資料保護和冠狀病毒——你需要知道的事

◎ 翻譯:陳志遠
◎ 校訂:王海青

Source: https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/data-protection-and-coronavirus/

資訊專員辦公室(ICO)承認在冠狀病毒(COVID-19)疫情期間,我們面臨前所未有的挑戰。

我們知道你可能需要快速共享資訊或適應你的工作方式。資料保護不會阻止你這樣做。問題在於合乎比例——若從公眾角度來看某些事物而感覺已經過度,那麼它可能就真的是過度了。

資訊專員辦公室(ICO)在此可以為你提供協助——請查看以下我們被詢問的問題的答覆。若你需要更多幫助,請撥打03031231113。

在疫情期間,我們也為健康和社會照護組織提供了具體建議,並為進行工作場所檢測的雇主和收集用於接觸追蹤的個人資料的企業提供指南。在我們專用的資料保護和冠狀病毒中心網頁上,還有更多建議。[enf_note]Data protection and coronavirus information hub, https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/[/enf_note]

Photo by Olya Kobruseva from Pexels

疫情期間,我們擔心我們的資料保護實踐可能不符合我們的通常標準,或是我們對於資訊權請求的回應時間將會增長。資訊專員辦公室(ICO)是否將對我們採取管制行動?

不會的。我們知道無論是財務或人力資源都可能從慣常遵行或資訊管理工作中轉移。在此特殊時期,我們將不會懲罰我們已知需要優先考慮其他領域或調整他們通常做法的組織。

我們無法延長法定時限,但我們透過我們的溝通管道告訴人們,在疫情期間提出資訊權請求時,他們有可能體會到可以理解的延誤。

資訊專員辦公室(ICO)已發布一份文件,闡明我們在冠狀病毒疫情期間的管制方法。[enf_note]The ICO’s updated regulatory approach in response to the coronavirus pandemic, https://ico.org.uk/media/about-the-ico/policies-and-procedures/2617613/ico-regulatory-approach-during-coronavirus.pdf[/enf_note]

在疫情期間,我們許多員工將在家工作。在此期間,我的組織應為在家工作採取何種安全措施?

對於漸增且類型多樣的在家工作來說,資料保護並非一個障礙。在疫情期間,員工可能會比平常更常在家工作,並且他們可以使用自身裝置或通訊設備。資料保護法不會阻止這個情況,但你需要顧及的事,你在正常情況下也會使用在家工作所使用的相同安全措施。

我們的在家工作指南提供更多詳細的建議。[enf_note]Working from home, https://ico.org.uk/for-organisations/working-from-home/[/enf_note]

我在鄰里附近建立了一個社區團體,幫助弱勢群體和自我隔離的人們。我的資料保護義務是什麼?

資料保護不會阻止你幫助人們,但當處理人們的資訊時,你需要注意一些事項。我們為社區團體發布了一篇網誌,介紹他們需要了解有關資料保護的事項。

作為社區團體和非營利組織,你無須向資訊專員辦公室(ICO)支付註冊費用。但當處理人們的資訊時,遵循資料保護指南依然重要。

在疫情期間,我應如何告訴人們我們如何處理個人資料?

在可能的情況下,組織在處理(個人資料)開始前應具備清楚易懂的隱私聲明。但在這個特殊時期,我們承認這並非總是可行的。

組織應確保隱私聲明已備妥,並在合理可行的範圍內盡速更新。在我們的網站上,可以找到隱私聲明內容應包含的更多細節。該網站也有簡易版,可對組織有所助益。

他們應包含的資訊類型可能是(但不限於此):

  • 組織的名稱和聯繫細節(電子郵件和電話號碼),
  • 保存的資料及其原因,
  • 獲得資料的地方,
  • 保留資料的時間長度,以及
  • 人們能如何要求刪除它。

在可能的情況下,組織應盡可能使資訊清楚易懂,並考慮影響此資訊的不同情況和因素,並進行相應的溝通。

我擔心因我們在疫情期間所做的調適,導致我們更易侵害個人資料。我該怎麼辦?

許多組織必須迅速適應不斷變動的疫情。舉例而言,迅速安排在家工作並使用全新的IT解決方案,這可能導致未嚴格遵循政策程序。

我們已看到一些涉及人為錯誤的違法行為,例如在電子郵件上使用寄送副本(CC, carbon copy)代替密件副本(BCC, blind carbon copy),並寄送個人資料給不正確的收件人,所以是值得提醒你的員工在發送電子郵件之前進行檢查的。

我們的在家工作指南能夠幫助你的組織持續遵守資料保護法律。[enf_note]Working from home, https://ico.org.uk/for-organisations/working-from-home/[/enf_note]

我如何能證明我們在疫情期間處理的方法符合資料保護法?

為了證明你的資料處理符合要求,你將需要使用責任原則。它使你有責任遵守《一般資料保護規則》(GDPR),並揭示你必須能夠證明你有遵守,例如:在處理敏感性資料時有遵守附加記錄保存的要求。證明責任的一個方法是透過資料保護影響評估(DPIA)。

若你的組織將處理健康資訊,你應該執行資料保護影響評估(DPIA),聚焦在新的風險領域。

這項資料保護影響評估(DPIA)應規定:

  • 提出的活動;
  • 資料保護風險;
  • 提出的活動是否必要且合乎比例原則;
  • 因應風險的緩解對策,以及
  • 有效緩解措施的計畫或確認。

資料保護影響評估(DPIAs)被設計成具有適合時空背景的靈活性。我們有組織能夠使用的模板,可以幫助他們聚焦於最低要求。重要的一點是,最初的資料保護影響評估(DPIA)應定期審查和更新。隨著新的風險和利益的產生,這在快速變化的危機情況下尤其重要。