歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)號(hào)稱(chēng)是“史上最嚴(yán)個(gè)人數(shù)據(jù)保護(hù)立法”,,該條例適用于勞動(dòng)關(guān)系。我國(guó)有眾多涉歐企業(yè),,在生產(chǎn)經(jīng)營(yíng)和用工管理中經(jīng)常要進(jìn)行員工數(shù)據(jù)處理活動(dòng),,從而面臨著GDPR的合規(guī)挑戰(zhàn)。在合規(guī)管理中,,涉歐企業(yè)首先要確保處理員工個(gè)人數(shù)據(jù)具備合法性基礎(chǔ),,然后要履行與員工的知情權(quán)、刪除權(quán)、可攜帶權(quán)等權(quán)利相對(duì)應(yīng)的義務(wù),,還應(yīng)該遵守保障數(shù)據(jù)處理過(guò)程安全性,、全面記載處理活動(dòng)、事前風(fēng)險(xiǎn)評(píng)估等合規(guī)要求,,在做好員工個(gè)人數(shù)據(jù)的本地化管理的同時(shí)也要確保數(shù)據(jù)跨境傳輸時(shí)流動(dòng)的合法性,。
關(guān) 鍵 詞:DPR;員工個(gè)人數(shù)據(jù)保護(hù),;涉歐企業(yè);數(shù)據(jù)合規(guī)
數(shù)字經(jīng)濟(jì)時(shí)代移動(dòng)互聯(lián)網(wǎng),、大數(shù)據(jù),、云計(jì)算、人工智能等科技的發(fā)展,,使數(shù)據(jù)的產(chǎn)生和處理呈現(xiàn)爆炸式增長(zhǎng),,給個(gè)人數(shù)據(jù)保護(hù)帶來(lái)了巨大的挑戰(zhàn)。2018年5月25日《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,,以下簡(jiǎn)稱(chēng)“GDPR”)在歐盟成員國(guó)內(nèi)正式生效實(shí)施,,該條例可謂是史上最為嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)規(guī)范,違反者可能面臨最高2000萬(wàn)歐元或上年度全球總營(yíng)業(yè)額4%金額的罰款,。據(jù)2020年10月的報(bào)道,,由于H&M公司過(guò)去幾年中一直大范圍地收集員工請(qǐng)病假、就醫(yī)以及病情診斷等詳細(xì)信息,,還有管理人員在與員工的非正式聊天中挖掘其家庭問(wèn)題或宗教信仰等個(gè)人數(shù)據(jù)作為員工考評(píng)或任用決定的參考,,德國(guó)漢堡數(shù)據(jù)保護(hù)局開(kāi)出了高達(dá)3530萬(wàn)歐元的罰單。
GDPR適用于勞動(dòng)關(guān)系中的個(gè)人數(shù)據(jù)保護(hù),,其第88條明確規(guī)定,,成員國(guó)可以通過(guò)法律或通過(guò)集體協(xié)議制定特定規(guī)則,以確保在雇傭語(yǔ)境下處理雇員個(gè)人數(shù)據(jù)時(shí)保護(hù)其權(quán)利和自由,,這在如下情形中尤其適用:為了招聘,、履行勞動(dòng)合同,履行法律或集體合同規(guī)定的義務(wù),;對(duì)工作的管理,、計(jì)劃和組織;工作場(chǎng)所的平等與多樣性,;工作中的健康和安全,;對(duì)員工和顧客財(cái)產(chǎn)的保護(hù);為了行使和履行與雇傭相關(guān)的權(quán)利和義務(wù),;為了終止雇傭關(guān)系,。德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條正是基于此授權(quán)對(duì)員工的個(gè)人數(shù)據(jù)保護(hù)做了針對(duì)性安排。我國(guó)有眾多在歐盟境內(nèi)設(shè)立了業(yè)務(wù)機(jī)構(gòu)或雇傭了歐盟境內(nèi)員工的企業(yè),生產(chǎn)經(jīng)營(yíng)和用工管理中不可避免地要進(jìn)行員工的個(gè)人數(shù)據(jù)處理,。雖然目前我國(guó)還沒(méi)有出現(xiàn)涉歐企業(yè)因?yàn)檫`反GDPR而受罰的案例,,但是仍然應(yīng)該提前了解相關(guān)情況、做好相應(yīng)預(yù)防措施,,尤其在我國(guó)個(gè)人信息保護(hù)的意識(shí)比較淡漠的背景下,,涉歐企業(yè)更容易“觸雷”。那么,,應(yīng)該采取什么措施才能達(dá)到GDPR的合規(guī)要求,,如何平衡企業(yè)的經(jīng)營(yíng)管理需求與員工的個(gè)人數(shù)據(jù)保護(hù)?了解GDPR對(duì)個(gè)人數(shù)據(jù)保護(hù)的設(shè)計(jì)理念與制度框架,,探究其在勞動(dòng)關(guān)系中適用的特殊問(wèn)題,,是涉歐企業(yè)在用工中實(shí)現(xiàn)GDPR合規(guī)管理所必須關(guān)注的問(wèn)題。
一,。
受到GDPR管轄的涉歐企業(yè)
根據(jù)GDPR第4條的定義,,“個(gè)人數(shù)據(jù)”是指一個(gè)被識(shí)別或可識(shí)別的自然人(數(shù)據(jù)主體)的任何信息,而所謂自然人可識(shí)別是指通過(guò)姓名,、身份證號(hào)碼,、位置數(shù)據(jù)、在線(xiàn)身份識(shí)別碼這類(lèi)標(biāo)識(shí)或通過(guò)針對(duì)該自然人的一個(gè)或多個(gè)身體,、生理,、遺傳、心理,、經(jīng)濟(jì),、文化或社會(huì)身份等要素能夠直接或間接地被識(shí)別?!疤幚怼笔侵羔槍?duì)個(gè)人數(shù)據(jù)或其集合的任何一個(gè)或一系列操作,,如收集、記錄,、組織,、建構(gòu)、存儲(chǔ),、修改,、檢索、咨詢(xún),、使用,、披露、傳播或其他方式利用,、排列或組合,、限制,、刪除或銷(xiāo)毀,無(wú)論該等操作是否采用自動(dòng)化方式,?!皵?shù)據(jù)控制者”是能單獨(dú)或聯(lián)合決定個(gè)人數(shù)據(jù)的處理目的和方式的自然人、法人,、公共機(jī)構(gòu),、代理機(jī)構(gòu)或其他組織,而“數(shù)據(jù)處理者”是指為數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)的個(gè)人或組織,。勞動(dòng)關(guān)系中的數(shù)據(jù)主體是員工,,而涉歐企業(yè)一般是以數(shù)據(jù)控制者的身份出現(xiàn),少數(shù)情況也可能是數(shù)據(jù)處理者,。GDPR極大地?cái)U(kuò)張了其域外管轄范圍,,具體到員工的個(gè)人數(shù)據(jù)保護(hù),我國(guó)涉歐企業(yè)可能在兩種情形下受到GDPR管轄,。
?。ㄒ唬W盟境內(nèi)存在業(yè)務(wù)機(jī)構(gòu)的企業(yè)
根據(jù)GDPR第3條第1款,,該條例適用于數(shù)據(jù)控制者或處理者在歐盟境內(nèi)存在業(yè)務(wù)機(jī)構(gòu)活動(dòng)的背景下所實(shí)施個(gè)人數(shù)據(jù)處理行為,,無(wú)論該處理行為是否發(fā)生在歐盟境內(nèi)。要理解這一復(fù)雜的表述,,關(guān)鍵注意以下三點(diǎn),。
第一,重要的是在歐盟境內(nèi)存在業(yè)務(wù)機(jī)構(gòu),、而非住所,,GDPR在序言(22)條中將業(yè)務(wù)機(jī)構(gòu)又稱(chēng)為“營(yíng)業(yè)場(chǎng)所”,而營(yíng)業(yè)指通過(guò)穩(wěn)定的安排有效且真實(shí)地開(kāi)展經(jīng)營(yíng)活動(dòng),,而該安排的法律形式并非判斷其是否可以稱(chēng)為營(yíng)業(yè)場(chǎng)所的決定性因素,。即只要企業(yè)在歐盟境內(nèi)設(shè)有機(jī)構(gòu)并營(yíng)業(yè),無(wú)論機(jī)構(gòu)是否具有分公司或子公司的地位,,即使是以辦事處,、派遣機(jī)構(gòu)等形式存在,企業(yè)也應(yīng)當(dāng)受到管轄,。
第二,,條例的適用與數(shù)據(jù)主體是否擁有歐盟公民身份、是否長(zhǎng)期居住在歐盟境內(nèi)無(wú)關(guān),,與個(gè)人數(shù)據(jù)處理活動(dòng)是否發(fā)生在歐盟境內(nèi)也無(wú)關(guān),,比如我國(guó)涉歐企業(yè)將中國(guó)國(guó)籍的員工外派到歐盟境內(nèi)的辦事處工作,即使對(duì)員工的個(gè)人數(shù)據(jù)處理發(fā)生在中國(guó)總部,,也受到GDPR的管轄,。
第三,條例的適用限于“在業(yè)務(wù)機(jī)構(gòu)活動(dòng)的背景下”所實(shí)施的個(gè)人數(shù)據(jù)處理行為,包括“該歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)自己進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)”和“為該歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)”,。也就是說(shuō),,我國(guó)涉歐企業(yè)并不會(huì)因?yàn)樵跉W盟境內(nèi)設(shè)有業(yè)務(wù)機(jī)構(gòu)而將企業(yè)全部的個(gè)人數(shù)據(jù)處理活動(dòng)置于GDPR的管轄之下,比如涉歐企業(yè)的中國(guó)總部在中國(guó)境內(nèi)雇傭歐盟公民并對(duì)其進(jìn)行個(gè)人數(shù)據(jù)處理,,但是與歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)并無(wú)關(guān)系,,則GDPR并不適用。就如何界定“為該歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)”,,歐盟法院在Google西班牙公司案中認(rèn)為應(yīng)該考慮業(yè)務(wù)機(jī)構(gòu)與數(shù)據(jù)處理者之間是否存在“密不可分的聯(lián)系”,,具體到勞動(dòng)關(guān)系中這種聯(lián)系需要根據(jù)個(gè)案的具體情況來(lái)判斷。
?。ǘW盟境內(nèi)未設(shè)立業(yè)務(wù)機(jī)構(gòu)的企業(yè)
對(duì)于沒(méi)有在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu)的數(shù)據(jù)控制者或處理者,,按照GDPR第3條第2款,若其涉及向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù),,抑或涉及對(duì)數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進(jìn)行監(jiān)控,,則適用本條例。此適用情形與數(shù)據(jù)主體的國(guó)籍無(wú)關(guān),,也與個(gè)人數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)無(wú)關(guān),,只取決于數(shù)據(jù)主體是否位于歐盟境內(nèi)。不同于第1款的“業(yè)務(wù)機(jī)構(gòu)原則”,,德國(guó)學(xué)者將第2款的適用情形稱(chēng)為“市場(chǎng)地原則”或“來(lái)源地原則”,,因?yàn)樗詳?shù)據(jù)是否來(lái)源于歐盟境內(nèi)作為管轄權(quán)的重要依據(jù),國(guó)內(nèi)也有觀(guān)點(diǎn)將其歸納為“屬地+屬人+保護(hù)等綜合性的影響主義原則”,。無(wú)論采用何種觀(guān)點(diǎn),,毋庸置疑的是,諸多并未在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu)的我國(guó)企業(yè)也可能因?yàn)闃I(yè)務(wù)或者人員涉及歐盟而面臨著GDPR的規(guī)制,,當(dāng)然這種適用也只限于對(duì)來(lái)源于歐盟境內(nèi)的個(gè)人數(shù)據(jù)的處理活動(dòng),。
隨著經(jīng)濟(jì)全球化進(jìn)程的加快,很多互聯(lián)網(wǎng)公司由于業(yè)務(wù)原因向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù),,比如電商平臺(tái)或者社交軟件收集用戶(hù)數(shù)據(jù)以達(dá)到精準(zhǔn)營(yíng)銷(xiāo)的目的,。在企業(yè)用工中此類(lèi)情形則更多表現(xiàn)為,設(shè)立在歐盟境外的企業(yè)雇傭了歐盟境內(nèi)的員工,,此時(shí)企業(yè)在歐盟境內(nèi)沒(méi)有營(yíng)業(yè)場(chǎng)所,,卻出于用工管理等目的需要對(duì)遠(yuǎn)在千里之外的員工進(jìn)行監(jiān)控。GDPR序言(24)條指出,,判斷某一處理活動(dòng)能否被視為對(duì)數(shù)據(jù)主體的行為進(jìn)行監(jiān)控,,需要確定該自然人是否在互聯(lián)網(wǎng)上被跟蹤記錄,或者是否潛在地后續(xù)使用個(gè)人數(shù)據(jù)處理技術(shù),,包括對(duì)自然人進(jìn)行畫(huà)像,、作出自動(dòng)化決策,,或?qū)υ撟匀蝗说膫€(gè)人偏好、行為和態(tài)度進(jìn)行分析和預(yù)測(cè),。例如,,歐盟境外的企業(yè)使用定位系統(tǒng)對(duì)歐盟境內(nèi)的員工工作地點(diǎn)和時(shí)間進(jìn)行監(jiān)控,進(jìn)而自動(dòng)化地處理數(shù)據(jù),、分析預(yù)測(cè)員工行為并以此作為考評(píng)依據(jù),,此時(shí)企業(yè)也受到GDPR的管轄。需要注意的是,,由于這種情形下我國(guó)涉歐企業(yè)在歐盟境內(nèi)沒(méi)有設(shè)立業(yè)務(wù)機(jī)構(gòu),,所以為方便聯(lián)絡(luò),企業(yè)有義務(wù)按照GDPR第27條的要求選定一名在歐盟的代表處理相關(guān)事項(xiàng),。
二,。
處理員工個(gè)人數(shù)據(jù)的合法性基礎(chǔ)
我國(guó)涉歐企業(yè)處理員工的個(gè)人數(shù)據(jù),首先需要具備合法性基礎(chǔ),,這是履行員工個(gè)人數(shù)據(jù)保護(hù)義務(wù)的重中之重,。GDPR第6條列舉的合法性基礎(chǔ)中主要有以下幾種與勞動(dòng)用工相關(guān)。此處需注意,,各成員國(guó)對(duì)于“員工”的理解可能不同,,比如德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第8款就明確表示該條款不僅適用于雇員,也適用于學(xué)徒,、類(lèi)雇員,、求職者等,。
?。ㄒ唬┗趩T工的同意
按照GDPR第6條第1款(a)項(xiàng),數(shù)據(jù)主體同意為一個(gè)或多個(gè)特定目的而處理其個(gè)人數(shù)據(jù)的,,數(shù)據(jù)處理行為合法,。真實(shí)有效的“同意”應(yīng)當(dāng)滿(mǎn)足以下要件:
1.
自由要件
自由選擇是同意原則的核心,其前提是數(shù)據(jù)主體存在選擇的可能,,正如GDPR條第7條第4款的規(guī)定,,在評(píng)估同意是否自由做出時(shí),應(yīng)著重考慮數(shù)據(jù)控制者是否將“數(shù)據(jù)主體同意其處理履行該合同不必要的個(gè)人數(shù)據(jù)設(shè)定為合同履行(包括服務(wù)提供)的前提”,。具體到勞動(dòng)關(guān)系中,,企業(yè)不能以訂立勞動(dòng)合同或其他條件來(lái)明示或暗示員工,即只有同意對(duì)其數(shù)據(jù)的處理才會(huì)被錄用,,在勞動(dòng)關(guān)系履行的過(guò)程中企業(yè)也不能以解雇,、降職等任何形式的壓力要求員工同意數(shù)據(jù)處理。比如根據(jù)德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第2款,,判斷同意是否自由做出需要特別考慮勞動(dòng)關(guān)系中員工的從屬性以及表示同意時(shí)的具體情形,,在員工可以獲得法律上或經(jīng)濟(jì)上的好處時(shí)或者在企業(yè)與員工的利益訴求一致時(shí),,往往可以認(rèn)為同意是自由做出的。歐盟數(shù)據(jù)保護(hù)第29 條工作組持類(lèi)似觀(guān)點(diǎn),,比如它舉例指出,,企業(yè)為員工配備工作使用的通信設(shè)備并明確告知對(duì)該設(shè)備存在一定范圍內(nèi)的監(jiān)控,但員工拒絕使用該設(shè)備也可以由其他合適方案替代,,不會(huì)影響工作的正常進(jìn)行且不會(huì)受到任何形式的壓力,,則此時(shí)員工使用該設(shè)備并接受監(jiān)控的同意應(yīng)當(dāng)被認(rèn)為是自由做出的。 歐盟數(shù)據(jù)保護(hù)委員會(huì)延續(xù)了此立場(chǎng),,認(rèn)為由于缺乏真正的自由在勞動(dòng)關(guān)系中大多數(shù)的數(shù)據(jù)處理不能基于員工同意而進(jìn)行,,只在一些特殊情況下企業(yè)可能證明同意的自愿性,比如企業(yè)請(qǐng)某辦公區(qū)域的員工在以該區(qū)域?yàn)楸尘暗碾娪盎蛞曨l中出鏡,,但不愿意被拍攝的員工不會(huì)受到任何形式的懲罰,,可以在拍攝期間在其他區(qū)域獲得相同的辦公空間。
2.
具體要件
帶有不明確目的的,、籠統(tǒng)的或預(yù)防性的同意是不被允許的,,企業(yè)應(yīng)詳細(xì)、清晰地呈現(xiàn)處理活動(dòng)的具體形式,,當(dāng)存在多種數(shù)據(jù)處理活動(dòng)時(shí),,員工需要有實(shí)際的可能就每一種形式表示同意與否。勞動(dòng)合同的訂立不意味著員工對(duì)數(shù)據(jù)處理的當(dāng)然同意,,員工需要在充分了解可能發(fā)生的數(shù)據(jù)處理活動(dòng)的基礎(chǔ)上,,單獨(dú)做出相應(yīng)的具體同意。充分知情是作出具體同意的前提,,企業(yè)需保證員工能夠以準(zhǔn)確,、透明、易于理解的方式獲得與處理活動(dòng)相關(guān)的各種信息,。同意的授權(quán)應(yīng)當(dāng)符合具有顯著性,、易理解獲得、使用清楚平實(shí)文字等形式要求,,比如同意條款包含在很長(zhǎng)的,、涉及其他條件下的使用的文件中,即使員工沒(méi)有表示反對(duì)也不能被認(rèn)為是有效的同意,。若涉及長(zhǎng)期的數(shù)據(jù)處理,,企業(yè)還應(yīng)當(dāng)多次更新所獲得的同意,以確保員工對(duì)當(dāng)前最新的處理活動(dòng)有全面,、完整的了解,。
3.
可撤回要件
GDPR第7條第3款規(guī)定數(shù)據(jù)主體有權(quán)撤回先前的同意,同意的撤回立即生效于之后的數(shù)據(jù)處理,,數(shù)據(jù)主體可以進(jìn)一步依據(jù)GDPR第17條請(qǐng)求刪除個(gè)人數(shù)據(jù),。該規(guī)定特別強(qiáng)調(diào),,撤回同意應(yīng)當(dāng)與做出同意同樣容易,同意與撤回的“簡(jiǎn)單性”對(duì)應(yīng)關(guān)系不難理解:當(dāng)同意是員工口頭做出時(shí),,不得要求員工以書(shū)面形式撤回同意,。企業(yè)應(yīng)在員工做出同意之前,將撤回同意的權(quán)利和行使該權(quán)利的方法告知員工,。由于員工可能隨時(shí)撤回同意,,所以對(duì)企業(yè)的合規(guī)管理而言,員工的同意并不是很可靠的合法性基礎(chǔ),。
4.
形式要件
根據(jù)GDPR序言第(32)條,,數(shù)據(jù)主體應(yīng)清楚明確地表示同意,例如通過(guò)書(shū)面陳述(包括電子形式)或者口頭形式,。同意方式包括在瀏覽網(wǎng)頁(yè)時(shí)在方框里打鉤,,但沉默、默認(rèn)勾選的對(duì)話(huà)框或者其他不作為都不能構(gòu)成同意,。雖然GDPR并不要求同意必須以書(shū)面形式做出,,但是各成員國(guó)的法律或集體協(xié)議可能會(huì)提高形式要件要求,比如德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第2款針對(duì)勞動(dòng)關(guān)系明確要求企業(yè)應(yīng)獲得員工的書(shū)面同意(包括電子形式),。
?。ǘ┚喗Y(jié)、履行或終止勞動(dòng)合同所必需
GDPR第6條第1款(b)項(xiàng)將該原則表述為,,數(shù)據(jù)處理是為履行數(shù)據(jù)主體作為一方的合同所必需,,或者數(shù)據(jù)處理是在訂立一項(xiàng)合同前為依據(jù)數(shù)據(jù)主體的要求采取特定行為所必需。歐盟數(shù)據(jù)保護(hù)委員會(huì)認(rèn)為,,要對(duì)“簽訂或履行合同所必需”做限縮解釋?zhuān)瑧?yīng)該基于合同的目的判斷是否存在客觀(guān)上的必要性,,數(shù)據(jù)控制者需證明某項(xiàng)數(shù)據(jù)處理行為如果沒(méi)有進(jìn)行,合同就無(wú)法訂立或無(wú)法履行,。就勞動(dòng)關(guān)系而言,,德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第1款規(guī)定得更明確,,即數(shù)據(jù)處理是為了做出是否建立勞動(dòng)關(guān)系的決定所必需,,是履行或終止勞動(dòng)關(guān)系所必需,或者是行使或履行基于法律,、集體合同或企業(yè)協(xié)議產(chǎn)生的權(quán)利義務(wù)所必需,。“締結(jié),、履行或終止勞動(dòng)合同所必需”可謂是勞動(dòng)關(guān)系中處理員工數(shù)據(jù)最重要的合法性基礎(chǔ),,但需要強(qiáng)調(diào)的是,只有當(dāng)處理活動(dòng)是為了實(shí)現(xiàn)具體的締結(jié),、履行或終止勞動(dòng)合同的目的所“必需”時(shí)才可適用該項(xiàng),,僅是“有用”則不夠,,也就是說(shuō)對(duì)于該合法性基礎(chǔ)的理解和適用應(yīng)該相當(dāng)謹(jǐn)慎。比如,,在招聘時(shí)企業(yè)不得對(duì)員工進(jìn)行壓力面試,、智商檢查、基因分析,,因?yàn)檫@些對(duì)決定招錄與否不是必需的,。又比如,一般情況下不間斷地,、全面地對(duì)工作場(chǎng)所進(jìn)行公開(kāi)的視頻監(jiān)控并非履行勞動(dòng)合同所必需,,使用隱藏的攝像頭進(jìn)行秘密監(jiān)控更是被禁止的,除非有明確,、具體的線(xiàn)索指向員工的犯罪行為并且為了查明事實(shí)真相不得不進(jìn)行秘密監(jiān)控,。
(三)為了履行法定義務(wù)
根據(jù)GDPR第6條第1款(c)項(xiàng),,企業(yè)可以為了履行法律義務(wù)而進(jìn)行員工個(gè)人數(shù)據(jù)處理,,比如出于計(jì)稅、繳納社會(huì)保險(xiǎn)等目的,,企業(yè)處理員工的家庭住址,、婚姻情況、宗教信仰,、健康等信息,。但GDPR又對(duì)此做出了嚴(yán)格的限制,即將設(shè)定義務(wù)的法律限定在歐盟法或適用的成員國(guó)法的范圍內(nèi),,還必須明確數(shù)據(jù)處理的一般條件,、被處理數(shù)據(jù)的類(lèi)型、數(shù)據(jù)可能被披露的對(duì)象和目的,、存儲(chǔ)期限,、處理方法和程序等內(nèi)容,以保證數(shù)據(jù)處理的公平性,、準(zhǔn)確性,。另外,即使是出于履行法律義務(wù)所必需,,企業(yè)的數(shù)據(jù)處理活動(dòng)也要遵循一般性的要求,,比如企業(yè)可能基于確保車(chē)輛駕駛員安全的義務(wù),在車(chē)輛上安裝追蹤技術(shù),,但員工應(yīng)當(dāng)被允許在特殊情況下暫時(shí)關(guān)閉位置跟蹤功能,,企業(yè)還必須確保收集到的數(shù)據(jù)不用于跟蹤和評(píng)估員工等其他目的。
?。ㄋ模┗谄髽I(yè)合法利益
根據(jù)GDPR第6條第1款(f)項(xiàng),,企業(yè)可基于優(yōu)先性的合法利益進(jìn)行數(shù)據(jù)處理,。對(duì)于此種合法性基礎(chǔ)的適用應(yīng)該特別謹(jǐn)慎,首先要確定企業(yè)就數(shù)據(jù)處理存在合法利益,,然后看是否有與之相沖突的員工的利益,、基本權(quán)利或自由,再對(duì)兩者進(jìn)行利益衡量來(lái)判斷應(yīng)該優(yōu)先保護(hù)何者,,即利益衡量的結(jié)果必須是企業(yè)合法利益占優(yōu)才行進(jìn)行數(shù)據(jù)處理,。利益衡量時(shí)應(yīng)遵循誠(chéng)實(shí)信用原則,特別是要符合員工的合理預(yù)期,,還需要考慮以下幾方面要求:
首先,,透明性是員工行使數(shù)據(jù)主體權(quán)利的基本前提。企業(yè)即使基于合法利益的需要進(jìn)行數(shù)據(jù)處理,,也需保證數(shù)據(jù)處理過(guò)程的公平和透明,,員工應(yīng)被清楚和充分的告知其個(gè)人數(shù)據(jù)的處理情況,包括是否存在任何形式的監(jiān)測(cè),。
其次,,員工數(shù)據(jù)的收集、處理均應(yīng)當(dāng)基于特定,、明確且合法的目的,。比如企業(yè)為保護(hù)商業(yè)秘密對(duì)特定區(qū)域安裝了訪(fǎng)問(wèn)控制系統(tǒng),記錄有權(quán)進(jìn)入該區(qū)域的員工的出入行為,,以便在發(fā)生設(shè)備項(xiàng)目丟失,、數(shù)據(jù)遭到未經(jīng)授權(quán)的訪(fǎng)問(wèn)或被盜時(shí)獲知當(dāng)時(shí)有誰(shuí)進(jìn)入過(guò)該區(qū)域,該處理可能基于企業(yè)合法利益而被認(rèn)為具有合法性來(lái)源,,但企業(yè)不得使用這些數(shù)據(jù)對(duì)員工的工作績(jī)效進(jìn)行評(píng)估,。
最后,勞動(dòng)關(guān)系中的數(shù)據(jù)處理應(yīng)滿(mǎn)足限度最小,、成比例,、必要性的要求,盡可能以侵入性最小的方式進(jìn)行,,有更為溫和手段能達(dá)到數(shù)據(jù)處理目的的就要先用該手段,。
(五)更嚴(yán)格的保護(hù):特殊種類(lèi)的個(gè)人數(shù)據(jù)
根據(jù)GDPR第9條的規(guī)定,,特殊種類(lèi)的個(gè)人數(shù)據(jù)也被稱(chēng)為敏感數(shù)據(jù),,包括顯示種族或民族出身、政治觀(guān)點(diǎn),、宗教或哲學(xué)信仰、工會(huì)會(huì)員資格的數(shù)據(jù),,以及基因數(shù)據(jù),、生物識(shí)別數(shù)據(jù),、健康相關(guān)數(shù)據(jù)、性生活與性取向的數(shù)據(jù),。由于敏感數(shù)據(jù)更多地涉及數(shù)據(jù)主體的基本權(quán)利和自由,,其處理容易導(dǎo)致對(duì)數(shù)據(jù)主體的歧視和偏見(jiàn),所以GDPR對(duì)其保護(hù)更為嚴(yán)格,,即一般情況下禁止對(duì)敏感數(shù)據(jù)的處理活動(dòng),,只在例外情形下予以豁免。所以,,企業(yè)處理員工的敏感數(shù)據(jù)時(shí)需要注意是否符合豁免的情形和條件,。
首先,按照GDPR第9條第2款(a)項(xiàng),,數(shù)據(jù)主體明確表示的同意原則上也可以成立豁免,,但正如前文所述,對(duì)勞動(dòng)關(guān)系中員工同意的有效性容易產(chǎn)生爭(zhēng)議,,員工還可能撤回同意,,所以企業(yè)應(yīng)該慎重選擇該路徑。其次,,更為重要的豁免情形規(guī)定在第9條第2款(b)項(xiàng),,即數(shù)據(jù)處理為在勞動(dòng)法、社會(huì)保險(xiǎn)法或其他社會(huì)保障法律的范疇內(nèi)履行義務(wù),、行使權(quán)利所必需,。但是,該數(shù)據(jù)處理須依據(jù)歐盟,、成員國(guó)的法律或依據(jù)成員國(guó)法律制定的集體合同進(jìn)行,,其所依據(jù)的法律或者集體合同還需要規(guī)定員工基本權(quán)利和利益的保護(hù)措施,比如數(shù)據(jù)加密或假名化等手段,,另外還需確保員工主張數(shù)據(jù)更正和刪除的權(quán)利,,由于第9條的目的是重點(diǎn)保護(hù)敏感數(shù)據(jù),因此保護(hù)措施必須高于一般處理規(guī)則的水平,。最后,,根據(jù)第9條第2款(e)項(xiàng),員工明顯已經(jīng)自行公開(kāi)了個(gè)人數(shù)據(jù)的構(gòu)成豁免,,比如員工在外部網(wǎng)絡(luò)上公布了自己的性取向的,,反之,若員工只是在社交媒體賬戶(hù)向部分朋友透露此事,,不算公開(kāi)不構(gòu)成豁免,;第9條第2款(h)項(xiàng)適用于在職業(yè)安全健康的框架下采取健康防護(hù)措施、判斷員工勞動(dòng)能力而需要處理員工的健康數(shù)據(jù)時(shí);而當(dāng)前新冠疫情下企業(yè)為疫情防控采取的必要措施,,則可能屬于第9條第2款(i)項(xiàng)所指的為抵御嚴(yán)重的跨境健康威脅而處理員工數(shù)據(jù)的情形,。
相反,對(duì)企業(yè)高層管理人員的基因進(jìn)行分析以研究其是否具有重大疾病或基因缺陷,,對(duì)員工表情等人臉圖像或指紋識(shí)別等生物識(shí)別數(shù)據(jù)進(jìn)行采集以進(jìn)行考勤記錄,,甚至通過(guò)綜合分析員工心跳、呼吸,、瞳孔轉(zhuǎn)動(dòng)方向,、身體姿態(tài)等監(jiān)控員工工作狀態(tài)等,此類(lèi)行為絕大多數(shù)情況下是不被允許的,。
三,。
員工作為數(shù)據(jù)主體享有的權(quán)利及企業(yè)相對(duì)應(yīng)的義務(wù)
GDPR的“鑒于條款部分”特別提到,歐盟公眾普遍認(rèn)為自然人數(shù)據(jù)保護(hù),、尤其是線(xiàn)上活動(dòng)相關(guān)的數(shù)據(jù)保護(hù)存在很大隱患,,所以新增了限制處理權(quán)、可攜帶權(quán),、“被遺忘權(quán)”等權(quán)利,,目的在于使數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)擁有更強(qiáng)的控制力和決定權(quán)。對(duì)員工享有的這些權(quán)利,,企業(yè)負(fù)有相應(yīng)的配合義務(wù),。
(一)與知情權(quán),、訪(fǎng)問(wèn)權(quán)相對(duì)應(yīng)的提供數(shù)據(jù)信息的義務(wù)
員工就自己的個(gè)人數(shù)據(jù)享有知情權(quán),、訪(fǎng)問(wèn)權(quán)。根據(jù)GDPR第12條的要求,,企業(yè)應(yīng)當(dāng)以清晰,、簡(jiǎn)單透明、易于獲取,、易懂的方式,,向員工提供第13條、14條所規(guī)定的全部信息內(nèi)容,。無(wú)論數(shù)據(jù)是由員工個(gè)人提供,,還是由企業(yè)通過(guò)其他方式獲取,員工均享有知情權(quán),。涉及提供信息的方式選擇,,關(guān)鍵在于員工是否能真正獲得相關(guān)信息,如序言(58)提到通過(guò)向公眾開(kāi)放的網(wǎng)站提供必要的信息也是符合要求的,。在需要披露的內(nèi)容中,,對(duì)勞動(dòng)關(guān)系尤為重要的是企業(yè)數(shù)據(jù)處理的目的及選擇的法律基礎(chǔ),、企業(yè)委托的其他處理者的身份、是否存在跨境傳輸以及相應(yīng)安全保障措施等,。GDPR第15條規(guī)定的訪(fǎng)問(wèn)權(quán)更多強(qiáng)調(diào)的是員工有權(quán)自發(fā),、主動(dòng)地向企業(yè)要求提供相應(yīng)信息的權(quán)利,,原則上企業(yè)應(yīng)當(dāng)免費(fèi)提供上述信息,,但為避免員工惡意自動(dòng)化申請(qǐng)獲取副本,企業(yè)可以在確保合理性的基礎(chǔ)上對(duì)額外過(guò)度索取的如紙質(zhì)化副本設(shè)置相應(yīng)收費(fèi)制度,,以避免增加不必要的成本,。
(二)與刪除權(quán)(被遺忘權(quán))相對(duì)應(yīng)的刪除數(shù)據(jù)的義務(wù)
GDPR第17條第1款規(guī)定了六種情形下數(shù)據(jù)主體的刪除權(quán),,對(duì)勞動(dòng)關(guān)系而言最重要的是第(a)項(xiàng),,即如果對(duì)員工的個(gè)人數(shù)據(jù)的收集或其他方式的處理不再是必要的,則企業(yè)有義務(wù)毫不延遲地刪除數(shù)據(jù),,包括該數(shù)據(jù)的全部副本,、鏈接和復(fù)制件。比如,,企業(yè)在招聘過(guò)程中做出了錄用決定之后,,就不得再處理沒(méi)有錄用的應(yīng)聘者的信息,最多可以保留六個(gè)月預(yù)防可能的爭(zhēng)議,,即使要繼續(xù)保存未錄用的應(yīng)聘者的信息形成所謂的人才庫(kù),,也必須獲得其同意且保留期限也不能太長(zhǎng)。其次,,員工根據(jù)第(b)項(xiàng)撤回同意的,,企業(yè)同樣負(fù)有刪除義務(wù),但是以不存在其他的數(shù)據(jù)處理的法律依據(jù)為前提,,也就是說(shuō)如果存在別的合法性基礎(chǔ)則無(wú)需刪除,。比如在企業(yè)內(nèi)部的反舞弊調(diào)查中,由于存在企業(yè)的合法利益,,員工即使撤回其同意,,也不能要求企業(yè)刪除其數(shù)據(jù)。最后,,員工當(dāng)然也可以按照第(d)項(xiàng)要求企業(yè)刪除被非法處理的數(shù)據(jù),,比如企業(yè)在招聘時(shí)超越知情權(quán)的范疇收集的員工信息。第17條第2款適用于企業(yè)已經(jīng)將員工數(shù)據(jù)公開(kāi)的情況下,,特別是已經(jīng)在網(wǎng)絡(luò)上擴(kuò)散時(shí),,此時(shí)員工要求企業(yè)刪除其個(gè)人數(shù)據(jù)的,企業(yè)應(yīng)該在考慮現(xiàn)有技術(shù)和實(shí)施成本后,,采取合理的措施盡可能地將員工的刪除要求通知所有其他的數(shù)據(jù)控制者,。該條款常被認(rèn)為賦予了數(shù)據(jù)主體所謂的“被遺忘權(quán)”,,但這種理解其實(shí)不太準(zhǔn)確,因?yàn)閿?shù)據(jù)控制者只負(fù)有通知義務(wù),,并不用管通知的接收者有沒(méi)有真的刪除相關(guān)數(shù)據(jù),,所以未必能達(dá)到讓相應(yīng)數(shù)據(jù)在網(wǎng)絡(luò)上消失的效果。第17條第3款又排除了特定情形下前兩款的適用,,比如企業(yè)是因?yàn)樽袷胤ǘx務(wù)或?yàn)榱斯残l(wèi)生領(lǐng)域的公共利益不得刪除員工的個(gè)人數(shù)據(jù),,又或者是在已經(jīng)或很可能發(fā)生勞動(dòng)爭(zhēng)議時(shí),為了法定請(qǐng)求權(quán)的確立,、行使和抗辯而不能刪除相關(guān)數(shù)據(jù),。
(三)與更正權(quán),、限制處理權(quán),、可攜帶權(quán)相對(duì)應(yīng)的其他配合義務(wù)
根據(jù)GDPR第16條,對(duì)于錯(cuò)誤的,、不準(zhǔn)確的個(gè)人信息,,員工可以要求企業(yè)更正,對(duì)于某數(shù)據(jù)處理目的而言不完整的個(gè)人數(shù)據(jù),,員工也有權(quán)要求補(bǔ)充完整,。比如涉及社會(huì)保險(xiǎn)的數(shù)據(jù),若員工工作年限,、交納時(shí)間等有不準(zhǔn)確或不完整情況,,員工有權(quán)要求更正或補(bǔ)充,企業(yè)有義務(wù)及時(shí)處理,。
員工行使限制處理權(quán)的各項(xiàng)情形中,,GDPR第18條第1款的(a)項(xiàng)可能經(jīng)常適用,即員工對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑,,而企業(yè)在核實(shí)期間內(nèi)的,,員工可以限制企業(yè)進(jìn)行數(shù)據(jù)處理。企業(yè)還需要重點(diǎn)關(guān)注第(c)項(xiàng),,即當(dāng)企業(yè)不再需要數(shù)據(jù)處理時(shí),,存在著數(shù)據(jù)被合法刪除的風(fēng)險(xiǎn),而該部分?jǐn)?shù)據(jù)為員工行使法定請(qǐng)求權(quán)所需要,。比如,,在已經(jīng)發(fā)生或者很可能發(fā)生勞動(dòng)爭(zhēng)議時(shí),若員工需要由企業(yè)控制的考勤記錄,、工資結(jié)算等個(gè)人數(shù)據(jù)作為證據(jù),,可以限制企業(yè)的刪除等處理活動(dòng)。
GDPR第20條規(guī)定了所謂的可攜帶權(quán),,即如果數(shù)據(jù)控制者是基于數(shù)據(jù)主體的同意或者合同履行的必要而采用自動(dòng)化方式處理了個(gè)人數(shù)據(jù)的,,數(shù)據(jù)主體可以要求他以結(jié)構(gòu)化的,、普遍使用的機(jī)器可讀的形式將這些數(shù)據(jù)提供給其他的控制者。該條款的主要適用場(chǎng)景在競(jìng)爭(zhēng)法領(lǐng)域,,比如用戶(hù)可以不受限制的將其個(gè)人數(shù)據(jù)從一個(gè)社交媒體的賬號(hào)轉(zhuǎn)移到另一個(gè)社交媒體那里去,。在勞動(dòng)關(guān)系中,則可能應(yīng)用于員工跳槽時(shí)人事數(shù)據(jù)系統(tǒng)中檔案等數(shù)據(jù)的攜帶,。因其可能會(huì)有商業(yè)秘密泄露,、不正當(dāng)競(jìng)爭(zhēng)等風(fēng)險(xiǎn),企業(yè)需要提前進(jìn)行防范,,比如可以盡量避免涉密數(shù)據(jù)的自動(dòng)化處理,,以防止員工行使可攜帶權(quán)而導(dǎo)致的企業(yè)利益損失,。
?。ㄋ模┡c免受自動(dòng)化決策的權(quán)利相對(duì)應(yīng)的義務(wù)
數(shù)據(jù)主體有權(quán)不受制于可能對(duì)他造成重大影響的采用自動(dòng)化處理手段進(jìn)行的決策或精準(zhǔn)評(píng)價(jià),即為評(píng)估與自然人相關(guān)的某些個(gè)人情況而對(duì)個(gè)人數(shù)據(jù)進(jìn)行的任何形式的自動(dòng)化處理和利用,,比如企業(yè)為了分析或預(yù)測(cè)員工的工作表現(xiàn),、經(jīng)濟(jì)狀況、健康狀況,、個(gè)人偏好,、興趣、可信度,、行為,、位置或行蹤而進(jìn)行的數(shù)據(jù)畫(huà)像。由于這種處理基于算法,,而算法不透明,、算法錯(cuò)誤、數(shù)據(jù)源錯(cuò)誤等風(fēng)險(xiǎn)難以排除,,所以GDPR第22條規(guī)定,,若某個(gè)僅基于自動(dòng)化處理做出的決定將對(duì)數(shù)據(jù)主體產(chǎn)生法律后果或類(lèi)似重大影響,則數(shù)據(jù)主體有權(quán)不受該決定的限制,。因此,,企業(yè)在聘用、考核,、監(jiān)督,、解雇員工的過(guò)程中,應(yīng)當(dāng)盡可能的避免自動(dòng)化決策的使用,,優(yōu)先尋找更合適的替代手段,,實(shí)在需要進(jìn)行自動(dòng)化處理也要盡量保障人的參與,以組織和技術(shù)手段糾正不準(zhǔn)確的數(shù)據(jù),,相關(guān)數(shù)據(jù)屬于敏感數(shù)據(jù)時(shí)更是要非常謹(jǐn)慎,。
四,。
其他數(shù)據(jù)合規(guī)的要求
在個(gè)人數(shù)據(jù)處理活動(dòng)大量進(jìn)行、處理技術(shù)飛速發(fā)展的背景下,,數(shù)據(jù)主體往往難以抵御甚至難以察覺(jué)侵犯其個(gè)人數(shù)據(jù)的行為,,事后追責(zé)困難且往往于事無(wú)補(bǔ),所以GDPR的個(gè)人數(shù)據(jù)保護(hù)模式更為強(qiáng)調(diào)事前預(yù)防,,而不是僅給予事后救濟(jì),,相應(yīng)地設(shè)定了一系列數(shù)據(jù)控制者的數(shù)據(jù)保護(hù)義務(wù)?;趩?wèn)責(zé)制原則,,尤其是面對(duì)監(jiān)管機(jī)關(guān)的檢查時(shí),數(shù)據(jù)控制者需能夠證明其數(shù)據(jù)保護(hù)達(dá)到了法律的要求,,所以我國(guó)涉歐企業(yè)在這方面的合規(guī)挑戰(zhàn)和成本也不低,。
(一)確保數(shù)據(jù)處理過(guò)程安全性的義務(wù)
根據(jù)GDPR第24條的要求,,企業(yè)應(yīng)考慮到數(shù)據(jù)處理的性質(zhì),、范圍、內(nèi)容和目的以及處理給員工帶來(lái)的不同程度的風(fēng)險(xiǎn),,采取適當(dāng)?shù)募夹g(shù)性和組織性措施,,以確保數(shù)據(jù)處理行為符合GDPR的規(guī)定,并保持對(duì)上述措施的審查和更新,。應(yīng)采取的措施視具體情況而定,,GDPR第32條第1款明確列舉的有:個(gè)人數(shù)據(jù)的匿名化和加密;確保處理系統(tǒng)和服務(wù)的保密性,、完整性,、可用性以及系統(tǒng)可恢復(fù)性;確保在發(fā)生物理或技術(shù)故障時(shí)個(gè)人數(shù)據(jù)的恢復(fù)可用性和可訪(fǎng)問(wèn)性,;對(duì)相關(guān)措施的有效性定期進(jìn)行測(cè)試,、訪(fǎng)問(wèn)和評(píng)估。另外,,按照“設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)”(Data Protection by Design/Default)的理念,,企業(yè)應(yīng)該從設(shè)備/制度設(shè)計(jì)以及默認(rèn)設(shè)置的根子上就貫徹?cái)?shù)據(jù)保護(hù)措施,比如企業(yè)向員工提供可以記錄員工的步數(shù),、心跳和睡眠模式等的健身監(jiān)控設(shè)備作為福利的,,應(yīng)在選擇設(shè)備時(shí)評(píng)估制造商和/或服務(wù)提供商的隱私政策,以確保它不會(huì)非法處理員工的健康數(shù)據(jù),。遵守成員國(guó),、監(jiān)管機(jī)構(gòu)、數(shù)據(jù)保護(hù)委員會(huì)等機(jī)構(gòu)制定的行為準(zhǔn)則或者獲得上述機(jī)構(gòu)作出的數(shù)據(jù)保護(hù)認(rèn)證的,,是證明企業(yè)履行了安全保障義務(wù)的重要途徑,。
?。ǘ┤嬗涊d處理活動(dòng)的義務(wù)
GDPR第30條設(shè)定的記錄義務(wù)要求企業(yè)以書(shū)面形式(包括電子形式)全面留存處理活動(dòng)的記錄,建立起日常數(shù)據(jù)處理記錄制度,,真實(shí),、準(zhǔn)確、及時(shí)的記錄數(shù)據(jù)處理過(guò)程,。這一義務(wù)在某種程度上而言也是對(duì)企業(yè)的保護(hù),,由于條例規(guī)定企業(yè)在處理活動(dòng)中負(fù)有舉證責(zé)任,這意味著企業(yè)不僅需要履行各項(xiàng)具體義務(wù),,還需要注意證據(jù)的留存,,比如企業(yè)需證明自己獲得了員工知情、清晰,、自愿的同意,,審慎選擇了有資質(zhì)的數(shù)據(jù)處理者,采取了數(shù)據(jù)安全的保障措施等,。
該條第5款為員工規(guī)模在250人以下的企業(yè)組織減輕了負(fù)擔(dān),,規(guī)定其通常不需要承擔(dān)全面記載義務(wù),但存在以下例外情形:首先,,在數(shù)據(jù)處理活動(dòng)可能對(duì)員工權(quán)利和自由造成較高風(fēng)險(xiǎn)時(shí)不適用豁免規(guī)定,比如工作場(chǎng)所的視頻監(jiān)控被認(rèn)為是一個(gè)高風(fēng)險(xiǎn)的經(jīng)典示例,;其次,,處理活動(dòng)并非偶然發(fā)生時(shí)無(wú)法得到豁免,比如人事檔案被認(rèn)為屬于企業(yè)的常規(guī)或永久性標(biāo)準(zhǔn)程序,,因此不受員工人數(shù)影響,;最后,涉及敏感數(shù)據(jù)的處理不能被豁免,,比如員工的健康信息,、生物特征數(shù)據(jù)。所以,,實(shí)際上企業(yè)在處理員工數(shù)據(jù)時(shí)獲得豁免的可能性較低,,即使是中小企業(yè)仍然負(fù)有該義務(wù)。
?。ㄈ┬孤锻ǜ?、影響評(píng)估和咨詢(xún)義務(wù)
即使采取了安全措施,要完全杜絕數(shù)據(jù)泄露也很困難,,所以GDPR的思路也強(qiáng)調(diào)要通過(guò)制度安排避免或減少泄露可能造成的身份盜用,、欺詐、名譽(yù)損害等后果,。相應(yīng)地,,第33條規(guī)定了企業(yè)應(yīng)該在知道數(shù)據(jù)泄露72小時(shí)內(nèi)向監(jiān)管部門(mén)報(bào)告,,包括數(shù)據(jù)種類(lèi)、大概數(shù)量,、可能導(dǎo)致的后果,、降低負(fù)面影響可采取的措施等,在數(shù)據(jù)泄露可能給員工造成高風(fēng)險(xiǎn)時(shí)企業(yè)還有義務(wù)根據(jù)第34條告知員工相應(yīng)信息,。因此,,如果企業(yè)在發(fā)現(xiàn)員工數(shù)據(jù)泄露已經(jīng)發(fā)生,應(yīng)當(dāng)一方面立即向監(jiān)管機(jī)構(gòu)進(jìn)行報(bào)告,,另一方面在可能造成嚴(yán)重后果時(shí)通知員工,。
為加強(qiáng)風(fēng)險(xiǎn)的預(yù)防,GDPR第35條和36條還新增了數(shù)據(jù)保護(hù)的事前影響評(píng)估和協(xié)商制度,,該制度適用于數(shù)據(jù)處理方式可能給數(shù)據(jù)主體的權(quán)利和自由帶來(lái)高風(fēng)險(xiǎn)時(shí),。特別是在企業(yè)用算法對(duì)員工個(gè)人數(shù)據(jù)進(jìn)行自動(dòng)化處理并做出具有重大影響的決策時(shí),或者進(jìn)行大規(guī)模的敏感數(shù)據(jù)的處理的情形下,,企業(yè)有義務(wù)在數(shù)據(jù)處理之前對(duì)員工個(gè)人數(shù)據(jù)處理操作及其目的,、其必要性和適當(dāng)性、可能的風(fēng)險(xiǎn)和預(yù)防措施等進(jìn)行評(píng)估,。如果評(píng)估結(jié)果顯示不采取措施將導(dǎo)致高風(fēng)險(xiǎn),,那么企業(yè)應(yīng)在進(jìn)行數(shù)據(jù)處理前咨詢(xún)監(jiān)管機(jī)構(gòu)并與之協(xié)商。
?。ㄋ模┤蚊鼣?shù)據(jù)保護(hù)官的義務(wù)
根據(jù)GDPR第37條的要求,,如果企業(yè)要對(duì)員工定期進(jìn)行大規(guī)模系統(tǒng)化監(jiān)控的,或者大規(guī)模處理員工敏感數(shù)據(jù)的,,有義務(wù)任命數(shù)據(jù)保護(hù)官,。數(shù)據(jù)保護(hù)官可以是企業(yè)自己的員工,也可以基于服務(wù)協(xié)議委托他人,。企業(yè)對(duì)數(shù)據(jù)保護(hù)官根據(jù)GDPR開(kāi)展的活動(dòng)應(yīng)予以支持,,提供執(zhí)行任務(wù)、訪(fǎng)問(wèn)個(gè)人數(shù)據(jù)和處理操作的必要資源和專(zhuān)業(yè)知識(shí)培訓(xùn),,數(shù)據(jù)保護(hù)官不應(yīng)因?yàn)閳?zhí)行任務(wù)的原因而被解雇或者受到其他處罰,。
(五)數(shù)據(jù)跨境傳輸中的合規(guī)要求
GDPR第五章對(duì)于個(gè)人數(shù)據(jù)從歐盟向第三國(guó)或國(guó)際組織傳輸設(shè)定了相當(dāng)嚴(yán)格的限制,,所以我國(guó)涉歐企業(yè)一方面要盡量做好員工個(gè)人數(shù)據(jù)的歐盟本地化管理,,另一方面在有必要進(jìn)行數(shù)據(jù)跨境傳輸時(shí)確保流動(dòng)的合法性。對(duì)于我國(guó)而言,,像新加坡,、以色列那樣獲得歐盟的充分性認(rèn)定、被列入數(shù)據(jù)保護(hù)的“白名單”還有待時(shí)日。更為現(xiàn)實(shí)的路徑是,,采取適當(dāng)?shù)拇胧┐_保個(gè)人數(shù)據(jù)在歐盟以外的接收者那里也是安全的,,從而在此基礎(chǔ)上被允許數(shù)據(jù)出境,就此GDPR第46條列舉的措施有:制定有約束力的企業(yè)規(guī)則,;采用歐盟委員會(huì)通過(guò)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款,;采用成員國(guó)監(jiān)管機(jī)構(gòu)通過(guò)并經(jīng)歐盟委員會(huì)批準(zhǔn)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款;遵守協(xié)會(huì)等組織編寫(xiě)并經(jīng)批準(zhǔn)的行為準(zhǔn)則,;獲得經(jīng)批準(zhǔn)的認(rèn)證加上做出承諾,。由于我國(guó)涉歐企業(yè)有不少是跨國(guó)集團(tuán)公司,集團(tuán)內(nèi)部的員工數(shù)據(jù)流動(dòng)不可避免,,所以制定適用于整個(gè)集團(tuán)的數(shù)據(jù)保護(hù)的企業(yè)規(guī)則并獲得監(jiān)管機(jī)構(gòu)批準(zhǔn)是一種較為便利的措施,。對(duì)于偶爾發(fā)生的、非大規(guī)模的員工個(gè)人數(shù)據(jù)處理,,我國(guó)涉歐企業(yè)也可以選擇GDPR第49條提供的路徑:一種是,,員工在了解相應(yīng)風(fēng)險(xiǎn)后明確表示同意數(shù)據(jù)跨境傳輸,但對(duì)企業(yè)而言該路徑并不穩(wěn)妥,,因?yàn)閱T工的同意是否自由做出可能被質(zhì)疑,、員工也可能事后又撤回同意;另一種是,,數(shù)據(jù)跨境傳輸為履行勞動(dòng)合同所必須,,尤其在員工可能短期或者長(zhǎng)期在歐盟境外的接收者所在的第三國(guó)工作時(shí),比如辦理外國(guó)人工作許可所需要的個(gè)人數(shù)據(jù),。
結(jié)語(yǔ)
在GDPR帶來(lái)的挑戰(zhàn)中,,人們關(guān)注的往往是那些掌握了海量消費(fèi)者數(shù)據(jù)的跨境電商平臺(tái)、電信運(yùn)營(yíng)商等特定行業(yè)的企業(yè),,卻忽視了各行各業(yè)絕大多數(shù)的企業(yè)在日常的勞動(dòng)用工當(dāng)中也面臨著GDPR的合規(guī)要求。數(shù)字化的時(shí)代背景下,,用戶(hù)和員工都將越來(lái)越重視數(shù)據(jù)安全,,數(shù)據(jù)保護(hù)的程度也將成為企業(yè)的核心競(jìng)爭(zhēng)力。前述H&M公司的數(shù)據(jù)丑聞,,不僅讓其收到了巨額罰單,,還面臨著員工的索賠和名譽(yù)的損害,所以我國(guó)涉歐企業(yè)也應(yīng)當(dāng)警醒,,在處理員工的個(gè)人數(shù)據(jù)時(shí)要堅(jiān)持合規(guī)理念,、做好風(fēng)險(xiǎn)管理。涉歐企業(yè)首先要確保處理員工個(gè)人數(shù)據(jù)具備合法性基礎(chǔ),,然后要履行與員工的知情權(quán),、刪除權(quán)、可攜帶權(quán)等權(quán)利相對(duì)應(yīng)的義務(wù),,還應(yīng)該遵守保障數(shù)據(jù)處理過(guò)程安全性,、全面記載處理活動(dòng),、事前風(fēng)險(xiǎn)評(píng)估等合規(guī)要求,在做好員工個(gè)人數(shù)據(jù)的本地化管理的同時(shí)也要確保數(shù)據(jù)跨境傳輸時(shí)流動(dòng)的合法性,。