自从英国因COVID-19危机而正式锁定以来,已经过去了64天,许多“非必要”工人纷纷离开工作场所。为了准备使英国重返工作岗位,信息专员办公室(ICO)发布了常见问题解答样式的指南,以协助希望跟踪和测试员工症状的雇主(可用 这里)。

健康数据是《通用数据保护条例》(GDPR)中的“特殊类别数据”,因此受到更大的限制。但是,ICO明确规定,只要按照法律负责任和谨慎地处理个人数据,数据保护法不会阻止雇主采取必要步骤来确保员工和公众的安全。

该指南涵盖以下具体活动:

  • 测试员工的COVID-19症状
  • 汇总有症状或阳性诊断的员工名单
  • 向其他员工披露积极案例
  • 在工作场所使用温度检查或热像仪

该指南还提供了一般性建议,摘要如下。

合法的托收依据

ICO建议可以收集健康数据,前提是有充分的理由并且收集是成比例的。该指南表明,对于公共机构履行其职能,“公共任务”可能是根据GDPR第6条处理个人数据的适用法律基础,对于其他公共或私人雇主,“合法利益”可能会适当-但雇主应事先进行合法的权益评估。此外,GDPR收集健康数据的相关条件是第9(2)(b)条中的就业和社会保护条件,以及《 2018年数据保护法》附表1,条件1。

数据收集

与其他类型的个人数据一样,收集的数据应足够,相关且仅限于必要内容。例如,在对员工进行测试时,雇主可能只要求提供有关测试结果的详细信息,而无需提供有关基本条件的其他详细信息。雇主还应确保此类数据是准确且最新的,因此有必要记录测试日期。

问责制

为了证明符合GDPR,如果组织计划进行测试和处理健康信息,则应事先进行数据保护影响评估(DPIA)以评估和减轻风险。该指南列出了DPIA中应涵盖的特定主题,并提供了DPIA模板。

透明员工的权利

该指南强调,在解释数据处理的性质和目的时,尤其是在处理健康数据时,透明度非常重要。雇主还应清楚需要哪些信息,将使用什么信息,与谁共享信息,将其保留多长时间以及将对信息做出什么决定。

同样重要的是要确保员工能够行使其信息权,例如访问,纠正或删除有关他们的信息的权利。该指南提供了使用安全门户或自助服务系统管理此类信息的示例。

可以让员工了解同事中潜在或已确认的COVID-19病例的信息;但是,要披露的信息应相称。因此,雇主应尽可能避免给个人起名,并且不应提供过多的必要信息。

评论

这简短的建议为打算在危机中使用测试或跟踪以管理员工安全的雇主提供了有用的实用指导。该建议由ICO在危机期间的监管方法指南补充(可提供) 这里),从而在不确定性很大的时候提供一些清晰度。