GDPR: 关注员工敏感数据的处理

Schaffer News

与最近的“个人数据保护法”,新的“通用数据保护条例”(GDPR)包含处理所谓隐私数据的规则,这些规则标有个人数据的特殊类别。 它们包括种族或族裔出身,政治观点,宗教和哲学信仰,社团会员,为了唯一识别自然人而提供的关于遗传和/或生物特征数据的信息,以及关于个人健康和性生活的数据。

 

关于员工隐私的健康数据:

一般情况下,处理员工的个人隐私資料与暂时不能上班有关 - 如果员工提交无工作能力证明是由医生签发的,则程序完全符合法定規則. 作为证书的规定只包含事实本身的信息,而没有关于员工健康的具体信息。 员工不适合工作的信息并不是GDPR所见的员工健康信息,因此不屬於隐私。 另一方面,情况与医疗报告或类似的医疗记录完全不同,这些记录包含他们的诊断结果和/或员工提交的关于健康状况的进一步信息 - 这些信息代表了员工健康状况的隐私資料。

如果雇主想要处理包含个人隐私的医疗记录,他们需要符合法律条件; 由于法律并不要求处理这些数据(即关于特定健康状况的数据),因此员工通常不会拥有处理的合法所有权,并且視乎他们是否应该事先同意, 被明确给予隐私資料,这样的程序可能不被认为是有效的。 根据第29工作小组目前的观点,个人资料的处理一般是在员工在劳资关系范围内同意的基础上不可接受的。 由于员工和雇主之间的关系非常具体,并且基于某种依赖性,因此是会出现是否願意提供資料的疑问。

基於上述情况,建议只标准的病假(不包含雇员健康的任何特定信息)应被雇主接受,作为暂时不能上班的证据。 如果他们需要出示具体的诊断的报告, 他们可能在个人数据处理领域犯下行政违法行为,唯一的例外是雇主可以保存工作事故记录和职业病。

 

针对与出席相关的生物特征資料处理:

如今,许多雇主在員工簽到紀錄中使用指纹打卡机, 大部分系统都是按照指纹编码的原则进行操作的 - 这意味着系统会将员工的指纹编码为无法从系统中获取的指纹。 到目前为止,个人信息保护办公室和个人信息保护法认为,这种单向转换为代码的程序代表了员工的隐私信息; 因此没有处理隐私数据。

GDPR執行下,对指纹及其作为生物特征数据的处理方式的态度已被改变 - 该局目前的观点认为,基于编码的指纹处理确实是一种敏感的数据处理。 由于GDPR为生物识别数据提供更多保护,指纹的单向传送被认为包含在特殊类别的个人数据中。

考虑到劳工局目前的结论,雇主必须明确同意其隐私的个人资料(例如他们的指纹)处理; 如果他们没有这样做,他们将违反禁止隐私的个人数据处理的规定,因为他们不符合任何个人数据处理授权的要求。 我们想指出,该办事处的立场是前的立场,并可能在未来变化。

 

更多隐私数据:

考虑到其他隐私数据,如关于种族和族裔出身,政治观点,宗教哲学信仰或社团会员的信息,全面禁止在劳动法关系中进行处理仍然适用。 “劳工法”禁止雇主要求其雇员(和求职者)提供此类信息。

__________________________________________

备註:Biometric data 是指人体,生理或行为特征有关的个人数据,例如面部图像或指纹。

Sensitive data 是指种族或民族血统,政治观点,宗教或哲学信仰,会员资格,遗传,有关健康的数据或有关人的性生活或性取向。