解鎖數據訪問:ICO 在應對SAR方面的新指南 - 不要被發現!
應對SAR——是否有針對僱主的新指南?
2022 年 4 月至 2023 年 5 月期間,資訊專員辦公室(ICO)收到了超過 15,000 起與主體訪問請求(SAR)相關的投訴。因此 ICO 發佈了僱主應對 SAR 的指南。
ICO 的政策組經理認為,很多公司都對SAR 及其相關義務有誤解。因此,本周報可作為有關遵守 SAR 的有用提醒和問答,特別側重於ICO提供的一些僱主可能會發現有用的重點示例。
回顧:什麼是 SAR? 員工為什麼要提交該請求?
在英國,根據數據保護法,人們有權訪問任何組織持有的個人資訊。(一般數據保護條例(GDPR)和2018 年數據保護法(DPA))。這稱為主題訪問請求(SAR)。
員工或前員工通過 SAR 獲取您持有的有關他們的個人數據的副本。這可能是因為他們希望確保您持有的資訊是最新的,或者可能懷疑他們的數據被濫用。然而,SAR常常與工作衝突一起出現,員工可能會訴諸SAR來收集他們認為相關或可能相關的資訊。它通常被用作嘗試獲得更有利的和解條約的策略,因為對於僱主來說,回復SAR可能是一個非常耗時的過程(取決於所涉及的數據量)。
您能否要求員工澄清他們的請求?
是的,可以。通常,員工會發送模糊的請求,例如「您掌握了我的哪些資訊?”。這僅僅是 SAR 的一個例子,但您可能很難準確理解員工在此提出的請求。您可以要求員工在回覆請求之前指定他們正在尋找的資訊或處理活動。
回應請求的時限為 1 個月,此後公司在收到澄清前,可以暫停對於該請求的回應。但是,請謹慎行事,因為您只應在確實需要澄清或您處理了大量員工資訊時才這樣做。如果員工拒絕或無法縮小其請求範圍,那麼ICO希望僱主進行合理的搜索以滿足其請求。
重要的是,公司應積極努力澄清或遵守請求,僅僅將澄清作為拖延程式或不回應請求的策略可能會導致向ICO投訴。
我們是否必須披露被抄送的員工的電子郵件?
ICO 表明,最終由您作為僱主來確定電子郵件中的任何資訊是否是請求員工的個人資訊。
重要的是:
- 個人數據權僅適用於電子郵件中包含的請求員工的個人資訊。這意味著您可能需要披露電子郵件的部分內容以遵守其 SAR
- 僅僅因為電子郵件主要不是關於提出請求的員工,並不意味著它不包含他們的個人資訊。
- 提出請求的員工收到電子郵件並不意味著其全部內容都是他們的個人資訊。事件的背景是決定這一點的關鍵,但是,他們的電子郵件位址和姓名是他們的個人資訊,必須披露。
範例 – 員工請求所有電子郵件的副本
一名員工要求提供包含其個人資訊的所有電子郵件的副本。這些電子郵件包含與同事一起參加團隊活動的邀請,以獎勵結案最多案例的團隊成員。該電子郵件還包含一個「排行榜」,其中列出了表現最好的五名團隊成員。
由於內容與提出請求的員工相關,因此電子郵件被視為他的個人資訊,因此您應該披露它。但是,在披露電子郵件之前,您應該編輯電子郵件中包含的其他人的姓名。
我們是否必須包含跨社交媒體的搜索?
是的。如果您的公司使用Facebook、WhatsApp、Twitter等社交媒體平臺以及 Microsoft Teams 和 Zoom 等聊天管道,那麼您就是這些頁面上處理的資訊的控制者。
請注意,如果個人 WhatsApp 聊天記錄用於工作目的,這些聊天記錄也可能會被洩露。英國GDPR適用於在商業或專業環境中進行的任何社交媒體活動。
因此,如果您收到 SAR 請求,您必須在這些平臺上搜索請求員工的個人資訊。
您還應該考慮其他人向您提供的社交媒體帖子。例如,如果您的公司有一個 Facebook 頁面,員工可以在該頁面上發佈對公司運營的活動和事件的評論,並且一名員工提交了其個人資訊的 SAR(包括在您公司的 Facebook 頁面上發佈的評論),那麼您應該查看社交媒體作為 SAR 回應的一部分,媒體發佈並將其提供給工人。
如果請求包含另一個人的個人信息怎麼辦?
- 證人證言
僱主和人力資源專業人士經常面臨這樣的問題:是否應根據資訊請求披露來自內部紀律或調查程式的其他員工和個人的證人證詞。
ICO 在這一方面提供了新的指導,提醒僱主和人力資源部門履行保密義務。如果員工或個人在提供聲明時被要求保密,並且沒有其他方法來保護其身份,則應在回應請求時保留這些聲明。
示例 – 收到索取證人陳述副本的請求
您收到一名員工要求提供證人證詞副本的請求,以回應針對一名初級員工的欺淩指控,據稱該員工參與了該事件。您要求目擊該事件的同事提供證人證詞,理由是這些證詞將保密。
開始時,您考慮過:
- 陳述中包含了哪些關於請求者或證人的個人資訊;
- 人力資源部已向證人保證保密;
- 您是否可以在不透露作者身份的情況下編輯這些陳述
考慮到上述情況,你們決定不披露證人證言的理由是:
- 提供這些資訊的目的是保密;
- 修改不能避免作者身份的洩露。
根據ICO新指南,以上行動均符合要求。
- 舉報
舉報人的報告可能包括涉嫌不當行為的人以及線人或其他證人的資訊。
需要平衡請求者的訪問權和舉報人的保密權。
舉報人受到《1998 年公共利益披露法》(PIDA 1998)的保護。 因此,您必須平衡 PIDA 和數據保護立法之間的競爭利益。
示例 – 舉報人向 FCA 舉報
一名銀行工作人員向金融行為監管局 (FCA) 舉報一名經理。經理隨後向 HR 提出 SAR。該銀行決定不披露該請求中的舉報報告,以免影響針對該經理正在進行的調查。 這是合法拒絕遵守SAR的示例。
3CS 如何提供幫助
如果您需要有關如何應對 SAR 的幫助和建議,或需要任何其他就業法事務方面的幫助,請與您常用的 3CS 聯繫人取得聯繫。
