日期：27 January 2020

國家：賽普勒斯

關鍵字：特種個資；合法利益；自動化決策系統；雇傭關係；人資管理；

GDPR：§6(1)(f) (legitimate interests)、§9(1) (processing of special categories of personal data, shall be prohibited)、§22 (automated individual decision-making)

裁決：行政罰鍰（€82,000）、命令（停止處理資料）

摘要：

(1) 本案是控管者員工向工會投訴後，賽普勒斯監管機關展開調查。

(2) 監管機關對控管者LGS Handling Ltd、Louis Travel Ltd、Louis Aviation Ltd（Louis Group of Companies）等三家公司處以總額 €82,000 的行政罰鍰，因為該集團使用 Bradford Factor 紀錄員工病假，欠缺法律基礎。

(3) Bradford Factor 自動化評分系統，是針對員工請病假的紀錄進行設計，其背後邏輯，在認為員工請病假時，因為屬於短期、頻繁以及計劃外的缺勤，對公司帶來的負面影響遠高於員工休長假，所以對該等記錄予以評分。

(4) 由於個人請病假的日期及頻率，涉及到個人身份的直接或間接可識別，屬於 GDPR §9(1) 所指之特種個人資料（special categories of personal data），因此，必須依該條規定之處理程序辦理。

(5) 輸入個人資料至自動化系統，使用 Bradford Factor 予以評分，並且據以剖析（profiling）特定個人，就是在處理個人資料，控管者的處理行為必須符合 GDPR 規定之各項原則。

(6) 在調查過程中，控管者對其處理作業進行個資影響評估（DPIA），並且向監管機關提出諮詢，監管機關認為，前述自動化系統並未通過個資影響評估，因為控管者未能證明其使用此系統之合法利益，高過於員工所享有的利益、權利以及自由。

(7) 賽普勒斯監管機關同時透過互助程序（mutual assistance procedure）向 EEA 其他監管機關提出法律諮詢，並且收到 25 份回覆意見，在收到的回覆中，再次證實本件控管者上述處理方式，確實欠缺法律依據。

(8) 綜上，監管機關認為本件控管者使用 Bradford Factor 自動化系統對員工病假紀錄予以評分，並無法律依據，因為：

• 控管者的合法利益（§6(1)(f) (legitimate interests)）並未凌駕於員工利益、權利以及自由之上；
• 同時，GDPR §9(2) （禁止處理特種個資的除外規定）在本件並不適用，不足以使控制者得以合法處理員工的健康資料；
• 控管者作為雇主，有權監督員工病假的頻率以及生病證明的有效性，但是這樣的權利不應該導致不當處理員工個人資料的結果，而應該在立法框架規定的範圍內行使。

(9) 據此，監管機關下令控制者應停止處理並刪除所有已收集的個人資料，並且對控管者分別處理行政罰鍰。