日期:27 January 2020
國家:賽普勒斯
關鍵字:特種個資;合法利益;自動化決策系統;雇傭關係;人資管理;
GDPR:§6(1)(f) (legitimate interests)、§9(1) (processing of special categories of personal data, shall be prohibited)、§22 (automated individual decision-making)
裁決:行政罰鍰(€82,000)、命令(停止處理資料)
摘要:
(1) 本案是控管者員工向工會投訴後,賽普勒斯監管機關展開調查。
(2) 監管機關對控管者LGS Handling Ltd、Louis Travel Ltd、Louis Aviation Ltd(Louis Group of Companies)等三家公司處以總額 €82,000 的行政罰鍰,因為該集團使用 Bradford Factor 紀錄員工病假,欠缺法律基礎。
(3) Bradford Factor 自動化評分系統,是針對員工請病假的紀錄進行設計,其背後邏輯,在認為員工請病假時,因為屬於短期、頻繁以及計劃外的缺勤,對公司帶來的負面影響遠高於員工休長假,所以對該等記錄予以評分。
(4) 由於個人請病假的日期及頻率,涉及到個人身份的直接或間接可識別,屬於 GDPR §9(1) 所指之特種個人資料(special categories of personal data),因此,必須依該條規定之處理程序辦理。
(5) 輸入個人資料至自動化系統,使用 Bradford Factor 予以評分,並且據以剖析(profiling)特定個人,就是在處理個人資料,控管者的處理行為必須符合 GDPR 規定之各項原則。
(6) 在調查過程中,控管者對其處理作業進行個資影響評估(DPIA),並且向監管機關提出諮詢,監管機關認為,前述自動化系統並未通過個資影響評估,因為控管者未能證明其使用此系統之合法利益,高過於員工所享有的利益、權利以及自由。
(7) 賽普勒斯監管機關同時透過互助程序(mutual assistance procedure)向 EEA 其他監管機關提出法律諮詢,並且收到 25 份回覆意見,在收到的回覆中,再次證實本件控管者上述處理方式,確實欠缺法律依據。
(8) 綜上,監管機關認為本件控管者使用 Bradford Factor 自動化系統對員工病假紀錄予以評分,並無法律依據,因為:
- 控管者的合法利益(§6(1)(f) (legitimate interests))並未凌駕於員工利益、權利以及自由之上;
- 同時,GDPR §9(2) (禁止處理特種個資的除外規定)在本件並不適用,不足以使控制者得以合法處理員工的健康資料;
- 控管者作為雇主,有權監督員工病假的頻率以及生病證明的有效性,但是這樣的權利不應該導致不當處理員工個人資料的結果,而應該在立法框架規定的範圍內行使。
(9) 據此,監管機關下令控制者應停止處理並刪除所有已收集的個人資料,並且對控管者分別處理行政罰鍰。