雇主是否可以確認員工、顧客、訪客的感染狀態?
在回答此問題之前,必須先確認,為什麼此項資訊是必要的?有沒有蒐集這項資訊以外的手法可以達成相同目的?
這個問題相當重要,因為感染狀態以及疫苗施打狀態牽涉到以下的問題
1.蒐集個資必須符合對於特定目的之達成需要為公平、相關以及必要;
2.covid-19的感染狀況、疫苗施打是受到更嚴格保護的特種個人資料;
3.合法蒐集外,也須注意合法處理。
1.蒐集個資必須符合對於特定目的之達成需要為公平、相關以及必要
蒐集的目的若僅是「以防萬一」、「看看而已」或是可以透過其他手段達成目的時,將無法符合英國GDPR對於個資蒐集目的之要求。
如果使用的目的可能會導致特定的個人無法獲得特定的服務或是將無法勞工無法取得錄用機會等嚴重的決定時,須完成個資衝擊影響評估。
2.covid-19的感染狀況、疫苗施打是受到更嚴格保護的特種個人資料;
原則上英國GDPR規定不可使用特種個人資料,僅在符合例外情形時可使用。使用上也必須符合最高層級的個資處理要求要求。
ICO建議須考量聘僱狀況、公共衛生狀況或是是否真的會產生大規模感染等高風險行業。
如果勞工都同意了,難道不能使用嗎?
英國ICO特別提醒,在勞雇關係是一種權力不平等的關係,同意是一種不妥適的方式,因為這時候的勞工同意通常是非自願的同意。除非在符合自願同意的要件。
關於同意的規定可以看這裡。
3.合法蒐集外,也須為合法處理、利用個資。
處理蒐集資料的目的、方式必須開放且透明,須達到可理解為何蒐集此項資訊以及要如何處理、利用。整體過程必須要是安全的,一但完成目的後要立刻刪除,也不可以在個人合理預期以外之範圍處理個人資料。
最後ICO提醒,蒐集相關資料除了個資法以外依據目的跟所處產業會牽涉到不同的法規以及勞動契約的規定。
疫情走到末端,是否接種疫苗?提出接種疫苗証明都是一種蒐集、處理、利用個資的方式,雇主是否可以要求員工提出相關證明?須視該目的是否合法,以防萬一、風險控管等ICO認為不屬於合法的目的。
未來台灣接種疫苗証明會如何使用是否與我國個資法相符,值得好好檢視。
如果你想更了解GDPR,可參考以下連結
GDPR條文:https://gdpr-info.eu
歐盟官方直屬機構認證課程(有中文字幕):https://pinkrose.info/2xweI
線上公開課程(2.5hr):https://tinyurl.com/29tuhnb7
發佈留言
很抱歉,必須登入網站才能發佈留言。