点击蓝字
关注我们
全文共计约 712 字,细读时间约 3 分钟
译者按
本案中,意大利数据保护监管机构对Magna PT S.p.A.公司处理员工健康数据的行为作出处罚,凸显了GDPR在职场个人数据合规中的严格适用。调查发现,公司在员工缺勤后返岗时收集其健康信息,既未明确告知员工用途,也缺乏合法处理依据,更将数据存储长达十年,严重违反了个人数据处理的原则。监管最终施以重罚,警示企业在涉及处理数据时,必须审慎评估合法性基础,以符合数据管理规范。
背景信息
最终决定日期:2025年7月10日
案件性质:国内案件(意大利国内)
数据控制者: Magna PT S.p.A.
法律依据(《通用数据保护条例》(GDPR)):
第5条(与个人数据处理相关的原则)
第6条(处理的合法性)
第9条(特殊种类的个人数据处理)
第13条(向数据主体收集个人数据时应提供的信息)
决定结果: 行政罚款,永久禁止其行使数据处理行为
关键词:行政罚款、个人数据处理原则、透明度、数据存储期限、处理合法性、雇佣关系
案件概要
事件起源:
一份工会报告指出,一家汽车公司内部存在一个普遍做法:员工因病、事故或住院缺勤后返岗时,公司会对其进行面谈并要求填写一份问卷。这份由直接主管填写的问卷随后会提交给人力资源部门,该部门会与主管和/或医生一起,依据公司的内部建议,对员工的健康状况进行评估,并决定是否采取相应措施来保护员工健康,例如调整工作岗位或干预工作关系。
关键发现:
调查过程中,意大利数据保护监管机构(the Italian Supervisory Authority,简称SA或Garante)发现,该公司存在多项违反欧盟《通用数据保护条例》(GDPR)的行为,包括未向员工提供清晰透明的信息,以及缺乏处理数据(包括健康数据)的法律依据。Garante还发现,员工数据以不相关(缺勤记录)且不相称(最长达十年)的方式存储,且数据处理与评估员工专业技能无关。
监管决定:
Garante责令该公司永久禁止相关数据处理活动,并删除所有已收集和保存的数据。此外,Garante还对该公司处以5万欧元的行政罚款。
END
编译 | 缑芋灵
排版 | 缑芋灵
审核 | 裴 轶
