ポーランド政府、従業員データ保護法案公表


ポーランド政府は、EU一般データ保護規則(GDPR)第88条がEU加盟国に許容する労働関係における従業員のデータ保護に関する特別法案を公表し、パブリックコメントの募集を始めた。法案の内容についてポーランドの弁護士でデータ保護に詳しいAnna Kobylanska氏がIAPPのWebに記事を投稿し、紹介している。

特別法案は、雇用者が求職者及び従業員から取得することが許される個人データ項目を限定する。求職者からは、氏名、生年月日、連絡先住所、電子メールアドレス又は電話番号(両方は不可)、学歴及び職歴を取得することができる。従業員からは、現住所、身分証明番号のほか、社会保障給付を受ける必要がある場合において必要な個人データを取得することができる。雇用者がこれらの個人データを処理することができるのは、雇用契約が継続する期間に限られ、例外として、従業員の同意がある場合に限り、連絡先住所、電子メールアドレス及び電話番号の保持が許される。身体計測データを処理するためには従業員の同意が必要とされ、求職者からは取得することができない。このような同意を与えないことを理由とする差別は許容されない。

これまでポーランドの裁判所では、数度にわたり、雇用関係における同意の任意性に疑問を呈していることから、ポーランドの雇用者は従業員の同意を個人データ処理の適法根拠とすることを回避してきたが、新たな特別法案は従業員の同意に関する考え方を一変させるものである。

雇用者は、たとえ従業員の同意があっても、次のような特別な個人データを処理することは禁止される:薬物中毒、健康、性生活、性的嗜好。法的義務を遵守する必要がある場合には例外的にこれらの個人データ処理が許される。また、従業員のカメラ監視は、従業員の安全を守り、雇用者の財産や企業機密を保護するために必要な場合にのみ許される。

銀行、支払機関、電子マネー企業など、金融企業に雇用される従業員については特例が規定されている。金融セクターでは、求職者又は従業員の有罪歴、犯罪歴に関するデータを処理することが許される。このような例外は、金融セクターに属する企業のためにデータ処理を行う処理者にも適用される。また金融セクターに属する企業は、データアクセス認証又は入場認証のために、従業員から指紋、毛細血管パターン、声紋、虹彩パターンなどの身体計測データを取得することが許される。これらの個人データについて処理が許されるのは、雇用契約が存続する期間に限られる。

以上の内容が法律として成立すれば、他のEU加盟国とはかなり違った法律内容になり、EU各国にグループ企業を展開する企業にとっては、ポーランドでの従業員個人データの処理は困難な問題となる可能性がある。

https://iapp.org/news/a/polands-draft-law-on-processing-employee-data-under-the-gdpr/

関連記事