Germany: New draft bill for an "Employee Data Act",https://insightplus.bakermckenzie.com/bm/employment-compensation/germany-new-draft-bill-for-an-employee-data-act-beschaftigtendatengesetz
本文根据网络英文材料译出,会有不准确之处。如果有兴趣还得请教德国法专家。
简介
2024年10月8日,联邦劳工和社会保障部 (Bundesministerium für Arbeit und Soziales - BMAS) 和联邦内政及国土部(Bundesministerium des Innern und für Heimat - BMI) 发布了一项法案草案,旨在加强员工的数据隐私权,并为数字工作世界中的雇主和劳动者提供更多法律确定性(“劳动者数据法”(Beschäftigtendantenschutzgesetz - BeschDG),(“BeschDG-E”)。
该草案的主要原因是德国没有适用于劳动关系的具体数据保护立法,以及欧洲法院 (ECJ) 于 2023 年 3 月 30 日做出的一项最新裁决,该裁决质疑现有关于雇员数据保护的规定是否合法。
概述:《劳动者数据法》新草案说了什么?
作为GDPR第88条含义下的“更多特定”条款,草案旨在阐明 GDPR 第 6 条的一般数据保护要求,并将目前主要基于判例法的员工数据保护成文法化。
劳动关系中数据处理的特定要求:
根据目前的情况,根据草案,数据处理必须出于特定目的,例如建立或履行劳动关系,或维护合法商业利益(第3条)。在权衡利益时要考虑的方面在第4条中以示例形式列出。不包括日常例行处理活动(例如工资单),这些活动通常被认为是允许的(第3条第4款)。
扩大知情权
应员工要求,雇主还需要以易于理解的方式告知员工评估的关键考虑因素。
工作协议的进一步规定
“更具体”的规则也将适用于工作协议(第 7 条)。政府澄清说,工作协议不是数据处理的合法基础,公司合作伙伴不能偏离本法规定的保护水平,从而损害员工的利益。
违反职责的数据保护?
与现有原则不同,违反数据保护法而取得的员工数据未来可能不能被用于解雇保护程序(第 11条)。唯一的例外适用于明显的差异,例如故意犯罪,而不仅仅是员工违反劳动合同。此外,与联邦劳工法院的判例法相反,在工作协议中也可以约定,违反数据保护法或工作协议处理的数据不能被用于诉讼。
关于数据保护官的共同决策
未来,工会委员会将有权共同决定数据保护官的任命和解雇(第12条)。这项权利甚至将扩展到工会委员会有权在是否任命内部或外部数据保护官的基本决定中发表意见。
人工智能
未来,人力资源中人工智能的使用也将适用特殊规则。雇主不仅需要提供有关人工智能使用的信息,而且员工还有权向雇主索取有关人工智能系统如何运作的信息(第10条)。
根据《一般平等待遇法》处理受保护特征的数据
特别值得注意的是第15条,根据该条,在建立劳动关系之前,处理受某些特征保护的个人数据(这些特征受到《一般平等待遇法》第一条的保护,例如残疾)是允许的,只要通过稳定和适当的措施对于防止或补偿(《一般平等待遇法》第五条含义内)的不利因素是必要的。以前,个人数据的处理只能基于GDPR第6条和数据保护法(BDSG)第26条。一项要求是处理数据的目的是确定资格或履行法律义务。因此,草案第15条创建了一个特定的法律基础,为数据处理提供了额外的理由。但是,只有在求职者自愿披露数据的情况下才允许处理。
招聘的成文法化
关于求职过程中的数据处理,法律明确规定了雇主在面试中可以问什么和不可以问什么(第14 条)。该草案基本上考虑了联邦劳工法院关于雇主提问权利的判例。它还包含对求职过程中的考试和测试的特殊要求(第16 条) 以及对在建立劳动关系之前收集的员工数据的删除的更精确的要求 (第十七条)。
员工监控
未来,对员工的监控将只允许在狭窄的范围内进行,就像现行判例法中的情况一样。在引入了第18条中的一般规定——该规定涉及监控员工的狭窄可能性——草案区分了“不仅是短期监控措施”(第19条)、“隐蔽监控”(第20条)、“视频监控”(第21条) 和通过“跟踪”处理员工数据 (第22条) 的情况。值得注意的是,例如,第 20 条允许雇主在怀疑有犯罪行为或严重违反职责的情况下使用侦探作为最后手段。
画像(profiling)
未来将适用特定要求。画像通常用于协助决策,本质上是指自动处理数据,以分析或预测员工的某些性格特征、行为模式或兴趣。这只能在非常狭窄的范围内进行,并且只有在雇主详细告知相关人员的情况下才有可能(第 25、26 条)。告知义务显然应超出GDPR 下已经适用的义务。与之前的数据保护法不同,雇主还应该在员工的要求下有义务解释基于画像的决定,并在必要时对其进行审查(第 27 条)。
集团内的数据处理
第 30 条允许在某些情况下在企业集团内披露员工数据,这是一项在实践中可能非常重要的修正案。长期以来,判例法和法律学者一直要求这样做,因为 GDPR 仅在其序言中提及了团体内数据处理的特权(所谓的“小团体特权”),而不是实际条款。现在提出的团体特权应该对团体有用,因为它解决了实践中相关的问题,例如矩阵组织、集中式团体内部管理任务或集团范围内的统一管理流程。
身份验证和公司集成管理
最后,草案还包含针对“授权和身份验证目的的数据处理”特殊处理情况(第28条)以及公司集成管理(第29条)的特殊规定。
