我国涉欧企业在这方面的合规挑战和成本也不低。



1. 确保数据处理过程安全性的义务


根据GDPR第24条的要求,企业应考虑到数据处理的性质、范围、内容和目的以及处理给员工带来的不同程度的风险,采取适当的技术性和组织性措施,以确保数据处理行为符合GDPR的规定,并保持对上述措施的审查和更新。应采取的措施视具体情况而定,GDPR第32条第1款明确列举的有:个人数据的匿名化和加密;确保处理系统和服务的保密性、完整性、可用性以及系统可恢复性;确保在发生物理或技术故障时个人数据的恢复可用性和可访问性;对相关措施的有效性定期进行测试、访问和评估。


另外,按照“设计和默认的数据保护”(Data Protection by Design/Default)的理念,企业应该从设备/制度设计以及默认设置的根子上就贯彻数据保护措施,比如企业向员工提供可以记录员工的步数、心跳和睡眠模式等的健身监控设备作为福利的,应在选择设备时评估制造商和/或服务提供商的隐私政策,以确保它不会非法处理员工的健康数据[29]。遵守成员国、监管机构、数据保护委员会等机构制定的行为准则或者获得上述机构作出的数据保护认证的,是证明企业履行了安全保障义务的重要途径。


2. 全面记载处理活动的义务


GDPR第30条设定的记录义务要求企业以书面形式(包括电子形式)全面留存处理活动的记录,建立起日常数据处理记录制度,真实、准确、及时的记录数据处理过程。这一义务在某种程度上而言也是对企业的保护,由于条例规定企业在处理活动中负有举证责任,这意味着企业不仅需要履行各项具体义务,还需要注意证据的留存,比如企业需证明自己获得了员工知情、清晰、自愿的同意,审慎选择了有资质的数据处理者,采取了数据安全的保障措施等。


该条第5款为员工规模在250人以下的企业组织减轻了负担,规定其通常不需要承担全面记载义务,但存在以下例外情形:


首先,在数据处理活动可能对员工权利和自由造成较高风险时不适用豁免规定,比如工作场所的视频监控被认为是一个高风险的经典示例;


其次,处理活动并非偶然发生时无法得到豁免,比如人事档案被认为属于企业的常规或永久性标准程序,因此不受员工人数影响;


最后,涉及敏感数据的处理不能被豁免,比如员工的健康信息、生物特征数据[30]。所以,实际上企业在处理员工数据时获得豁免的可能性较低,即使是中小企业仍然负有该义务。


3. 泄露通告、影响评估和咨询义务


即使采取了安全措施,要完全杜绝数据泄露也很困难,所以GDPR的思路也强调要通过制度安排避免或减少泄露可能造成的身份盗用、欺诈、名誉损害等后果。相应地,第33条规定了企业应该在知道数据泄露72小时内向监管部门报告,包括数据种类、大概数量、可能导致的后果、降低负面影响可采取的措施等,在数据泄露可能给员工造成高风险时企业还有义务根据第34条告知员工相应信息。


因此,如果企业在发现员工数据泄露已经发生,应当一方面立即向监管机构进行报告,另一方面在可能造成严重后果时通知员工。


为加强风险的预防,GDPR第35条和36条还新增了数据保护的事前影响评估和协商制度,该制度适用于数据处理方式可能给数据主体的权利和自由带来高风险时。特别是在企业用算法对员工个人数据进行自动化处理并做出具有重大影响的决策时,或者进行大规模的敏感数据的处理的情形下,企业有义务在数据处理之前对员工个人数据处理操作及其目的、其必要性和适当性、可能的风险和预防措施等进行评估。如果评估结果显示不采取措施将导致高风险,那么企业应在进行数据处理前咨询监管机构并与之协商。


4. 任命数据保护官的义务


根据GDPR第37条的要求,如果企业要对员工定期进行大规模系统化监控的,或者大规模处理员工敏感数据的,有义务任命数据保护官。数据保护官可以是企业自己的员工,也可以基于服务协议委托他人。企业对数据保护官根据GDPR开展的活动应予以支持,提供执行任务、访问个人数据和处理操作的必要资源和专业知识培训,数据保护官不应因为执行任务的原因而被解雇或者受到其他处罚。


5. 数据跨境传输中的合规要求


GDPR第五章对于个人数据从欧盟向第三国或国际组织传输设定了相当严格的限制,所以我国涉欧企业一方面要尽量做好员工个人数据的欧盟本地化管理,另一方面在有必要进行数据跨境传输时确保流动的合法性。


对于我国而言,像新加坡、以色列那样获得欧盟的充分性认定、被列入数据保护的“白名单”还有待时日。更为现实的路径是,采取适当的措施确保个人数据在欧盟以外的接收者那里也是安全的,从而在此基础上被允许数据出境,就此GDPR第46条列举的措施有:制定有约束力的企业规则;采用欧盟委员会通过的标准数据保护条款;采用成员国监管机构通过并经欧盟委员会批准的标准数据保护条款;遵守协会等组织编写并经批准的行为准则;获得经批准的认证加上做出承诺。


由于我国涉欧企业有不少是跨国集团公司,集团内部的员工数据流动不可避免,所以制定适用于整个集团的数据保护的企业规则并获得监管机构批准是一种较为便利的措施。对于偶尔发生的、非大规模的员工个人数据处理,我国涉欧企业也可以选择GDPR第49条提供的路径:


一种是,员工在了解相应风险后明确表示同意数据跨境传输,但对企业而言该路径并不稳妥,因为员工的同意是否自由做出可能被质疑、员工也可能事后又撤回同意;


另一种是,数据跨境传输为履行劳动合同所必须,尤其在员工可能短期或者长期在欧盟境外的接收者所在的第三国工作时,比如办理外国人工作许可所需要的个人数据
[31]


结语


在GDPR带来的挑战中,人们关注的往往是那些掌握了海量消费者数据的跨境电商平台、电信运营商等特定行业的企业,却忽视了各行各业绝大多数的企业在日常的劳动用工当中也面临着GDPR的合规要求。


数字化的时代背景下,用户和员工都将越来越重视数据安全,数据保护的程度也将成为企业的核心竞争力。前述H&M公司的数据丑闻,不仅让其收到了巨额罚单,还面临着员工的索赔和名誉的损害,所以我国涉欧企业也应当警醒,在处理员工的个人数据时要坚持合规理念、做好风险管理。


涉欧企业首先要确保处理员工个人数据具备合法性基础,然后要履行与员工的知情权、删除权、可携带权等权利相对应的义务,还应该遵守保障数据处理过程安全性、全面记载处理活动、事前风险评估等合规要求,在做好员工个人数据的本地化管理的同时也要确保数据跨境传输时流动的合法性。

 



注:

[1]EDPB. Hamburg Commissioner Fines H&M 35.3 Million Euro for Data ProtectionViolations in Service Centre,https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_de,访问日期2020-12-12.[2]但GDPR对于数据控制者和处理者几乎是同等对待的,数据主体可以直接起诉或投诉处理者来寻求救济,原则上控制者和处理者需对数据主体的损害承担连带责任。所以,一方面涉欧企业作为数据控制者在选择薪酬外包服务商等处理者时应该审慎,另一方面即使涉欧企业只是数据处理者,也同样面临着较高的GDPR合规要求。[3]俞胜杰,林燕萍:《通用数据保护条例域外效力的规制逻辑、实践反思与立法启示》,载《重庆社会科学》,2020年第6期,第62-79页,这里第63页。[4]Wolfgang Däubler/PeterWedde/ThiloWeichert/ImkeSommer-WolfgangDäubler.Kommentar zumEU-Datenschutz-Grundverordnung und BDSG neu, 2. Aufl. 2020, DS-GVO Art. 3Rn.10ff.[5]Boris Paal/DanielPauly-Stefan Ernst. Datenschutz-GrundverordnungBundesdatenschutzgesetz, 2. Aufl. 2018, DS-GVO Art. 3 Rn.4.[6]WolfgangDäubler/Peter Wedde/Thilo Weichert/Imke Sommer-Wolfgang Däubler. Kommentar zumEU-Datenschutz-Grundverordnung und BDSG neu, 2. Aufl. 2020, DS-GVO Art. 3Rn.14.[7]EuGH. Google Spain v AEPD andMario Costeja González, 13.5.2014 – C-131/12 – NJW 2014, 2257–Tz. 56.[8]Wolfgang Däubler/Peter Wedde/Thilo Weichert/ImkeSommer-Wolfgang Däubler, Kommentar zum EU-Datenschutz-Grundverordnung und BDSGneu, 2. Aufl. 2020, DS-GVO Art. 3Rn.16.[9]京东法律研究院.《欧盟数据宪章:一般数据保护条例GDPR评述及实务指引》,北京:法律出版社,2018年版,第35页。[10]Eugen Ehmann/MartinSelmayr-Achim Klabunde,Kommentar zum Datenschutz-Grundverordnung, 2. Aufl. 2018,DS-GVO Art. 4 Rn.49.[11]Article 29 Data Protection Working Party是根据《95指令》第29条建立的个人数据保护工作组,其出具的指南意见虽然不具有法律效力,但提供了较为权威的解释和适用思路,具有较高的借鉴意义,现在已经被GDPR出台后建立的欧盟数据保护委员会EuropeanData Protection Board(EDPB)所取代。[12]Article 29 Data ProtectionWorking Party. Opinion 2/2017 on data processing at work,https://ec.europa.eu/newsroom/document.cfm?doc_id=45631, 访问日期2020-12-18.[13]EDPB.Guidelines 05/2020 onconsent under Regulation 2016/679, https://edpb.europa.eu/our-work-tools/our-documents/nasoki/guidelines-052020-consent-under-regulation-2016679_en,访问日期2021-01-25.[14]Eugen Ehmann/Martin Selmayr-AchimKlabunde.Kommentar zum Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 4 Rn.51.[15]EDPB. Guidelines 2/2019 on theprocessing of personal data under Article 6(1)(b) GDPR in the context of theprovision of online services to data subjects,https://edpb.europa.eu/our-work-tools/our-documents/leitlinien/guidelines-22019-processing-personal-data-under-article-61b_en.,访问日期2021-01-16.[16]Martin Franzen. Erfurter Kommentar zum Arbeitsrecht, 20. Aufl. 2020, BDSG§26 Rn.13.[17]Wolfgang Däubler/PeterWedde/Thilo Weichert/Imke Sommer-Wolfgang Däubler.EU-Datenschutz-Grundverordnung und BDSG neu, 2. Aufl. 2020, BDSG § 26 Rn.118ff.[18]Article 29 Data Protection Working Party. Opinion 2/2017 on data processing atwork, https://ec.europa.eu/newsroom/document.cfm?doc_id=45631, 访问日期2020-12-18.[19]Article 29 Data Protection Working Party. Opinion 2/2017 on data processing atwork, https://ec.europa.eu/newsroom/document.cfm?doc_id=45631, 访问日期2020-12-18.[20]Boris Paal/DanielPauly-Eike Michael Frenzel. Kommentar zumDatenschutz-Grundverordnung, 2. Aufl. 2018, Art. 9 Rn.28.[21]WolfgangDäubler/Peter Wedde/Thilo Weichert/Imke Sommer-Wolfgang Däubler. Kommentar zumEU-Datenschutz-Grundverordnung und BDSG neu, 2. Aufl. 2020, BDSG § 26 Rn.63ff.[22]Jürgen Kühling/BenediktBuchner-Matthias Bäcker. Kommentar zumDatenschutz-Grundverordnung, 3. Aufl. 2020, Art.12 Rn.16.[23]京东法律研究院.《欧盟数据宪章:一般数据保护条例GDPR评述及实务指引》,北京:法律出版社,2018年版,第76页。[24]Martin Franzen. Erfurter Kommentar zum Arbeitsrecht, 20. Aufl. 2020, BDSG§26 Rn.20.[25]Peter Gola-NobertNolteChristoph Werkmeister,Kommentar zum Datenschutz-Grundverordnung, 2. Aufl.2018, Art.17 Rn.14.[26]薛丽:《GDPR生效背景下我国被遗忘权确立研究》,载《法学论坛》2019年第2期,第100-109页,这里第102页。[27]Wolfgang Däubler/PeterWedde/Thilo Weichert/Imke Sommer-Wolfgang Däubler. Kommentar zumEU-Datenschutz-Grundverordnung und BDSG neu, 2. Aufl. 2020, DS-GVO Art. 17Rn.28ff.[28]Tim Wybitul/ArminFladung. EU-Datenschutz-Grundverordnung –Überblick und arbeitsrechtliche Betrachtung des Entwurfs, Betriebsberater, 2012, 509 (512).[29]Article 29 Data Protection Working Party. Opinion 2/2017 on data processing atwork, https://ec.europa.eu/newsroom/document.cfm?doc_id=45631, 访问日期2020-12-18.[30]Boris Paal/DanielPauly-Mario Martini. Kommentar zumDatenschutz-Grundverordnung, 2. Aufl. 2018, Art. 30 Rn. 32ff.[31]WolfgangDäubler/Peter Wedde/Thilo Weichert/Imke Sommer-Wolfgang Däubler. Kommentar zumEU-Datenschutz-Grundverordnung und BDSG neu, 2. Aufl. 2020, BDSG §26 Rn.213f.


下滚动查看更多



- END -







# 大鱼聊天室#

本周三晚9点,新则将上线全新直播对谈栏目「大鱼聊天室」。首期对谈嘉宾,我们邀请到兰迪律所主任刘逸星,一起聊聊,当前国内外大环境下,律师/律所将向何处发展。欢迎扫码预约直播。
↓↓↓



# 新空会纳新计划 #




# 推荐阅读 #




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存