新冠肺炎(COVID-19)與資料保護

隨著新冠肺炎(COVID-19)疫情持續在各地爆發,各國衛生主管機關開始尋求透過科技的運用,協助防堵疫情,例如用手機或電子手環定位被隔離者、透過位置資料瞭解感染者足跡等方式,然而在科技防疫措施與個人資料保護(Personal dara protection)兩者之間如何取得平衡,各國個資主管機關亦紛紛提出相關指引,供行政機關與企業組織依循。

歐洲資料保護委員會
歐洲資料保護委員會(European Data Protection Board, EDPB)便於今(2020)年3月19日即針對新冠肺炎(COVID-19)疫情提出看法,表示防疫乃是各國共同的目標,資料保護法規(例如歐盟一般資料保護規則GDPR)並非防疫措施的絆腳石,然而仍應考量對資料主體的個人資料保護。

歐洲資料保護委員會強調防疫措施仍應符合比例原則等一般法律原則,例如雇主僅得於法律允許內要求員工說明或提供必要且有關之健康個人資料。如有員工罹患新冠肺炎(COVID-19),雇主亦得於必要範圍內告知組織內員工相關資訊,並採取防護措施。

愛爾蘭資料保護委員會
愛爾蘭資料保護委員會(Irish Data Protection Commission, DPC)亦於3月6日提出一些意見
1.雇主有法律義務保護員工健康並維護工作場所的安全,因此雇主得要求員工和訪客告知他們是否曾經前往疫區或有相關症狀與診斷。
2.愛爾蘭資料保護委員會認為為維護員工個資機密性,雇主固得向組織內員工有罹患肺炎或疑似罹患之情形,但不應提及受影響的個人。

而在3月25日的新聞稿內,愛爾蘭資料保護委員會也表示,GDPR有相關法定期限與義務的規定,如組織因新冠肺炎(COVID-19)疫情,而影響其回應當事人權利行使之進度,組織得依GDPR延期2個月,組織仍應遵循其法定義務(例如在承辦員工遠距工作時,可以先向當事人提供電子文件,之後有必要再提供紙本)。然而如有相關延誤,委員會作決定時也會充分考量案件事實(組織裁員等)。