文 / 冯坚坚 张波 蒋昕妍,竞天公诚律师事务所
随着GDPR的生效实施,中国企业不仅需要关切由此带来的对于欧盟境内消费者个人数据收集、处理的影响,对于在欧盟境内设立机构雇佣员工的个人数据处理也必须符合GDPR的相关合规要求。本文试图对GDPR下的员工个人数据保护问题进行相应展开介绍。
在员工入职、在职至离职阶段,企业不可避免的涉及到对员工个人信息的处理。GDPR未将雇佣关系下企业对员工的个人数据的处理[1]排除在适用范围之外,在欧盟境内设立的企业对其员工个人数据的处理同样应受GDPR的约束。而且,根据GDPR第88条,多个成员国可以通过法律或通过协定制定特定规则,以保证在雇佣场景下处理员工个人数据的同时保证员工的权利与自由。此类规则应当包括保障数据主体人身尊严、正当利益与基本权利的合适与特定的措施[2]。
一、 《职场数据处理意见》出台背景
在现代职场中,企业通常会以各种技术手段对员工的个人数据进行处理,甚至包括在工作场所或电脑操作安装监控设备或系统监控员工工作状态等。先进技术的运用有助于保护企业的重要数据资产和提高业务运营效率,但员工在职场的个人隐私与数据安全也面临巨大威胁。
2017年6月8日,欧盟29条数据保护工作组(Article 29 Data Protection Working Group,以下简称“工作组”或“29条工作组”)发布了《职场数据处理意见》(Opinion 2/2017 on data processing at work,以下简称“意见”)。意见以95/46/EC号指令(以下简称“数据保护指令”或“ DPD ”)与GDPR为基础法律框架,对利用监控技术等处理员工个人数据时,为企业正当利益和员工的隐私权的平衡提供了评价标准,为具体情形下合法使用新技术提供了指导方针,详细说明了维护员工的尊严、合法利益和基本权利的适当措施。
二、 员工数据处理的风险
企业能够通过多种设备在工作场所内外对员工进行跟踪,定期或不定期监测或检查员工的行为和表现。监测行为一方面将给员工施加了更大的压力,另一方面监测可能导致对员工个人数据的过度收集。
在使用监测技术或设备时,员工可能不知道企业正在处理哪些个人数据,他们甚至没有意识到监测技术本身的存在。因此,在职场中使用监测技术设备可能侵犯员工的隐私权(无论监测是系统的还是偶尔进行),如果对企业对员工的个人数据处理不加以限制和规范,企业可能丧失处理员工数据的合法性基础的风险。
三、 员工数据处理的特定应用场景
29条工作组认为,新技术的使用可能对员工隐私造成高度风险,企业在使用技术手段处理员工数据时,应考虑以下因素:
① 处理活动是否是必要的,(如果是)适用的法律根据是什么;
② 处理活动对员工是否是公平的;
③ 处理活动是否与限制在最小范围;
④ 处理活动是否是透明的。
意见中列举了企业处理员工数据的特定场景,提出了企业在特定场景下处理员工数据的操作方式。以下场景是企业在实践中通常遇到的情形,理解并掌握工作组对特定场景下企业处理员工数据的建议,能够确保企业处理员工数据的合法性,规避企业在处理数据时侵犯员工权利的风险。
1. 招聘时的数据处理[3]
在招聘新员工时,企业有时会通过社交网络调查候选人信息。但是,企业不能因为个人的社交网络信息是公开的,就可以基于自己的目的而任意处理这些数据。处理这些数据,也需要有相应的法律根据。在此种情形下处理个人数据时,应注意:
① 在求职者参加应聘之前,招聘企业必须正确地告知求职者所有将对其个人数据的处理活动;
② 对于与求职者有关的个人数据收集应限于必要的个人资料,而且收集的资料应与申请的工作有关。
③ 一旦明确不发送offer或对方拒绝接受offer,收集的个人数据应删除。
2. 在职期间基于考评需求的数据处理[4]
通过社交媒体以及新技术,企业能够通过收集有关员工的意见、信仰、习惯、态度和行为等信息,获得与员工的私人和家庭生活有关的数据(包括敏感数据),从而对员工进行长期考评。在职考评时,企业应避免向员工索要其通过社交网络与他人共享的信息。在通过社交媒体对员工进行监测时,只有企业能够证明这种监测是保护其合法利益所必需的,没有其他侵害性较小的替代手段,而且员工已经充分了解监测的程度,企业才可以基于合法利益对员工进行监测。此外,企业不应强制要求员工使用企业提供的社交媒体简介,即使员工的工作岗位与此具有强相关性(例如员工担任企业的公关发言人),员工也有权决定其在社交媒体上是否以更个性化、更私人的形象进行对外展示,或者选择不对外展示,而不是必须选择“官方的”、与公司有关的形象,且这一点应在劳动合同的条款中加以明确。
3. 在工作场所监测信息、通信、技术使用的数据处理[5]
传统意义上,对工作场所的电子通信(如电话、互联网浏览、电子邮件、即时通讯、VOIP等)的监测被认为是对员工隐私的主要威胁。但随着技术发展,已经出现了更具侵入性和普遍性的监测方式,如数据丢失预防工具(Data Loss Prevention (DLP) tools)、安全应用程序、办公应用程序等。企业有可能执行“一体”的监测办法,监测工作场所的所有信息和通信情况。
但是,无论技术如何发展,以合法利益为基础的数据处理活动仍应符合特定条件。首先,使用监测技术的企业必须考虑到它们正在执行的措施的相称性,以及是否可以采取任何措施来减轻或减少数据处理的规模和影响。其次,企业必须执行适当的监测技术使用政策,明确可能采用监测技术的网络和设备,并严格详细说明正在进行的处理活动。最后,应该确保员工能够指定某些特定的私人空间,除非在特殊情况下,企业不得监测或检查。
4. 在工作场所外监测信息、通信、技术使用的数据处理[6]
工作场所以外的信息、通信、技术的使用变得更加普遍,当员工在家办公或使用自有设备办公时,工作场所的现有监测系统实际上已扩展到其家庭领域,可能对员工的私人生活造成影响。
① 监测家庭远程作业: 企业向员工发放的设备或软件一旦安装在员工的家里或他们自己的设备上,可能与企业的网络、系统和资源享有同等的访问权。如不采取适当的技术措施,非法进入的风险会增加,可能导致企业掌握的信息(包括员工或客户的个人数据)的丢失或销毁。为减少风险,企业可能部署具有特定功能的软件包。但是,企业很可能不具备部署监测软件包的合法利益,关键是要以适当的方式处理家庭远程作业可能产生的风险。
② 自带设备(BYOD):员工可能在工作场所使用自己的装置(“自带设备”或BYOD)来完成工作,监测这类装置可被视为符合合法利益,以保护作为数据者的企业所负责的个人数据。但如果监测记录了与员工的私生活和家庭生活有关的数据,可能是非法的。为了防止对私人信息的监测,必须采取适当的措施,以区分该装置的私人用途和商业用途,保护员工的私人通信不受任何与工作相关的监视。
③ 移动设备管理(MDM):移动设备管理使企业能够远程定位设备,部署特定的配置或应用程序,实时记录或跟踪设备,并根据需要删除数据。企业必须确保,远程定位能力收集的数据是为特定目的处理的,不能用于对员工进行持续监测,并减轻跟踪功能。对于其设备注册到MDM服务中的员工而言,应被充分告知并了解跟踪情况,以及这将给他们带来的后果。
④ 可穿戴设备:为跟踪和监测员工们在工作场所内外的健康状况和活动,有的企业为员工提供可穿戴设备。但是,这种数据处理如果涉及对员工个人健康数据的处理,是被禁止的。
5. 关于时间与出勤的数据处理[7]
用于跟踪员工时间和出勤率的新技术正在被更广泛使用(包括生物识别技术、移动设备跟踪),使企业能够更简单的控制谁可以进入企业住所或某些区域的系统。如此种情形下处理员工数据是必要的,已向员工充分告知,且不超过员工的私生活权利范围,则可能符合合法利益的要求。但是,如果将这些数据也用于其他目的,则对员工确切出入时间等的持续监测是不合理的。
6. 利用视频监测系统的数据处理[8]
视频监控能够持续捕捉员工行为,通过视频分析提供的功能,企业可以通过自动化的方式监控员工面部表情,识别出与预定义的移动模式的偏差。这与员工的权利和自由不相称,一般是不合法的。此外,处理过程也可能涉及到分析甚至可能是自动化决策。因此,应该避免使用面部识别技术。
7. 涉及员工使用的车辆的数据处理[9]
使用车辆远程信息处理技术的企业会收集车辆和使用车辆的员工的个人数据(包括员工的位置、驾驶行为等)。企业应首先评估为此目的进行的处理是否必要,以及实际执行是否符合相称性和辅助性原则。在使用跟踪装置时,企业必须明确告知员工,公司车辆上安装了跟踪装置,说明行踪记录情况。员工将车辆用于私人目的时,企业可以采取为员工提供不使用位置跟踪仪器的选项。鉴于位置数据的敏感性,监测员工在工作时间以外的地点无适当的法律根据。此外,企业同时应确保所收集的数据不被用于其他目的。
8. 涉及向第三方披露员工数据的数据处理[10]
为向客户提供优质服务,企业将员工的数据(如姓名、照片等)传送给客户变得越来越普遍。但由于企业与员工双方地位不对等,员工并不能在充分自由状态下同意企业处理其个人数据。因此,员工数据的对外提供应根据业务的必要性决定是否需要提供,如果数据提供超出必要范围,则没有合法依据。
9. 涉及人力资源数据及其他员工数据的跨境转移的数据处理[11]
企业越来越多地使用基于云的应用程序和服务,例如为处理人力资源数据和在线办公应用程序而设计的程序和服务,此类应用程序的使用将很可能导致员工数据的跨境转移。而个人数据的跨境转移应当符合GDPR相关规定;同时,在依据员工同意跨境转移员工数据时,员工的同意必须是具体、明确和自由的。此外,在向欧盟及欧洲经济区以外的集团内其他公司跨境转移员工数据时,仍应遵守GDPR的“数据最小化”原则,即限于为达到预定目的所必需的最低限度。
五、 总结
企业在通过技术手段对员工进行监测时,监测工具的使用并不排除员工对其通信、地理位置等保密的权利,在使用监测工具时应遵循:
① 部署监测工具之前,考虑监测的所有数据是否都是必要的,以及必须采取何种措施确保对员工个人隐私的侵犯限制在必要的最低限度。
② 利用监测工具时,向员工告知关于所进行的任何监测、监测的目的和情况以及员工防止监测技术获取其数据的可能性等方面的内容。
③ 监测的政策和规则必须明确,易于获取,建议员工代表参与制定和评估这类规则和政策。
④ 员工数据的存储应限制在最低期限,在不需要其数据时,应及时删除。
虽然意见对欧盟成员国无强制效力,但GDPR第88条第1款、第3款规定,欧盟成员国可以制定更加明确的规则,确认在人事领域处理员工个人数据时其权利和自由能够获得保护,而欧盟成员国所制定的前述规则,必然大量借鉴意见中的规定。
在欧盟境内设立法人实体、机构的中国企业应当关注意见的内容及欧盟成员国对职场员工数据保护的立法,及时制定适当的员工数据保护政策,特别是涉及到对员工行为的监控、监测以及员工数据跨境转移时,前述政策的制定更具有必要性。同时,尽管中国国内针对员工个人信息处理并无成体系的专门法律规定,但相信随着国内对个人信息保护相关规定的完善,意见对国内立法和实践同样具有较大的参考价值和指导意义,对于中国国内企业的员工个人信息保护提供了一定程度的域外借鉴。
注:
[1]指GDPR第4条第2款对处理的定义,即是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
[2]GDPR第88条第1、2款。
[3]Opinion 2/2017 on data processing at work 5.1。
[4]Opinion 2/2017 on data processing at work 5.2。
[5]Opinion 2/2017 on data processing at work 5.3。
[6]Opinion 2/2017 on data processing at work 5.4。
[7]Opinion 2/2017 on data processing at work 5.5。
[8]Opinion 2/2017 on data processing at work 5.6。
[9]Opinion 2/2017 on data processing at work 5.7。
[10]Opinion 2/2017 on data processing at work 5.8。
[11]Opinion 2/2017 on data processing at work 5.9。
来源:搜狐网
