官 沙 龙 数据保护官沙龙（DPO Salon）公益出品 护 29 条工作组指南系列文件编译 据 保 （截止于 2018 年 11 月 13 日） 《第2/2017号关于工作中数据处理的意见》 中译文 数 译者： 孟洁律师团队（崔卫红、陈子谦、孟洁） 审校： 薛 颖、谭德芳 2018年12月 署名-非商业性使用-禁止演绎 2.5 中国大陆 1 译者序言 龙 随着科学技术的不断发展，企业对员工个人信息的处理情形也 越来越多，以往的法规对于员工个人信息的保护力度已力感不足， 基于此种情况，第29条工作组对于新型技术可能带来的风险场景进 行了评估，侧重于平衡雇主利益以及员工合理隐私期望，为落实具 体场景下的GDPR合规工作做出了明确的指引。 沙 首先，在数据处理的合法性事由方面，对于“同意”这一事由 在具体工作中的适用做了说明：WP29认为“同意”极不可能成为工 作中数据处理的依据，员工和雇主之间的权力不平衡，员工很难给 予自由的同意，因此对于雇主以其他合法化事由处理员工数据时， 必须符合必要性、比例性等原则，同时还要具备足够的透明度。 护 官 其次，从适用主体方面，此意见书并未将“员工”限定在传统 意义的范围内，而是结合了新环境下出现的新劳动关系，对“员 工”的含义进行了广义上的解读。而雇主的首要义务则是保证员工 信息安全，之后才会涉及依据合同等合理事由处理员工的个人信息 的情况。意见书结合了DPD等法律规定，同时涉及了GDPR中的部分 内容，对于雇主的权利义务进行了分析。 数 据 保 最后，意见书将法律规定与具体场景相结合，通过九种具体的 实务场景对雇主和员工的权利义务进行说明，其中的核心问题是对 员工的监控。正常为维护公司安全运营的监控和导致侵犯员工隐私 权的过度监控之间的边界十分模糊，企业应该通过合理的制度规范 及技术手段去规避风险。意见书着重说明了告知义务的重要性，如 在对员工的移动设备、行车记录仪等进行跟踪时必须明确告知员 工。对于面部识别、健康数据等问题，意见书也明确建议企业做到 少涉及或不涉及，因为此类问题很可能会涉及到一些边缘化的例外 情况或已经被法律明文禁止。 译者们作为从事数据合规的中国律师，同时曾有企业实务工作 经验，经常会遇到企业和员工之间因对于信息披露及信息监控而出 现的矛盾情况。翻译并分享这份指南也是希望能在工作中有所借鉴 并和业界同行交流如何结合中国的语境和场景提出合理的判断标 准。因为水平所限，译文难免有不准确或错误之处，欢迎大家指正 （请发邮件至mengjie@glo.com.cn）。 孟 洁 2 沙 17 / EN WP 249 龙 第 29 条数据保护工作组 官 第 2/2017 号关于工作中数据处理的意见 数 据 保 护 2017 年 6 月 8 日通过 该工作组是根据第 95/46 / EC 号指令第 29 条设立的。它是一个独立的欧洲数据保护 和隐私咨询机构。其任务在指令 95/46 / EC 的第 30 条和指令 2002/58 / EC 的第 15 条中有所描述。 秘书处由欧洲委员会理事会 C（基本的权利和法律的规定）、总司法部和消费者司、 比利时布鲁塞尔 B-1049 号办公室 MO59 05/35 提供。 网站： http ： //ec.europa.eu/justice/data-protection/index_en.htm 3 目录 数 据 保 护 官 沙 龙 1.执行摘要.................................................................................................................. 5 2.介绍.......................................................................................................................... 5 3.法律框架.................................................................................................................. 6 3.1. 95/46 / EC 指令- 数据保护指令（ “DPD ”） ......................................... 7 3.1.1 法律依据（ 第 7 条 ）.................................................................. 8 3.1.2 透明度（第 10 和 11 条）............................................................. 10 3.1.3 自动化决策（ 第 15 条 ）.......................................................... 10 3.2 第 2016/679 号条例 ——一般数据保护条例（ “GDPR ”） ................ 10 3.2.1 数据保护设计................................................................................. 11 3.2.2 数据保护影响评估.................................................................................. 11 3.2.3 雇佣环境中的数据处理................................................................. 11 4.风险........................................................................................................................ 12 5.场景........................................................................................................................ 13 5.1 招聘过程中的处理操作............................................................................. 13 5.2 因在就业筛选中而产生的数据处理........................................................ 14 5.3 因工作场所使用监测信息技术而产生的数据处理................................. 15 5.4 监测工作场所以外的信息通信技术使用情况所产生的处理操作......... 18 5.4.1 家庭和远程工作的监督................................................................. 18 5.4.2 B 使用自己的设备（BYOD）....................................................... 19 5.4.3 移动设备管理（MDM）................................................................ 20 5.4.4 可穿戴设备..................................................................................... 20 5.5 与时间和出勤有关的处理操作................................................................ 21 5.6 使用视频监控系统的处理操作................................................................ 22 5.7 涉及员工车辆使用的处理操作.............................................................. 22 5.7.1 事件数据记录仪............................................................................. 23 5.8 涉及向第三方披露员工数据的处理........................................................ 24 5.9 涉及人力资源和其他员工数据的国际转移的处理操作........................ 25 6.结论和建议............................................................................................................ 25 6.1 基本权利.................................................................................................... 25 6.2 同意; 合法利益 ......................................................................................... 25 6.3 透明度........................................................................................................ 26 6.4 合比例和数据最小化................................................................................ 26 6.5 云服务，在线应用和国际转移...............................