コロナウイルス(Covid-19)とGDPRについて、昨年のCODEBLUEで、プレゼンターを努めたMatthias Lachenmann博士が、ちょっとした論考を公表したので、そのご紹介をしてみましょう。
論考は、「データ保護対コロナウイルス(Data protection vs. corona virus – What companies must consider)」です。
1は、「コロナウイルスへの感染から防護するために健康データを取り扱う例」として、会社が従業員がコロナウイルスの症状を示しているという情報を保存している場合、従業員が会社の入り口で体温を記録した場合、または従業員が感染した可能性のある人の名前を会社に伝えた場合、これらが、すでに健康に関するデータとなること、などがふれられています。
II。 GDPRの法的根拠
この場合、健康に関するデータとなると、GDPR9条の特別な種類の個人データの取扱いの規定が適用されることになります。なので、取扱いが原則禁止され、具体的には、明確な同意等のパラグラフ2の個別の規定によって取扱いが許容されるという枠組になります。
(ちなみにGDPRの翻訳は、個人情報保護委員会のによります)
GDPRは、もととも パンデミックの脅威が発生した場合に保護を提供することを目的としており、「健康と健康の警告を監視する」ためのデータ取扱いが許可とれています( GDPR前文52)。
公共の利益において行われる場合であり、特に、労働法の分野、年金及び医療保険を含む社会保護法の分野における個人データの取扱い、伝染病及びその他の健康に対する重大な脅威の防止又は管理のための監視及び警戒の目的の場合において、個人データ及びその他の基本的な権利を保護するために、EU 法又は加盟国の国内法の中に定められており、かつ、適切な保護措置に従うものであれば、特別な種類の個人データの取扱いの禁止の例外も認められる。
これが、定められているのが、同9条パラ2の(h)や(i)の規定です。
(h) EU 法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3 項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合
(i) データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU 法又は加盟国の国内法に基づき、健康に対する国境を越える重大な脅威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。
このような適法な取扱いの論点に関しては、アイルランドのデータ保護コミッショナーのリリースを引用しましょう。
合法性
GDPR第6条に基づく個人データの処理には多くの法的根拠があり、この文脈で適用可能な第9条に基づく健康データなどの個人データの特別なカテゴリの処理を許可する条件があります。これらのうち、以下が関連する場合があります。
組織が公衆衛生当局またはその他の関連当局のガイダンスまたは指示に従って行動している状況では、適切なセーフガードが実装されているかぎり、GDPR第9条(2)(i)および2018年(アイルランド)データ保護法の53条が、健康データを含む個人データの処理を許可する可能性が高い。このような保護手段には、データへのアクセスの制限、消去の厳密な時間制限、および個人のデータ保護権を保護するための適切なスタッフトレーニングなどの他の手段が含まれます。
雇用主はまた、2005年の労働安全衛生法(改正)の下で従業員を保護する法的義務があります。この義務は、GDPR第9条(2)(b)とともに、健康データを含む個人データを処理する法的根拠を提供します。取り扱われるすべてのデータは機密に扱われる必要があります。つまり、職場でのコロナウイルスの存在に関するスタッフへの連絡は、一般に個々の従業員を特定するものではありません。
次は、個別の行為についてみていくことにしましょう。(続く)
イギリスのICOの個人データ保護とコロナウイルスのページは、こちら。