2020年6月12日,英国信息专员’办事处(ICO)为组织发布了有关冠状病毒(COVID-19)恢复阶段(指导)的新指南。

指导(可用 这里)成为ICO范围更广的数据保护和冠状病毒信息中心的一部分(提供 这里),旨在帮助组织在前所未有的时间内导航数据保护。

新的指南出台之时,封锁措施开始放松,企业开始重新营业。它列出了组织在使用个人数据时需要考虑的六个关键数据保护步骤。

  1. 仅收集和使用必要的数据

重新开放的组织可以实施其他健康和安全措施。虽然这在不同的行业和行业之间会有所不同,但是许多组织将希望从其员工那里收集其他个人数据,以确保安全的工作环境。鼓励组织考虑以下问题:

  • 收集额外的个人数据将如何帮助确保您的工作场所安全?
  • 您真的需要这些信息吗?
  • 您正在考虑的测试是否会真正帮助您提供安全的环境?
  • 如果不收集个人数据,您能否达到相同的结果?

采取的任何方法都必须合理,公平且与情况相称。

  1. 保持数据最少

必须收集任何个人数据,包括个人的COVID-19症状或检测结果,才能正确有效地实施组织的措施。这基于欧盟通用数据保护法规(GDPR)数据最小化原则。

该指南强调,一些个人数据需要保留很短的时间,并且没有永久记录。

ICO先前已经发布了有关数据最小化的指南,以帮助组织做出这些决策。该指南可用 这里.

  1. 开放,清晰和透明

组织必须注意有关COVID-19采取的一些其他措施如何影响个人。组织应通过清晰易读的隐私声明来透明地收集个人数据。隐私声明应阐明要收集哪些个人数据,为什么收集该数据以及组织将如何使用这些个人数据,包括对个人的影响。个人还应该知道将与谁共享其个人数据以及将其保留多长时间。

  1. 公平对待人

该指南强调必须公平对待所有工作人员,并通过基于收集到的健康信息做出的决定来警告不要歧视。

  1. 确保数据安全

组织必须确保所有个人数据的安全,并且必须保持必要的时间。应制定保留政策,规定如何以及何时对个人数据进行查看,删除或匿名化。

  1. 确保个人可以行使其数据权利

应该告知个人其关于其个人数据的权利,包括访问和更正的权利。

如果组织已经实施了用于员工症状检查或测试的流程,则他们需要确保其具有合法的依据。如果大规模收集和处理健康数据,则必须进行数据保护影响评估。

评论

ICO之前已经明确表明,只要负责任地且谨慎地处理个人数据,数据保护法就不会阻止组织采取必要步骤来确保其员工和公众的安全。新指南强调,组织将需要在创建安全的工作环境与保护个人隐私权之间取得平衡。遵循ICO指导的组织将确保达到这种平衡,并且将降低ICO对他们采取监管行动的风险。