Covid-19英国:Cyber​​,Privacy&Data - 冠状病毒时的隐私 - 洞察力

在过去的几天,评论员和在某些情况下,政府部长们表示,GDPR(以及通过协会2018年数据保护法案)正在阻止某些组织对Covid-19危机提供全面的回应。

英国的信息专员办公室(“ico”)已经明确了“我们知道您可能需要快速分享信息或适应您的工作方式。数据保护不会阻止你这样做“。这种广泛的声明应该提供具有舒适程度的组织,即他们在此期间,他们不太可能面临合法的法规行动(如果不严格地发言)使用个人数据(包括特殊类别数据)。

奥里克的Covid-19-资源中心

访问资源,以帮助回答最常见的问题,并为企业和雇主提供新兴最佳实践。

GDPR旨在根据有实质性的公共利益(法律授权)或“重要利益”或“重要利益”来处理健康数据。这些条件通常难以依赖于,但在这种危机期间他们可能是合适的。

但是,我们在这段时间内承认,由于员工疾病或短缺,减少时间表数据保护符合性可能存在风险。

监管灵活性

ICO可能会提供具有明显余地的组织,包括在您的情况下:

  • 由于缺乏员工,在一个月的时间范围内,不符合主题权利要求;
  • 没有完成新的处理活动的DPIA和LIA(与Coronavirus相关联);
  • 没有在72小时内报告数据违规(尽管这将大大取决于对个人的潜在伤害);
  • 不遵守ICO截止日期(根据其信息通知权,或进行修复活动);
  • 没有到达第28条数据处理协议,迫切需要组织需要新的数据处理器;
  • 不及时更新第30条记录;或者
  • 收集健康数据(特别是访客或客人)。

然而,已经说过这一点,组织仍然需要比例,能够证明他们所做的决定。这些陈述没有为组织倾向于忽视GDPR的组织。ICO明确表示您应该避免避免,如果可能,披露受病毒影响或收集员工或访客的过度健康数据的名称。

实际步骤

确保个人数据处理是合法处理的,不太可能在这场危机期间主要重点关注,但您可以采取许多简单的步骤,以确保您能够在稍后沿着该行证明您的行为。例如:

  • 让员工,访客,客户和客户了解您收集的数据以及他们可以联系的数据。在您的办公室入口处有一个简单的迹象,列出了您收集的数据以及电子邮件联系,虽然并不完美,有帮助。
  • 如果您有工作队或危机委员会,请确保他们审查任何提议的收集技术。如果可能,DPO应该是这些委员会的成员。
  • 共享数据时继续应用安全控制(例如,加密和伪匿名技术)。
  • 考虑个人的权利和自由,对员工的额外跟踪和/或监测技术的使用纯粹是因为冠状病毒而纯粹是合理的。
  • 限制访问和使用您收集的附加数据。不应在标准的HR或CRM平台上进行专门对冠状病毒收集的健康数据,而无需严格控制。
  • 向个人解释他们的请求可能需要更长时间的电话脚本或模板电子邮件草案。
  • 确保任何披露,公告或公告通过适当的批准频道以及已删除可能的唯一标识符,其中已被删除。
  • 如果您无法满足监管截止日期,请提前通知监管机构。

特别重要的是要注意,当我们像往常返回业务时,监管机构提供的任何灵活性都会快速结束。组织必须尽快审核并删除此附加数据。ICO和其他国际监管机构对保留此数据的组织几乎没有同情,并将特别注意任何试图利用此数据进行商业收益的数据。

在此期间,它是关于证明您正在考虑您的行为的潜在影响,并有一些信心您可以在六个月的时间内证明这些行为。如果您想讨论您可以采取的实际步骤,请联系轻巧的布莱尔,伦敦网络及数据隐私执法和诉讼实践负责人。