鑒于當前歐洲各國政府、公共和私人組織都在采取各種措施來抑制和緩解COVID-19的蔓延，而這些措施可能會涉及對不同類型的個人數(shù)據(jù)處理的情況下，歐洲數(shù)據(jù)保護委員會（EDPB）主席于2020年3月16日發(fā)布了關于COVID-19爆發(fā)期間個人數(shù)據(jù)處理的聲明。

EDPB主席Andrea Jelinek表示，數(shù)據(jù)保護規(guī)則（如GDPR）并不妨礙應對新冠病毒大流行所采取的措施。但他強調，即使在這些非常時期，數(shù)據(jù)控制者也必須確保對數(shù)據(jù)主體個人數(shù)據(jù)的保護，因此應考慮以下多方面要素來保障個人數(shù)據(jù)的合法處理。

1) 數(shù)據(jù)處理的合法性

GDPR立法適用范圍廣，還規(guī)定了適用于如COVID-19相關的環(huán)境下個人數(shù)據(jù)處理的規(guī)則。實際上，GDPR提供的是法律依據(jù)，使雇主和公共衛(wèi)生主管部門可以在傳染病流行的環(huán)境中，無需征得數(shù)據(jù)主體同意下處理個人數(shù)據(jù)。例如，當雇主出于公共衛(wèi)生領域的公共利益或保護重大利益（GDPR第6條和第9條規(guī)定）需要，或為遵守另一法定義務而需要雇主處理個人數(shù)據(jù)時，則適用此規(guī)定。

2) 關于移動位置數(shù)據(jù)的使用

對電子通信數(shù)據(jù)（如移動位置數(shù)據(jù)）的處理，則適用附加規(guī)則。實施《電子隱私指令（ePrivacy）》的國家法律規(guī)定了以下原則：只有在匿名或獲得個人同意的情況下，運營商才能使用位置數(shù)據(jù)。公共當局應把以匿名方式處理位置數(shù)據(jù)定為首先目標（即以無法逆轉為個人數(shù)據(jù)的方式來處理匯總數(shù)據(jù)），以此生成關于在特定位置中移動設備集中程度的報告（“地圖繪制”）。

在無法只處理匿名數(shù)據(jù)的情況下，《電子隱私指令》第15條允許成員國能夠采取立法措施來追求國家安全和公共安全。當這項緊急立法在民主社會內構成一項必要、適當和相稱的措施的情況下，它是可能實施的。如果采取了該措施，則成員國有義務采取適當?shù)谋Ｕ洗胧?，例如授予個人司法補救權。同時還應當適用比例適當原則，考慮到要實現(xiàn)的特定目的，應始終首選侵入性最小的解決方案。

2020年3月19日，EPDB通過了關于在COVID-19爆發(fā)期間個人數(shù)據(jù)處理的正式聲明。完整的聲明內容請見：

https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

本新聞由廣東省WTO/TBT通報咨詢研究中心摘錄/編輯/整理并翻譯，轉載請注明來源。

更多詳情請見：

https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en

關注“廣東技術性貿易措施”，獲取更多服務。