西班牙AEPD发布有关COVID-19的个人数据处理报告

  2020年3月12日,西班牙数据保护局AEPD发布了一份报告,其中分析了与COVID-19病毒传播有关的个人数据处理情况。
  
  该报告指出,《通用数据保护条例》(GDPR)包含必要的规则,以在发生一般性卫生紧急情况时允许合法地处理个人数据。因此,如报告中所述,个人数据保护不应被用来阻碍或限制政府机关特别是卫生当局在与流行病毒作斗争时采取具有有效性的措施。GDPR中明确承认在特殊情况下(例如为了控制流行病及其传播以及出于公共利益的目的执行相关任务(第6.1.e条);例如为了利害关系方或其他自然人的切身利益(第6.1.d条);例如为了履行法律义务(雇主预防其企业内部人员的职业风险等等)。这些法律依据允许未经受影响者同意而进行数据处理。另外,健康数据在GDPR中被归类为特殊类别的数据,除非符合GDPR中包含的例外情况,否则任何组织和个人均不得对该数据进行处理。具体内容被规定在GDPR第9条中。
  
  另一方面,该报告提到了西班牙关于公共卫生事件特别措施的第3/1986号立法(由3月10日西班牙第6/2020号皇家法令修改)以及第33/2011号公共卫生立法。第33/2011号公共卫生立法第一条指出:“为了控制传染病,卫生当局除了采取一般预防措施外,还可以采取适当措施控制患病的人以及已患病或曾经患病的人,可以与这些人以及相关的人进行联系,也可以在发生风险转移时实施被认为必要的与其他人的联系措施”。
  
  关于传播疾病、流行病、健康危机等产生的风险,适用的立法已赋予卫生当局等公共行政管理部门可以在紧急情况下出于紧急原因而采取法律规定的必要措施的权力。从个人数据处理的角度来看,卫生当局等公共行政管理部门为了保护自然人的切身利益,可能会在紧急情况下采取必要的措施来保护所有人。因此,必须由卫生当局等公共行政管理部门做出必要的决定,且负责处理个人数据的不同相关方也必须遵循这些指示,即使涉及对个人健康数据等特殊类别数据的处理也是如此。同时,在适用《劳动和职业风险预防条例》规定的情况下,雇主可以用同样的方式,按照上述规定处理保证所有人健康的必要数据,避免员工在企业内部发生传染。
  
  最后,该报告强调指出,即使在这些紧急卫生情况下,个人数据的处理也必须继续按照有关个人数据保护的规定(GDPR和关于保护个人数据的组织法-第3/2018号立法)来保护个人的相关权利,因为这些立法在制定时已经预见到了发生这些特殊情况的可能性,并规定了相关的原则,其中包括以符合合法性、安全性、透明度、目的限制、准确性和数据最小化等原则来处理个人数据。AEPD在报告中明确指出以下事实:处理的数据必须是仅限于那些仅用于预期目的的数据,而不会将此类处理扩展到对于该目的并非严格必要的其他个人数据。
  

分享到: