愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

隨著越來越多人進行疫苗接種,愛爾蘭資料保護委員會(Data Protection Commission,DPC)指出,雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說,愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下,進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下,雇主應該如何瞭解員工疫苗接種情形?愛爾蘭DPC表示可以由以下面向來討論:

就業環境

根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議,無論疫苗接種情形,相關公共衛生感染預防與控制措施(例如保持社交距離、手部衛生、口罩與適當的通風)、以及在家工作等相關措施仍應維持。因此,基於資料最小化的原則,雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則(GDPR)下的敏感性個人資料,受到法律特殊的保障。而依照現行的安全工作協議,COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係,個人並無法控制其何時能夠接種疫苗,甚至因為疫苗的年齡限制,年輕人在短期內也無法接種疫苗,代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素,所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中,個人資料的處理發生在員工(資料主體)與雇主之間,兩者的關係存在不平衡的情況,因此也不應以員工同意的方式處理疫苗接種資料,這種情況下,難以符合自由給予的同意要件。

醫務官員(Medical Officer of Health)

依相關法律規定,醫務官員在履行公共衛生職責的過程中,可能會需要瞭解員工的疫苗接種情形,在這樣的情形下,則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料,來知道員工是否處於自我隔離期間,但在這種情形,可以要求員工說明其可以重返工作的時間,來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封,日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同,疫苗接種資料因為其敏感性,在我國同樣屬於特種個人資料,企業倘須蒐集、處理或利用這些疫苗接種資料,則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前,企業可以盡量避免蒐集此類特種個資,降低個資保存的風險,優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

新冠肺炎(COVID-19)與資料保護

隨著新冠肺炎(COVID-19)疫情持續在各地爆發,各國衛生主管機關開始尋求透過科技的運用,協助防堵疫情,例如用手機或電子手環定位被隔離者、透過位置資料瞭解感染者足跡等方式,然而在科技防疫措施與個人資料保護(Personal dara protection)兩者之間如何取得平衡,各國個資主管機關亦紛紛提出相關指引,供行政機關與企業組織依循。

歐洲資料保護委員會
歐洲資料保護委員會(European Data Protection Board, EDPB)便於今(2020)年3月19日即針對新冠肺炎(COVID-19)疫情提出看法,表示防疫乃是各國共同的目標,資料保護法規(例如歐盟一般資料保護規則GDPR)並非防疫措施的絆腳石,然而仍應考量對資料主體的個人資料保護。

歐洲資料保護委員會強調防疫措施仍應符合比例原則等一般法律原則,例如雇主僅得於法律允許內要求員工說明或提供必要且有關之健康個人資料。如有員工罹患新冠肺炎(COVID-19),雇主亦得於必要範圍內告知組織內員工相關資訊,並採取防護措施。

愛爾蘭資料保護委員會
愛爾蘭資料保護委員會(Irish Data Protection Commission, DPC)亦於3月6日提出一些意見
1.雇主有法律義務保護員工健康並維護工作場所的安全,因此雇主得要求員工和訪客告知他們是否曾經前往疫區或有相關症狀與診斷。
2.愛爾蘭資料保護委員會認為為維護員工個資機密性,雇主固得向組織內員工有罹患肺炎或疑似罹患之情形,但不應提及受影響的個人。

而在3月25日的新聞稿內,愛爾蘭資料保護委員會也表示,GDPR有相關法定期限與義務的規定,如組織因新冠肺炎(COVID-19)疫情,而影響其回應當事人權利行使之進度,組織得依GDPR延期2個月,組織仍應遵循其法定義務(例如在承辦員工遠距工作時,可以先向當事人提供電子文件,之後有必要再提供紙本)。然而如有相關延誤,委員會作決定時也會充分考量案件事實(組織裁員等)。