丧失工作能力——我该向雇主说什么?
随着 2023 年 1 月 1 日电子工作能力丧失证明 (eAU)的推出,疾病通知流程实现了数字化,以减少行政工作量并更好地确保数据保护。下面,我们想讨论在通知雇主丧失工作能力时必须遵守的数据保护框架,特别是关于通用数据保护条例 (GDPR) 的要求。eAU 和员工的义务
eAU 程序使医生、健康保险公司和雇主之间的沟通实现了数字化。医生将有关员工丧失工作能力的相关信息安全、直接地传送给健康保险公司,然后雇主可以通过电子方式访问这些信息。这些数据不包括诊断,而仅包括患病时所需的信息,例如丧失工作能力的开始时间和预计持续时间。尽管有直接的信息渠道,员工仍然有义务告知雇主丧失工作能力的情况及其持续时间,以确保公司能够及时采取必要的组织措施。
eAU 实施中的问题:图林根州和勃兰登堡州的例子
不幸的是,实际操作中事情并不总是像法律设想的那样顺利。 2023 年 1 月底提交给图林根州数据保护和信息自由专员办公室 (TLfDI) 的一个案件涉及例如 B. 新 eAU 法规实施不力的问题(参见 TlfDI,2023 年报告期活动报告,第 73 页及以后)。请求者的雇主要求其员工通过电子邮件通知人力资源部门及其直接主管。具体来说,应告知丧失工作能力的开始时间和预计持续时间,以及它是初始证明还是后续证明的信息,除非医生以纸质形式签发了丧失工作能力证明(AU)。一方面,问题在于这些数据应该通过电子邮件发送。这违反了《条例》规定的完整性和保密性原则。正如 TLfDI 在其报告中强调的那样,GDPR 第 5(1)(f)条规定,敏感的健康数据只有在采取适当的加密措施来保护数据的情况下才可以通过电子邮件传输。不安全的电子邮件无法提供足够的保护级别。另一方面,直接主管只需要知道丧失工作能力的时间长度, 以便制定替代计划,而不需要知道任何其他细节。
勃兰登堡州数据保护和文件访问专员(LDA)的活动报告中处理了另一起案件。这里,一名员工抱怨说,他被要求通过电子邮件将其丧失工作能力的数据发送到一个名为“人力资源管理”的外部办公室(参见 LDA Brandenburg,2023 年报告期活动报告,第 81 页及后续内容)。目前尚不清楚究竟是谁在背后操纵这一行为,该员工对通过简单的电子邮件传输健康数据的安全性 表示担忧。投诉人还批评说,他没有被告知具体是谁处理了数据,以及采取了哪些技术措施来保护数据。
经调查,这些病假条实际上是由一家根据数据处理合同运营的外部服务公司处理的。尽管电子邮件在传输过程中经过加密,巴西商业传真列表 但员工无法使用端到端加密来防止未经授权的访问。人们还批评该系统使用了过时的加密方法,并紧急建议停用这些方法。
该公司对这些投诉的回应是:重新引入通过邮寄方式提交病假条的选项,并在公司域内提供一个新电子邮件帐户,以确保电子邮件直接送达雇主。还强调,只有授权员工才被允许访问电子邮件,并且为了遵守删除期限,在检索到 eAU 数据后会删除这些电子邮件。
健康数据传输的要求
图林根州和勃兰登堡州的案例表明,工作能力丧失信息等健康数据的传输受到严格的数据保护要求。这些包括:
数据的机密性和完整性:敏感的健康数据(例如工作能力丧失证明)必须安全发送。不允许通过未加密的不安全电子邮件进行传输,因为这些数据需要特别的保护。
透明度:必须告知员工谁在处理他们的数据以及正在采取哪些保护措施。如果涉及外部服务提供商,则必须确保他们在数据处理协议框架内运作,并严格遵守雇主的指示。
沟通渠道:如果员工担心电子传输数据的安全问题,他们必须有机会通过其他方式(例如邮寄)传达其无法工作的情况。
技术和组织措施:公司必须确保使用现代加密技术并排除过时的加密方法。此外,应定义并遵守收集数据的明确删除期限。
结论
eAU 的引入代表着疾病通知流程数字化的重要一步,但同时也带来了数据保护法方面的挑战。雇主有义务通过提供安全的沟通渠道和透明的信息来确保其员工敏感的健康数据的安全。除非采取加密等适当的保护措施,否则通常不允许通过 电子邮件传输有关丧失工作能力的数据。同时,必须提供邮政递送等替代的数据传输方式。各个部门有责任根据 GDPR 的要求调整其内部流程,以确保员工个人数据的安全。
頁:
[1]