根据英国《通用数据保护条例》(GDPR)和《2018年数据保护法》(Data Protection Act 2018),数据控制者在处理个人数据时必须有特定的法律依据,而且个人数据只能用于通知员工的明确目的。
此外,根据GDPR,一些通常作为多样性调查一部分收集的数据类别(例如种族或民族出身、性取向或宗教或哲学信仰)可能被归类为“特殊类别数据”,这需要额外的法律依据。
虽然英国立法允许处理特殊类别数据,以确定或审查不同人群之间的机会平等或待遇平等,以促进和维持机会平等,但这在范围上相对有限。例如,为此目的而收集的个人数据不能用于其他目的,例如收集和报告多样性统计数据以发布给客户、员工和其他第三方。此外,这一法律依据将不包括在许多多样性调查中收集的数据范围。例如,一些雇主会使用与教育背景、作为父母或照顾者的责任相关的更广泛的问题,来监测社会多样性、流动性和总体员工福利。
或者,雇主可以寻求依靠雇员的明确同意来收集和处理敏感的个人数据(即使这些数据随后被匿名化并作为汇总统计数据呈现,这也是必需的)。鉴于雇主-雇员关系中的权力不平衡,在雇佣环境中,员工同意通常是一个难以依赖的基础。因此,寻求征得同意的雇主需要确保参与调查是自愿的,员工可以选择不回答调查中的特定问题——例如,虽然他们可能乐于透露自己的种族和民族,但他们可能希望保密自己的性取向。
许多员工隐私政策没有足够详细地涵盖多样性数据(以及收集这些数据的适当法律基础),需要经常更新。此外,许多组织需要补充现有的数据安全和数据处理政策。
虽然收集多样性数据可以帮助组织实施和监控旨在增加员工多样性的政策,但它也有特定的风险。在就业法风险方面,多样性数据可能受到2010年平等法案的保护,作为受保护的特征之一(如种族和民族、宗教或性取向)。从员工那里收集多样性数据的雇主应该考虑,获得这些信息是否会增加公司受到歧视指控的风险。
在数据保护风险方面,最明显的是,收集的数据越多,数据泄露的风险就越大。虽然需要实施技术保安措施,但在实际操作中,最困难的是确保员工接受适当的培训,以防止意外披露或使用个人资料作收集资料目的以外的用途。特别是,需要实施严格的访问控制,例如,将原始数据的访问权限限制在一小部分经过适当培训的人力资源专业人员,同时向管理层提供汇总的匿名统计数据。这是在实践中可以采取的最重要的步骤之一,以减轻就业法和数据保护风险。
需要仔细审查与第三方(例如电子调查平台)签订的协议,以确保这些协议在数据安全方面包含足够的要求。此外,在处理多样性数据时,需要仔细管理基本数据保护义务,例如确保个人数据的准确性和响应数据主体的请求。员工向雇主提供高度私人的细节需要高度的信任。因此,雇主需要采取额外的措施,在收集的目的、法律依据和安全措施方面尽可能透明。
休·贝弗利-史密斯是Faegre Drinker律师事务所的合伙人,夏洛特·马歇尔是律师,伊莉斯·兰蒂是见习律师