新冠病毒(COVID-19):了解你對員工的隱私義務

Australia

Coronavirus (COVID-19): Understanding your privacy obligations to your staff https://www.oaic.gov.au/privacy/guidance-and-advice/coronavirus-covid-19-understanding-your-privacy-obligations-to-your-staff/

◎ 翻譯:陳志遠
◎ 審定:邱文聰

澳大利亞資訊專員辦公室(OAIC)理解澳大利亞政府機關和私部門僱主為應對COVID-19的傳播而面臨的前所未有的挑戰。本準則旨在幫助受《1988年隱私法》(聯邦)(《隱私法》)規範的對象瞭解疫情大流行下的隱私義務。

隱私法不會停止重要資料的共享。機關和私部門的雇主(包括私立健康服務提供者)應維護員工和訪客在工作場所中的安全並負有適當處理個人資料的重要義務,亦應已備妥如何處理員工健康資訊的實際作法。在許多情況下,私部門的雇主因適用員工記錄豁免,而得以處理員工之健康資料。

為了在尊重隱私的同時管理流行病,機關和私部門的雇主應努力將個人資料的蒐集,利用和揭露,限於預防和管理COVID-19所必要,並採取合理步驟保護個人資料的安全。

受規範的對象還應考慮因應疫情所做的工作安排改變,是否對個人資料的處理造成影響,應評估任何潛在的隱私風險,並採行適當的緩解策略,做為業務連續性計劃的一部分。

Metal photo created by rawpixel.com – www.freepik.com

要點

個人資料應在「需要了解」基礎上為人所利用或揭露:

  • 僅蒐集,利用或揭露為防止或處理COVID-19合理必要的最少個人資料;
  • 考慮採取措施,通知員工在因應工作場所中任何潛在或已確認COVID-19案例時將如何處理其個人資料;
  • 確保採取合理步驟確保個人資料的安全,包括遠端工作的員工。

常見問題

我們可以從員工或訪客那裡收集有關COVID-19的資料?

是的,但是您應收集防止或處理COVID-19合理必要的資料。其中包括衛生部表示需要的資料,以識別風險並實施適當的控制措施以預防或處理COVID-19,例如:

  • 個人或緊密接觸者是否已暴露於已知的COVID-19案例;
  • 該個人最近是否曾出國旅行以及去過哪些國家。

我們能否告訴員工,同事當中或來訪者中有人已經或可能已經感染了COVID-19?

是的,您可以告知員工,同事當中或訪客中有人已經或可能已經感染了COVID-19,但您僅應利用或揭露為防止或處理工作場所中的COVID-19所必需的個人資料。

例如,根據情況,可能不必為了防止或處理COVID-19而透露個人姓名,或者可以將個人姓名的公開範圍限制為僅限於「需要知道」的基礎。 是否必須公開,應根據衛生部的建議。

員工可以在家工作嗎?

《隱私法》並未阻止員工遠端工作以因應COVID-19,但是澳大利亞隱私原則(APP)將繼續適用。

對於在遠端工作的員工,機關和雇主應考慮採行與正常情況下適用的安全措施相類似的安全措施。

隱私影響評估是用於評估和降低個人資料風險的有用工具。機關應對涉及新的或改變原有個人資料處理方式的所有高隱私風險項目或計劃,進行隱私影響評估。

遠端工作時,我們如何保護個人資料?

確保採取合理步驟保護個人資料的一些技巧,包括:

  • 及時了解澳大利亞網路安全中心的最新建議;
  • 機關應確保繼續遵守保護性安全政策框架要求;
  • 安全的手機,筆記型電腦,資料儲存設備和遠端桌面用戶端;
  • 考慮到對遠端近用技術的更高需求,增加網路安全措施,並提前進行測試;
  • 確保所有設備,虛擬專用網路和防火牆均具有必要的更新和最新的安全補丁程序(包括操作系統和防病毒軟件的補丁程序)並具有強密碼;
  • 確保不使用設備時,將其存放在安全的地方;
  • 寄送包含個人資料的所有與工作相關的電子郵件時,應使用工作電子郵件帳戶而非個人帳戶;
  • 對遠端近用系統和資源(包括雲端服務)採用多因素身份驗證;
  • 僅連結受信任的網路或雲短服務。
Computer photo created by freepik – www.freepik.com

背景資料

確保安全的同時保護隱私

受規範的對象有義務維護員工和訪客在工作場所中的安全,並適當地處理個人資料。

機關和私部門的雇主(包括私人醫療服務提供者)可能需要蒐集,利用和揭露個人資料,以防止或管理工作場所中的COVID-19。這可能包括向訪客蒐集有關危險因素的資訊,或通知可能有危險的工作人員,以便可以採取必要的預防措施。

僅蒐集,利用或揭露為了防止或處理工作場所中的COVID-19合理必要的個人資料。例如,可能不必透露某個人的姓名,或可根據「需要了解」的情況,將姓名的揭露對象僅限於有限的若干人。是否必須揭露,應根據衛生部的建議。

個人資料和敏感資料

個人資料廣泛地包括可以識別個人的各類資料或意見。它包含個人的員工記錄資料,亦包括「敏感資料」,根據《隱私法》,敏感資料應受更高度的保護。敏感資料包含有關個人健康的資料或意見。

根據《隱私法》,與感染和接觸COVID-19風險有關的個人資料屬於敏感資料。個人症狀,治療或總體健康狀況的相關資料也屬於敏感資料。

蒐集敏感資料

在下列情況,機關和私部門雇主可蒐集與個人有關的健康資料:

  • 個人同意(明示或暗示)其蒐集;
  • 該資料是合理必要或與機關或雇主之一項或多項功能或活動直接相關,例如在工作場所預防或處理COVID-19。

如果資料之蒐集係基於澳大利亞法律(APP 3.4(a))之要求或授權蒐,或存在「被允許的一般事由」(APP 3.4(b)),則無須徵得同意。這包括為減輕或防止對任何人的生命、健康或安全,或對公共健康或安全的嚴重威脅。

利用和揭露敏感資料

根據APP 6,如果受規範對象(APP實體)持有為特定目的(主要目的)而蒐集的有關個人的個人資料,則該受規範對象不得將其資料用於其他目的(次要目的)或將其揭露,除非:

(a)個人已同意利用或揭露資料;
(b)適用另一個例外狀態。

Image by SerwisBaybyPl from Pixabay

主要目的

APP實體蒐集個人資料之目的被稱為蒐集的「主要目的」。這是受規範對象蒐集個人資料所欲達成的特定功能或活動。如果APP實體出於其他目的利用或揭露個人資料,則稱為「次要目的」。

關於COVID-19,作為一種傳染性疾病,從工作人員或訪客那裡蒐集個人資料的目的是為了預防或處理COVID-19的風險和/或事實上存在的COVID-19,以確保可以針對該特定個人和可能面臨風險的任何其他個人,採取必要的預防措施。在此等情況下,個人資料(包括敏感資料)可為了預防或處理COVID-19風險之目的被使用或揭露,蓋此即為蒐集之主要目的。

任何其他被提議的利用或揭露則屬次要目的,機關和雇主需要考慮APP 6的例外情況是否允許利用該資料。例如,APP 6.2(b)允許在以下情況下的二次使用:當澳大利亞法律要求或授權資料之利用或揭露時,或存在被允許的一般事由時,例如為減輕或防止任何人的生命、健康或安全的嚴重威脅,或為了公共健康或安全而有必要,且取得當事人同意並不合理或不切實際時。

被允許的一般事由

如果存在「被允許的一般事由」,則隱私原則所要求的某些資料處理規定即不適用。此例外亦適用於敏感資料的蒐集、利用和揭露。

在當前情況下,最相關的「被允許的一般事由」是「減輕或防止任何人的生命、健康或安全,或對公共健康或安全的嚴重威脅」。 當APP實體蒐集,利用或揭露個人資料,而:

  • 取得當事人對蒐集,利用或揭露的同意是不合理或不切實際的,並且;
  • 被規範對象合理地認為,為減輕或防止對個人生命、健康或安全,或對公共健康或安全的嚴重威脅,有必要進行個人資料之蒐集,利用或揭露。

員工記錄

當私部門僱主之行為或措施,直接與其所持有記載員工個人資料之紀錄有關,同時也直接涉及僱主與員工間現存或過去之僱傭關係時,該行為或措施亦同被豁免。