歐盟的《通用數據保護條例》(GDPR)號稱是“史上最嚴個人數據保護立法”,該條例適用于勞動關系。我國有眾多涉歐企業,在生產經營和用工管理中經常要進行員工數據處理活動,從而面臨著GDPR的合規挑戰。在合規管理中,涉歐企業首先要確保處理員工個人數據具備合法性基礎,然后要履行與員工的知情權、刪除權、可攜帶權等權利相對應的義務,還應該遵守保障數據處理過程安全性、全面記載處理活動、事前風險評估等合規要求,在做好員工個人數據的本地化管理的同時也要確保數據跨境傳輸時流動的合法性。
關 鍵 詞:DPR;員工個人數據保護;涉歐企業;數據合規
數字經濟時代移動互聯網、大數據、云計算、人工智能等科技的發展,使數據的產生和處理呈現爆炸式增長,給個人數據保護帶來了巨大的挑戰。2018年5月25日《通用數據保護條例》(General Data Protection Regulation,以下簡稱“GDPR”)在歐盟成員國內正式生效實施,該條例可謂是史上最為嚴格的個人數據保護規范,違反者可能面臨最高2000萬歐元或上年度全球總營業額4%金額的罰款。據2020年10月的報道,由于H&M公司過去幾年中一直大范圍地收集員工請病假、就醫以及病情診斷等詳細信息,還有管理人員在與員工的非正式聊天中挖掘其家庭問題或宗教信仰等個人數據作為員工考評或任用決定的參考,德國漢堡數據保護局開出了高達3530萬歐元的罰單。
GDPR適用于勞動關系中的個人數據保護,其第88條明確規定,成員國可以通過法律或通過集體協議制定特定規則,以確保在雇傭語境下處理雇員個人數據時保護其權利和自由,這在如下情形中尤其適用:為了招聘、履行勞動合同,履行法律或集體合同規定的義務;對工作的管理、計劃和組織;工作場所的平等與多樣性;工作中的健康和安全;對員工和顧客財產的保護;為了行使和履行與雇傭相關的權利和義務;為了終止雇傭關系。德國《聯邦數據保護法》第26條正是基于此授權對員工的個人數據保護做了針對性安排。我國有眾多在歐盟境內設立了業務機構或雇傭了歐盟境內員工的企業,生產經營和用工管理中不可避免地要進行員工的個人數據處理。雖然目前我國還沒有出現涉歐企業因為違反GDPR而受罰的案例,但是仍然應該提前了解相關情況、做好相應預防措施,尤其在我國個人信息保護的意識比較淡漠的背景下,涉歐企業更容易“觸雷”。那么,應該采取什么措施才能達到GDPR的合規要求,如何平衡企業的經營管理需求與員工的個人數據保護?了解GDPR對個人數據保護的設計理念與制度框架,探究其在勞動關系中適用的特殊問題,是涉歐企業在用工中實現GDPR合規管理所必須關注的問題。
一。
受到GDPR管轄的涉歐企業
根據GDPR第4條的定義,“個人數據”是指一個被識別或可識別的自然人(數據主體)的任何信息,而所謂自然人可識別是指通過姓名、身份證號碼、位置數據、在線身份識別碼這類標識或通過針對該自然人的一個或多個身體、生理、遺傳、心理、經濟、文化或社會身份等要素能夠直接或間接地被識別。“處理”是指針對個人數據或其集合的任何一個或一系列操作,如收集、記錄、組織、建構、存儲、修改、檢索、咨詢、使用、披露、傳播或其他方式利用、排列或組合、限制、刪除或銷毀,無論該等操作是否采用自動化方式。“數據控制者”是能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、代理機構或其他組織,而“數據處理者”是指為數據控制者處理個人數據的個人或組織。勞動關系中的數據主體是員工,而涉歐企業一般是以數據控制者的身份出現,少數情況也可能是數據處理者。GDPR極大地擴張了其域外管轄范圍,具體到員工的個人數據保護,我國涉歐企業可能在兩種情形下受到GDPR管轄。
(一)歐盟境內存在業務機構的企業
根據GDPR第3條第1款,該條例適用于數據控制者或處理者在歐盟境內存在業務機構活動的背景下所實施個人數據處理行為,無論該處理行為是否發生在歐盟境內。要理解這一復雜的表述,關鍵注意以下三點。
第一,重要的是在歐盟境內存在業務機構、而非住所,GDPR在序言(22)條中將業務機構又稱為“營業場所”,而營業指通過穩定的安排有效且真實地開展經營活動,而該安排的法律形式并非判斷其是否可以稱為營業場所的決定性因素。即只要企業在歐盟境內設有機構并營業,無論機構是否具有分公司或子公司的地位,即使是以辦事處、派遣機構等形式存在,企業也應當受到管轄。
第二,條例的適用與數據主體是否擁有歐盟公民身份、是否長期居住在歐盟境內無關,與個人數據處理活動是否發生在歐盟境內也無關,比如我國涉歐企業將中國國籍的員工外派到歐盟境內的辦事處工作,即使對員工的個人數據處理發生在中國總部,也受到GDPR的管轄。
第三,條例的適用限于“在業務機構活動的背景下”所實施的個人數據處理行為,包括“該歐盟境內的業務機構自己進行的個人數據處理活動”和“為該歐盟境內的業務機構進行的個人數據處理活動”。也就是說,我國涉歐企業并不會因為在歐盟境內設有業務機構而將企業全部的個人數據處理活動置于GDPR的管轄之下,比如涉歐企業的中國總部在中國境內雇傭歐盟公民并對其進行個人數據處理,但是與歐盟境內的業務機構并無關系,則GDPR并不適用。就如何界定“為該歐盟境內的業務機構進行的個人數據處理活動”,歐盟法院在Google西班牙公司案中認為應該考慮業務機構與數據處理者之間是否存在“密不可分的聯系”,具體到勞動關系中這種聯系需要根據個案的具體情況來判斷。
(二)歐盟境內未設立業務機構的企業
對于沒有在歐盟境內設立業務機構的數據控制者或處理者,按照GDPR第3條第2款,若其涉及向歐盟境內的數據主體提供商品或服務,抑或涉及對數據主體發生在歐盟境內的行為進行監控,則適用本條例。此適用情形與數據主體的國籍無關,也與個人數據處理行為是否發生在歐盟境內無關,只取決于數據主體是否位于歐盟境內。不同于第1款的“業務機構原則”,德國學者將第2款的適用情形稱為“市場地原則”或“來源地原則”,因為它以數據是否來源于歐盟境內作為管轄權的重要依據,國內也有觀點將其歸納為“屬地+屬人+保護等綜合性的影響主義原則”。無論采用何種觀點,毋庸置疑的是,諸多并未在歐盟境內設立業務機構的我國企業也可能因為業務或者人員涉及歐盟而面臨著GDPR的規制,當然這種適用也只限于對來源于歐盟境內的個人數據的處理活動。
隨著經濟全球化進程的加快,很多互聯網公司由于業務原因向歐盟境內數據主體提供商品或服務,比如電商平臺或者社交軟件收集用戶數據以達到精準營銷的目的。在企業用工中此類情形則更多表現為,設立在歐盟境外的企業雇傭了歐盟境內的員工,此時企業在歐盟境內沒有營業場所,卻出于用工管理等目的需要對遠在千里之外的員工進行監控。GDPR序言(24)條指出,判斷某一處理活動能否被視為對數據主體的行為進行監控,需要確定該自然人是否在互聯網上被跟蹤記錄,或者是否潛在地后續使用個人數據處理技術,包括對自然人進行畫像、作出自動化決策,或對該自然人的個人偏好、行為和態度進行分析和預測。例如,歐盟境外的企業使用定位系統對歐盟境內的員工工作地點和時間進行監控,進而自動化地處理數據、分析預測員工行為并以此作為考評依據,此時企業也受到GDPR的管轄。需要注意的是,由于這種情形下我國涉歐企業在歐盟境內沒有設立業務機構,所以為方便聯絡,企業有義務按照GDPR第27條的要求選定一名在歐盟的代表處理相關事項。
二。
處理員工個人數據的合法性基礎
我國涉歐企業處理員工的個人數據,首先需要具備合法性基礎,這是履行員工個人數據保護義務的重中之重。GDPR第6條列舉的合法性基礎中主要有以下幾種與勞動用工相關。此處需注意,各成員國對于“員工”的理解可能不同,比如德國《聯邦數據保護法》第26條第8款就明確表示該條款不僅適用于雇員,也適用于學徒、類雇員、求職者等。
(一)基于員工的同意
按照GDPR第6條第1款(a)項,數據主體同意為一個或多個特定目的而處理其個人數據的,數據處理行為合法。真實有效的“同意”應當滿足以下要件:
1.
自由要件
自由選擇是同意原則的核心,其前提是數據主體存在選擇的可能,正如GDPR條第7條第4款的規定,在評估同意是否自由做出時,應著重考慮數據控制者是否將“數據主體同意其處理履行該合同不必要的個人數據設定為合同履行(包括服務提供)的前提”。具體到勞動關系中,企業不能以訂立勞動合同或其他條件來明示或暗示員工,即只有同意對其數據的處理才會被錄用,在勞動關系履行的過程中企業也不能以解雇、降職等任何形式的壓力要求員工同意數據處理。比如根據德國《聯邦數據保護法》第26條第2款,判斷同意是否自由做出需要特別考慮勞動關系中員工的從屬性以及表示同意時的具體情形,在員工可以獲得法律上或經濟上的好處時或者在企業與員工的利益訴求一致時,往往可以認為同意是自由做出的。歐盟數據保護第29 條工作組持類似觀點,比如它舉例指出,企業為員工配備工作使用的通信設備并明確告知對該設備存在一定范圍內的監控,但員工拒絕使用該設備也可以由其他合適方案替代,不會影響工作的正常進行且不會受到任何形式的壓力,則此時員工使用該設備并接受監控的同意應當被認為是自由做出的。 歐盟數據保護委員會延續了此立場,認為由于缺乏真正的自由在勞動關系中大多數的數據處理不能基于員工同意而進行,只在一些特殊情況下企業可能證明同意的自愿性,比如企業請某辦公區域的員工在以該區域為背景的電影或視頻中出鏡,但不愿意被拍攝的員工不會受到任何形式的懲罰,可以在拍攝期間在其他區域獲得相同的辦公空間。
2.
具體要件
帶有不明確目的的、籠統的或預防性的同意是不被允許的,企業應詳細、清晰地呈現處理活動的具體形式,當存在多種數據處理活動時,員工需要有實際的可能就每一種形式表示同意與否。勞動合同的訂立不意味著員工對數據處理的當然同意,員工需要在充分了解可能發生的數據處理活動的基礎上,單獨做出相應的具體同意。充分知情是作出具體同意的前提,企業需保證員工能夠以準確、透明、易于理解的方式獲得與處理活動相關的各種信息。同意的授權應當符合具有顯著性、易理解獲得、使用清楚平實文字等形式要求,比如同意條款包含在很長的、涉及其他條件下的使用的文件中,即使員工沒有表示反對也不能被認為是有效的同意。若涉及長期的數據處理,企業還應當多次更新所獲得的同意,以確保員工對當前最新的處理活動有全面、完整的了解。
3.
可撤回要件
GDPR第7條第3款規定數據主體有權撤回先前的同意,同意的撤回立即生效于之后的數據處理,數據主體可以進一步依據GDPR第17條請求刪除個人數據。該規定特別強調,撤回同意應當與做出同意同樣容易,同意與撤回的“簡單性”對應關系不難理解:當同意是員工口頭做出時,不得要求員工以書面形式撤回同意。企業應在員工做出同意之前,將撤回同意的權利和行使該權利的方法告知員工。由于員工可能隨時撤回同意,所以對企業的合規管理而言,員工的同意并不是很可靠的合法性基礎。
4.
形式要件
根據GDPR序言第(32)條,數據主體應清楚明確地表示同意,例如通過書面陳述(包括電子形式)或者口頭形式。同意方式包括在瀏覽網頁時在方框里打鉤,但沉默、默認勾選的對話框或者其他不作為都不能構成同意。雖然GDPR并不要求同意必須以書面形式做出,但是各成員國的法律或集體協議可能會提高形式要件要求,比如德國《聯邦數據保護法》第26條第2款針對勞動關系明確要求企業應獲得員工的書面同意(包括電子形式)。
(二)締結、履行或終止勞動合同所必需
GDPR第6條第1款(b)項將該原則表述為,數據處理是為履行數據主體作為一方的合同所必需,或者數據處理是在訂立一項合同前為依據數據主體的要求采取特定行為所必需。歐盟數據保護委員會認為,要對“簽訂或履行合同所必需”做限縮解釋,應該基于合同的目的判斷是否存在客觀上的必要性,數據控制者需證明某項數據處理行為如果沒有進行,合同就無法訂立或無法履行。就勞動關系而言,德國《聯邦數據保護法》第26條第1款規定得更明確,即數據處理是為了做出是否建立勞動關系的決定所必需,是履行或終止勞動關系所必需,或者是行使或履行基于法律、集體合同或企業協議產生的權利義務所必需。“締結、履行或終止勞動合同所必需”可謂是勞動關系中處理員工數據最重要的合法性基礎,但需要強調的是,只有當處理活動是為了實現具體的締結、履行或終止勞動合同的目的所“必需”時才可適用該項,僅是“有用”則不夠,也就是說對于該合法性基礎的理解和適用應該相當謹慎。比如,在招聘時企業不得對員工進行壓力面試、智商檢查、基因分析,因為這些對決定招錄與否不是必需的。又比如,一般情況下不間斷地、全面地對工作場所進行公開的視頻監控并非履行勞動合同所必需,使用隱藏的攝像頭進行秘密監控更是被禁止的,除非有明確、具體的線索指向員工的犯罪行為并且為了查明事實真相不得不進行秘密監控。
(三)為了履行法定義務
根據GDPR第6條第1款(c)項,企業可以為了履行法律義務而進行員工個人數據處理,比如出于計稅、繳納社會保險等目的,企業處理員工的家庭住址、婚姻情況、宗教信仰、健康等信息。但GDPR又對此做出了嚴格的限制,即將設定義務的法律限定在歐盟法或適用的成員國法的范圍內,還必須明確數據處理的一般條件、被處理數據的類型、數據可能被披露的對象和目的、存儲期限、處理方法和程序等內容,以保證數據處理的公平性、準確性。另外,即使是出于履行法律義務所必需,企業的數據處理活動也要遵循一般性的要求,比如企業可能基于確保車輛駕駛員安全的義務,在車輛上安裝追蹤技術,但員工應當被允許在特殊情況下暫時關閉位置跟蹤功能,企業還必須確保收集到的數據不用于跟蹤和評估員工等其他目的。
(四)基于企業合法利益
根據GDPR第6條第1款(f)項,企業可基于優先性的合法利益進行數據處理。對于此種合法性基礎的適用應該特別謹慎,首先要確定企業就數據處理存在合法利益,然后看是否有與之相沖突的員工的利益、基本權利或自由,再對兩者進行利益衡量來判斷應該優先保護何者,即利益衡量的結果必須是企業合法利益占優才行進行數據處理。利益衡量時應遵循誠實信用原則,特別是要符合員工的合理預期,還需要考慮以下幾方面要求:
首先,透明性是員工行使數據主體權利的基本前提。企業即使基于合法利益的需要進行數據處理,也需保證數據處理過程的公平和透明,員工應被清楚和充分的告知其個人數據的處理情況,包括是否存在任何形式的監測。
其次,員工數據的收集、處理均應當基于特定、明確且合法的目的。比如企業為保護商業秘密對特定區域安裝了訪問控制系統,記錄有權進入該區域的員工的出入行為,以便在發生設備項目丟失、數據遭到未經授權的訪問或被盜時獲知當時有誰進入過該區域,該處理可能基于企業合法利益而被認為具有合法性來源,但企業不得使用這些數據對員工的工作績效進行評估。
最后,勞動關系中的數據處理應滿足限度最小、成比例、必要性的要求,盡可能以侵入性最小的方式進行,有更為溫和手段能達到數據處理目的的就要先用該手段。
(五)更嚴格的保護:特殊種類的個人數據
根據GDPR第9條的規定,特殊種類的個人數據也被稱為敏感數據,包括顯示種族或民族出身、政治觀點、宗教或哲學信仰、工會會員資格的數據,以及基因數據、生物識別數據、健康相關數據、性生活與性取向的數據。由于敏感數據更多地涉及數據主體的基本權利和自由,其處理容易導致對數據主體的歧視和偏見,所以GDPR對其保護更為嚴格,即一般情況下禁止對敏感數據的處理活動,只在例外情形下予以豁免。所以,企業處理員工的敏感數據時需要注意是否符合豁免的情形和條件。
首先,按照GDPR第9條第2款(a)項,數據主體明確表示的同意原則上也可以成立豁免,但正如前文所述,對勞動關系中員工同意的有效性容易產生爭議,員工還可能撤回同意,所以企業應該慎重選擇該路徑。其次,更為重要的豁免情形規定在第9條第2款(b)項,即數據處理為在勞動法、社會保險法或其他社會保障法律的范疇內履行義務、行使權利所必需。但是,該數據處理須依據歐盟、成員國的法律或依據成員國法律制定的集體合同進行,其所依據的法律或者集體合同還需要規定員工基本權利和利益的保護措施,比如數據加密或假名化等手段,另外還需確保員工主張數據更正和刪除的權利,由于第9條的目的是重點保護敏感數據,因此保護措施必須高于一般處理規則的水平。最后,根據第9條第2款(e)項,員工明顯已經自行公開了個人數據的構成豁免,比如員工在外部網絡上公布了自己的性取向的,反之,若員工只是在社交媒體賬戶向部分朋友透露此事,不算公開不構成豁免;第9條第2款(h)項適用于在職業安全健康的框架下采取健康防護措施、判斷員工勞動能力而需要處理員工的健康數據時;而當前新冠疫情下企業為疫情防控采取的必要措施,則可能屬于第9條第2款(i)項所指的為抵御嚴重的跨境健康威脅而處理員工數據的情形。
相反,對企業高層管理人員的基因進行分析以研究其是否具有重大疾病或基因缺陷,對員工表情等人臉圖像或指紋識別等生物識別數據進行采集以進行考勤記錄,甚至通過綜合分析員工心跳、呼吸、瞳孔轉動方向、身體姿態等監控員工工作狀態等,此類行為絕大多數情況下是不被允許的。
三。
員工作為數據主體享有的權利及企業相對應的義務
GDPR的“鑒于條款部分”特別提到,歐盟公眾普遍認為自然人數據保護、尤其是線上活動相關的數據保護存在很大隱患,所以新增了限制處理權、可攜帶權、“被遺忘權”等權利,目的在于使數據主體對個人數據擁有更強的控制力和決定權。對員工享有的這些權利,企業負有相應的配合義務。
(一)與知情權、訪問權相對應的提供數據信息的義務
員工就自己的個人數據享有知情權、訪問權。根據GDPR第12條的要求,企業應當以清晰、簡單透明、易于獲取、易懂的方式,向員工提供第13條、14條所規定的全部信息內容。無論數據是由員工個人提供,還是由企業通過其他方式獲取,員工均享有知情權。涉及提供信息的方式選擇,關鍵在于員工是否能真正獲得相關信息,如序言(58)提到通過向公眾開放的網站提供必要的信息也是符合要求的。在需要披露的內容中,對勞動關系尤為重要的是企業數據處理的目的及選擇的法律基礎、企業委托的其他處理者的身份、是否存在跨境傳輸以及相應安全保障措施等。GDPR第15條規定的訪問權更多強調的是員工有權自發、主動地向企業要求提供相應信息的權利,原則上企業應當免費提供上述信息,但為避免員工惡意自動化申請獲取副本,企業可以在確保合理性的基礎上對額外過度索取的如紙質化副本設置相應收費制度,以避免增加不必要的成本。
(二)與刪除權(被遺忘權)相對應的刪除數據的義務
GDPR第17條第1款規定了六種情形下數據主體的刪除權,對勞動關系而言最重要的是第(a)項,即如果對員工的個人數據的收集或其他方式的處理不再是必要的,則企業有義務毫不延遲地刪除數據,包括該數據的全部副本、鏈接和復制件。比如,企業在招聘過程中做出了錄用決定之后,就不得再處理沒有錄用的應聘者的信息,最多可以保留六個月預防可能的爭議,即使要繼續保存未錄用的應聘者的信息形成所謂的人才庫,也必須獲得其同意且保留期限也不能太長。其次,員工根據第(b)項撤回同意的,企業同樣負有刪除義務,但是以不存在其他的數據處理的法律依據為前提,也就是說如果存在別的合法性基礎則無需刪除。比如在企業內部的反舞弊調查中,由于存在企業的合法利益,員工即使撤回其同意,也不能要求企業刪除其數據。最后,員工當然也可以按照第(d)項要求企業刪除被非法處理的數據,比如企業在招聘時超越知情權的范疇收集的員工信息。第17條第2款適用于企業已經將員工數據公開的情況下,特別是已經在網絡上擴散時,此時員工要求企業刪除其個人數據的,企業應該在考慮現有技術和實施成本后,采取合理的措施盡可能地將員工的刪除要求通知所有其他的數據控制者。該條款常被認為賦予了數據主體所謂的“被遺忘權”,但這種理解其實不太準確,因為數據控制者只負有通知義務,并不用管通知的接收者有沒有真的刪除相關數據,所以未必能達到讓相應數據在網絡上消失的效果。第17條第3款又排除了特定情形下前兩款的適用,比如企業是因為遵守法定義務或為了公共衛生領域的公共利益不得刪除員工的個人數據,又或者是在已經或很可能發生勞動爭議時,為了法定請求權的確立、行使和抗辯而不能刪除相關數據。
(三)與更正權、限制處理權、可攜帶權相對應的其他配合義務
根據GDPR第16條,對于錯誤的、不準確的個人信息,員工可以要求企業更正,對于某數據處理目的而言不完整的個人數據,員工也有權要求補充完整。比如涉及社會保險的數據,若員工工作年限、交納時間等有不準確或不完整情況,員工有權要求更正或補充,企業有義務及時處理。
員工行使限制處理權的各項情形中,GDPR第18條第1款的(a)項可能經常適用,即員工對個人數據的準確性提出質疑,而企業在核實期間內的,員工可以限制企業進行數據處理。企業還需要重點關注第(c)項,即當企業不再需要數據處理時,存在著數據被合法刪除的風險,而該部分數據為員工行使法定請求權所需要。比如,在已經發生或者很可能發生勞動爭議時,若員工需要由企業控制的考勤記錄、工資結算等個人數據作為證據,可以限制企業的刪除等處理活動。
GDPR第20條規定了所謂的可攜帶權,即如果數據控制者是基于數據主體的同意或者合同履行的必要而采用自動化方式處理了個人數據的,數據主體可以要求他以結構化的、普遍使用的機器可讀的形式將這些數據提供給其他的控制者。該條款的主要適用場景在競爭法領域,比如用戶可以不受限制的將其個人數據從一個社交媒體的賬號轉移到另一個社交媒體那里去。在勞動關系中,則可能應用于員工跳槽時人事數據系統中檔案等數據的攜帶。因其可能會有商業秘密泄露、不正當競爭等風險,企業需要提前進行防范,比如可以盡量避免涉密數據的自動化處理,以防止員工行使可攜帶權而導致的企業利益損失。
(四)與免受自動化決策的權利相對應的義務
數據主體有權不受制于可能對他造成重大影響的采用自動化處理手段進行的決策或精準評價,即為評估與自然人相關的某些個人情況而對個人數據進行的任何形式的自動化處理和利用,比如企業為了分析或預測員工的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可信度、行為、位置或行蹤而進行的數據畫像。由于這種處理基于算法,而算法不透明、算法錯誤、數據源錯誤等風險難以排除,所以GDPR第22條規定,若某個僅基于自動化處理做出的決定將對數據主體產生法律后果或類似重大影響,則數據主體有權不受該決定的限制。因此,企業在聘用、考核、監督、解雇員工的過程中,應當盡可能的避免自動化決策的使用,優先尋找更合適的替代手段,實在需要進行自動化處理也要盡量保障人的參與,以組織和技術手段糾正不準確的數據,相關數據屬于敏感數據時更是要非常謹慎。
四。
其他數據合規的要求
在個人數據處理活動大量進行、處理技術飛速發展的背景下,數據主體往往難以抵御甚至難以察覺侵犯其個人數據的行為,事后追責困難且往往于事無補,所以GDPR的個人數據保護模式更為強調事前預防,而不是僅給予事后救濟,相應地設定了一系列數據控制者的數據保護義務。基于問責制原則,尤其是面對監管機關的檢查時,數據控制者需能夠證明其數據保護達到了法律的要求,所以我國涉歐企業在這方面的合規挑戰和成本也不低。
(一)確保數據處理過程安全性的義務
根據GDPR第24條的要求,企業應考慮到數據處理的性質、范圍、內容和目的以及處理給員工帶來的不同程度的風險,采取適當的技術性和組織性措施,以確保數據處理行為符合GDPR的規定,并保持對上述措施的審查和更新。應采取的措施視具體情況而定,GDPR第32條第1款明確列舉的有:個人數據的匿名化和加密;確保處理系統和服務的保密性、完整性、可用性以及系統可恢復性;確保在發生物理或技術故障時個人數據的恢復可用性和可訪問性;對相關措施的有效性定期進行測試、訪問和評估。另外,按照“設計和默認的數據保護”(Data Protection by Design/Default)的理念,企業應該從設備/制度設計以及默認設置的根子上就貫徹數據保護措施,比如企業向員工提供可以記錄員工的步數、心跳和睡眠模式等的健身監控設備作為福利的,應在選擇設備時評估制造商和/或服務提供商的隱私政策,以確保它不會非法處理員工的健康數據。遵守成員國、監管機構、數據保護委員會等機構制定的行為準則或者獲得上述機構作出的數據保護認證的,是證明企業履行了安全保障義務的重要途徑。
(二)全面記載處理活動的義務
GDPR第30條設定的記錄義務要求企業以書面形式(包括電子形式)全面留存處理活動的記錄,建立起日常數據處理記錄制度,真實、準確、及時的記錄數據處理過程。這一義務在某種程度上而言也是對企業的保護,由于條例規定企業在處理活動中負有舉證責任,這意味著企業不僅需要履行各項具體義務,還需要注意證據的留存,比如企業需證明自己獲得了員工知情、清晰、自愿的同意,審慎選擇了有資質的數據處理者,采取了數據安全的保障措施等。
該條第5款為員工規模在250人以下的企業組織減輕了負擔,規定其通常不需要承擔全面記載義務,但存在以下例外情形:首先,在數據處理活動可能對員工權利和自由造成較高風險時不適用豁免規定,比如工作場所的視頻監控被認為是一個高風險的經典示例;其次,處理活動并非偶然發生時無法得到豁免,比如人事檔案被認為屬于企業的常規或永久性標準程序,因此不受員工人數影響;最后,涉及敏感數據的處理不能被豁免,比如員工的健康信息、生物特征數據。所以,實際上企業在處理員工數據時獲得豁免的可能性較低,即使是中小企業仍然負有該義務。
(三)泄露通告、影響評估和咨詢義務
即使采取了安全措施,要完全杜絕數據泄露也很困難,所以GDPR的思路也強調要通過制度安排避免或減少泄露可能造成的身份盜用、欺詐、名譽損害等后果。相應地,第33條規定了企業應該在知道數據泄露72小時內向監管部門報告,包括數據種類、大概數量、可能導致的后果、降低負面影響可采取的措施等,在數據泄露可能給員工造成高風險時企業還有義務根據第34條告知員工相應信息。因此,如果企業在發現員工數據泄露已經發生,應當一方面立即向監管機構進行報告,另一方面在可能造成嚴重后果時通知員工。
為加強風險的預防,GDPR第35條和36條還新增了數據保護的事前影響評估和協商制度,該制度適用于數據處理方式可能給數據主體的權利和自由帶來高風險時。特別是在企業用算法對員工個人數據進行自動化處理并做出具有重大影響的決策時,或者進行大規模的敏感數據的處理的情形下,企業有義務在數據處理之前對員工個人數據處理操作及其目的、其必要性和適當性、可能的風險和預防措施等進行評估。如果評估結果顯示不采取措施將導致高風險,那么企業應在進行數據處理前咨詢監管機構并與之協商。
(四)任命數據保護官的義務
根據GDPR第37條的要求,如果企業要對員工定期進行大規模系統化監控的,或者大規模處理員工敏感數據的,有義務任命數據保護官。數據保護官可以是企業自己的員工,也可以基于服務協議委托他人。企業對數據保護官根據GDPR開展的活動應予以支持,提供執行任務、訪問個人數據和處理操作的必要資源和專業知識培訓,數據保護官不應因為執行任務的原因而被解雇或者受到其他處罰。
(五)數據跨境傳輸中的合規要求
GDPR第五章對于個人數據從歐盟向第三國或國際組織傳輸設定了相當嚴格的限制,所以我國涉歐企業一方面要盡量做好員工個人數據的歐盟本地化管理,另一方面在有必要進行數據跨境傳輸時確保流動的合法性。對于我國而言,像新加坡、以色列那樣獲得歐盟的充分性認定、被列入數據保護的“白名單”還有待時日。更為現實的路徑是,采取適當的措施確保個人數據在歐盟以外的接收者那里也是安全的,從而在此基礎上被允許數據出境,就此GDPR第46條列舉的措施有:制定有約束力的企業規則;采用歐盟委員會通過的標準數據保護條款;采用成員國監管機構通過并經歐盟委員會批準的標準數據保護條款;遵守協會等組織編寫并經批準的行為準則;獲得經批準的認證加上做出承諾。由于我國涉歐企業有不少是跨國集團公司,集團內部的員工數據流動不可避免,所以制定適用于整個集團的數據保護的企業規則并獲得監管機構批準是一種較為便利的措施。對于偶爾發生的、非大規模的員工個人數據處理,我國涉歐企業也可以選擇GDPR第49條提供的路徑:一種是,員工在了解相應風險后明確表示同意數據跨境傳輸,但對企業而言該路徑并不穩妥,因為員工的同意是否自由做出可能被質疑、員工也可能事后又撤回同意;另一種是,數據跨境傳輸為履行勞動合同所必須,尤其在員工可能短期或者長期在歐盟境外的接收者所在的第三國工作時,比如辦理外國人工作許可所需要的個人數據。
結語
在GDPR帶來的挑戰中,人們關注的往往是那些掌握了海量消費者數據的跨境電商平臺、電信運營商等特定行業的企業,卻忽視了各行各業絕大多數的企業在日常的勞動用工當中也面臨著GDPR的合規要求。數字化的時代背景下,用戶和員工都將越來越重視數據安全,數據保護的程度也將成為企業的核心競爭力。前述H&M公司的數據丑聞,不僅讓其收到了巨額罰單,還面臨著員工的索賠和名譽的損害,所以我國涉歐企業也應當警醒,在處理員工的個人數據時要堅持合規理念、做好風險管理。涉歐企業首先要確保處理員工個人數據具備合法性基礎,然后要履行與員工的知情權、刪除權、可攜帶權等權利相對應的義務,還應該遵守保障數據處理過程安全性、全面記載處理活動、事前風險評估等合規要求,在做好員工個人數據的本地化管理的同時也要確保數據跨境傳輸時流動的合法性。
