鉴于当前欧洲各国政府、公共和私人组织都在采取各种措施来抑制和缓解COVID-19的蔓延,而这些措施可能会涉及对不同类型的个人数据处理的情况下,欧洲数据保护委员会(EDPB)主席于2020年3月16日发布了关于COVID-19爆发期间个人数据处理的声明。
EDPB主席Andrea Jelinek表示,数据保护规则(如GDPR)并不妨碍应对新冠病毒大流行所采取的措施。但他强调,即使在这些非常时期,数据控制者也必须确保对数据主体个人数据的保护,因此应考虑以下多方面要素来保障个人数据的合法处理。
1) 数据处理的合法性
GDPR立法适用范围广,还规定了适用于如COVID-19相关的环境下个人数据处理的规则。实际上,GDPR提供的是法律依据,使雇主和公共卫生主管部门可以在传染病流行的环境中,无需征得数据主体同意下处理个人数据。例如,当雇主出于公共卫生领域的公共利益或保护重大利益(GDPR第6条和第9条规定)需要,或为遵守另一法定义务而需要雇主处理个人数据时,则适用此规定。
2) 关于移动位置数据的使用
对电子通信数据(如移动位置数据)的处理,则适用附加规则。实施《电子隐私指令(ePrivacy)》的国家法律规定了以下原则:只有在匿名或获得个人同意的情况下,运营商才能使用位置数据。公共当局应把以匿名方式处理位置数据定为首先目标(即以无法逆转为个人数据的方式来处理汇总数据),以此生成关于在特定位置中移动设备集中程度的报告(“地图绘制”)。
在无法只处理匿名数据的情况下,《电子隐私指令》第15条允许成员国能够采取立法措施来追求国家安全和公共安全。当这项紧急立法在民主社会内构成一项必要、适当和相称的措施的情况下,它是可能实施的。如果采取了该措施,则成员国有义务采取适当的保障措施,例如授予个人司法补救权。同时还应当适用比例适当原则,考虑到要实现的特定目的,应始终首选侵入性最小的解决方案。
2020年3月19日,EPDB通过了关于在COVID-19爆发期间个人数据处理的正式声明。完整的声明内容请见:
本新闻由广东省WTO/TBT通报咨询研究中心摘录/编辑/整理并翻译,转载请注明来源。
更多详情请见:
关注“广东技术性贸易措施”,获取更多服务。