英国数据监管机构关于监控员工的报告重点是什么?
英国信息专员办公室(以下简称 "ICO")于 2023 年 10 月 3 日发布了关于监控员工的最终指导意见(以下简称 "指导意见"),该指导意见符合英国 GDPR 和《2018 年数据保护法》(以下简称 "DPA 2018")。
建议对员工监控提出哪些法律要求?
雇主必须向员工明确说明工作场所监控的使用情况。情境是考虑员工期望的关键。公司在监控方面应考虑以下几点:
— 透明度: 应让员工了解监督的性质、程度和原因。透明度原则对于保持员工与企业之间的信任至关重要。雇主应征求并记录员工或其代表(如工会)的意见,除非有充分理由不这样做。
— 目的和侵扰性: 雇主应明确界定监督的目的,并使用侵扰性最小的手段来实现这一目的。这样才能确保监控是必要的,而不是侵入性的。
— 合法依据: 处理员工数据必须有合法依据,以确保遵守数据保护法。
明确沟通: 雇主必须以员工易于理解和清楚的方式传达有关监控的信息。
— 相关性: 只应通过监控收集相关信息,并在雇主的隐私通知中予以声明。
数据保护影响评估 ("DPIA"): 对于可能对员工权利造成高风险的监控活动,雇主应进行数据保护影响评估。这样可确保发现和降低风险。
— 主体访问请求 (SARs): 应告知员工,他们可以提出 "主体访问请求"(SARs),以访问通过监控收集到的个人信息。
— 人工智能: 在以下情况下,对员工进行监控的雇主将受到英国 GDPR 第 22 条关于自动决策的限制: (1) 决策完全自动化;(2) 具有法律或类似的重大影响--例如,仅根据对工人生产率的自动监控对员工进行补偿就属于第 22 条的范围。
— 生物识别数据: 在使用生物识别数据唯一识别个人身份的情况下,需要进行 DPIA。在使用生物识别数据进行考勤控制的情况下,雇主应考虑是否有其他方法可以替代使用生物识别数据来实现其预期目标。如果使用这类措施,雇主还必须考虑是否需要额外的安全措施。
— 视听记录: ICO 认为,录音比单纯的录像更具侵扰性: "连续的音频和视频记录可能具有很强的侵扰性,在大多数情况下,你都不太可能证明这样做是合理的"。
为什么需要合规?
在 Covid-19 之后,雇主开始利用数据来了解员工的工作表现。这是因为越来越多的人选择在家工作或与雇主商定混合工作方式。根据 1998 年《人权法》第 8 条,员工的私生活有权得到尊重。在家办公的兴起意味着人们在家中对隐私的期望可能比在工作场所更高。
由于不遵守数据隐私法可能会面临巨额罚款和声誉受损的风险,因此英国企业倾向于遵守英国 GDPR 的规定。
3CS 如何提供帮助
我们的数据隐私和劳动法律师团队拥有国内和国际专业知识,可提供全方位的公司法合规法律服务。如需进一步了解员工监控及其对贵公司的影响,或就与上述问题相关的任何法律事务寻求帮助,请 联系 您的 3CS 联系人。
