重返實體工作崗位─重視員工隱私權
提供安全的工作環境
過去18個月來幾乎改變了全球人類生活的各個層面。所有的企業組織在疫情期間將因應不同挑戰,隨著政府的封城禁令鬆綁,許多企業打算讓員工重返實體的工作環境。
然而,這並不是重返「常態」,員工將需考量在工作實務上採取的新措施以確保工作環境安全;同時尚需考量醫療隱私與身體自主性、疫苗問市、傳染控制與在社會重新開放的情況下妥善管理以降低感染新冠肺炎的風險。
企業亦有責任顧及員工需在諸多考量之間取得平衡,包括員工安全、公共衛生建議及回到實體工作場所在隱私權上的可能影響,以及員工個資受到保護的權利。
決定是否蒐集與員工健康、生活情況、疫苗接種情形或其他新作業相關的額外資訊必須先從幾個簡單的問題著手:
- 是否合法?
- 是否必要?
- 是否按適當比例?
- 資訊是否公開透明?
每個蒐集或使用新資料的情況皆需在合法的基礎下謹慎的逐一依個案進行評估,針對其可能蒐集及 / 或使用的目的、所蒐集的資訊或用途上的必要性和比例,並考量該資訊蒐集動作與使用上對員工的公開透明度。此外,將蒐集的資料量及資料保留的時間最小化才是實際的控管原則,如此方能降低與這些新增程序活動相關的風險。
防範工作場所受到感染需採取一連串行動,同時要依照資料保護主管機關提供的指引,因為資料保護基本原則是必須合法、具必要性、依適當比例和公開透明。目前許多資料保護主管機關已提供有用的指引資訊,例如:(編按:國內相關規範指引請參考衛生福利部重大政策之個人資料保護)
- 歐洲資料保護委員會:
新冠肺炎爆發期間的個資處理聲明 [1]
- 愛爾蘭資料保護委員會:
重返工作安全協定對資料安全可能的影響 [2]
受僱期間對新冠肺炎疫苗接種資料的處理 [3]
- 英國資訊專員辦公室:
新冠肺炎期間的資料保護與員工資料管理──組織實施資料保護的6個步驟 [4]
合法性
大多數企業會設法不讓工作場所受到感染(包括已確診者),並預防工作成員在工作場所因密切或偶然接觸而造成傳染。
在工作場所實施新措施可能會蒐集龐大的個人資料,包括健康資訊,其在一般資料保護法(GDPR)(及英國資料保護法)視為特殊領域資料,因此需受到額外保護。
與新冠肺炎控制新措施相關的新作業活動,這些活動必須依循明確的法律基礎,意即明確瞭解適當的法律規範能促進這些措施的落實。 目前在資料保護法中有許多合法依據能讓這些作業具備合理性,但雇主應避免在任何情況下皆仰賴其員工的同意書。這是由於雇主與員工間本質上存在權力的不平等,意即所取得的任何同意書較不可能是在自由意願的情況下提供,因此不具效力。
個人資料(一般資料保護法第 6 條):最有可能的法律依據規範該作業為:
- 必須遵循法律義務,例如企業有責任提供安全的工作環境,或
- 基於企業合法利益,且該利益未凌駕於個人權利之上。
健康資料(一般資料保護法第 9 條):同樣的,最有可能的法律依據規範該作業為:
- 必須遵循法律義務,例如企業有責任提供安全的工作環境。
- 此外,也可能以公共衛生為由之必要作為正當性,但須受到支持該作業的法律條文規範。
公開透明與溝通
雇主需要遵循資料保護法(如歐盟一般資料保護法或英國資料保護法2018)所要求的公開透明原則,並以簡單明確的方式向其員工妥善通知,說明蒐集資料的原因。
這項通知中應揭露蒐集該資訊的法律依據、明確目的、保留資料的時間、可能分享給第三方(如政府單位)的情況與時間,以及若員工有任何問題或欲行使其資料保護權利時可聯繫的對象。
員工也應受到免責聲明的保護,尤其是他們向其雇主揭露資訊的義務。在任何這類作業活動下,需格外留心考量相關管轄範圍中針對僱用和反歧視的法規。
對新工作場所中新控制措施的考量事項
Covid-19 問卷調查:雇主有責任照顧其員工,並應要求他們遵循有關管理與處置症狀與傳染控制的公共衛生建議。在員工返回工作場時有必要謹慎考量篩選的程序,如此才能依適當比例記錄關於蒐集資訊內容的決策,以將確定其必要性極小的資訊降至最少,且這些資訊受到安全儲存、僅在需要的期間內保留並僅在適當的情況下才予以揭露。
體溫量測:任何對員工的篩檢作業皆需遵循公共衛生建議,這是最基本的要求。然而,檢查員工的體溫可能讓企業面臨重大風險,即非必要且不合比例的個資使用。因此,需盡可能將這種作業降至最少,即當人員進入工作場所時採取簡單的量測,並確保未記錄該結果或結合其他資料,此皆有助於將這些風險降至最小。
Covid-19 檢測:雇主在告知員工有何檢測選擇及 / 或依需要安排其他測試上扮演重要角色。企業依其工作環境可能欲進行檢測,以瞭解員工是否已實際確診新冠肺炎;同時務必考量就業法,在提交員工檢測及存取或要求提供測試結果時,必須謹慎考量所採用的法律依據。
追蹤:企業也想在組織中持續追蹤感染的程度以評估對企業的整體風險,以及防範感染措施的有效性。這可能意謂著企業會持續記錄哪些員工易受感染並受到防護 / 居家安排、哪些員工可能受到感染及正在自我隔離者、哪些員工為目前確診或過去曾確診者。可能必須與相關的公衛與福利機關通報此資訊。在盡可能短的時間內保留此資訊是一項重要的管控措施。
接觸史追蹤:若發現一名員工確診,企業可能會想警告那些曾與該員工密切接觸者告知其也可能受感染的風險。然而,這項資訊為最高機密性,且就算有需要提供也應在限定的情形下才予以提供。在一般情況下應由公衛機關與密切或偶然接觸者聯繫,以此免除來自雇主的風險。
疫苗接種狀態:重回工作場所意謂必須重新設計多處工作空間與辦公室,以因應人員間所增加的實體接觸,並確保加強落實感染控制。雇主應注意將未接種疫苗與已接種的員工區隔,或可要求未接種的員工繼續在家或遠端工作(若其職務許可);但另一方面,處理雇主的疫苗接種狀態在大多數的就業情況下可能不被視為必要或符合比例的措施,因此沒有進行的必要。
給雇主的重要祕訣
需依個案情況進行適當比例的評估,並遵循資料保護法中廣義的義務才能為資料提供保障,如確保安全持有個資、保留資料的時間不超過必要期限,以及在未經妥善保護和防護措施下不將資料傳輸至第三國或第三方。
處理個人資料(包括健康資料)時必須採取適當的保護措施,包括限制存取資料權限、確保員工獲充分教育訓練以保護其資料標的權利。
同樣的,個資不再需要時應有妥善的處置方式以確保刪除該個資;不過企業應留意各種法定保留期(如健康與安全紀錄),其可能遠比此資料必須持有的期間還長。
若情況許可,組織應考量採用化名或匿名的資料法以減少其員工在身分辨識或重辨識上的風險。
重要的是妥善記錄決策、風險評估、依個案考量及為處理問題所建立的控制措施,包括組織為因應新冠肺炎疫情而肩負資料保護合規的義務。資料保護法要求必須在高風險作業開始之前執行資料保護影響評估(data protection impact assessment, DPIA),尤其與推出任何新技術包括追蹤系統、篩檢與及在新的後疫情時代規劃要重返工作場所的相關企業組織而言至關重要。
[1] European Data Protection Board: Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020
[2] Data Protection Commission: Data Protection Implications of the Return to Work Safely Protocol. Version: June 2020
[3] Data Protection Commission: Processing COVID-19 Vaccination Data in the context of Employment. Version: June 2020
[4] Information Commissioner's Office: Data protection and employee data during coronavirus - six data protection steps for organizations