2020年3月12日，西班牙數據保護局AEPD發(fā)布了一份報告，其中分析了與COVID-19病毒傳播有關的個人數據處理情況。

該報告指出，《通用數據保護條例》（GDPR）包含必要的規(guī)則，以在發(fā)生一般性衛(wèi)生緊急情況時允許合法地處理個人數據。因此，如報告中所述，個人數據保護不應被用來阻礙或限制政府機關特別是衛(wèi)生當局在與流行病毒作斗爭時采取具有有效性的措施。GDPR中明確承認在特殊情況下（例如為了控制流行病及其傳播以及出于公共利益的目的執(zhí)行相關任務（第6.1.e條）；例如為了利害關系方或其他自然人的切身利益（第6.1.d條）;例如為了履行法律義務（雇主預防其企業(yè)內部人員的職業(yè)風險等等）。這些法律依據允許未經受影響者同意而進行數據處理。另外，健康數據在GDPR中被歸類為特殊類別的數據，除非符合GDPR中包含的例外情況，否則任何組織和個人均不得對該數據進行處理。具體內容被規(guī)定在GDPR第9條中。

另一方面，該報告提到了西班牙關于公共衛(wèi)生事件特別措施的第3/1986號立法（由3月10日西班牙第6/2020號皇家法令修改）以及第33/2011號公共衛(wèi)生立法。第33/2011號公共衛(wèi)生立法第一條指出：“為了控制傳染病，衛(wèi)生當局除了采取一般預防措施外，還可以采取適當措施控制患病的人以及已患病或曾經患病的人，可以與這些人以及相關的人進行聯系，也可以在發(fā)生風險轉移時實施被認為必要的與其他人的聯系措施”。

關于傳播疾病、流行病、健康危機等產生的風險，適用的立法已賦予衛(wèi)生當局等公共行政管理部門可以在緊急情況下出于緊急原因而采取法律規(guī)定的必要措施的權力。從個人數據處理的角度來看，衛(wèi)生當局等公共行政管理部門為了保護自然人的切身利益，可能會在緊急情況下采取必要的措施來保護所有人。因此，必須由衛(wèi)生當局等公共行政管理部門做出必要的決定，且負責處理個人數據的不同相關方也必須遵循這些指示，即使涉及對個人健康數據等特殊類別數據的處理也是如此。同時，在適用《勞動和職業(yè)風險預防條例》規(guī)定的情況下，雇主可以用同樣的方式，按照上述規(guī)定處理保證所有人健康的必要數據，避免員工在企業(yè)內部發(fā)生傳染。

最后，該報告強調指出，即使在這些緊急衛(wèi)生情況下，個人數據的處理也必須繼續(xù)按照有關個人數據保護的規(guī)定（GDPR和關于保護個人數據的組織法-第3/2018號立法）來保護個人的相關權利，因為這些立法在制定時已經預見到了發(fā)生這些特殊情況的可能性，并規(guī)定了相關的原則，其中包括以符合合法性、安全性、透明度、目的限制、準確性和數據最小化等原則來處理個人數據。AEPD在報告中明確指出以下事實：處理的數據必須是僅限于那些僅用于預期目的的數據，而不會將此類處理擴展到對于該目的并非嚴格必要的其他個人數據。

關注“廣東技術性貿易措施”，獲取更多服務。