歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)號稱是“史上最嚴(yán)個人數(shù)據(jù)保護(hù)立法”,該條例適用于勞動關(guān)系。我國有眾多涉歐企業(yè),在生產(chǎn)經(jīng)營和用工管理中經(jīng)常要進(jìn)行員工數(shù)據(jù)處理活動,從而面臨著GDPR的合規(guī)挑戰(zhàn)。在合規(guī)管理中,涉歐企業(yè)首先要確保處理員工個人數(shù)據(jù)具備合法性基礎(chǔ),然后要履行與員工的知情權(quán)、刪除權(quán)、可攜帶權(quán)等權(quán)利相對應(yīng)的義務(wù),還應(yīng)該遵守保障數(shù)據(jù)處理過程安全性、全面記載處理活動、事前風(fēng)險評估等合規(guī)要求,在做好員工個人數(shù)據(jù)的本地化管理的同時也要確保數(shù)據(jù)跨境傳輸時流動的合法性。
關(guān) 鍵 詞:DPR;員工個人數(shù)據(jù)保護(hù);涉歐企業(yè);數(shù)據(jù)合規(guī)
數(shù)字經(jīng)濟(jì)時代移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等科技的發(fā)展,使數(shù)據(jù)的產(chǎn)生和處理呈現(xiàn)爆炸式增長,給個人數(shù)據(jù)保護(hù)帶來了巨大的挑戰(zhàn)。2018年5月25日《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,以下簡稱“GDPR”)在歐盟成員國內(nèi)正式生效實(shí)施,該條例可謂是史上最為嚴(yán)格的個人數(shù)據(jù)保護(hù)規(guī)范,違反者可能面臨最高2000萬歐元或上年度全球總營業(yè)額4%金額的罰款。據(jù)2020年10月的報道,由于H&M公司過去幾年中一直大范圍地收集員工請病假、就醫(yī)以及病情診斷等詳細(xì)信息,還有管理人員在與員工的非正式聊天中挖掘其家庭問題或宗教信仰等個人數(shù)據(jù)作為員工考評或任用決定的參考,德國漢堡數(shù)據(jù)保護(hù)局開出了高達(dá)3530萬歐元的罰單。
GDPR適用于勞動關(guān)系中的個人數(shù)據(jù)保護(hù),其第88條明確規(guī)定,成員國可以通過法律或通過集體協(xié)議制定特定規(guī)則,以確保在雇傭語境下處理雇員個人數(shù)據(jù)時保護(hù)其權(quán)利和自由,這在如下情形中尤其適用:為了招聘、履行勞動合同,履行法律或集體合同規(guī)定的義務(wù);對工作的管理、計劃和組織;工作場所的平等與多樣性;工作中的健康和安全;對員工和顧客財產(chǎn)的保護(hù);為了行使和履行與雇傭相關(guān)的權(quán)利和義務(wù);為了終止雇傭關(guān)系。德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條正是基于此授權(quán)對員工的個人數(shù)據(jù)保護(hù)做了針對性安排。我國有眾多在歐盟境內(nèi)設(shè)立了業(yè)務(wù)機(jī)構(gòu)或雇傭了歐盟境內(nèi)員工的企業(yè),生產(chǎn)經(jīng)營和用工管理中不可避免地要進(jìn)行員工的個人數(shù)據(jù)處理。雖然目前我國還沒有出現(xiàn)涉歐企業(yè)因?yàn)檫`反GDPR而受罰的案例,但是仍然應(yīng)該提前了解相關(guān)情況、做好相應(yīng)預(yù)防措施,尤其在我國個人信息保護(hù)的意識比較淡漠的背景下,涉歐企業(yè)更容易“觸雷”。那么,應(yīng)該采取什么措施才能達(dá)到GDPR的合規(guī)要求,如何平衡企業(yè)的經(jīng)營管理需求與員工的個人數(shù)據(jù)保護(hù)?了解GDPR對個人數(shù)據(jù)保護(hù)的設(shè)計理念與制度框架,探究其在勞動關(guān)系中適用的特殊問題,是涉歐企業(yè)在用工中實(shí)現(xiàn)GDPR合規(guī)管理所必須關(guān)注的問題。
一。
受到GDPR管轄的涉歐企業(yè)
根據(jù)GDPR第4條的定義,“個人數(shù)據(jù)”是指一個被識別或可識別的自然人(數(shù)據(jù)主體)的任何信息,而所謂自然人可識別是指通過姓名、身份證號碼、位置數(shù)據(jù)、在線身份識別碼這類標(biāo)識或通過針對該自然人的一個或多個身體、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會身份等要素能夠直接或間接地被識別?!疤幚怼笔侵羔槍€人數(shù)據(jù)或其集合的任何一個或一系列操作,如收集、記錄、組織、建構(gòu)、存儲、修改、檢索、咨詢、使用、披露、傳播或其他方式利用、排列或組合、限制、刪除或銷毀,無論該等操作是否采用自動化方式。“數(shù)據(jù)控制者”是能單獨(dú)或聯(lián)合決定個人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或其他組織,而“數(shù)據(jù)處理者”是指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的個人或組織。勞動關(guān)系中的數(shù)據(jù)主體是員工,而涉歐企業(yè)一般是以數(shù)據(jù)控制者的身份出現(xiàn),少數(shù)情況也可能是數(shù)據(jù)處理者。GDPR極大地擴(kuò)張了其域外管轄范圍,具體到員工的個人數(shù)據(jù)保護(hù),我國涉歐企業(yè)可能在兩種情形下受到GDPR管轄。
?。ㄒ唬W盟境內(nèi)存在業(yè)務(wù)機(jī)構(gòu)的企業(yè)
根據(jù)GDPR第3條第1款,該條例適用于數(shù)據(jù)控制者或處理者在歐盟境內(nèi)存在業(yè)務(wù)機(jī)構(gòu)活動的背景下所實(shí)施個人數(shù)據(jù)處理行為,無論該處理行為是否發(fā)生在歐盟境內(nèi)。要理解這一復(fù)雜的表述,關(guān)鍵注意以下三點(diǎn)。
第一,重要的是在歐盟境內(nèi)存在業(yè)務(wù)機(jī)構(gòu)、而非住所,GDPR在序言(22)條中將業(yè)務(wù)機(jī)構(gòu)又稱為“營業(yè)場所”,而營業(yè)指通過穩(wěn)定的安排有效且真實(shí)地開展經(jīng)營活動,而該安排的法律形式并非判斷其是否可以稱為營業(yè)場所的決定性因素。即只要企業(yè)在歐盟境內(nèi)設(shè)有機(jī)構(gòu)并營業(yè),無論機(jī)構(gòu)是否具有分公司或子公司的地位,即使是以辦事處、派遣機(jī)構(gòu)等形式存在,企業(yè)也應(yīng)當(dāng)受到管轄。
第二,條例的適用與數(shù)據(jù)主體是否擁有歐盟公民身份、是否長期居住在歐盟境內(nèi)無關(guān),與個人數(shù)據(jù)處理活動是否發(fā)生在歐盟境內(nèi)也無關(guān),比如我國涉歐企業(yè)將中國國籍的員工外派到歐盟境內(nèi)的辦事處工作,即使對員工的個人數(shù)據(jù)處理發(fā)生在中國總部,也受到GDPR的管轄。
第三,條例的適用限于“在業(yè)務(wù)機(jī)構(gòu)活動的背景下”所實(shí)施的個人數(shù)據(jù)處理行為,包括“該歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)自己進(jìn)行的個人數(shù)據(jù)處理活動”和“為該歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)進(jìn)行的個人數(shù)據(jù)處理活動”。也就是說,我國涉歐企業(yè)并不會因?yàn)樵跉W盟境內(nèi)設(shè)有業(yè)務(wù)機(jī)構(gòu)而將企業(yè)全部的個人數(shù)據(jù)處理活動置于GDPR的管轄之下,比如涉歐企業(yè)的中國總部在中國境內(nèi)雇傭歐盟公民并對其進(jìn)行個人數(shù)據(jù)處理,但是與歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)并無關(guān)系,則GDPR并不適用。就如何界定“為該歐盟境內(nèi)的業(yè)務(wù)機(jī)構(gòu)進(jìn)行的個人數(shù)據(jù)處理活動”,歐盟法院在Google西班牙公司案中認(rèn)為應(yīng)該考慮業(yè)務(wù)機(jī)構(gòu)與數(shù)據(jù)處理者之間是否存在“密不可分的聯(lián)系”,具體到勞動關(guān)系中這種聯(lián)系需要根據(jù)個案的具體情況來判斷。
?。ǘW盟境內(nèi)未設(shè)立業(yè)務(wù)機(jī)構(gòu)的企業(yè)
對于沒有在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu)的數(shù)據(jù)控制者或處理者,按照GDPR第3條第2款,若其涉及向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù),抑或涉及對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進(jìn)行監(jiān)控,則適用本條例。此適用情形與數(shù)據(jù)主體的國籍無關(guān),也與個人數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)無關(guān),只取決于數(shù)據(jù)主體是否位于歐盟境內(nèi)。不同于第1款的“業(yè)務(wù)機(jī)構(gòu)原則”,德國學(xué)者將第2款的適用情形稱為“市場地原則”或“來源地原則”,因?yàn)樗詳?shù)據(jù)是否來源于歐盟境內(nèi)作為管轄權(quán)的重要依據(jù),國內(nèi)也有觀點(diǎn)將其歸納為“屬地+屬人+保護(hù)等綜合性的影響主義原則”。無論采用何種觀點(diǎn),毋庸置疑的是,諸多并未在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu)的我國企業(yè)也可能因?yàn)闃I(yè)務(wù)或者人員涉及歐盟而面臨著GDPR的規(guī)制,當(dāng)然這種適用也只限于對來源于歐盟境內(nèi)的個人數(shù)據(jù)的處理活動。
隨著經(jīng)濟(jì)全球化進(jìn)程的加快,很多互聯(lián)網(wǎng)公司由于業(yè)務(wù)原因向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù),比如電商平臺或者社交軟件收集用戶數(shù)據(jù)以達(dá)到精準(zhǔn)營銷的目的。在企業(yè)用工中此類情形則更多表現(xiàn)為,設(shè)立在歐盟境外的企業(yè)雇傭了歐盟境內(nèi)的員工,此時企業(yè)在歐盟境內(nèi)沒有營業(yè)場所,卻出于用工管理等目的需要對遠(yuǎn)在千里之外的員工進(jìn)行監(jiān)控。GDPR序言(24)條指出,判斷某一處理活動能否被視為對數(shù)據(jù)主體的行為進(jìn)行監(jiān)控,需要確定該自然人是否在互聯(lián)網(wǎng)上被跟蹤記錄,或者是否潛在地后續(xù)使用個人數(shù)據(jù)處理技術(shù),包括對自然人進(jìn)行畫像、作出自動化決策,或?qū)υ撟匀蝗说膫€人偏好、行為和態(tài)度進(jìn)行分析和預(yù)測。例如,歐盟境外的企業(yè)使用定位系統(tǒng)對歐盟境內(nèi)的員工工作地點(diǎn)和時間進(jìn)行監(jiān)控,進(jìn)而自動化地處理數(shù)據(jù)、分析預(yù)測員工行為并以此作為考評依據(jù),此時企業(yè)也受到GDPR的管轄。需要注意的是,由于這種情形下我國涉歐企業(yè)在歐盟境內(nèi)沒有設(shè)立業(yè)務(wù)機(jī)構(gòu),所以為方便聯(lián)絡(luò),企業(yè)有義務(wù)按照GDPR第27條的要求選定一名在歐盟的代表處理相關(guān)事項(xiàng)。
二。
處理員工個人數(shù)據(jù)的合法性基礎(chǔ)
我國涉歐企業(yè)處理員工的個人數(shù)據(jù),首先需要具備合法性基礎(chǔ),這是履行員工個人數(shù)據(jù)保護(hù)義務(wù)的重中之重。GDPR第6條列舉的合法性基礎(chǔ)中主要有以下幾種與勞動用工相關(guān)。此處需注意,各成員國對于“員工”的理解可能不同,比如德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第8款就明確表示該條款不僅適用于雇員,也適用于學(xué)徒、類雇員、求職者等。
?。ㄒ唬┗趩T工的同意
按照GDPR第6條第1款(a)項(xiàng),數(shù)據(jù)主體同意為一個或多個特定目的而處理其個人數(shù)據(jù)的,數(shù)據(jù)處理行為合法。真實(shí)有效的“同意”應(yīng)當(dāng)滿足以下要件:
1.
自由要件
自由選擇是同意原則的核心,其前提是數(shù)據(jù)主體存在選擇的可能,正如GDPR條第7條第4款的規(guī)定,在評估同意是否自由做出時,應(yīng)著重考慮數(shù)據(jù)控制者是否將“數(shù)據(jù)主體同意其處理履行該合同不必要的個人數(shù)據(jù)設(shè)定為合同履行(包括服務(wù)提供)的前提”。具體到勞動關(guān)系中,企業(yè)不能以訂立勞動合同或其他條件來明示或暗示員工,即只有同意對其數(shù)據(jù)的處理才會被錄用,在勞動關(guān)系履行的過程中企業(yè)也不能以解雇、降職等任何形式的壓力要求員工同意數(shù)據(jù)處理。比如根據(jù)德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第2款,判斷同意是否自由做出需要特別考慮勞動關(guān)系中員工的從屬性以及表示同意時的具體情形,在員工可以獲得法律上或經(jīng)濟(jì)上的好處時或者在企業(yè)與員工的利益訴求一致時,往往可以認(rèn)為同意是自由做出的。歐盟數(shù)據(jù)保護(hù)第29 條工作組持類似觀點(diǎn),比如它舉例指出,企業(yè)為員工配備工作使用的通信設(shè)備并明確告知對該設(shè)備存在一定范圍內(nèi)的監(jiān)控,但員工拒絕使用該設(shè)備也可以由其他合適方案替代,不會影響工作的正常進(jìn)行且不會受到任何形式的壓力,則此時員工使用該設(shè)備并接受監(jiān)控的同意應(yīng)當(dāng)被認(rèn)為是自由做出的。 歐盟數(shù)據(jù)保護(hù)委員會延續(xù)了此立場,認(rèn)為由于缺乏真正的自由在勞動關(guān)系中大多數(shù)的數(shù)據(jù)處理不能基于員工同意而進(jìn)行,只在一些特殊情況下企業(yè)可能證明同意的自愿性,比如企業(yè)請某辦公區(qū)域的員工在以該區(qū)域?yàn)楸尘暗碾娪盎蛞曨l中出鏡,但不愿意被拍攝的員工不會受到任何形式的懲罰,可以在拍攝期間在其他區(qū)域獲得相同的辦公空間。
2.
具體要件
帶有不明確目的的、籠統(tǒng)的或預(yù)防性的同意是不被允許的,企業(yè)應(yīng)詳細(xì)、清晰地呈現(xiàn)處理活動的具體形式,當(dāng)存在多種數(shù)據(jù)處理活動時,員工需要有實(shí)際的可能就每一種形式表示同意與否。勞動合同的訂立不意味著員工對數(shù)據(jù)處理的當(dāng)然同意,員工需要在充分了解可能發(fā)生的數(shù)據(jù)處理活動的基礎(chǔ)上,單獨(dú)做出相應(yīng)的具體同意。充分知情是作出具體同意的前提,企業(yè)需保證員工能夠以準(zhǔn)確、透明、易于理解的方式獲得與處理活動相關(guān)的各種信息。同意的授權(quán)應(yīng)當(dāng)符合具有顯著性、易理解獲得、使用清楚平實(shí)文字等形式要求,比如同意條款包含在很長的、涉及其他條件下的使用的文件中,即使員工沒有表示反對也不能被認(rèn)為是有效的同意。若涉及長期的數(shù)據(jù)處理,企業(yè)還應(yīng)當(dāng)多次更新所獲得的同意,以確保員工對當(dāng)前最新的處理活動有全面、完整的了解。
3.
可撤回要件
GDPR第7條第3款規(guī)定數(shù)據(jù)主體有權(quán)撤回先前的同意,同意的撤回立即生效于之后的數(shù)據(jù)處理,數(shù)據(jù)主體可以進(jìn)一步依據(jù)GDPR第17條請求刪除個人數(shù)據(jù)。該規(guī)定特別強(qiáng)調(diào),撤回同意應(yīng)當(dāng)與做出同意同樣容易,同意與撤回的“簡單性”對應(yīng)關(guān)系不難理解:當(dāng)同意是員工口頭做出時,不得要求員工以書面形式撤回同意。企業(yè)應(yīng)在員工做出同意之前,將撤回同意的權(quán)利和行使該權(quán)利的方法告知員工。由于員工可能隨時撤回同意,所以對企業(yè)的合規(guī)管理而言,員工的同意并不是很可靠的合法性基礎(chǔ)。
4.
形式要件
根據(jù)GDPR序言第(32)條,數(shù)據(jù)主體應(yīng)清楚明確地表示同意,例如通過書面陳述(包括電子形式)或者口頭形式。同意方式包括在瀏覽網(wǎng)頁時在方框里打鉤,但沉默、默認(rèn)勾選的對話框或者其他不作為都不能構(gòu)成同意。雖然GDPR并不要求同意必須以書面形式做出,但是各成員國的法律或集體協(xié)議可能會提高形式要件要求,比如德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第2款針對勞動關(guān)系明確要求企業(yè)應(yīng)獲得員工的書面同意(包括電子形式)。
?。ǘ┚喗Y(jié)、履行或終止勞動合同所必需
GDPR第6條第1款(b)項(xiàng)將該原則表述為,數(shù)據(jù)處理是為履行數(shù)據(jù)主體作為一方的合同所必需,或者數(shù)據(jù)處理是在訂立一項(xiàng)合同前為依據(jù)數(shù)據(jù)主體的要求采取特定行為所必需。歐盟數(shù)據(jù)保護(hù)委員會認(rèn)為,要對“簽訂或履行合同所必需”做限縮解釋,應(yīng)該基于合同的目的判斷是否存在客觀上的必要性,數(shù)據(jù)控制者需證明某項(xiàng)數(shù)據(jù)處理行為如果沒有進(jìn)行,合同就無法訂立或無法履行。就勞動關(guān)系而言,德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第26條第1款規(guī)定得更明確,即數(shù)據(jù)處理是為了做出是否建立勞動關(guān)系的決定所必需,是履行或終止勞動關(guān)系所必需,或者是行使或履行基于法律、集體合同或企業(yè)協(xié)議產(chǎn)生的權(quán)利義務(wù)所必需。“締結(jié)、履行或終止勞動合同所必需”可謂是勞動關(guān)系中處理員工數(shù)據(jù)最重要的合法性基礎(chǔ),但需要強(qiáng)調(diào)的是,只有當(dāng)處理活動是為了實(shí)現(xiàn)具體的締結(jié)、履行或終止勞動合同的目的所“必需”時才可適用該項(xiàng),僅是“有用”則不夠,也就是說對于該合法性基礎(chǔ)的理解和適用應(yīng)該相當(dāng)謹(jǐn)慎。比如,在招聘時企業(yè)不得對員工進(jìn)行壓力面試、智商檢查、基因分析,因?yàn)檫@些對決定招錄與否不是必需的。又比如,一般情況下不間斷地、全面地對工作場所進(jìn)行公開的視頻監(jiān)控并非履行勞動合同所必需,使用隱藏的攝像頭進(jìn)行秘密監(jiān)控更是被禁止的,除非有明確、具體的線索指向員工的犯罪行為并且為了查明事實(shí)真相不得不進(jìn)行秘密監(jiān)控。
(三)為了履行法定義務(wù)
根據(jù)GDPR第6條第1款(c)項(xiàng),企業(yè)可以為了履行法律義務(wù)而進(jìn)行員工個人數(shù)據(jù)處理,比如出于計稅、繳納社會保險等目的,企業(yè)處理員工的家庭住址、婚姻情況、宗教信仰、健康等信息。但GDPR又對此做出了嚴(yán)格的限制,即將設(shè)定義務(wù)的法律限定在歐盟法或適用的成員國法的范圍內(nèi),還必須明確數(shù)據(jù)處理的一般條件、被處理數(shù)據(jù)的類型、數(shù)據(jù)可能被披露的對象和目的、存儲期限、處理方法和程序等內(nèi)容,以保證數(shù)據(jù)處理的公平性、準(zhǔn)確性。另外,即使是出于履行法律義務(wù)所必需,企業(yè)的數(shù)據(jù)處理活動也要遵循一般性的要求,比如企業(yè)可能基于確保車輛駕駛員安全的義務(wù),在車輛上安裝追蹤技術(shù),但員工應(yīng)當(dāng)被允許在特殊情況下暫時關(guān)閉位置跟蹤功能,企業(yè)還必須確保收集到的數(shù)據(jù)不用于跟蹤和評估員工等其他目的。
?。ㄋ模┗谄髽I(yè)合法利益
根據(jù)GDPR第6條第1款(f)項(xiàng),企業(yè)可基于優(yōu)先性的合法利益進(jìn)行數(shù)據(jù)處理。對于此種合法性基礎(chǔ)的適用應(yīng)該特別謹(jǐn)慎,首先要確定企業(yè)就數(shù)據(jù)處理存在合法利益,然后看是否有與之相沖突的員工的利益、基本權(quán)利或自由,再對兩者進(jìn)行利益衡量來判斷應(yīng)該優(yōu)先保護(hù)何者,即利益衡量的結(jié)果必須是企業(yè)合法利益占優(yōu)才行進(jìn)行數(shù)據(jù)處理。利益衡量時應(yīng)遵循誠實(shí)信用原則,特別是要符合員工的合理預(yù)期,還需要考慮以下幾方面要求:
首先,透明性是員工行使數(shù)據(jù)主體權(quán)利的基本前提。企業(yè)即使基于合法利益的需要進(jìn)行數(shù)據(jù)處理,也需保證數(shù)據(jù)處理過程的公平和透明,員工應(yīng)被清楚和充分的告知其個人數(shù)據(jù)的處理情況,包括是否存在任何形式的監(jiān)測。
其次,員工數(shù)據(jù)的收集、處理均應(yīng)當(dāng)基于特定、明確且合法的目的。比如企業(yè)為保護(hù)商業(yè)秘密對特定區(qū)域安裝了訪問控制系統(tǒng),記錄有權(quán)進(jìn)入該區(qū)域的員工的出入行為,以便在發(fā)生設(shè)備項(xiàng)目丟失、數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問或被盜時獲知當(dāng)時有誰進(jìn)入過該區(qū)域,該處理可能基于企業(yè)合法利益而被認(rèn)為具有合法性來源,但企業(yè)不得使用這些數(shù)據(jù)對員工的工作績效進(jìn)行評估。
最后,勞動關(guān)系中的數(shù)據(jù)處理應(yīng)滿足限度最小、成比例、必要性的要求,盡可能以侵入性最小的方式進(jìn)行,有更為溫和手段能達(dá)到數(shù)據(jù)處理目的的就要先用該手段。
?。ㄎ澹└鼑?yán)格的保護(hù):特殊種類的個人數(shù)據(jù)
根據(jù)GDPR第9條的規(guī)定,特殊種類的個人數(shù)據(jù)也被稱為敏感數(shù)據(jù),包括顯示種族或民族出身、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會會員資格的數(shù)據(jù),以及基因數(shù)據(jù)、生物識別數(shù)據(jù)、健康相關(guān)數(shù)據(jù)、性生活與性取向的數(shù)據(jù)。由于敏感數(shù)據(jù)更多地涉及數(shù)據(jù)主體的基本權(quán)利和自由,其處理容易導(dǎo)致對數(shù)據(jù)主體的歧視和偏見,所以GDPR對其保護(hù)更為嚴(yán)格,即一般情況下禁止對敏感數(shù)據(jù)的處理活動,只在例外情形下予以豁免。所以,企業(yè)處理員工的敏感數(shù)據(jù)時需要注意是否符合豁免的情形和條件。
首先,按照GDPR第9條第2款(a)項(xiàng),數(shù)據(jù)主體明確表示的同意原則上也可以成立豁免,但正如前文所述,對勞動關(guān)系中員工同意的有效性容易產(chǎn)生爭議,員工還可能撤回同意,所以企業(yè)應(yīng)該慎重選擇該路徑。其次,更為重要的豁免情形規(guī)定在第9條第2款(b)項(xiàng),即數(shù)據(jù)處理為在勞動法、社會保險法或其他社會保障法律的范疇內(nèi)履行義務(wù)、行使權(quán)利所必需。但是,該數(shù)據(jù)處理須依據(jù)歐盟、成員國的法律或依據(jù)成員國法律制定的集體合同進(jìn)行,其所依據(jù)的法律或者集體合同還需要規(guī)定員工基本權(quán)利和利益的保護(hù)措施,比如數(shù)據(jù)加密或假名化等手段,另外還需確保員工主張數(shù)據(jù)更正和刪除的權(quán)利,由于第9條的目的是重點(diǎn)保護(hù)敏感數(shù)據(jù),因此保護(hù)措施必須高于一般處理規(guī)則的水平。最后,根據(jù)第9條第2款(e)項(xiàng),員工明顯已經(jīng)自行公開了個人數(shù)據(jù)的構(gòu)成豁免,比如員工在外部網(wǎng)絡(luò)上公布了自己的性取向的,反之,若員工只是在社交媒體賬戶向部分朋友透露此事,不算公開不構(gòu)成豁免;第9條第2款(h)項(xiàng)適用于在職業(yè)安全健康的框架下采取健康防護(hù)措施、判斷員工勞動能力而需要處理員工的健康數(shù)據(jù)時;而當(dāng)前新冠疫情下企業(yè)為疫情防控采取的必要措施,則可能屬于第9條第2款(i)項(xiàng)所指的為抵御嚴(yán)重的跨境健康威脅而處理員工數(shù)據(jù)的情形。
相反,對企業(yè)高層管理人員的基因進(jìn)行分析以研究其是否具有重大疾病或基因缺陷,對員工表情等人臉圖像或指紋識別等生物識別數(shù)據(jù)進(jìn)行采集以進(jìn)行考勤記錄,甚至通過綜合分析員工心跳、呼吸、瞳孔轉(zhuǎn)動方向、身體姿態(tài)等監(jiān)控員工工作狀態(tài)等,此類行為絕大多數(shù)情況下是不被允許的。
三。
員工作為數(shù)據(jù)主體享有的權(quán)利及企業(yè)相對應(yīng)的義務(wù)
GDPR的“鑒于條款部分”特別提到,歐盟公眾普遍認(rèn)為自然人數(shù)據(jù)保護(hù)、尤其是線上活動相關(guān)的數(shù)據(jù)保護(hù)存在很大隱患,所以新增了限制處理權(quán)、可攜帶權(quán)、“被遺忘權(quán)”等權(quán)利,目的在于使數(shù)據(jù)主體對個人數(shù)據(jù)擁有更強(qiáng)的控制力和決定權(quán)。對員工享有的這些權(quán)利,企業(yè)負(fù)有相應(yīng)的配合義務(wù)。
?。ㄒ唬┡c知情權(quán)、訪問權(quán)相對應(yīng)的提供數(shù)據(jù)信息的義務(wù)
員工就自己的個人數(shù)據(jù)享有知情權(quán)、訪問權(quán)。根據(jù)GDPR第12條的要求,企業(yè)應(yīng)當(dāng)以清晰、簡單透明、易于獲取、易懂的方式,向員工提供第13條、14條所規(guī)定的全部信息內(nèi)容。無論數(shù)據(jù)是由員工個人提供,還是由企業(yè)通過其他方式獲取,員工均享有知情權(quán)。涉及提供信息的方式選擇,關(guān)鍵在于員工是否能真正獲得相關(guān)信息,如序言(58)提到通過向公眾開放的網(wǎng)站提供必要的信息也是符合要求的。在需要披露的內(nèi)容中,對勞動關(guān)系尤為重要的是企業(yè)數(shù)據(jù)處理的目的及選擇的法律基礎(chǔ)、企業(yè)委托的其他處理者的身份、是否存在跨境傳輸以及相應(yīng)安全保障措施等。GDPR第15條規(guī)定的訪問權(quán)更多強(qiáng)調(diào)的是員工有權(quán)自發(fā)、主動地向企業(yè)要求提供相應(yīng)信息的權(quán)利,原則上企業(yè)應(yīng)當(dāng)免費(fèi)提供上述信息,但為避免員工惡意自動化申請獲取副本,企業(yè)可以在確保合理性的基礎(chǔ)上對額外過度索取的如紙質(zhì)化副本設(shè)置相應(yīng)收費(fèi)制度,以避免增加不必要的成本。
?。ǘ┡c刪除權(quán)(被遺忘權(quán))相對應(yīng)的刪除數(shù)據(jù)的義務(wù)
GDPR第17條第1款規(guī)定了六種情形下數(shù)據(jù)主體的刪除權(quán),對勞動關(guān)系而言最重要的是第(a)項(xiàng),即如果對員工的個人數(shù)據(jù)的收集或其他方式的處理不再是必要的,則企業(yè)有義務(wù)毫不延遲地刪除數(shù)據(jù),包括該數(shù)據(jù)的全部副本、鏈接和復(fù)制件。比如,企業(yè)在招聘過程中做出了錄用決定之后,就不得再處理沒有錄用的應(yīng)聘者的信息,最多可以保留六個月預(yù)防可能的爭議,即使要繼續(xù)保存未錄用的應(yīng)聘者的信息形成所謂的人才庫,也必須獲得其同意且保留期限也不能太長。其次,員工根據(jù)第(b)項(xiàng)撤回同意的,企業(yè)同樣負(fù)有刪除義務(wù),但是以不存在其他的數(shù)據(jù)處理的法律依據(jù)為前提,也就是說如果存在別的合法性基礎(chǔ)則無需刪除。比如在企業(yè)內(nèi)部的反舞弊調(diào)查中,由于存在企業(yè)的合法利益,員工即使撤回其同意,也不能要求企業(yè)刪除其數(shù)據(jù)。最后,員工當(dāng)然也可以按照第(d)項(xiàng)要求企業(yè)刪除被非法處理的數(shù)據(jù),比如企業(yè)在招聘時超越知情權(quán)的范疇收集的員工信息。第17條第2款適用于企業(yè)已經(jīng)將員工數(shù)據(jù)公開的情況下,特別是已經(jīng)在網(wǎng)絡(luò)上擴(kuò)散時,此時員工要求企業(yè)刪除其個人數(shù)據(jù)的,企業(yè)應(yīng)該在考慮現(xiàn)有技術(shù)和實(shí)施成本后,采取合理的措施盡可能地將員工的刪除要求通知所有其他的數(shù)據(jù)控制者。該條款常被認(rèn)為賦予了數(shù)據(jù)主體所謂的“被遺忘權(quán)”,但這種理解其實(shí)不太準(zhǔn)確,因?yàn)閿?shù)據(jù)控制者只負(fù)有通知義務(wù),并不用管通知的接收者有沒有真的刪除相關(guān)數(shù)據(jù),所以未必能達(dá)到讓相應(yīng)數(shù)據(jù)在網(wǎng)絡(luò)上消失的效果。第17條第3款又排除了特定情形下前兩款的適用,比如企業(yè)是因?yàn)樽袷胤ǘx務(wù)或?yàn)榱斯残l(wèi)生領(lǐng)域的公共利益不得刪除員工的個人數(shù)據(jù),又或者是在已經(jīng)或很可能發(fā)生勞動爭議時,為了法定請求權(quán)的確立、行使和抗辯而不能刪除相關(guān)數(shù)據(jù)。
?。ㄈ┡c更正權(quán)、限制處理權(quán)、可攜帶權(quán)相對應(yīng)的其他配合義務(wù)
根據(jù)GDPR第16條,對于錯誤的、不準(zhǔn)確的個人信息,員工可以要求企業(yè)更正,對于某數(shù)據(jù)處理目的而言不完整的個人數(shù)據(jù),員工也有權(quán)要求補(bǔ)充完整。比如涉及社會保險的數(shù)據(jù),若員工工作年限、交納時間等有不準(zhǔn)確或不完整情況,員工有權(quán)要求更正或補(bǔ)充,企業(yè)有義務(wù)及時處理。
員工行使限制處理權(quán)的各項(xiàng)情形中,GDPR第18條第1款的(a)項(xiàng)可能經(jīng)常適用,即員工對個人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑,而企業(yè)在核實(shí)期間內(nèi)的,員工可以限制企業(yè)進(jìn)行數(shù)據(jù)處理。企業(yè)還需要重點(diǎn)關(guān)注第(c)項(xiàng),即當(dāng)企業(yè)不再需要數(shù)據(jù)處理時,存在著數(shù)據(jù)被合法刪除的風(fēng)險,而該部分?jǐn)?shù)據(jù)為員工行使法定請求權(quán)所需要。比如,在已經(jīng)發(fā)生或者很可能發(fā)生勞動爭議時,若員工需要由企業(yè)控制的考勤記錄、工資結(jié)算等個人數(shù)據(jù)作為證據(jù),可以限制企業(yè)的刪除等處理活動。
GDPR第20條規(guī)定了所謂的可攜帶權(quán),即如果數(shù)據(jù)控制者是基于數(shù)據(jù)主體的同意或者合同履行的必要而采用自動化方式處理了個人數(shù)據(jù)的,數(shù)據(jù)主體可以要求他以結(jié)構(gòu)化的、普遍使用的機(jī)器可讀的形式將這些數(shù)據(jù)提供給其他的控制者。該條款的主要適用場景在競爭法領(lǐng)域,比如用戶可以不受限制的將其個人數(shù)據(jù)從一個社交媒體的賬號轉(zhuǎn)移到另一個社交媒體那里去。在勞動關(guān)系中,則可能應(yīng)用于員工跳槽時人事數(shù)據(jù)系統(tǒng)中檔案等數(shù)據(jù)的攜帶。因其可能會有商業(yè)秘密泄露、不正當(dāng)競爭等風(fēng)險,企業(yè)需要提前進(jìn)行防范,比如可以盡量避免涉密數(shù)據(jù)的自動化處理,以防止員工行使可攜帶權(quán)而導(dǎo)致的企業(yè)利益損失。
?。ㄋ模┡c免受自動化決策的權(quán)利相對應(yīng)的義務(wù)
數(shù)據(jù)主體有權(quán)不受制于可能對他造成重大影響的采用自動化處理手段進(jìn)行的決策或精準(zhǔn)評價,即為評估與自然人相關(guān)的某些個人情況而對個人數(shù)據(jù)進(jìn)行的任何形式的自動化處理和利用,比如企業(yè)為了分析或預(yù)測員工的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、個人偏好、興趣、可信度、行為、位置或行蹤而進(jìn)行的數(shù)據(jù)畫像。由于這種處理基于算法,而算法不透明、算法錯誤、數(shù)據(jù)源錯誤等風(fēng)險難以排除,所以GDPR第22條規(guī)定,若某個僅基于自動化處理做出的決定將對數(shù)據(jù)主體產(chǎn)生法律后果或類似重大影響,則數(shù)據(jù)主體有權(quán)不受該決定的限制。因此,企業(yè)在聘用、考核、監(jiān)督、解雇員工的過程中,應(yīng)當(dāng)盡可能的避免自動化決策的使用,優(yōu)先尋找更合適的替代手段,實(shí)在需要進(jìn)行自動化處理也要盡量保障人的參與,以組織和技術(shù)手段糾正不準(zhǔn)確的數(shù)據(jù),相關(guān)數(shù)據(jù)屬于敏感數(shù)據(jù)時更是要非常謹(jǐn)慎。
四。
其他數(shù)據(jù)合規(guī)的要求
在個人數(shù)據(jù)處理活動大量進(jìn)行、處理技術(shù)飛速發(fā)展的背景下,數(shù)據(jù)主體往往難以抵御甚至難以察覺侵犯其個人數(shù)據(jù)的行為,事后追責(zé)困難且往往于事無補(bǔ),所以GDPR的個人數(shù)據(jù)保護(hù)模式更為強(qiáng)調(diào)事前預(yù)防,而不是僅給予事后救濟(jì),相應(yīng)地設(shè)定了一系列數(shù)據(jù)控制者的數(shù)據(jù)保護(hù)義務(wù)?;趩栘?zé)制原則,尤其是面對監(jiān)管機(jī)關(guān)的檢查時,數(shù)據(jù)控制者需能夠證明其數(shù)據(jù)保護(hù)達(dá)到了法律的要求,所以我國涉歐企業(yè)在這方面的合規(guī)挑戰(zhàn)和成本也不低。
?。ㄒ唬┐_保數(shù)據(jù)處理過程安全性的義務(wù)
根據(jù)GDPR第24條的要求,企業(yè)應(yīng)考慮到數(shù)據(jù)處理的性質(zhì)、范圍、內(nèi)容和目的以及處理給員工帶來的不同程度的風(fēng)險,采取適當(dāng)?shù)募夹g(shù)性和組織性措施,以確保數(shù)據(jù)處理行為符合GDPR的規(guī)定,并保持對上述措施的審查和更新。應(yīng)采取的措施視具體情況而定,GDPR第32條第1款明確列舉的有:個人數(shù)據(jù)的匿名化和加密;確保處理系統(tǒng)和服務(wù)的保密性、完整性、可用性以及系統(tǒng)可恢復(fù)性;確保在發(fā)生物理或技術(shù)故障時個人數(shù)據(jù)的恢復(fù)可用性和可訪問性;對相關(guān)措施的有效性定期進(jìn)行測試、訪問和評估。另外,按照“設(shè)計和默認(rèn)的數(shù)據(jù)保護(hù)”(Data Protection by Design/Default)的理念,企業(yè)應(yīng)該從設(shè)備/制度設(shè)計以及默認(rèn)設(shè)置的根子上就貫徹數(shù)據(jù)保護(hù)措施,比如企業(yè)向員工提供可以記錄員工的步數(shù)、心跳和睡眠模式等的健身監(jiān)控設(shè)備作為福利的,應(yīng)在選擇設(shè)備時評估制造商和/或服務(wù)提供商的隱私政策,以確保它不會非法處理員工的健康數(shù)據(jù)。遵守成員國、監(jiān)管機(jī)構(gòu)、數(shù)據(jù)保護(hù)委員會等機(jī)構(gòu)制定的行為準(zhǔn)則或者獲得上述機(jī)構(gòu)作出的數(shù)據(jù)保護(hù)認(rèn)證的,是證明企業(yè)履行了安全保障義務(wù)的重要途徑。
?。ǘ┤嬗涊d處理活動的義務(wù)
GDPR第30條設(shè)定的記錄義務(wù)要求企業(yè)以書面形式(包括電子形式)全面留存處理活動的記錄,建立起日常數(shù)據(jù)處理記錄制度,真實(shí)、準(zhǔn)確、及時的記錄數(shù)據(jù)處理過程。這一義務(wù)在某種程度上而言也是對企業(yè)的保護(hù),由于條例規(guī)定企業(yè)在處理活動中負(fù)有舉證責(zé)任,這意味著企業(yè)不僅需要履行各項(xiàng)具體義務(wù),還需要注意證據(jù)的留存,比如企業(yè)需證明自己獲得了員工知情、清晰、自愿的同意,審慎選擇了有資質(zhì)的數(shù)據(jù)處理者,采取了數(shù)據(jù)安全的保障措施等。
該條第5款為員工規(guī)模在250人以下的企業(yè)組織減輕了負(fù)擔(dān),規(guī)定其通常不需要承擔(dān)全面記載義務(wù),但存在以下例外情形:首先,在數(shù)據(jù)處理活動可能對員工權(quán)利和自由造成較高風(fēng)險時不適用豁免規(guī)定,比如工作場所的視頻監(jiān)控被認(rèn)為是一個高風(fēng)險的經(jīng)典示例;其次,處理活動并非偶然發(fā)生時無法得到豁免,比如人事檔案被認(rèn)為屬于企業(yè)的常規(guī)或永久性標(biāo)準(zhǔn)程序,因此不受員工人數(shù)影響;最后,涉及敏感數(shù)據(jù)的處理不能被豁免,比如員工的健康信息、生物特征數(shù)據(jù)。所以,實(shí)際上企業(yè)在處理員工數(shù)據(jù)時獲得豁免的可能性較低,即使是中小企業(yè)仍然負(fù)有該義務(wù)。
?。ㄈ┬孤锻ǜ妗⒂绊懺u估和咨詢義務(wù)
即使采取了安全措施,要完全杜絕數(shù)據(jù)泄露也很困難,所以GDPR的思路也強(qiáng)調(diào)要通過制度安排避免或減少泄露可能造成的身份盜用、欺詐、名譽(yù)損害等后果。相應(yīng)地,第33條規(guī)定了企業(yè)應(yīng)該在知道數(shù)據(jù)泄露72小時內(nèi)向監(jiān)管部門報告,包括數(shù)據(jù)種類、大概數(shù)量、可能導(dǎo)致的后果、降低負(fù)面影響可采取的措施等,在數(shù)據(jù)泄露可能給員工造成高風(fēng)險時企業(yè)還有義務(wù)根據(jù)第34條告知員工相應(yīng)信息。因此,如果企業(yè)在發(fā)現(xiàn)員工數(shù)據(jù)泄露已經(jīng)發(fā)生,應(yīng)當(dāng)一方面立即向監(jiān)管機(jī)構(gòu)進(jìn)行報告,另一方面在可能造成嚴(yán)重后果時通知員工。
為加強(qiáng)風(fēng)險的預(yù)防,GDPR第35條和36條還新增了數(shù)據(jù)保護(hù)的事前影響評估和協(xié)商制度,該制度適用于數(shù)據(jù)處理方式可能給數(shù)據(jù)主體的權(quán)利和自由帶來高風(fēng)險時。特別是在企業(yè)用算法對員工個人數(shù)據(jù)進(jìn)行自動化處理并做出具有重大影響的決策時,或者進(jìn)行大規(guī)模的敏感數(shù)據(jù)的處理的情形下,企業(yè)有義務(wù)在數(shù)據(jù)處理之前對員工個人數(shù)據(jù)處理操作及其目的、其必要性和適當(dāng)性、可能的風(fēng)險和預(yù)防措施等進(jìn)行評估。如果評估結(jié)果顯示不采取措施將導(dǎo)致高風(fēng)險,那么企業(yè)應(yīng)在進(jìn)行數(shù)據(jù)處理前咨詢監(jiān)管機(jī)構(gòu)并與之協(xié)商。
?。ㄋ模┤蚊鼣?shù)據(jù)保護(hù)官的義務(wù)
根據(jù)GDPR第37條的要求,如果企業(yè)要對員工定期進(jìn)行大規(guī)模系統(tǒng)化監(jiān)控的,或者大規(guī)模處理員工敏感數(shù)據(jù)的,有義務(wù)任命數(shù)據(jù)保護(hù)官。數(shù)據(jù)保護(hù)官可以是企業(yè)自己的員工,也可以基于服務(wù)協(xié)議委托他人。企業(yè)對數(shù)據(jù)保護(hù)官根據(jù)GDPR開展的活動應(yīng)予以支持,提供執(zhí)行任務(wù)、訪問個人數(shù)據(jù)和處理操作的必要資源和專業(yè)知識培訓(xùn),數(shù)據(jù)保護(hù)官不應(yīng)因?yàn)閳?zhí)行任務(wù)的原因而被解雇或者受到其他處罰。
?。ㄎ澹?shù)據(jù)跨境傳輸中的合規(guī)要求
GDPR第五章對于個人數(shù)據(jù)從歐盟向第三國或國際組織傳輸設(shè)定了相當(dāng)嚴(yán)格的限制,所以我國涉歐企業(yè)一方面要盡量做好員工個人數(shù)據(jù)的歐盟本地化管理,另一方面在有必要進(jìn)行數(shù)據(jù)跨境傳輸時確保流動的合法性。對于我國而言,像新加坡、以色列那樣獲得歐盟的充分性認(rèn)定、被列入數(shù)據(jù)保護(hù)的“白名單”還有待時日。更為現(xiàn)實(shí)的路徑是,采取適當(dāng)?shù)拇胧┐_保個人數(shù)據(jù)在歐盟以外的接收者那里也是安全的,從而在此基礎(chǔ)上被允許數(shù)據(jù)出境,就此GDPR第46條列舉的措施有:制定有約束力的企業(yè)規(guī)則;采用歐盟委員會通過的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款;采用成員國監(jiān)管機(jī)構(gòu)通過并經(jīng)歐盟委員會批準(zhǔn)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款;遵守協(xié)會等組織編寫并經(jīng)批準(zhǔn)的行為準(zhǔn)則;獲得經(jīng)批準(zhǔn)的認(rèn)證加上做出承諾。由于我國涉歐企業(yè)有不少是跨國集團(tuán)公司,集團(tuán)內(nèi)部的員工數(shù)據(jù)流動不可避免,所以制定適用于整個集團(tuán)的數(shù)據(jù)保護(hù)的企業(yè)規(guī)則并獲得監(jiān)管機(jī)構(gòu)批準(zhǔn)是一種較為便利的措施。對于偶爾發(fā)生的、非大規(guī)模的員工個人數(shù)據(jù)處理,我國涉歐企業(yè)也可以選擇GDPR第49條提供的路徑:一種是,員工在了解相應(yīng)風(fēng)險后明確表示同意數(shù)據(jù)跨境傳輸,但對企業(yè)而言該路徑并不穩(wěn)妥,因?yàn)閱T工的同意是否自由做出可能被質(zhì)疑、員工也可能事后又撤回同意;另一種是,數(shù)據(jù)跨境傳輸為履行勞動合同所必須,尤其在員工可能短期或者長期在歐盟境外的接收者所在的第三國工作時,比如辦理外國人工作許可所需要的個人數(shù)據(jù)。
結(jié)語
在GDPR帶來的挑戰(zhàn)中,人們關(guān)注的往往是那些掌握了海量消費(fèi)者數(shù)據(jù)的跨境電商平臺、電信運(yùn)營商等特定行業(yè)的企業(yè),卻忽視了各行各業(yè)絕大多數(shù)的企業(yè)在日常的勞動用工當(dāng)中也面臨著GDPR的合規(guī)要求。數(shù)字化的時代背景下,用戶和員工都將越來越重視數(shù)據(jù)安全,數(shù)據(jù)保護(hù)的程度也將成為企業(yè)的核心競爭力。前述H&M公司的數(shù)據(jù)丑聞,不僅讓其收到了巨額罰單,還面臨著員工的索賠和名譽(yù)的損害,所以我國涉歐企業(yè)也應(yīng)當(dāng)警醒,在處理員工的個人數(shù)據(jù)時要堅(jiān)持合規(guī)理念、做好風(fēng)險管理。涉歐企業(yè)首先要確保處理員工個人數(shù)據(jù)具備合法性基礎(chǔ),然后要履行與員工的知情權(quán)、刪除權(quán)、可攜帶權(quán)等權(quán)利相對應(yīng)的義務(wù),還應(yīng)該遵守保障數(shù)據(jù)處理過程安全性、全面記載處理活動、事前風(fēng)險評估等合規(guī)要求,在做好員工個人數(shù)據(jù)的本地化管理的同時也要確保數(shù)據(jù)跨境傳輸時流動的合法性。