隐私一直是一个热议话题。81%的对于余人相关的分析项目都受到道德和隐私问题的危害。如果公司不遵守欧洲隐私条例(暨2018年5月25日起实施的《欧盟数据保护一般条例》(以下简称为“GDPR”)),这个数字还会继续增加。
本文将探讨GDPR的形成和发展,并深入探讨其对雇主而言最重要的三个隐私问题相关的变化。在结论部分,我们会就人力资源分析部门如何准备应对GDPR,提出九个实际的建议。
相关性
GDPR施行的目的在于进一步统一一个更高水平的个人资料保护。这将会影响企业内部的个人数据处理,尤其是人力资源数据。
由于雇主广泛处理其雇员(潜在雇员)的数据,GDPR对劳动法有着重要的影响。此外,雇主可能需要处理与工作环境相关的雇员数据,比如视频监控数据或雇员网络使用。简而言之,对于雇主来讲了解如何应对这些规定是至关重要的。
GDPR的形成
自2012年1月以来,欧盟委员会一直致力于修订隐私条例,以使其适应数字时代的变化。GDPR统一了欧盟内不同的隐私规则,并最终成为一部欧盟范围内直接适用且具有高保护水准的法律。
这一立法过程持续数年,直到2015年年底,各成员国才就主要原则达成一致。2016年4月,GDPR的最终版本公布,并将于2018年5月25日起开始实施(包括英国)。
GDPR对工作场所的影响
GDPR包含了大量的新标准和新规则,最重要的改变是:
- 员工权利增加
- 增加了数据保护影响评估
- 增加了一个数据保护专员(DPO)
我们将在以下章节中简要讨论这三个主题。
雇员将获得更多的权利来加强对个人数据的控制,例如数据访问权的延长,这将使雇员有权被通知到以下内容:
- 雇主将保留数据多久;
- 数据是否会被用于决策;
- 雇主是否有意向将数据资料转移海外;如果有意向的话,
- 将采取哪些保护措施。
这将给处理员工数据的工作人员增加了许多额外责任。此外,雇主必须告知雇员其修正的权利和向监督机构投诉的权利。雇员也有权删除数据。 在特定情况下,这赋予了雇员被遗忘权。在实际适用时,雇主需要指明使用数据的目的(见以下建议9)。
数据保护影响评估(以下简称为“DPIA”)是一种分析潜在隐私风险的方式。
当个人数据的处理可能会严重威胁雇员权利和自由的时候,雇主须执行DPIA。也就是说,DPIA并不总是必须的。风险评估之后,公司必须采取措施来减弱风险。
在以下情况下,必须执行DPIA:
- 基本情况:当系统性及广泛的评估是关于自然人的个人问题,并基于此评估必须做出可能对自然人产生法律后果的决定时;
- 数据处理:对特殊个人资料进行大规模处理时;
- 数据监测:当公共可访问空间被系统性的且大规模地检测时;
除上述情况外,在GDPR的实施过程中不存在可能涉及高隐私风险而因此必须使用DPIA的其他例子。
根据GDPR,对于特定的数据控制者和处理者而言,设定一个数据保护专员是必要的。数据控制者是数据的所有者,并决定谁可以处理数据。处理者代表控制者处理个人数据,也包括对人力资源数据进行数据分析的第三方。
GDPR要求在三个具体情况中指定DPO:
- 数据处理由公权力机关进行。
- 控制者和处理者的核心工作包含需要大量的对数据主体进行常规且系统性的处理操作。
- 控制者和处理者的核心工作包含大量与刑事定罪和犯罪有关的特殊类别数据或个人数据。
在实践中,这意味着几乎所有大型组织都必须要有DPO。只要你从事人力资源分析项目,请确保DPO的参与!
确保DPO的参与对于DPO本身来说也非常重要,因为DPO的工作之一就是参与数据处理,其职责主要是:
- 收集信息以定性处理行为;
- 分析和审查处理行为的合规性;并且
- 告知、建议并为控制者和处理者提供参考。
即使GDPR未明确要求任命一个DPO时,公司也会在实践过程中发现主动任命一个DPO的优势。
欧盟GDPR对人力资源分析的9个影响
那么,GDPR在人力资源分析中如何适用?我们列出以下9点建议:
- 知晓GDPR法规
GDPR对人力资源数据分析有着现实的影响。所以需确保人力资源分析团队的每个人对最新的隐私规定有所了解。
- DPO的设立
DPO是任何分析项目的关键。他必须预估GDPR对于公司目前操作的影响。当项目不符合GDPR或者其他数据保护法时,DPO就需要介入。确保DPO尽早参与到项目中,以避免今后可能的大量违规损失。
- 数据主体的权利
根据GDPR,个人数据被处理的主体将会获得更多且更高保护水平的隐私权。公司需要做好准备以正确且及时的进行答辩。这些权利包括现有的权利,比如知悉权修正权和删除权等。
同时,GDPR中也引入了新的权利,如数据转移权。根据该权利,公司必须确保数据主体能够轻松访问其数据并可以把这些数据转移给其他公司。
- 保留处理清单
根据GDPR,公司适用问责制。这意味着公司必须能够证明起符合GDPR的规定。例如,当雇员要求公司纠正或删除他们的数据时,公司必须与其共享相关数据的外部组织进行沟通。这也会或多或少的影响人力资源软件供应商。
因此,保留以下清单很重要:
- 公司所处理的数据
- 处理数据的目的
- 数据获得来源
- 共享数据者
- 第三方公司处理数据的安全性问题
当其他组织处理公司的人力资源数据时,需要附加一定的安全要求:
- 根据GDPR的要求,必须与数据处理者就数据处理达成协议。
- 如果处理者不在欧洲经济区内,则需要适用更严格的要求。
- 数据处理者必须始终有能力采用与技术发展最新水平保持一致的安全措施。
- 数据处理者应经验证符合ISO27001/2的标准,或其经他类似标准认证。这一条应该在数据处理协议中明确规定。
- “从设计之初保护隐私”
公司及其工作人员必须熟悉GDPR的强制性基本原则,即“从设计之初保护隐私以及默认隐私” 。并调查如何将这些原则引入你的公司。从设计之初保护隐私的意思是确保个人数据保护从产品和服务的设计开始。
- “默认隐私”
“默认隐私”意味着公司必须从技术层面上及组织结构层面上采取措施,在默认情况下,确保公司仅处理为实现特定目的所需的个人数据。
- 首要监督部门
您的公司是否在欧盟成员国内有多个业务地点?或者公司的数据处理对多个成员国有影响?那么,在GDPR下,公司仅需要和一个隐私监督部门合作。该隐私监督部门被称为首要监督部门。如果上述情况适用你的组织,那么就要确定公司接受哪个监督部门的监管。
- 同意
如无雇佣关系,则需要数据主体不受约束且明确的同意以处理其数据。此外,数据处理必须符合数据收集的目的。请确保雇员数据处理在雇佣合同中有明确规定。
GDPR加强了对同意的要求。因此,公司需要评估其请求、获得和确认同意的方式,并在必要时调整你的方式。
另一新规定是你必须能够证明你获得了数据主体处理其数据的有效同意,并且他们可以以非常简单的方式撤回同意。
需要注意的是,考虑到雇员对雇主的从属地位,雇员的同意不能被当然地认为是不受约束和明确的。在一些数据处理中,例如通过可穿戴设备监控员工的健康,不受约束的许可一般情况下是基本不可能的!我们在此须再一次强调,当公司使用这些技术手段时,咨询DPO。
结论
GDPR正在全面实施。WP29指导方针等已经公布,并可能由成员国进行补充以使其最大程度符合市场情况。因此,公司须密切关注其后续情况,在你不确定其实施情况时,一定要咨询专业人员。
Arnold Birkhoff是荷兰耀博国际律师事务所的合伙人,专门从事隐私法,并且是荷兰耀博国际律师事务所劳动法团队的负责人。
感谢实习生李彤阳为本文翻译所做的贡献