欧盟投资贸易中的员工个人数据合规管理

欧盟《通用数据保护条例》（以下简称GDPR）号称是“史上最严个人数据保护立法”，其对企业的合规要求涉及广泛。企业在日常生产经营和用工管理中中不可避免地要进行员工的个人数据处理，因此在欧盟投资设厂进行雇佣时也要考虑员工的数据保护规定。

GDPR第88条明确规定，成员国可以通过法律或通过集体协议制定特定规则，以确保在雇佣语境下处理雇员个人数据时保护其权利和自由。也就是说，企业为了招聘、履行劳动合同，履行法律或集体合同规定的义务，以及对工作的管理、计划和组织，工作中的健康和安全等需求，所采集或处理涉及对劳动者或雇员的个人信息应遵守GDPR的相关规定。

在GDPR中，个人数据的定义非常广泛，是指与已确定或可确定的自然人有关的任何信息。

一是处理数据应当基于员工的同意。按照GDPR第6条，员工同意处理其个人数据的，其“同意”的意思表示应当满足自由选择、具体明确、可撤回及程序合格的四大要求。

二是处理数据的必要性，即为缔结、履行或终止劳动合同所必需。GDPR第6条规定，数据处理是为履行数据主体作为一方的合同所必需，或者数据处理是在订立一项合同前为依据数据主体的要求采取特定行为所必需。更进一步，欧盟数据保护委员会认为，要对“签订或履行合同所必需”做限缩解释，应该基于合同的目的判断是否存在客观上的必要性，企业需证明某项数据处理行为如果没有进行，合同就无法订立或无法履行的必要性，否则，其行为同样会违反GDPR规定。

三是根据GDPR第6条第1款（f）项的规定，企业可基于优先性的合法利益进行数据处理。即，首先要确定企业就数据处理存在合法利益，然后看是否有与之相冲突的员工的利益、基本 权利或自由，再对两者进行利益衡量来判断，结果必须是企业合法利益占优才能进行数据处理。

四是谨慎对待原则，即特殊种类的个人数据受到更多的保护。这些包括宗教信仰等在内的数据信息更多地涉及员工的基本权利和自由，其处理容易导致对员工的歧视和偏见，所以GDPR一般情况下禁止对敏感数据的处理活动，只在例外情形下给予豁免。所以，企业处理员工的敏感数据时需要注意是否符合豁免的情形和条件。