访问和安全

数据保护——权利、访问和安全

一系列的现有法律保护员工的个人权利。这些法律保证以机密形式持有机密信息，而且在没有得到允许的情况下不能公开相关信息，除非是为了公众的利益。相关法律包括：

●人权法案，1998

●公共利益披露法案，1998

●数据保护法案，1998

●信息自由法案，2000

人权法案，1998

依据欧洲人权公约，1998年颁布的人权法案从2000年10月起在英国正式生效。在其他事情上，该公约宣称每个人关于个人、家庭生活及其相关的信息都应该受到保护。这一点对于雇主和员工来说同样重要，尤其是关于信息保密性和信息持有的问题。许多组织利用电子邮件系统作为主流沟通系统，该项人权法案规定组织在截取电子邮件和窃听电话交流时要尊重员工的隐私。

公共利益披露法案，1998

1998年颁布的公共利益披露法案更多地是基于对弊端揭发人的保护以及对于那些站在公众利益角度披露信息而受到不公平对待的员工的保护。这个法令仅适用于受保护的资讯披露，它包括健康安全问题、雇主的法律义务、环境破坏和犯罪行为等。该法案要求员工为了受到保护必须在第一时间内将该相关的信息披露给雇主。如果员工担心在披露相关信息后雇主不会采取相应的措施或者他们会被雇主伤害，那么员工可以把这些信息公开。雇主应该建立合适的资讯披露的程序，从而保护员工，采取相应的行动并建立反馈机制。

数据保护法案，1998

数据保护法案保护员工个人身份信息，规定这些信息应存在一个易于访问的文件系统里。它包括雇用文档和由直线管理者来管理的个人所有的非正式文档。数据保护法案不仅仅保障电子保存的数据，同时也保障手工保存的数据。在获取、持有以及公开私人资讯时有八条需要执行的原则。这些原则分别是：

●法律上认可的、公平的处理

●基于特殊原因的存储

●足够的、相关的信息，而不是超出所需的

●准确性、适时更新性

●不必要时应删除

●在资料当事人授权下处理

●安全持有

●在没有充分保障的情况下，不能从欧洲转移到其他的国家

数据保护法案设立了一个数据保护委员会专员，目前信息委员会专员以及所有持有数据的组织都要向信息委员会汇报信息。该信息委员会专员要直接向英国议会汇报，负责信息的传播交流，提高各项实践并保证数据保护法案和信息自由法案两者之间的协调一致。

数据保护法案要求指定的对所选定的数据审计员能够保证数据的存储、使用合法。一旦有违背法案的事情发生，数据审计员需要承担责任，除非他或她可以证明自己已经采取了适当的措施来保证数据的存储以及使用的合法性。合理的措施包括：

●系统的考核报告

●数据使用规章和相关程序

●合适的培训

●良好定义的沟通机制

●与违规、诉怨程序相关的清晰的链接

数据当事人，就是数据所描述的人作为数据的所有人，有权利知道：

●持有什么样的数据　　　●在哪里处理数据

●数据处理的目的　　　　●谁将收到相关的数据

●与个人相关的决策不是仅仅根据处理后的数据来做出的

对此类信息的需求必须以书面的形式申请，而且必须向雇主提供足够的资讯，使之明确需要提供哪些信息。相关信息须在42天内提出，雇主可以为每份收费10英镑。

数据保护法案确保敏感性数据的安全，只有在个人的明确同意下才可予以提供。雇主应当在新员工签订合同时获得其同意，对于现有员工则应先询问并在征得他们的同意下使用这些数据。敏感性数据包括：

●种族来源　　　●宗教信仰

●工会会籍　　　●性生活

●身体和精神健康状况

雇主获取信息的另一个渠道是由第三方所提供的机密信息。劳资关系中最常见的是员工情况证明，雇主在雇用员工之前通常会向第三方索要这种证明。关键问题是员工是否有了解证明中所述相关信息的权利。在这种情况下最为重要的一点在于先了解这种证明对于雇用双方的重要程度，然后再决定是否要求以机密的形式提供该项证明。情况证明人通过以机密的方式来提供该类信息，从而防止信息外泄。雇主应遵循相关流程来了解该类信息，从而保证有适当的程序来保护该类证明的机密性。或者是，雇主应该声明需要访问该类证明，从而情况证明人可以提供雇主所需了解的全部信息。无论雇主采取哪种方式，组织内都应该有合适的系统来保护情况证明人以及保证员工个人访问这些信息的权利。

《数据保护法案》从2001年10月起执行，届时对所有的电子数据和2001年10月24日后手工处理的数据，员工都有访问权。然而，2001年10月24日前手工处理的数据虽可以被员工访问，但是一部分法律中明确指出的数据直至2007年10月才可被员工访问。

信息自由法案，2000

2000年颁布的《信息自由法案》给予大众访问公共权威部门所提供的所有形式信息的权利，最晚于2005年11月开始执行。该法案实施的时间表正在讨论，而且有可能从中央政府起开始执行。它将访问信息的权利从《数据保护法案》允许的访问个人数据的权利扩展到由公共部门所拥有的各种信息的权利，包括访问由第三方公司提供的信息的权利。在公开员工数据前公共权威部门应该充分考虑《数据保护法案》，尽量避免与之相冲突。《信息自由法案》由信息委员会专员来实施。该信息委员会专员负有执行《信息自由法案》和《数据保护法案》的双重责任。

数据保护的政策和程序

具有深远影响的数据保护法引起了组织内的一系列问题。为了尽可能与现有法令相容，雇主应制定和实施新的政策和程序来加强与员工沟通和引导雇主的行动。他们需要考虑的范围有：

●任命一名信息审计员

●对信息系统进行全面考核，分清谁该持有怎样的信息及原因

●全面检查数据的安全性

●保障在欧洲以外的数据收集和传播的相容性

●关于访问请求和相关资料归档的政策和程序的回顾

●关于电话和电子邮件使用的政策说明

●基于公共披露资讯法案的政策声明和申报程序

●关于员工访问信息的程序说明

对于管理者来说了解法律的范围、员工的权利以及采用一个可控制的、规律化的方式来记录和使用员工相关的信息是非常重要的。组织需要决定在什么地方存储什么信息。如果信息是集中式存储的，那么计算机记录将会比较便于控制，而大量的、分散的手工数据的安全从数据收集和安全访问两方面来看都具有很高的风险性。