2022 年 4 月至 2023 年 5 月期间,信息专员办公室 (ICO) 收到了超过 15,000 起与主体访问请求 (SAR) 相关的投诉。因此 ICO 发布了雇主应对SAR 的指南。
ICO 的政策组经理认为,很多公司都对SAR 及其相关义务有误解。因此,本周报可作为有关遵守 SAR的有用提醒和问答,特别侧重于ICO提供的一些雇主可能会发现有用的重点示例。
回顾:什么是 SAR?员工为什么要提交该请求?
在英国,根据数据保护法,人们有权访问任何组织持有的个人信息。(一般数据保护条例(GDPR) 和 2018 年数据保护法 (DPA))。这称为主题访问请求(SAR)。
员工或前员工通过 SAR 获取您持有的有关他们的个人数据的副本。这可能是因为他们希望确保您持有的信息是最新的,或者可能怀疑他们的数据被滥用。然而,SAR常常与工作冲突一起出现,员工可能会诉诸 SAR来收集他们认为相关或可能相关的信息。它通常被用作尝试获得更有利的和解条约的策略,因为对于雇主来说,回复 SAR可能是一个非常耗时的过程(取决于所涉及的数据量)。
您能否要求员工澄清他们的信息请求?
是的,可以。通常,员工会发送模糊的请求,例如“您掌握了我的哪些信息?”。这仅仅是 SAR 的一个例子,但您可能很难准确理解员工在此提出的请求。您可以要求员工在回复请求之前指定他们正在寻找的信息或处理活动。
响应请求的时限为 1 个月,此后公司在收到澄清前,可以暂停对于该请求的回应。但是,请谨慎行事,因为您只应在确实需要澄清或您处理了大量员工信息时才这样做。如果员工拒绝或无法缩小其请求范围,那么ICO希望雇主进行合理的搜索以满足其请求。
重要的是,公司应积极努力澄清或遵守请求,仅仅将澄清作为拖延程序或不回应请求的策略可能会导致向ICO投诉。
我们是否必须披露被抄送的员工的电子邮件?
ICO 表明,最终由您作为雇主来确定电子邮件中的任何信息是否是请求员工的个人信息。
重要的是:
- 个人数据权仅适用于电子邮件中包含的请求员工的个人信息。这意味着您可能需要披露电子邮件的部分内容以遵守其 SAR
- 仅仅因为电子邮件主要不是关于提出请求的员工,并不意味着它不包含他们的个人信息。
- 提出请求的员工收到电子邮件并不意味着其全部内容都是他们的个人信息。事件的背景是决定这一点的关键,但是,他们的电子邮件地址和姓名是他们的个人信息,必须披露。
范例 – 员工请求所有电子邮件的副本
一名员工要求提供包含其个人信息的所有电子邮件的副本。这些电子邮件包含与同事一起参加团队活动的邀请,以奖励结案最多案例的团队成员。该电子邮件还包含一个“排行榜”,其中列出了表现最好的五名团队成员。
由于内容与提出请求的员工相关,因此电子邮件被视为他的个人信息,因此您应该披露它。但是,在披露电子邮件之前,您应该编辑电子邮件中包含的其他人的姓名。
我们是否必须包含跨社交媒体的搜索?
是的。如果您的公司使用 Facebook、WhatsApp、Twitter 等社交媒体平台以及 Microsoft Teams 和 Zoom 等聊天渠道,那么您就是这些页面上处理的信息的控制者。
请注意,如果个人 WhatsApp 聊天记录用于工作目的,这些聊天记录也可能会被泄露。英国 GDPR 适用于在商业或专业环境中进行的任何社交媒体活动。
因此,如果您收到 SAR 请求,您必须在这些平台上搜索请求员工的个人信息。
您还应该考虑其他人向您提供的社交媒体帖子。例如,如果您的公司有一个 Facebook 页面,员工可以在该页面上发布对公司运营的活动和事件的评论,并且一名员工提交了其个人信息的 SAR(包括在您公司的 Facebook 页面上发布的评论),那么您应该查看社交媒体作为 SAR 响应的一部分,媒体发布并将其提供给工人。
如果请求包含另一个人的个人信息怎么办?
- 证人证言
雇主和人力资源专业人士经常面临这样的问题:是否应根据信息请求披露来自内部纪律或调查程序的其他员工和个人的证人证词。
ICO 在这一方面提供了新的指导,提醒雇主和人力资源部门履行保密义务。如果员工或个人在提供声明时被要求保密,并且没有其他方法来保护其身份,则应在响应请求时保留这些声明。
示例 – 收到索取证人陈述副本的请求
您收到一名员工要求提供证人证词副本的请求,以回应针对一名初级员工的欺凌指控,据称该员工参与了该事件。您要求目击该事件的同事提供证人证词,理由是这些证词将保密。
开始时,您考虑过:
- 陈述中包含了哪些关于请求者或证人的个人信息;
- 人力资源部已向证人保证保密;
您是否可以在不透露作者身份的情况下编辑这些陈述
考虑到上述情况,你们决定不披露证人证言的理由是:
- 提供这些信息的目的是保密;
- 修改不能避免作者身份的泄露。
根据 ICO 新指南,以上行动均符合要求。
- 举报
举报人的报告可能包括涉嫌不当行为的人以及线人或其他证人的信息。
需要平衡请求者的访问权和举报人的保密权。
举报人受到《1998 年公共利益披露法》(PIDA 1998) 的保护。因此,您必须平衡 PIDA 和数据保护立法之间的竞争利益。
示例 – 举报人向 FCA 举报
一名银行工作人员向金融行为监管局 (FCA) 举报一名经理。经理随后向 HR 提出 SAR。该银行决定不披露该请求中的举报报告,以免影响针对该经理正在进行的调查。这是合法拒绝遵守SAR的示例。
3CS 如何提供帮助
如果您需要有关如何应对 SAR 的帮助和建议,或需要任何其他就业法事务方面的帮助,请与您常用的 3CS 联系人取得联系。
